Domyślnie sesje roli Usługi pulpitu zdalnego są skonfigurowane tak, aby negocjować poziom szyfrowania między klientem a serwerem Host sesji usług pulpitu zdalnego. Można wzmocnić bezpieczeństwo sesji roli Usługi pulpitu zdalnego, wymuszając używanie protokołu Transport Layer Security (TLS) 1.0. Protokół TLS 1.0 sprawdza tożsamość serwera Host sesji usług pulpitu zdalnego i szyfruje całą komunikację między serwerem Host sesji usług pulpitu zdalnego a komputerem klienckim. W celu zapewnienia lepszego bezpieczeństwa serwer Host sesji usług pulpitu zdalnego i komputer kliencki muszą być poprawnie skonfigurowane do pracy z protokołem TLS.

Uwaga

Aby uzyskać więcej informacji na temat hosta sesji usług pulpitu zdalnego, zobacz stronę poświęconą Usługom pulpitu zdalnego w witrynie Windows Server 2008 R2 TechCenter (https://go.microsoft.com/fwlink/?LinkId=140438, strona może zostać wyświetlona w języku angielskim).

Dostępne są trzy warstwy zabezpieczeń.

Warstwa zabezpieczeń Opis

SSL (TLS 1.0)

Protokół SSL (TLS 1.0) będzie używany do uwierzytelniania serwera i szyfrowania wszystkich danych przesyłanych między serwerem a klientem.

Negocjowanie

Jest to ustawienie domyślne.

Zostanie użyta najbezpieczniejsza warstwa obsługiwana przez klienta. Protokół SSL (TLS 1.0) zostanie użyty w sytuacji, gdy będzie obsługiwany przez klienta. Jeśli klient nie obsługuje protokołu SSL (TLS 1.0), zostanie użyta warstwa zabezpieczeń RDP.

Warstwa zabezpieczeń RDP

Komunikacja między serwerem a klientem będzie szyfrowana przy użyciu macierzystego protokołu RDP. W przypadku wybrania warstwy zabezpieczeń RDP nie można używać uwierzytelniania na poziomie sieci.

Aby można było korzystać z warstwy zabezpieczeń TLS 1.0, jest wymagany certyfikat używany do sprawdzania tożsamości serwera Host sesji usług pulpitu zdalnego i szyfrowania komunikacji między serwerem Host sesji usług pulpitu zdalnego a klientem. Można wybrać certyfikat zainstalowany na serwerze Host sesji usług pulpitu zdalnego lub użyć certyfikatu z podpisem własnym.

Przestroga

Zaleca się uzyskanie i zainstalowanie certyfikatu wystawionego przez jeden z zaufanych publicznych urzędów certyfikacji uczestniczących w programie certyfikatów głównych firmy Microsoft.

Domyślnie połączenia roli Usługi pulpitu zdalnego są szyfrowane na najwyższym dostępnym poziomie zabezpieczeń. Jednak niektóre starsze wersje klienta połączeń usług pulpitu zdalnego nie obsługują tak wysokiego poziomu szyfrowania. Jeśli w sieci znajdują się klienci w starszych wersjach, poziom szyfrowania połączenia można skonfigurować w taki sposób, aby dane były wysyłane i odbierane na najwyższym poziomie szyfrowania, jaki obsługuje klient.

Dostępne są cztery poziomy szyfrowania.

Poziom szyfrowania Opis

Zgodny z FIPS

Na tym poziomie dane przesyłane między klientem a serwerem (w obie strony) są szyfrowane i odszyfrowywane przy użyciu sprawdzonych metod szyfrowania zgodnych ze standardem FIPS (Federal Information Process Standard) 140-1. Klienci, którzy nie obsługują tego poziomu szyfrowania, nie mogą nawiązywać połączeń.

Wysoki

Ten poziom umożliwia 128-bitowe szyfrowanie danych przesyłanych między klientem a serwerem (w obie strony). Tego poziomu należy używać w sytuacji, gdy serwer Host sesji usług pulpitu zdalnego działa w środowisku zawierającym tylko 128-bitowych klientów (np. klientów usługi Podłączanie pulpitu zdalnego). Klienci, którzy nie obsługują tego poziomu szyfrowania, nie będą mogli nawiązywać połączeń.

Zgodny z klientem

Jest to ustawienie domyślne.

Na tym poziomie dane przesyłane między klientem a serwerem są szyfrowane przy użyciu najsilniejszego klucza obsługiwanego przez klienta. Tego poziomu należy używać w sytuacji, gdy serwer Host sesji usług pulpitu zdalnego działa w środowisku zawierającym klientów w starszych lub różnych wersjach.

