網路層級驗證可以用來增強 RD 工作階段主機 伺服器安全性,因為它要求使用者必須經過 RD 工作階段主機 伺服器驗證才能建立工作階段。
網路層級驗證是一種新的驗證方法,在您建立遠端桌面連線及登入畫面出現前,即預先完成使用者驗證。這是更為安全的驗證方法,有助於保護遠端電腦不受惡意使用者與惡意軟體的侵害。網路層級驗證的優點包括:
- 一開始僅需要較少的遠端電腦資源。遠端電腦在驗證使用者之前只能使用有限的資源,不像之前的版本一樣啟動完整的遠端桌面連線。
- 它可以降低阻斷服務攻擊的風險,而提供更佳的安全性。
若要使用網路層級驗證,您必須符合以下需求:
- 在用戶端電腦上,至少必須使用遠端桌面連線 6.0。
- 用戶端電腦必須使用可支援認證安全性支援提供者 (CredSSP) 通訊協定的作業系統,例如 Windows® 7 或 Windows Vista®。
- RD 工作階段主機 伺服器必須使用 Windows Server 2008 R2 或 Windows Server 2008。
您可以將 RD 工作階段主機 伺服器設定為僅支援來自執行網路層級驗證之用戶端的連線。RD 工作階段主機 伺服器的網路層級驗證設定可以下列方式進行設定:
- 在伺服器管理員安裝 RD 工作階段主機 角色服務期間,於 [新增角色精靈] 的 [指定遠端桌面工作階段主機的驗證方法] 頁面。
- 在 RD 工作階段主機 伺服器 [系統內容] 對話方塊中的 [遠端] 索引標籤。
如果 [允許來自執行任何版本之遠端桌面的電腦進行連線 (較不安全)] 未選取且未啟用,則 [透過使用網路層級驗證以要求對遠端連線進行使用者驗證] 群組原則設定已啟用且已套用至 RD 工作階段主機 伺服器。
若要使用 RD 工作階段主機 伺服器 [系統內容] 對話方塊中的 [遠端] 索引標籤設定網路層級驗證設定,請參閱變更遠端連線設定。 - 在 遠端桌面工作階段主機設定 工具中連線之 [內容] 對話方塊的 [一般] 索引標籤上進行設定,方法是選取 [僅允許來自執行含有網路層級驗證之遠端桌面的電腦進行連線] 核取方塊。
如果 [僅允許來自執行含有網路層級驗證之遠端桌面的電腦進行連線] 核取方塊已選取且呈現灰色,則 [透過使用網路層級驗證以要求對遠端連線進行使用者驗證] 群組原則設定已啟用且已套用至 RD 工作階段主機 伺服器。 - 藉由套用 [透過使用網路層級驗證以要求對遠端連線進行使用者驗證] 群組原則設定。
此群組原則設定位於 [電腦設定\原則\系統管理範本\Windows 元件\遠端桌面服務\遠端桌面工作階段主機\安全性],可以使用本機群組原則編輯器或群組原則管理主控台 (GPMC) 進行設定。請注意,群組原則設定將會優先於遠端桌面工作階段主機設定或 [遠端] 索引標籤中的設定。
若要判斷電腦所執行的 [遠端桌面連線] 版本是否支援網路層級驗證,請啟動 [遠端桌面連線],按一下 [遠端桌面連線] 對話方塊左上角的圖示,然後再按一下 [關於]。在 [關於遠端桌面連線] 對話方塊中尋找 [支援網路層級驗證] 的文字。
如需網路層級驗證與遠端桌面服務的相關資訊,請參閱 Windows Server 2008 R2 TechCenter (
如需遠端桌面服務群組原則設定的相關資訊,請參閱遠端桌面服務技術參照 (