設定伺服器驗證和加密層級

根據預設，遠端桌面服務 工作階段會設成在用戶端與 RD 工作階段主機 伺服器之間交涉加密層級。您可要求使用傳輸層安全性 (TLS) 1.0 來增強遠端桌面服務工作階段的安全性。TLS 1.0 會驗證 RD 工作階段主機 伺服器的身分識別，並對 RD 工作階段主機 伺服器與用戶端電腦之間所有的通訊進行加密。您必須正確地設定 RD 工作階段主機 伺服器與用戶端電腦，TLS 才能提供增強式安全性。

	附註
	如需 RD工作階段主機的相關資訊，請參閱 Windows Server 2008 R2 TechCenter 的「遠端桌面服務」網頁 (https://go.microsoft.com/fwlink/?LinkId=140438)。

有三個可用的安全性階層。

若要使用 TLS 1.0 安全性階層，還需要憑證以用來驗證 RD 工作階段主機 伺服器的身分識別以及加密 RD 工作階段主機 與用戶端之間的通訊。您可以選取已在 RD 工作階段主機 伺服器上安裝的憑證，也可以使用自我簽署的憑證。

	注意
	建議您取得並安裝由參與「Microsoft 根憑證計劃成員」計劃的其中一個受信任公用憑證授權單位所發出的憑證。

根據預設，會以可用的最高安全性層級來加密遠端桌面服務連線。不過，有些舊版的遠端桌面連線用戶端不支援這個高層級加密。如果網路中包含這類舊版用戶端，您可以將連線的加密層級設為以這類用戶端能支援的最高加密層級，來傳送及接收資料。

有四個可用的加密層級。

使用下列程序，設定 RD 工作階段主機 伺服器上之連線的伺服器驗證和加密設定。

若要完成此程序，至少需要您計劃設定之 RD 工作階段主機伺服器上的本機 Administrators 群組或等同群組的成員資格。 請參閱有關使用適當帳戶與群組成員資格的詳細資料，網址位於：https://go.microsoft.com/fwlink/?LinkId=83477 (可能為英文網頁)。

設定連線的伺服器驗證和加密設定

1. 在 [RD 工作階段主機] 伺服器上，開啟 [遠端桌面工作階段主機設定]。 若要開啟 [遠端桌面工作階段主機設定]，按一下 [開始]，依序指向 [系統管理工具]、[遠端桌面服務]，然後按一下 [遠端桌面工作階段主機設定]。

2. 在 [連線] 下，於連線名稱上按一下滑鼠右鍵，然後按一下 [內容]。

3. 在連線的 [內容] 對話方塊，依據安全性需求以及用戶端電腦可支援的安全性層級，在 [一般] 索引標籤中選取您環境適用的伺服器驗證及加密設定。

4. 如果選取 SSL (TLS 1.0)，請選取已在 RD 工作階段主機 伺服器上安裝的憑證，或按一下 [預設] 以產生自我簽署的憑證。如果使用自我簽署的憑證，憑證的名稱會顯示為[自動產生]。

5. 按一下 [確定]。

您也可以套用下列群組原則設定，以設定伺服器驗證和加密設定：

• 設定用戶端連線加密層級
  
  
• 需要使用遠端 (RDP) 連線的特定安全性階層
  
  
• 伺服器驗證憑證範本
  
  
• 需要使用網路層級驗證，要求遠端連線的使用者驗證
  
  

這些群組原則設定位於：電腦設定\原則\系統管理範本\Windows 元件\遠端桌面服務\遠端桌面工作階段主機\安全性，並可使用本機群組原則編輯器或群組原則管理主控台 (GPMC) 進行設定。請注意，這些群組原則設定的優先順序高於遠端桌面工作階段主機設定中的設定，但「伺服器驗證憑證範本」原則設定例外。

您可以將 RD 工作階段主機 伺服器設成使用 FIPS 做為加密層級，方法是套用 [系統加密編譯:使用 FIPS 相容演算法於加密，雜湊，以及簽章] 群組原則設定。此原則設定位於：電腦設定\原則\Windows 設定\安全性設定\本機原則\安全性選項，並可使用本機群組原則編輯器或群組原則管理主控台 (GPMC) 進行設定。請注意，這個群組原則設定的優先順序高於遠端桌面工作階段主機設定中的設定，也高於 [設定用戶端連線加密層級] 原則設定。

如需遠端桌面服務群組原則設定的相關資訊，請參閱遠端桌面服務技術參照 (https://go.microsoft.com/fwlink/?LinkId=138134)。

其他參考資料

• 設定遠端桌面服務連線的安全性設定
  
  
• 設定遠端桌面服務連線的網路層級驗證