Niski

Ten poziom umożliwia 56-bitowe szyfrowanie danych przesyłanych z klienta do serwera. Dane wysyłane z serwera do klienta nie są szyfrowane.

Aby skonfigurować ustawienia uwierzytelniania serwera i szyfrowania dla połączenia na serwerze Host sesji usług pulpitu zdalnego, należy wykonać poniższą procedurę.

Członkostwo lokalnej grupy Administratorzy lub równoważnej na serwerze hosta sesji usług pulpitu zdalnego, który ma zostać skonfigurowany, stanowi minimum wymagane do wykonania tej procedury. Szczegółowe informacje na temat używania odpowiednich kont i członkostw w grupach można znaleźć na stronie https://go.microsoft.com/fwlink/?LinkId=83477.

Aby skonfigurować ustawienia uwierzytelniania serwera i szyfrowania dla połączenia na serwerze terminali
  1. Na serwerze hosta sesji usług pulpitu zdalnego otwórz konfigurację hosta sesji usług pulpitu zdalnego. Aby otworzyć konfigurację hosta sesji usług pulpitu zdalnego, kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, wskaż polecenie Usługi pulpitu zdalnego, a następnie kliknij polecenie Konfiguracja hosta sesji usług pulpitu zdalnego.

  2. W obszarze Połączenia kliknij prawym przyciskiem myszy nazwę połączenia, a następnie kliknij polecenie Właściwości.

  3. W oknie dialogowym Właściwości dla połączenia na karcie Ogólne wybierz ustawienia uwierzytelniania serwera i szyfrowania odpowiednie dla używanego środowiska, korzystając z wymagań dotyczących zabezpieczeń oraz poziomu bezpieczeństwa, który jest obsługiwany przez komputery klienckie.

  4. Jeśli został wybrany protokół SSL (TLS 1.0), wybierz certyfikat zainstalowany na serwerze Host sesji usług pulpitu zdalnego lub kliknij przycisk Domyślny, aby wygenerować certyfikat z podpisem własnym. W przypadku używania certyfikatu z podpisem własnym nazwa certyfikatu będzie wyświetlana jako Wygenerowany automatycznie.

  5. Kliknij przycisk OK.

Ustawienia uwierzytelniania serwera i szyfrowania można również konfigurować, stosując następujące ustawienia zasad grupy:

  • Ustaw poziom szyfrowania połączeń klienta

  • Wymagaj użycia odpowiedniej warstwy zabezpieczeń dla połączeń zdalnych (RDP, remote desktop protocol)

  • Szablon certyfikatu uwierzytelniania serwera

  • Wymagaj uwierzytelniania użytkowników za pomocą uwierzytelniania na poziomie sieci dla połączeń zdalnych

Te ustawienia zasad grupy znajdują się w folderze Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Usługi pulpitu zdalnego\Host sesji usług pulpitu zdalnego\Zabezpieczenia. Można je skonfigurować za pomocą Edytora lokalnych zasad grupy lub Konsoli zarządzania zasadami grupy. Te ustawienia zasad grupy są nadrzędne względem ustawień skonfigurowanych w programie Konfigurowanie hosta sesji usług pulpitu zdalnego z wyjątkiem ustawienia zasad Szablon certyfikatu uwierzytelniania serwera.

Serwer Host sesji usług pulpitu zdalnego można skonfigurować, aby korzystał ze standardu FIPS jako poziomu szyfrowania, stosując ustawienie zasad grupy Kryptografia systemu: użyj zgodnych algorytmów FIPS dla celów szyfrowania, tworzenia skrótu i podpisywania. To ustawienie zasad grupy znajduje się w folderze Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń. Można je skonfigurować za pomocą Edytora lokalnych zasad grupy lub Konsoli zarządzania zasadami grupy. To ustawienie zasad grupy jest nadrzędne względem ustawień skonfigurowanych w programie Konfigurowanie hosta sesji usług pulpitu zdalnego i względem ustawienia zasady Ustaw poziom szyfrowania połączeń klienta.

Aby uzyskać więcej informacji na temat ustawień zasad grupy dotyczących Usług pulpitu zdalnego, zobacz dokumentację techniczną Usług pulpitu zdalnego (https://go.microsoft.com/fwlink/?LinkId=138134, strona może zostać wyświetlona w języku angielskim).


Spis treści