none
咨询如何设置远程桌面加密功能 RRS feed

  • 问题

  • 您好,请问如何将远程桌面设置为加密(数据传输过程)连接? 以及如何取消加密(数据传输过程)?

    环境SERVER 2016 使用自签名证书。

    经部分网上查询可知,远程桌面只对认证时密码进行加密处理,但在远程控制数据传送时是不加密的。如何能让数据传送时也进行加密处理


    • 已编辑 ice9898 2019年8月14日 3:15
    2019年8月14日 0:24

全部回复

  • 您好,

    RDP的部署和设置中有以下三个方面的安全措施,用来确保RDP创建连接和保护连接的安全性。

    在安全层选项中,您可以通过选择SSL/TLS1.0来增强远程桌面服务会话的安全性。TLS1.0 验证RD会话主机服务器的身份,并加密RD会话主机服务器和客户端计算机之间的所有通信。

    1.身份验证级别(NLA): 选择仅限网络级别身份验证的连接将帮助您保护客户的数据, 保护远程计算机免受恶意用户和恶意软件的攻击。

    2.安全层 (Security layer):远程桌面服务 RDS 会话可以使用三个安全层之一(SSL TLS 1.0)、协商和 RDP 安全层进行保护。

    SSLTLS 1.0)将用于服务器身份验证和加密服务器与客户端之间传输的所有数据。

    3.加密级别(Encryption Level):虽然 RDS 连接在默认情况下以可能的最高级别加密,但某些旧客户端不支持它。在这种情况下,您可以手动选择客户端接受的最安全的远程桌面加密级别。四个 RDP 加密选项是符合 FIPS、高、客户端兼容和低。

     

    暂未找到中文版的官方解释,请参考下方英文连接,了解更多内容:

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc770833(v=ws.11)

     

    Thanks,

    Jenny


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年8月14日 5:42
  • 您好,想确认一下,

    1.您是说要实现远程桌面加密功能,要搭建“远程桌面服务器(RDP)”,通过这台服务器来实现?

    2.是否有方法能在终端设备上(server)实现这个功能? 

    3. 当前server 2016 远程桌面默认配置是什么?例如 认证时用户名及密码是否加密? 认证后传输过程是否还是明文? 那种加密方式?

    4.如果在终端服务器上配置 加密级别(Encryption Level) 为“高”,是否可以实现传输过程加密

    5. 在终端服务器上加密级别(Encryption Level) 如果不配置,但客户支持128位加密。是否会按照128位加密,对认证和通讯进行加密

    6.如何确认当前的远程桌面就是SSL加密的连接?
    • 已编辑 ice9898 2019年8月14日 7:24
    2019年8月14日 6:19
  • 非常好,我收藏了!
    2019年8月14日 7:36
  • 您好,还能帮忙确认一下吗? 在不搭建RDP服务器的情况下,SERVER自身能实现远程桌面加密功能吗?
    2019年8月15日 1:43
  • 您好,

     

    通常如果您的环境中配备了全套的远程桌面服务部署(装有connection broker, session host等角色), 我们就称之为RDS

    默认情况下, 用户发起的远程会话默认使用本机远程桌面协议(RDP, 但它不提供身份验证来终端服务器的身份。这时候您可以通过选择SSL (TLS 1.0) 来增强会话安全性。

     

    加密级别(Encryption Level) 默认情况下是进行128位加密, 但是由于某些旧版本的远程服务客户端应用程序不支持这种高级加密, 所以提供了另外几种方式的加密选项。

     

     

    上述两个安全选项都是根据客户端支持的级别进行配置,但是有的时候有些信息还是不会被加密例如:虚拟通道和初始连接等。

    https://support.microsoft.com/en-us/help/275727/high-encryption-on-a-remote-desktop-or-terminal-services-session-does

     

    6. 如何确认当前的远程桌面就是SSL加密的连接?

    您可以在组策略配置中再次确认,组策略路径:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc770833(v=ws.11)

     

    7. 在不搭建RDP服务器的情况下,SERVER自身能实现远程桌面加密功能吗?

    远程会话的加密跟客户端能支持的选项有关系,如果能支持TLS1.0 那么安全层就能选择SSL 选项,同理如果不是旧版本的客户端程序默认就能使用加密级别 High128, 是否部署RDS环境应该关系不大。

    不过您要是对于远程会话的数据传输还有什么疑惑,建议您可以试着抓取一些monitor 日志分析一下。

     

    谢谢您的理解,如果上述回答对您有用,请将回答标记为答案,这将方便其他有同样困惑的人在浏览帖子是快速定位。

     

    Best Regards,

    Jenny


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年8月15日 6:17
  • 您好!

    1.我是否可以这样认为在不搭建RDS 的情况下,server上配置以下组策略,并使用自签名证书就能够实现 “远程桌面数据传输的加密”(客户端win10 PRO)

    2. 使用IP地址连接服务和使用域名连接服务器显示上会有所差别,以下是使用于域名连接服务器出现“锁”的图标,这个代表什么含义?是客户段验证远程服务器的信息吗?

    2019年8月15日 7:05
  • 您好,请问还能回复一下吗?
    2019年8月20日 0:31
  • 您好,

     

    1. 通常这些组策略及安全设置选项都是在完整RDS部署环境中进行设置的,如果是只是进行远程会话而没有设置远程会话主机不确定这些设置选项是否生效。

    2.关于图片2中的已经使用Kerberos 验证。我找到了一篇英文文档,中间有这样一段解释,当服务器验证不能使用Kerberos时就会启用TLS。所以我个人理解为如果出现这个截图,可能代表当前并不是使用TLS来进行服务器验证。

    The technology youll use for server authentication depends on whether youre on the local network or connecting via the Internet. If you are connecting to your RDS deployment from domain-joined clients located on your corporate network, you will authenticate servers using Kerberos. But to authenticate servers from connections for connections form the internet, and when Kerberos cannot be used, youll use TLS (and thus, SSL certificates).

    参考链接:https://www.rdsgurus.com/windows-2012-r2-how-to-create-a-mostly-seamless-logon-experience-for-your-remote-desktop-services-environment/

     

    关于您提出的这些远程数据传输的安全加密的问题,我们也只能从RDS相关的部署设置来提供一些解释和说明,更深层的部分可能需要您自己抓包去探查,希望您能理解。

     

    此致,

    Jenny


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年8月23日 8:48
  • 您好,

    目前问题有什新的

    如果有任何疑请随时行回

     

    如果回复对您有所助的可以把回复标记为,我们将暂的追踪。

    Thanks,

    Jenny


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年9月2日 1:39