我的客户端是 RDP 6.1(在 Windows XP SP3 上),服务器是 Windows Server 2003。我在服务器上为 RDP 安装了 SSL 证书。在 RDP 设置(常规选项卡)中,加密方法设置为 SSL/TLS 1.0,加密级别设置为“客户端兼容”。我有以下问题
在这种情况下,即使我远程登录服务器,是否也能保证所有通信都是加密的?我的意思是密码是加密的
即使服务器上没有安装 SSL 证书,RDP 是否也总是使用某种加密?
在这种情况下,我在连接栏中看不到安全锁。当我将加密级别设置为“高”时,我会看到安全锁。我相信两种情况下的通信都会被加密。这是真的吗?
请回答我的问题
提前感谢库马尔
答案1
- 不,如果客户端请求,“客户端兼容”可以禁用加密。
- 没有。RDP 最初没有加密功能,后来才添加的,而且现在的加密效果非常好。
- 仅在使用 Kerberos 验证会话时才会出现锁定图标,它与 RDP 连接的 TLS 加密无关。
答案2
预期行为记录在此处:
[MS-RDPBCGR]:远程桌面协议:基本连接和图形远程规范
标准 RDP 安全 - 5.3.2 协商加密配置
http://msdn.microsoft.com/en-us/library/cc240773%28v=prot.10%29.aspx
RDP 连接中的加密协商
https://blogs.msdn.com/b/openspecification/archive/2011/12/08/encryption-negotiation-in-rdp-connection.aspx
答案有点复杂。在某些配置中,服务器到客户端的数据可能未加密,但客户端到服务器的数据始终是加密的。一个关键的句子是:“为了保护客户端到服务器用户数据的机密性,RDP 服务器必须确保在使用标准 RDP 安全机制时协商的加密级别始终大于零。”
由于您的问题与安全有关,并且测试起来相对简单,因此您可能希望自己验证结果。由于 RDP 数据可以压缩,因此应在禁用压缩的情况下进行测试,以确定它是否确实未加密。
值得注意的是,使用 SSL/TLS 时,具有证书私钥访问权限的管理员可以执行数据包捕获并解密数据。还有一个网络监视器专家。
网络监控解密专家
https://nmdecrypt.codeplex.com