Extern bureaublad-services-sessies worden standaard geconfigureerd om te onderhandelen over het versleutelingsniveau van de client voor de Extern bureaublad-sessiehost-server. U kunt de beveiliging van Extern bureaublad-services-sessies vergroten door het gebruik van de TLS (Transport Layer Security)°1.0 te eisen. TLS 1.0 controleert de identiteit van de Extern bureaublad-sessiehost-server en versleutelt alle communicatie tussen de Extern bureaublad-sessiehost-server en de clientcomputer. U kunt de beveiliging verbeteren met TLS, mits de Extern bureaublad-sessiehost-server en de clientcomputer op de juiste manier worden geconfigureerd voor TLS.

Opmerking

Ga naar de pagina van Extern bureaublad-services op het Windows Server 2008 R2 TechCenter (https://go.microsoft.com/fwlink/?LinkId=140438) voor meer informatie over Extern bureaublad-sessiehost.

Er zijn drie beveiligingsniveaus beschikbaar.

Beveiligingsniveau Omschrijving

SSL (TLS 1.0)

SSL (TLS 1.0) wordt gebruikt voor serververificatie en voor het versleutelen van alle gegevens die de server en de client uitwisselen.

Onderhandelen

Dit is de standaardinstelling.

Het beste beveiligingsniveau dat door de client wordt ondersteund, wordt gebruikt. Als SSL (TLS 1.0) wordt ondersteund, wordt dit niveau gebruikt. Als de client SSL (TLS 1.0) niet ondersteunt, wordt het RDP-beveiligingsniveau gebruikt.

RDP-beveiligingsniveau

Voor de communicatie tussen de server en de client wordt systeemeigen RDP-versleuteling gebruikt. Als u RDP-beveiligingsniveau selecteert, kunt u verificatie op netwerkniveau gebruiken.

U hebt een certificaat nodig om de TLS°1.0 (Transport Layer Security) te gebruiken, waarmee de identiteit van de Extern bureaublad-sessiehost-server wordt gecontroleerd en waarmee de communiccatie tussen de Extern bureaublad-sessiehost en de client wordt versleuteld. U kunt een certificaat selecteren dat u op de Extern bureaublad-sessiehost-server hebt geïnstalleerd, of u kunt een zelfondertekend certificaat gebruiken.

Waarschuwing

U wordt aangeraden een certificaat te installeren dat is uitgegeven door een van de vertrouwde openbare certificeringsinstanties die deelnemen aan het Microsoft Root Certificate Program Members-programma (het Microsoft Basiscertificaatprogramma voor leden).

Extern bureaublad-services-verbindingen worden standaard versleuteld op het hoogst beschikbare veiligheidsniveau. Enkele oudere versies van de client voor Verbinding met extern bureaublad ondersteunen dit hoge versleutelingsniveau echter niet. Als er dergelijke oudere clients in uw netwerk aanwezig zijn, kunt u het versleutelingsniveau van de verbinding voor het verzenden en ontvangen van gegevens instellen op het hoogste niveau dat nog door de client wordt ondersteund.

Er zijn vier versleutelingsniveaus beschikbaar.

Versleutelingsniveau Omschrijving

FIPS-compatibel

Op dit niveau worden gegevens die van de client naar de server en van de server naar de client worden verzonden, versleuteld en ontsleuteld met door FIPS (Federal Information Process Standard) 140-1 gevalideerde versleutelingsmethoden. Clients die dit versleutelingsniveau niet ondersteunen, kunnen geen verbinding maken.

Hoog

Op dit niveau worden gegevens die van de client naar de server en van de server naar de client worden verzonden, versleuteld met 128-bits versleuteling. Gebruik dit versleutelingsniveau wanneer de Extern bureaublad-sessiehost-server wordt uitgevoerd in een omgeving die uitsluitend uit 128-bits clients (zoals Verbinding met extern bureaublad-clients) bestaat. Clients die dit versleutelingsniveau niet ondersteunen, kunnen geen verbinding maken.

Compatibel met client

dit is de standaardinstelling.

