Es gibt zwei Aspekte der Sicherheit, die Sie beachten sollten: Wie die Verbindung erstellt wird und wie die Verbindung gesichert ist. Es gibt zwei verschiedene Modi zum Sichern der Erstellung der Verbindung für Remotedesktops, den Legacy-Modus (ich glaube nicht, dass er einen Namen hat) und die Authentifizierung auf Netzwerkebene (NLA). Wenn Sie Remotedesktop zulassen, können Sie auswählen, ob Sie nur NLA-Verbindungen zulassen oder auch Verbindungen aus dem älteren Legacy-Modus zulassen möchten.

NLA-Modus ist viel sicherer und bietet weniger Möglichkeiten für Personen, Daten von der Verbindung zu erfassen oder abzufangen, während sie hergestellt wird.

Für die Verbindung selbst gibt es viele Feinabstimmungseinstellungen, die alle serverseitig festgelegt sind. Die Hilfedatei fasst viel besser zusammen, als ich kann, also werde ich das einfach zitieren.

Serverauthentifizierung und-verschlüsselung konfigurieren Ebenen

Standardmäßig Remotedesktopdienste sitzungen sind so konfiguriert, dass sie die Verschlüsselung aushandeln niveau von der client zum RD-Sitzungshostserver. Sie können die Sicherheit von Remotedesktopdienste Sitzungen durch die Verwendung von Transport erfordern Layer Security (TLS) 1.0. TLS 1.0 überprüft die Identität des RD-Sitzungshost-server auf und verschlüsselt die gesamte Kommunikation zwischen den RD Session Host-server und dem client-computer. Der RD-Sitzungshost server und Client-Computer müssen korrekt für TLS konfiguriert sein, um bieten Sie erhöhte Sicherheit.

Beachten

Für Mehr informationen zum RD-Sitzungshost finden Sie auf dem Remotedesktop Seite Dienste auf dem Windows Server 2008 R2 TechCenter (http://go.microsoft.com/fwlink/?LinkId=140438).

Es stehen drei Sicherheitsebenen zur Verfügung.

• SSL (TLS 1.0) - SSL (TLS 1.0) wird für die Serverauthentifizierung und für die Verschlüsselung aller zwischen dem Server und dem Client übertragenen Daten verwendet.
• oder - Dies ist die Standardeinstellung. Die sicherste Schicht, die ist unterstützt durch den Client verwendet werden. Falls unterstützt, wird SSL (TLS 1.0) verwendet. Wenn der Client SSL (TLS 1.0) nicht unterstützt, wird die RDP-Sicherheitsschicht verwendet.
• RDP-Sicherheitsschicht - Die Kommunikation zwischen dem Server und dem Client verwendet die native RDP-Verschlüsselung. Wenn Sie RDP-Sicherheitsebene auswählen, können Sie keine Authentifizierung auf Netzwerkebene verwenden.

Die sicherste Ebene, die vom Client unterstützt wird, wird verwendet. Wenn unterstützt, SSL (TLS 1.0) wird verwendet. Wenn der Kunde dies nicht tut unterstützung SSL (TLS 1,0), die RDP Sicherheit Schicht wird verwendet.

RDP-Sicherheitsschicht

Kommunikation zwischen dem server und dem client wird native RDP-Verschlüsselung verwenden. Wenn Sie RDP Security Layer auswählen, können Sie Authentifizierung auf Netzwerkebene kann nicht verwendet werden.

Ein Zertifikat, mit dem die Identität des RD-Sitzungshosts überprüft wird server und verschlüsseln die Kommunikation zwischen dem RD-Sitzungshost und dem client, ist erforderlich zu verwenden die TLS 1.0-Sicherheitsschicht. Sie können wählen ein Zertifikat, das Sie auf dem RD Session Host Server installiert haben, oder Sie können ein selbstsigniertes Zertifikat verwenden.

Standardmäßig werden Remotedesktopdienste-Verbindungen verschlüsselt unter das höchste Maß an Sicherheit zur Verfügung. Einige ältere Versionen der Remotedesktopverbindungsclient unterstützt dieses hohe Niveau nicht der Verschlüsselung. Wenn Ihr Netzwerk solche Legacy-Clients enthält, können Sie legen Sie die Verschlüsselungsstufe des verbindung zum Senden und Empfangen von Daten unter die höchste vom Client unterstützte Verschlüsselungsstufe.

Vier Verschlüsselungsstufen stehen zur Verfügung.

• FIPS-konform - Diese Ebene verschlüsselt und entschlüsselt Daten, die vom Client an den Server und vom Server an den Client gesendet werden, indem FIPS-validierte Verschlüsselungsmethoden (Federal Information Process Standard) 140-1 verwendet werden. Clients, die diese Verschlüsselungsstufe nicht unterstützen, können keine Verbindung herstellen.
• Hoch - Diese Ebene verschlüsselt Daten, die vom Client an den Server und vom Server an den Client gesendet werden, indem eine 128-Bit-Verschlüsselung verwendet wird. Verwenden Sie diese Ebene, wenn der RD-Sitzungshostserver in einer Umgebung ausgeführt wird, die nur 128-Bit-Clients enthält (z. B. Remotedesktopverbindungsclients). Clients, die diese Verschlüsselungsstufe nicht unterstützen, können keine Verbindung herstellen.
• Client Kompatibel - Dies ist die Standardeinstellung. Diese Ebene verschlüsselt Daten, die zwischen dem Client und dem server mit der maximalen vom Client unterstützten Schlüsselstärke. Verwenden Sie diese Ebene, wenn der RD-Sitzungshostserver in einer Umgebung mit gemischten oder Legacy-Clients ausgeführt wird.
• Low - Diese Ebene verschlüsselt Daten, die vom Client an den Server gesendet werden, indem eine 56-Bit-Verschlüsselung verwendet wird. Vom Server an den Client gesendete Daten werden nicht verschlüsselt.