Por predefinição, as sessões dos Serviços de Ambiente de Trabalho Remoto são configuradas para negociar o nível de encriptação do cliente para o servidor de Anfitrião de Sessões de RD. Poderá melhorar a segurança de sessões dos Serviços de Ambiente de Trabalho Remoto exigindo a utilização do TLS (Transport Layer Security) 1.0. O TLS 1.0 verifica a identidade do servidor de Anfitrião de Sessões de RD e encripta todas as comunicações entre o servidor de Anfitrião de Sessões de RD e o computador cliente. O servidor de Anfitrião de Sessões de RD e o computador cliente têm de estar correctamente configurados para que o TLS possa fornecer segurança avançada.
 | Nota |
Para mais informações sobre o Anfitrião de Sessões de RD, consulte a página Serviços de Ambiente de Trabalho Remoto no TechCenter do Windows Server 2008 R2 ( |
Estão disponíveis três camadas de segurança.
| Camada de segurança | Descrição |
|---|---|
SSL (TLS 1.0) |
O SSL (TLS 1.0) será utilizado para autenticar o servidor e para encriptar todos os dados transferidos entre o servidor e o cliente. |
Negociar |
Esta é a predefinição. Será utilizada a camada mais segura suportada pelo cliente. Se for suportado, será utilizado o SSL (TLS 1.0). Se o cliente não suportar SSL (TLS 1.0), será utilizada a Camada de Segurança de RDP. |
Camada de Segurança de RDP |
A comunicação entre o servidor e o cliente irá utilizar a encriptação RDP nativa. Se seleccionar a Camada de Segurança de RDP, não poderá utilizar a Autenticação de Nível de Rede. |
Para utilizar a camada de segurança TLS 1.0, é necessário um certificado utilizado para verificar a identidade do servidor de Anfitrião de Sessões de RD e encriptar as comunicações entre o servidor de Anfitrião de Sessões de RD e o cliente. Pode seleccionar um certificado instalado no servidor de Anfitrião de Sessões de RD ou pode utilizar um certificado auto-assinado.
 | Atenção |
Recomendamos que obtenha e instale um certificado emitido por uma das autoridades de certificação pública fidedigna que participam no programa para Membros do programa Microsoft Root Certificate Program. |
Por predefinição, as ligações dos Serviços de Ambiente de Trabalho Remoto são encriptadas utilizando o nível de segurança mais elevado disponível. No entanto, algumas versões mais antigas do cliente de Ligação ao Ambiente de Trabalho Remoto não suportam este nível elevado de encriptação. Se existirem clientes deste tipo na rede, pode definir o nível de encriptação da ligação para enviar e receber dados utilizando o nível de encriptação mais elevado suportado pelo cliente.
Existem quatro níveis de encriptação disponíveis.
| Nível de encriptação | Descrição |
|---|---|
Compatível com FIPS |
Este nível encripta e desencripta os dados enviados do cliente para o servidor, e vice-versa, utilizando métodos de encriptação validados pelo FIPS (Federal Information Process Standard) 140-1. Os clientes que não suportam este nível de encriptação não conseguem estabelecer ligação. |
Alta |
Este nível encripta os dados enviados do cliente para o servidor, e vice-versa, utilizando a encriptação de 128 bits. Utilize este nível quando o servidor de Anfitrião de Sessões de RD estiver em execução num ambiente com clientes de 128 bits apenas (tais como clientes de Ligação ao Ambiente de Trabalho Remoto). Os clientes que não suportam este nível de encriptação não conseguirão estabelecer ligação. |
Compatível Com o Cliente |
Esta é a predefinição. Este nível encripta os dados enviados entre o cliente e o servidor utilizando a força de chave máxima suportada pelo cliente. Utilize este nível quando o servidor de Anfitrião de Sessões de RD estiver em execução num ambiente com clientes mistos ou legados. |
Baixa |
Este nível encripta os dados enviados do cliente para o servidor utilizando a encriptação de 56 bits. Os dados enviados do servidor para o cliente não são encriptados. |
Utilize o seguinte procedimento para configurar as definições de autenticação e encriptação do servidor para uma ligação no servidor de Anfitrião de Sessões de RD.
Pertencer ao grupo Administradores local, ou equivalente, no servidor de Anfitrião de Sessões de RD que pretende configurar é o requisito mínimo para concluir este procedimento. Consulte os detalhes sobre como utilizar as contas adequadas e associações a grupos em
 | Para configurar as definições de autenticação e encriptação do servidor para uma ligação |
No servidor de Anfitrião de Sessões de RD, abra a Configuração de Anfitrião de Sessões de Ambiente de Trabalho Remoto. Para abrir a Configuração de Anfitrião de Sessões de Ambiente de Trabalho Remoto, clique em Iniciar, aponte para Ferramentas Administrativas, aponte para Serviços de Ambiente de Trabalho Remoto e clique em Configuração de Anfitrião de Sessões de Ambiente de Trabalho Remoto.
Em Ligações, clique com o botão direito do rato no nome da ligação e, em seguida, clique em Propriedades.
Na caixa de diálogo Propriedades para a ligação, no separador Geral, seleccione as definições de autenticação e encriptação do servidor apropriadas para o ambiente, com base nas necessidades de segurança e no nível de segurança que os computadores cliente podem suportar.
Se seleccionar SSL (TLS 1.0), seleccione um certificado instalado no servidor de Anfitrião de Sessões de RD ou clique em Predefinição para gerar um certificado auto-assinado. Se estiver a utilizar um certificado auto-assinado, o nome do certificado será apresentado como Gerado automaticamente.
Clique em OK.
Também pode configurar as definições de autenticação e encriptação do servidor aplicando as seguintes definições de Política de Grupo:
- Definir nível de encriptação de ligação de cliente
- Requerer utilização de camada de segurança específica para ligações (RDP) remotas
- Modelo de Certificado de Autenticação de Servidor
- Exigir autenticação de utilizadores para ligações remotas através da Autenticação de Nível de Rede
Essas definições de Política de Grupo estão localizadas em Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviços de Ambiente de Trabalho Remoto\Sistema Anfitrião da Sessão de Ambiente de Trabalho Remoto\Segurança e pode ser configurada utilizando o Editor de Políticas de Grupo Local ou a Consola de Gestão de Políticas de Grupo (GPMC). Tenha em atenção que estas definições de Política de Grupo terão precedência sobre as definições configuradas na Configuração do Anfitrião de Sessões de Ambiente de Trabalho Remoto, com excepção da definição de política Modelo de Certificado de Autenticação de Servidor.
Pode configurar o servidor de Anfitrião de Sessões de RD para utilizar FIPS como nível de encriptação aplicando a definição de Política de Grupo Criptografia do sistema: utilizar algoritmos em conformidade com FIPS para encriptação, criação de algoritmos hash e assinatura. Esta definição de Política de Grupo está localizada em Configuração do Computador\Políticas\Definições do Windows\Definições de Segurança\Políticas Locais\Opções de Segurança e pode ser configurada utilizando o Editor de Políticas de Grupo Local ou a Consola de Gestão de Políticas de Grupo (GPMC). Tenha em atenção que esta definição de Política de Grupo tem precedência sobre a definição configurada na Configuração do Anfitrião de Sessões de Ambiente de Trabalho Remoto e tem precedência sobre a definição de política Definir nível de encriptação de ligação de cliente.
Para mais informações sobre definições da Política de Grupo para Serviços de Ambiente de Trabalho Remoto, consulte a Referência Técnica dos Serviços de Ambiente de Trabalho Remoto (