Op dit niveau worden de gegevens die worden uitgewisseld tussen client en server, versleuteld met de maximale versleutelingssterkte die door de client wordt ondersteund. Gebruik dit niveau wanneer de Extern bureaublad-sessiehost-server wordt uitgevoerd in een omgeving die bestaat uit verschillende soorten clients of uit oudere clients.

Laag

Op dit niveau worden gegevens die van de client naar de server worden verzonden, versleuteld met 56-bits versleuteling. Gegevens die van de server naar de client worden verzonden, worden niet versleuteld.

Voer de volgende procedure uit om de instellingen voor serververificatie en versleuteling voor een verbinding op de Extern bureaublad-sessiehost-server te configureren.

U kunt deze procedure alleen uitvoeren als u op de Extern bureaublad-sessiehostserver die u wilt configureren, minimaal lid bent van de lokale groep Administrators of over gelijkwaardige rechten beschikt. Bekijk de details over het gebruik van de juiste accounts en groeplidmaatschappen op https://go.microsoft.com/fwlink/?LinkId=83477.

Instellingen voor serververificatie en versleuteling voor een verbinding configureren
  1. Open Extern bureaublad-sessiehostconfiguratie op de Extern bureaublad-sessiehostserver. Als u Extern bureaublad-sessiehostconfiguratie wilt openen, klikt u op Start, wijst u Systeembeheer en vervolgens Extern bureaublad-services aan en klikt u daarna op Extern bureaublad-sessiehostconfiguratie.

  2. Klik onder Verbindingen met de rechtermuisknop op de naam van de verbinding en klik vervolgens op Eigenschappen.

  3. Selecteer op het tabblad Algemeen in het dialoogvenster Eigenschappen de instellingen voor serververificatie en versleuteling die van toepassing zijn op uw omgeving op basis van uw beveiligingsvereisten en het beveiligingsniveau dat uw clientcomputers kunnen ondersteunen.

  4. Als u SSL (TLS 1.0) selecteert, moet u een certificaat selecteren dat op de Extern bureaublad-sessiehost-server is geïnstalleerd of op Standaard klikken om een zelfondertekenend certificaat te genereren. Als u een zelfondertekenend certificaat gebruikt, wordt de naam van het certificaat weergegeven als Automatisch gegenereerd.

  5. Klik op OK.

U kunt ook instellingen voor serververificatie en versleuteling configureren door de volgende groepsbeleidsinstellingen toe te passen:

  • Versleutelingsniveau van clientverbinding instellen

  • Gebruik van specifieke beveiligingslaag voor externe (RDP-)verbindingen vereisen

  • Sjabloon van het certificaat voor serververificatie

  • Gebruikersverificatie voor externe verbindingen via verificatie op netwerkniveau vereisen

Deze groepsbeleidsinstellingen vindt u in Computerconfiguratie\Beleid\Beheersjablonen\Windows-onderdelen\Extern bureaublad-services\Extern bureaublad-sessie\Beveiliging en kan worden geconfigureerd met de editor voor lokaal groepsbeleid of met de console Groepsbeleidsbeheer. Deze groepsbeleidsinstellingen hebben voorrang boven de instellingen die in Extern bureaublad-sessiehostconfiguratie zijn geconfigureerd, met uitzondering van de beleidsinstelling Sjabloon van het certificaat voor serververificatie.

U kunt de Extern bureaublad-sessiehost-server configureren om FIPS als versleutelingsniveau te gebruiken door de Systeemcryptografie toe te passen: Gebruik FIPS-compatibele algoritmes voor de versleuteling, hashgebruik en ondertekening van de Groepsbeleidinstelling. Deze groepsbeleidsinstelling vindt u in Computerconfiguratie\Beleid\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Beveiligingsopties en kan worden geconfigureerd met de editor voor lokaal groepsbeleid of met de console Groepsbeleidsbeheer. Deze groepsbeleidsinstelling heeft voorrang boven de instelling die in Extern bureaublad-sessiehostconfiguratie is geconfigureerd en de beleidsinstelling Versleutelingsniveau van clientverbinding instellen.

Ga naar de technische naslaginformatie van Extern bureaublad-services (https://go.microsoft.com/fwlink/?LinkId=138134, mogelijk in het Engels) voor meer informatie over groepsbeleidsinstellingen voor Extern bureaublad-services.


Inhoudsopgave