По умолчанию сеансы Службы удаленных рабочих столов настроены на согласование уровня шифрования между клиентом и сервером Узел сеансов удаленных рабочих столов. Чтобы повысить безопасность сеансов Службы удаленных рабочих столов, можно задать обязательное использование протокола TLS 1.0. Протокол TLS 1.0 обеспечивает проверку удостоверения сервера Узел сеансов удаленных рабочих столов и шифрование всех подключений между сервером Узел сеансов удаленных рабочих столов и клиентским компьютером. Для обеспечения повышенной безопасности с помощью протокола TLS необходимо правильно настроить сервер Узел сеансов удаленных рабочих столов и клиентский компьютер.
Примечание | |
Дополнительные сведения об узле сеансов удаленных рабочих столов см. на странице «Службы удаленных рабочих столов» Технического центра Windows Server 2008 R2 (http://go.microsoft.com/fwlink/?LinkId=140438). |
Существует три уровня безопасности.
Уровень безопасности | Описание |
---|---|
SSL (TLS 1.0) |
SSL (TLS 1.0) используется для проверки подлинности сервера и шифрования всех данных, передаваемых между сервером и клиентом. |
Согласование |
Этот вариант используется по умолчанию. Будет использоваться наиболее безопасный уровень, поддерживаемый клиентом. Если поддерживается, будет использоваться SSL (TLS 1.0). Если SSL (TLS 1.0) не поддерживается клиентом, будет использоваться уровень безопасности RDP. |
Уровень безопасности RDP |
Связь между сервером и клиентом использует встроенное RDP-шифрование. При выборе этого уровня безопасности проверку подлинности на уровне сети использовать нельзя. |
При использовании уровня безопасности TLS 1.0 требуется сертификат, используемый для проверки удостоверения сервера Узел сеансов удаленных рабочих столов и шифрования подключения между Узел сеансов удаленных рабочих столов и клиентом. Можно выбрать сертификат, установленный на сервере Узел сеансов удаленных рабочих столов, либо использовать самозаверяющий сертификат.
Внимание! | |
Рекомендуется получить и установить сертификат, выданный доверенным общедоступным центром сертификации, который является участником программы корневых сертификатов корпорации Майкрософт. |
По умолчанию подключения Службы удаленных рабочих столов шифруются с применением максимально возможного уровня безопасности. Однако максимальный уровень шифрования не поддерживается в некоторых ранних версиях клиента подключений к удаленным рабочим столам. Если в сети присутствуют такие устаревшие клиенты, можно установить для подключения уровень шифрования, обеспечивающий отправку и прием данных с наибольшим уровнем шифрования, поддерживаемым клиентом.
Существует четыре уровня шифрования.
Уровень шифрования | Описание |
---|---|
FIPS совместимый |
При использовании этого уровня данные, которыми обмениваются клиент и сервер, шифруются и расшифровываются методами шифрования на основе стандарта FIPS 140-1. Клиенты, не поддерживающие этот уровень шифрования, не могут подключаться к серверу. |
Высокий |
При использовании этого уровня данные, которыми обмениваются клиент и сервер, шифруются на основе 128-разрядного шифрования. Этот уровень следует использовать в тех случаях, когда сервер Узел сеансов удаленных рабочих столов работает в среде, содержащей только 128-разрядные клиенты (например, клиенты программы «Подключение к удаленному рабочему столу»). Клиенты, не поддерживающие этот уровень шифрования, не могут подключаться к серверу. |
Совместимый с клиентским |
Этот режим задан по умолчанию. При использовании этого уровня данные, которыми обмениваются клиент и сервер, шифруются с использованием ключа максимальной стойкости, поддерживаемой клиентом. Этот уровень следует использовать в тех случаях, когда сервер Узел сеансов удаленных рабочих столов работает в среде, содержащей различные или устаревшие клиенты. |
Низкий |
При использовании этого уровня шифруются только те данные, которые пересылаются от клиента к серверу, с помощью 56-битного шифрования. Данные, пересылаемые от сервера к клиенту, не шифруются. |
Используйте описанную ниже процедуру, чтобы настроить параметры проверки подлинности сервера и шифрования для подключения на сервере Узел сеансов удаленных рабочих столов.
Для выполнения этой процедуры пользователь по меньшей мере должен быть членом локальной группы Администраторы или аналогичной группы на сервере узла сеансов удаленных рабочих столов, который планируется настроить. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице http://go.microsoft.com/fwlink/?LinkId=83477.
Настройка параметров проверки подлинности сервера и шифрования для подключения |
-
На сервере узла сеансов удаленных рабочих столов откройте компонент «Конфигурация узла сеансов удаленных рабочих столов». Чтобы открыть конфигурацию узла сеансов удаленных рабочих столов, нажмите кнопку Пуск, затем последовательно выберите пункты Администрирование, Службы удаленных рабочих столов и Конфигурация узла сеансов удаленных рабочих столов.
-
В области Подключения щелкните правой кнопкой мыши имя подключения и выберите пункт Свойства.
-
В диалоговом окне Свойства подключения на вкладке Общие задайте параметры проверки подлинности и шифрования в соответствии с конфигурацией среды, требованиями безопасности и уровнем безопасности, поддерживаемым клиентскими компьютерами.
-
Если выбран уровень безопасности SSL (TLS 1.0), выберите сертификат, установленный на сервере Узел сеансов удаленных рабочих столов, или нажмите кнопку По умолчанию, чтобы создать самозаверяющий сертификат. Если используется самозаверяющий сертификат, имя сертификата будет отображено как Автоматически созданный.
-
Нажмите кнопку ОК.
Проверку подлинности сервера и шифрование также можно настроить путем применения следующих параметров групповой политики:
- Установить уровень шифрования для клиентских
подключений
- Требовать использования специального уровня
безопасности для удаленных подключений по методу RDP
- Шаблон сертификата проверки подлинности
сервера
- Требовать проверку подлинности на уровне сети
для удаленных подключений
Этот параметр групповой политики находится в разделе Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Хост-сервер сеансов удаленных рабочих столов\Безопасность. Для его настройки можно использовать редактор локальных групповых политик или консоль управления групповыми политиками. Обратите внимание, что эти параметры имеют приоритет над параметрами, заданными в оснастке Конфигурация узла сеансов удаленных рабочих столов, за исключением параметра политики «Шаблон сертификата проверки подлинности сервера».
Чтобы выбрать для сервера Узел сеансов удаленных рабочих столов FIPS-совместимый уровень шифрования, примените параметр групповой политики Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хеширования и подписывания. Этот параметр находится в разделе Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности. Для его настройки можно использовать редактор локальных групповых политик или консоль управления групповыми политиками. Обратите внимание, что этот параметр имеет приоритет над параметром, заданным в оснастке Конфигурация узла сеансов удаленных рабочих столов, и параметром политики Установить уровень шифрования для клиентских подключений.
Дополнительные сведения о параметрах групповой политики для служб удаленных рабочих столов см. в техническом справочнике по службам удаленных рабочих столов (может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=138134).