尽管已经在 gpedit.msc、计算机配置、管理模板、Windows 组件、RD 服务、RD 会话主机、安全性中设置:-
- 需要使用指定的安全层...设置为 SSL
我仍然能够通过 IP 地址连接到 RDP。我只想允许使用具有有效 SSL 连接的域名进行 RDP 连接。
有人能帮忙指出我到底错过了什么吗?
先感谢您。
问候,Alvin L
答案1
我仍然能够通过 IP 地址连接到 RDP。我只想允许使用具有有效 SSL 连接的域名进行 RDP 连接。
您忽略的第一件事是,“SSL”和“有效证书”是两个完全不同的东西。未通过证书验证的 SSL 连接仍是 SSL 连接。它不会恢复到旧的 RDP 加密层。
(事实上,即使没有你的 GPO,需要 NLA 的主机也会总是使用 TLS 安全层,因为 NLA 的 CredSSP 在设计上集成了 TLS – 传统的 RDP 层不再可能。您找到的 GPO 是可追溯到 Server 2003 的旧 NLA 前设置。)
第二件事是服务器(即会话主机)无法强制客户端必须执行哪些验证。如果客户端收到证书错误,它可以决定继续,而不告知服务器。
因此,如果你想使用有效的证书,你需要的是客户设置,通过工作站上的 GPO 进行部署——无法在服务器上强制执行。
然而,在 Active Directory 环境中,您可以强制执行服务器端拒绝 NTLM 身份验证并专门要求 Kerberos。这样做还会强制使用服务器的域名而不是 IP 地址(因为 Kerberos 必须找到匹配的 SPN)。
但它对 RDP 也具有特殊的优势,因为 NLA 的 CredSSP 将 TLS 握手验证与 Kerberos 票证交换(即“通道绑定”)集成在一起,因此即使证书未以传统方式验证,CredSSP 也能够检测到 MITM 攻击。
(非会员客户端也可以使用 Kerberos;为此,请在登录时输入 UPN 格式的用户名 - 即以[email protected]而不是 的身份连接domain\user。)