要求在创建会话前用户通过 RD 会话主机 服务器身份验证,网络级别身份验证才能用于增强 RD 会话主机 服务器的安全性。
网络级别身份验证是一种身份验证方法,在建立远程桌面连接并出现登录屏幕之前完成用户身份验证。这是比较安全的身份验证方法,有助于保护远程计算机避免恶意用户和恶意软件的攻击。网络级身份验证的好处是:
- 最初需要较少的远程计算机资源。验证用户身份之前,远程计算机使用有限的资源,而不是像以前版本那样启动完整的远程桌面连接。
- 可以通过降低受到拒绝服务攻击的风险,帮助提高安全性。
若要使用网络级别身份验证,必须满足以下要求:
- 在客户端计算机上,必须至少使用 Remote Desktop Connection 6.0。
- 在客户端计算机上,必须使用支持凭据安全支持提供程序 (CredSSP) 协议的操作系统(例如 Windows(R) 7 或 Windows Vista(R))。
- RD 会话主机 必须使用 Windows Server 2008 R2 或 Windows Server 2008。
可将 RD 会话主机 服务器配置为仅支持来自运行网络级身份验证的客户端的连接。可以通过下列方式设置 RD 会话主机 服务器的网络级别身份验证设置:
- 在 服务器管理器 中安装 RD 会话主机 角色服务期间,在“添加角色向导”的“指定远程桌面会话主机的身份验证方法”页上。
- 在 RD 会话主机 服务器的“系统属性”对话框中的“远程”选项卡上。
如果未选中且未启用“允许运行任意版本远程桌面的计算机连接(较不安全)”,则“要求使用网络级别身份验证对远程连接进行用户身份验证”组策略设置已启用并应用于 RD 会话主机服务器。
若要使用 RD 会话主机 服务器上的“系统属性”对话框中的“远程”选项卡配置网络级别身份验证设置,请参阅更改远程连接设置。 - 在远程桌面会话主机配置工具中某个连接的“属性”对话框的“常规”选项卡上,通过选中“仅允许运行使用网络级别身份验证的远程桌面的计算机连接”复选框。
如果“仅允许运行使用网络级别身份验证的远程桌面的计算机连接”复选框已选中并灰显,则已启用“要求使用网络级身份验证对远程连接进行用户身份验证”组策略设置并应用于 RD 会话主机 服务器。 - 通过应用“要求使用网络级身份验证对远程连接进行用户身份验证”组策略设置。
此组策略设置位于“计算机配置\策略\管理模板\Windows 组件\远程桌面服务\远程桌面会话主机\安全”中,可以使用本地组策略编辑器或组策略管理控制台 (GPMC) 进行配置。注意,组策略设置将优先于远程桌面会话主机配置中或“远程”选项卡上配置的设置。
若要确定计算机是否运行的是支持网络级身份验证的远程桌面连接版本,请启动“远程桌面连接”,单击“远程桌面连接”对话框左上角的图标,然后单击“关于”。在“关于远程桌面连接”对话框中,找到短语“支持网络级别的身份验证”。
有关网络级别身份验证和远程桌面服务的详细信息,请参阅 Windows Server 2008 R2 TechCenter 上的远程桌面服务页 [
有关远程桌面服务的组策略设置的详细信息,请参阅“远程桌面服务技术参考”(