1.1.1 配置伺服器身份驗證和加密級別
預設情況下,終端服務會話使用本機遠端桌面協議 (rdp) 加密。但是,rdp 不提供身份驗證來驗證終端伺服器的身份。使用傳輸層安全性 (tls) 1.0 進行伺服器身份驗證並對終端伺服器通訊進行加密,可以提高終端服務會話的安全性。只有正確地配置了終端伺服器和客戶端計算機,tls 才能提高安全性。
可以使用三個安全層。
ü ssl (tls 1.0) 將用於伺服器身份驗證以及對伺服器與客戶端之間傳輸的所有資料進行加密。
ü 協商 這是預設設定,將使用客戶端支援的最安全的安全層。如果支援 ssl (tls 1.0),則使用 ssl (tls 1.0)。如果客戶端不支援 ssl (tls 1.0),則使用 rdp 安全層。
ü rdp 安全層 伺服器與客戶端之間的通訊將使用本機 rdp 加密。如果選擇 rdp 安全層,則無法使用網路級身份驗證。
注意:在客戶端連線到終端伺服器時,可以通過在連線過程的早期提供使用者身份驗證來提高終端伺服器的安全性。這種早期使用者身份驗證方法稱為網路級身份驗證。有關網路級身份驗證的詳細資訊,請參閱為終端服務連線配置網路級身份驗證。
使用 ssl (tls 1.0) 在 rdp 連線期間保護客戶端與終端伺服器之間的通訊時,需要使用證書對終端伺服器進行身份驗證。可以選擇已安裝在終端伺服器上的證書,也可以使用預設的自簽名證書。
注意:建議您獲取並安裝參與 microsoft 根證書程式成員計畫的可信公用證書頒發機構頒發的證書。
對於終端服務連線,資料加密可以通過在客戶端與伺服器之間的通訊鏈路上進行加密來保護您的資料。加密有助於抵禦在伺服器與客戶端之間的鏈路上未經授權截獲傳輸資料的風險。
預設情況下,以可用的最高安全級別對終端服務連線進行加密。但是,某些舊版本的終端服務客戶端不支援此高階別的加密。如果網路中包含此類舊版客戶端,可以將連線的加密級別設定為以客戶端支援的最高加密級別傳送和接收資料。
注意 若要確定計算機上執行的遠端桌面連線版本支援的最大加密強度,請啟動「遠端桌面連線」,單擊「遠端桌面連線」對話方塊左上角的圖示,然後單擊「關於」。在「關於遠端桌面連線」對話方塊中查詢短語「最大加密強度」。remote desktop connection 5.2 以及更高版本支援 128 位的加密。
可以使用四個加密級別。
ü 符合 fips 標準 此級別使用聯邦資訊處理標準 (fips) 140-1 經過驗證的加密方法,對從客戶端向伺服器傳送的資料以及從伺服器向客戶端傳送的資料進行加密和解密。不支援此加密級別的客戶端無法連線。
ü 高 此級別使用 128 位加密對從客戶端向伺服器傳送的資料以及從伺服器向客戶端傳送的資料進行加密。終端伺服器在只包含 128 位客戶端(例如遠端桌面連線客戶端)的環境中執行時使用此級別。不支援此加密級別的客戶端無法連線。
ü 客戶端相容 這是預設設定,此級別以客戶端支援的最大金鑰強度對在客戶端與伺服器之間傳送的資料進行加密。終端伺服器在包含混合客戶端或舊版客戶端的環境中執行時使用此級別。
ü 低 此級別使用 56 位加密對從客戶端向伺服器傳送的資料進行加密。不對從伺服器向客戶端傳送的資料進行加密。
步驟:1.單擊「開始」à「管理工具」à「終端服務」,然後單擊「終端服務配置」。
2.在「連線」下,右鍵單擊相應的連線名,然後單擊「屬性」。
3.在該連線的「屬性」對話方塊中,單擊「常規」選項卡。
根據您的安全要求以及客戶端計算機可以支援的安全級別,選擇適合您的環境的伺服器身份驗證設定和加密設定。
如果選擇 ssl (tls 1.0),則選擇終端伺服器上安裝的某個證書,或單擊「預設」生成自簽名證書。如果使用的是自簽名證書,證書名稱將顯示為「已自動生成」。
4.單擊「確定」。
windows伺服器記錄3389遠端桌面IP策略
3389ip日誌路徑是c windows pdplog rdplog.txt 程式 複製 如下 md c windows pdplog echo date t rdplog.txt echo time t rdplog.txt c windows pdplog pdplog.cmd echo net...
遠端桌面服務授權
談到授權,就談到錢了,乙個關係到很多的錢包的問題。關係到微軟的收入,關係到老闆的收入,關係到softice專案提成,關係到客戶的支出,用個詞語來形容,就是牽一髮而動全身。既然這個授權如此重要,那我們就不能馬虎了。對於自己的錢包,大家都沒馬虎過吧,哈哈。遠端桌面服務的授權,不像一塊錢買瓶水這麼簡單,要...
設定使用Windows遠端桌面連線伺服器
對於開發人員而言,經常需要使用一些遠端連線工具操作使用大型伺服器,一般常用的有xmanager vnc以及windows自帶的遠端桌面工具。xmanager 優點 適用於區域網,安裝後可自動發現區域網內的可連線主機,所帶的xshell及xftp工具使用起來相當方便。不足 但當所連伺服器與本機不在網路...