Som standard är sessionerna med Fjärrskrivbordstjänster konfigurerade att förhandla om krypteringsnivån från klienten till servern för RD-sessionsvärd. Du kan förbättra säkerheten i sessioner med Fjärrskrivbordstjänster genom att kräva att Transport Layer Security (TLS) 1.0 används. TLS 1.0 verifierar identiteten för servern för RD-sessionsvärd och krypterar all kommunikation mellan servern för RD-sessionsvärd och klientdatorn. Servern för RD-sessionsvärd och klientdatorn måste vara korrekt konfigurerade för att TLS ska ge förbättrad säkerhet.
OBS | |
Mer information om värdservrar för fjärrskrivbordssessioner finns på sidan Fjärrskrivbordstjänster på Windows Server 2008 R2 TechCenter ( |
Det finns tre säkerhetsskikt tillgängliga.
Säkerhetsskikt | Beskrivning |
---|---|
SSL (TLS 1.0) |
SSL (TLS 1.0) används för serverautentisering och för att kryptera alla data som skickas mellan servern och klienten. |
Negotiate |
Detta är standardinställningen. Det säkraste säkerhetsskikt som stöds av klienten kommer att användas. SSL (TLS 1.0) används om det stöds. Om klienten inte stöder SSL (TLS 1.0) används RDP Security Layer. |
RDP Security Layer |
Kommunikation mellan servern och klienten kommer att använda inbyggd RDP-kryptering. Om du väljer RDP Security Layer kan du inte använda Autentisering på nätverksnivå. |
Ett certifikat, som används för att verifiera identiteten för servern för RD-sessionsvärd och för att kryptera kommunikationen mellan servern för RD-sessionsvärd och klientdatorn, krävs för att använda TLS 1.0 Security Layer. Du kan välja ett certifikat som du har installerat på servern för RD-sessionsvärd eller använda ett självsignerat certifikat.
Varning | |
Vi rekommenderar att du skaffar och installerar ett certifikat som utfärdats av någon av de betrodda certifikatutfärdare som deltar i medlemsprogrammet Microsoft Root Certificate Program. |
Anslutningarna med Fjärrskrivbordstjänster krypteras som standard med högsta möjliga säkerhet. Vissa äldre versioner av klienten för Anslutning till fjärrskrivbord stöder emellertid inte den här höga krypteringsnivån. Om ditt nätverk innehåller sådana äldre klienter kan du ange lämplig krypteringsnivå för anslutningen för att skicka och ta emot data på den högsta krypteringsnivå som stöds av klienten.
Fyra krypteringsnivåer finns tillgängliga.
Krypteringsnivå | Beskrivning |
---|---|
FIPS-kompatibel |
Denna nivå krypterar och dekrypterar data som skickas från klienten till servern och från servern till klienten med hjälp av krypteringsmetoden FIPS 140-1 (Federal Information Process Standard). Klienter som inte stöder denna krypteringsnivå kan inte ansluta. |
Hög |
Denna nivå krypterar data som skickas från klienten till servern och från servern till klienten med hjälp av 128-bitars kryptering. Använd den här nivån om servern för RD-sessionsvärd körs i en miljö som bara innehåller 128-bitars klienter (till exempel klienter som använder Anslutning till fjärrskrivbord). Klienter som inte stöder denna krypteringsnivå kan inte ansluta. |
Klientkompatibel |
Det här är standardinställningen. Denna nivå krypterar data som skickas mellan klienten och servern med den högsta nyckelstyrka som stöds av klienten. Använd den här nivån om servern för RD-sessionsvärd körs i en miljö med blandade eller äldre klienter. |
Låg |
Denna nivå krypterar data som skickas från klienten till servern med 56-bitars kryptering. Data som skickas från servern till klienten krypteras inte. |
Konfigurera serverns inställningar för autentisering och kryptering för en anslutning på servern för RD-sessionsvärd genom att följa anvisningarna nedan.
Du måste minst vara medlem i den lokala gruppen Administratörer eller motsvarande på värdserver för fjärrskrivbordssession som du vill konfigurera för att kunna slutföra den här proceduren. Studera närmare information om hur du använder lämpliga konton och gruppmedlemskap på
Så här konfigurerar du serverns inställningar för autentisering och kryptering för en anslutning |
Öppna Konfiguration av värddatorn för fjärrskrivbordssessioner på värdservern för fjärrskrivbordssession. Du öppnar Konfiguration av värddatorn för fjärrskrivbordssessioner genom att klicka på Start, peka på Administrationsverktyg, Fjärrskrivbordstjänster och sedan klicka på Konfiguration av värddatorn för fjärrskrivbordssessioner.
Under Anslutningar högerklickar du på namnet på anslutningen och klickar sedan på Egenskaper.
Välj lämpliga serverinställningar för autentisering och kryptering på fliken Allmänt i dialogrutan Egenskaper, baserat på dina säkerhetskrav och beroende på vilken säkerhetsnivå som stöds på klientdatorerna.
Om du väljer SSL (TLS 1.0) väljer du ett certifikat som är installerat på servern för RD-sessionsvärd eller klickar på Standard för att generera ett självsignerat certifikat. Om du använder ett självsignerat certifikat visas namnet på certifikatet som Autogenererat.
Klicka på OK.
Du kan även konfigurera serverinställningar för autentisering och kryptering genom att tillämpa följande grupprincipinställningar:
- Ange krypteringsnivå för klientanslutningar
- Kräv användning av ett visst säkerhetsskikt för fjärranslutningar (RDP)
- Certifikatmall för autentisering av server
- Kräv användarautentisering med autentisering på nätverksnivå för fjärranslutningar
Du hittar de här grupprincipinställningarna under Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Fjärrskrivbordstjänster\Värdserver för fjärrskrivbordssession\Säkerhet. Inställningen kan konfigureras med redigeraren för lokala grupprinciper eller med konsolen Grupprinciphantering. Observera att dessa grupprincipinställningar har högre prioritet än inställningarna som konfigurerats i Konfiguration av värddatorn för fjärrskrivbordssessioner, med undantag av principinställningen Certifikatmall för autentisering av server.
Du kan konfigurera servern för RD-sessionsvärd att använda FIPS som krypteringsnivå genom att tillämpa grupprincipinställningen Systemkryptografi: Använd FIPS-kompatibla algoritmer för kryptering, att skapa hasher och signering. Du hittar den här grupprincipinställningen under Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ och kan konfigureras med hjälp av redigeraren för lokala grupprinciper eller med konsolen Grupprinciphantering. Observera att den här grupprincipinställningen har högre prioritet än inställningarna som konfigurerats i Konfiguration av värddatorn för fjärrskrivbordssessioner och principinställningen Ange krypteringsnivå för klientanslutningar.
Mer information om grupprincipinställningar för fjärrskrivbordstjänster finns i Teknisk referens för Fjärrskrivbordstjänster på (