기본적으로 원격 데스크톱 서비스 세션은 클라이언트와 RD 세션 호스트 서버 간의 암호화 수준을 협상하도록 구성됩니다. TLS(전송 계층 보안) 1.0의 사용을 요청하여 원격 데스크톱 서비스 세션의 보안을 향상시킬 수 있습니다. TLS 1.0은 RD 세션 호스트 서버의 ID를 확인하고 RD 세션 호스트 서버와 해당 클라이언트 컴퓨터 간의 모든 통신을 암호화합니다. TLS에서 보안을 강화하려면 RD 세션 호스트 서버 및 클라이언트 컴퓨터를 올바르게 구성해야 합니다.

참고

RD 세션 호스트에 대한 자세한 내용은 Windows Server 2008 R2 TechCenter의 원격 데스크톱 서비스 페이지(https://go.microsoft.com/fwlink/?LinkId=140438(페이지는 영문일 수 있음))를 참조하십시오.

다음과 같은 3가지 보안 계층을 사용할 수 있습니다.

보안 계층 설명

SSL(TLS 1.0)

SSL(TLS 1.0)은 서버를 인증하고 서버와 클라이언트 간에 전송되는 모든 데이터를 암호화하는 데 사용합니다.

협상

기본 설정입니다.

클라이언트에서 지원하는 가장 안전한 계층을 사용합니다. 지원되는 경우 SSL(TLS 1.0)을 사용합니다. 클라이언트에서 SSL(TLS 1.0)을 지원하지 않으면 RDP 보안 계층을 사용합니다.

RDP 보안 계층

기본 RDP 암호화를 사용하여 서버와 클라이언트가 통신합니다. RDP 보안 계층을 선택하면 네트워크 수준 인증을 사용할 수 없습니다.

TLS 1.0 보안 계층 사용을 요청하려면 RD 세션 호스트 서버의 ID를 확인하고 RD 세션 호스트와 클라이언트 간의 통신을 암호화하는 데 사용되는 인증서가 있어야 합니다. RD 세션 호스트 서버에 설치된 인증서를 선택하거나 자체 서명된 인증서를 사용할 수 있습니다.

주의

Microsoft 루트 인증서 프로그램 구성원 프로그램에 참여하는 신뢰할 수 있는 공공 인증 기관 중 한 군데에서 인증서를 발급받아 설치하는 것이 좋습니다.

기본적으로 원격 데스크톱 서비스 연결은 사용 가능한 최고 보안 수준으로 암호화됩니다. 하지만 이전 버전의 일부 원격 데스크톱 연결 클라이언트에서는 이러한 높은 수준의 암호화를 지원하지 않습니다. 이와 같은 레거시 클라이언트가 네트워크에 포함되어 있을 경우 해당 클라이언트에서 지원하는 최고 암호화 수준으로 데이터를 주고받을 수 있도록 연결의 암호화 수준을 설정할 수 있습니다.

다음과 같은 4가지 암호화 수준을 사용할 수 있습니다.

암호화 수준 설명

FIPS 규격

이 수준은 FIPS(Federal Information Processing Standard) 140-1에서 검증한 암호화 방식을 사용하여 클라이언트와 서버 간에 주고받는 데이터를 암호화하고 해독합니다. 이 암호화 수준을 지원하지 않는 클라이언트는 연결할 수 없습니다.

높음

이 수준은 128비트 암호화를 사용하여 클라이언트와 서버 간에 주고받는 데이터를 암호화합니다. 원격 데스크톱 연결 클라이언트와 같은 128비트 클라이언트만으로 구성된 환경에서 RD 세션 호스트 서버가 실행되는 경우에 이 수준을 사용합니다. 이 암호화 수준을 지원하지 않는 클라이언트는 연결할 수 없습니다.

클라이언트 호환 가능

기본 설정입니다.

