Windows远程桌面协议(RDP)被系统管理员广泛使用,试图为远程操作员提供对内部系统和服务器的访问。令人震惊的是,此连接默认情况下不使用强加密。
这篇文章将逐步介绍在所有RDP连接上强制进行TLS加密所需的步骤。
第1步:打开根控制台
打开搜索栏,然后键入“ mmc”或从“ 运行”应用程序运行mmc.exe 。
选择顶部的应用程序,这将打开系统控制台。
步骤2:打开组策略编辑器管理单元
打开文件>添加/删除管理单元...,然后选择全局策略编辑器。
选择“组策略编辑器”,然后“添加”所选的管理单元。
选择“本地计算机”-这应该是默认设置-然后选择“完成”>“确定”。
步骤3:导航到RDP会话安全策略
在边栏中,导航到“ 本地计算机策略”>“计算机配置”>“管理模板”>“ Windows组件”>“远程桌面服务”>“远程桌面会话主机”>“安全性”。选择“设置客户端加密级别”和编辑政策
步骤4:要求最高的本机加密。
编辑“设置客户端加密级别”策略。
这是Microsoft提供的不同选项的说明
如果启用此策略设置,则在远程连接期间客户端与RD会话主机服务器之间的所有通信都必须使用此设置中指定的加密方法。默认情况下,加密级别设置为“高”。可以使用以下加密方法:
高:高设置通过使用强128位加密来加密从客户端发送到服务器以及从服务器发送到客户端的数据。在仅包含128位客户端(例如,运行远程桌面连接的客户端)的环境中使用此加密级别。不支持此加密级别的客户端无法连接到RD会话主机服务器。
客户端兼容:“客户端兼容”设置以客户端支持的最大密钥强度加密在客户端与服务器之间发送的数据。在包括不支持128位加密的客户端的环境中使用此加密级别。
低:低设置通过使用56位加密仅加密从客户端发送到服务器的数据。
重要说明:这仅与使用本机RDP加密的连接有关。撰写本文时,涉及RDP流量的协议为RC4。那应该吓到你了。
第5步:更好的主意->强制使用TLS
编辑“要求对远程(RDP)连接使用特定的安全层”策略。
以下是Microsoft关于此政策的说明:
此策略设置指定在远程桌面协议(RDP)连接期间是否需要使用特定的安全层来保护客户端与RD会话主机服务器之间的通信。
如果启用此策略设置,则在远程连接期间客户端与RD会话主机服务器之间的所有通信都必须使用此设置中指定的安全性方法。可以使用以下安全方法:
协商:协商方法强制执行客户端支持的最安全的方法。如果支持传输层安全性(TLS)版本1.0,则该版本用于验证RD会话主机服务器。如果不支持TLS,则使用本机远程桌面协议(RDP)加密来保护通信,但是RD会话主机服务器未通过身份验证。不建议使用本机RDP加密(与SSL加密相反)。
RDP:RDP方法使用本机RDP加密来保护客户端与RD会话主机服务器之间的通信。如果选择此设置,则不会对RD会话主机服务器进行身份验证。不建议使用本机RDP加密(与SSL加密相反)。
SSL(TLS 1.0):SSL方法要求使用TLS 1.0对RD会话主机服务器进行身份验证。如果不支持TLS,则连接失败。这是此策略的建议设置。
至少,Microsoft承认不建议使用本机RDP加密。