Por padrão, as sessões de Serviços da Área de Trabalho Remota são configuradas para negociar o nível de criptografia do cliente para o servidor Host de Sessão de Área de Trabalho Remota. Você pode aumentar a segurança das sessões de Serviços da Área de Trabalho Remota exigindo o uso de Transport Layer Security (TLS) 1.0. O TLS 1.0 verifica a identidade do servidor Host de Sessão de Área de Trabalho Remota e criptografa toda a comunicação entre o servidor Host de Sessão de Área de Trabalho Remota e o computador cliente. O servidor Host de Sessão de Área de Trabalho Remota e o computador cliente devem ser configurados corretamente para o TLS, para que possam proporcionar maior segurança.
Observação | |
Para obter mais informações sobre o Host de Sessão da Área de Trabalho Remota, consulte a página de Serviços de Área de Trabalho Remota no TechCenter do Windows Server 2008 R2 ( |
Há três camadas de segurança disponíveis.
Camada de segurança | Descrição |
---|---|
SSL (TLS 1.0) |
SSL (TLS 1.0) é usado para autenticar o servidor e para criptografar todos os dados transferidos entre o servidor e o cliente. |
Negociar |
Esta é a configuração padrão. Será usada a camada mais segura para a qual o cliente tem suporte. Se houver suporte, o SSL (TLS 1.0) será usado. Se o cliente não tiver suporte ao SSL (TLS 1.0), a Camada de Segurança RDP será usada. |
Camada de Segurança RDP |
A comunicação entre o servidor e o cliente utilizará a criptografia RDP nativa. Se você selecionar a Camada de Segurança RDP, não será possível usar a Autenticação no Nível da Rede. |
Um certificado, usado para verificar a identidade do servidor Host de Sessão de Área de Trabalho Remota e criptografar a comunicação entre o Host de Sessão de Área de Trabalho Remota e o cliente, é exigido para usar a camada de segurança TLS 1.0. Você pode selecionar um certificado instalado no servidor Host de Sessão de Área de Trabalho Remota ou usar o certificado autoassinado.
Cuidado | |
É recomendável que você obtenha e instale um certificado emitido por uma autoridade de certificação pública confiável que participe do programa Microsoft Root Certificate Program Members. |
Por padrão, as conexões do Serviços da Área de Trabalho Remota são criptografadas no maior nível de segurança disponível. Contudo, algumas versões anteriores do cliente de Conexão de Área de Trabalho Remota não têm suporte a esse alto nível de criptografia. Se a rede contém tais clientes legados, você pode definir o nível de criptografia da conexão para envio e recepção de dados no maior nível para o qual o cliente tem suporte.
Há quatro níveis de criptografia disponíveis.
Nível de criptografia | Descrição |
---|---|
Compatível com FIPS |
Esse nível criptografa e descriptografa dados enviados do cliente para o servidor e do servidor para o cliente usando os métodos de criptografia validados pelo Federal Information Process Standard (FIPS) 140-1. Os clientes que não têm suporte para esse nível de criptografia não podem se conectar. |
Alta |
Esse nível criptografa dados enviados do cliente para o servidor e do servidor para o cliente usando criptografia de 128 bits. Use esse nível quando o servidor Host de Sessão de Área de Trabalho Remota for executado em um ambiente que contenha somente clientes de 128 bits (como os clientes da Conexão de Área de Trabalho Remota). Os clientes que não têm suporte a esse nível de criptografia não conseguirão se conectar. |
Compatível com o cliente |
Esta é a configuração-padrão. Esse nível criptografa dados enviados entre o cliente e o servidor no nível máximo com suporte pelo cliente. Use esse nível quando o servidor Host de Sessão de Área de Trabalho Remota for executado em um ambiente que contenha clientes legados ou combinados. |
Baixa |
Esse nível criptografa dados enviados do cliente para o servidor usando criptografia de 56 bits. Dados enviados do servidor para o cliente não são criptografados. |
Use o seguinte procedimento para definir as configurações de autenticação do servidor e criptografia para a conexão no servidor Host de Sessão de Área de Trabalho Remota.
A associação ao grupo Administradores local ou equivalente, no servidor de Host de Sessão que você planeja configurar, é o mínimo exigido para completar esse procedimento. Revise os detalhes sobre o uso de contas e associações a grupos apropriadas em
Para configurar as definições de autenticação do servidor e de criptografia para uma conexão |
No servidor de Host de Sessão de Área de Trabalho Remota, abra a Configuração do Host de Sessão de Área de Trabalho Remota. Para abrir a Configuração do Host de Sessão da Área de Trabalho Remota, clique em Iniciar, aponte para Ferramentas Administrativas, aponte para Serviços da Área de Trabalho Remota e clique em Configuração do Host de Sessão da Área de Trabalho Remota.
Em Conexões, clique com o botão direito no nome da conexão e clique em Propriedades.
Na caixa de diálogo Propriedades para a conexão, na guia Geral, selecione as configurações de autenticação de servidor e criptografia que são adequadas a seu ambiente, com base nos requisitos de segurança com suporte nos computadores clientes.
Se você selecionar SSL (TLS 1.0), selecione um certificado instalado no servidor Host de Sessão de Área de Trabalho Remota ou clique em Padrão para gerar um certificado autoassinado. Se você estiver usando um certificado autoassinado, o nome do certificado será exibido como Gerado automaticamente.
Clique em OK.
Você também pode configurar as definições de autenticação do servidor e de criptografia aplicando as seguintes Diretivas de Grupo:
- Definir o nível de criptografia de conexão do cliente
- Exigir o uso de camada de segurança específica para conexões remotas (RDP)
- Modelo de Certificado de Autenticação do Servidor
- Exigir autenticação do usuário para conexões remotas usando Autenticação no Nível da Rede
Essas configurações da Diretiva de Grupo estão localizadas em Configuração do Computador\Diretivas\Modelos Administrativos\Componentes do Windows\Serviços de Área de Trabalho Remota\Host da Sessão da Área de Trabalho Remota\Segurança e pode ser definida usando o Editor de Diretiva de Grupo Local ou o Console de Gerenciamento de Diretiva de Grupo (GPMC). Observe que essas configurações da Diretiva de Grupo prevalecerão sobre as configurações definidas em Configuração do Host de Sessão de Área de Trabalho Remota, com exceção da configuração da diretiva Modelo de Certificado de Autenticação do Servidor.
Você pode configurar o servidor Host de Sessão de Área de Trabalho Remota para usar o FIPS como o nível de criptografia, aplicando a Diretiva de Grupo Criptografia do sistema: Usar algoritmos compatíveis com FIPS para criptografia, hashing e assinatura. Essas configurações de Diretiva de Grupo estão localizadas em Configuração do Computador\Diretivas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança e podem ser definidas através do Editor de Diretiva de Grupo Local ou do Console de Gerenciamento de Diretiva de Grupo (GPMC). Essa configuração de Diretiva de Grupo prevalecerá sobre a configuração em Configuração do Host de Sessão de Área de Trabalho Remota e também sobre a configuração da diretiva Definir o nível de criptografia de conexão do cliente.
Para obter mais informações sobre as configurações de Diretiva de Grupo para Serviços de Área de Trabalho Remota, consulte a Referência Técnica de Serviços da Área de Trabalho Remota (