이 수준은 클라이언트에서 지원하는 최대 키 강도로 클라이언트와 서버 간에 주고받는 데이터를 암호화합니다. 레거시 또는 혼합 클라이언트로 구성된 환경에서 RD 세션 호스트 서버가 실행되는 경우에 이 수준을 사용합니다.

낮음

이 수준은 56비트 암호화를 사용하여 클라이언트에서 서버로 보내는 데이터를 암호화합니다. 서버에서 클라이언트로 보내는 데이터는 암호화하지 않습니다.

RD 세션 호스트 서버 연결을 위한 서버 인증 및 암호화 설정을 구성하려면 다음 절차를 따르십시오.

이 절차를 완료하려면 구성하려는 RD 세션 호스트 서버에 대해 최소한 로컬 Administrator 그룹의 구성원이거나 이와 동등한 자격이 있어야 합니다. https://go.microsoft.com/fwlink/?LinkId=83477(페이지는 영문일 수 있음)에서 적절한 계정 및 그룹 구성원 자격 이용에 관한 자세한 내용을 검토하십시오.

연결을 위한 서버 인증 및 암호화 설정을 구성하려면
  1. RD 세션 호스트 서버에서 원격 데스크톱 세션 호스트 구성을 엽니다. 원격 데스크톱 세션 호스트 구성을 열려면 시작을 클릭하고 관리 도구, 원격 데스크톱 서비스를 차례로 가리킨 다음 원격 데스크톱 세션 호스트 구성을 클릭합니다.

  2. 연결에서 연결 이름을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

  3. 연결에 대한 속성 대화 상자의 일반 탭에서, 클라이언트 컴퓨터에서 지원할 수 있는 보안 수준 및 보안 요구 사항에 기반하여 사용자 환경에 적합한 서버 인증 및 암호화 설정을 선택합니다.

  4. SSL(TLS 1.0)을 선택하는 경우 RD 세션 호스트 서버에 설치되어 있는 인증서를 선택하거나 기본값을 클릭하여 자체 서명된 인증서를 생성합니다. 사용하고 있는 자체 서명된 인증서가 있으면 인증서 이름이 자동 생성됨으로 표시됩니다.

  5. 확인을 클릭합니다.

다음과 같은 그룹 정책 설정을 적용하여 서버 인증 및 암호화 설정을 구성할 수도 있습니다.

  • 클라이언트 연결 암호화 수준 설정

  • RDP 연결에 특정 보안 계층 사용 필요

  • 서버 인증 인증서 템플릿

  • 원격 연결에 대해 네트워크 수준 인증을 사용하여 사용자 인증 필요

이러한 그룹 정책 설정은 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\원격 데스크톱 서비스\원격 데스크톱 세션 호스트\보안에 있으며, 로컬 그룹 정책 편집기 또는 GPMC(그룹 정책 관리 콘솔) 중 하나를 사용하여 구성할 수 있습니다. 서버 인증 인증서 템플릿 정책 설정을 제외한 나머지 그룹 정책 설정은 원격 데스크톱 세션 호스트 구성에서 구성된 설정보다 우선합니다.

RD 세션 호스트 서버 구성을 통해 시스템 암호화: 암호화, 해시, 서명에 FIPS 호환 알고리즘 사용 그룹 정책 설정을 적용하여 FIPS를 암호화 수준으로 사용할 수 있습니다. 이 그룹 정책 설정은 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션에 있으며, 로컬 그룹 정책 편집기 또는 GPMC(그룹 정책 관리 콘솔) 중 하나를 사용하여 구성할 수 있습니다. 이 그룹 정책 설정은 원격 데스크톱 세션 호스트 구성에서 구성된 설정보다 우선하며 클라이언트 연결 암호화 수준 설정 정책 설정보다 우선합니다.

원격 데스크톱 서비스의 그룹 정책 설정에 대한 자세한 내용은 원격 데스크톱 서비스 기술 참조 문서(https://go.microsoft.com/fwlink/?LinkId=138134(페이지는 영문일 수 있음))를 참조하십시오.


목차