根据微软的开放规范,有两种“风格”RDP 安全:“标准”和“增强的 RDP 安全性“。请问如何配置 Windows Server 以使用“增强的 RPD 安全性”?请问如何确定和配置使用哪种“外部安全协议”?
我花了几个小时在系统设置和注册表编辑器中,但不幸的是,我找不到任何可能允许我配置这些 RDP 主机设置的配置项。
答案1
您可以通过 GPO 配置增强的 RDP 安全选项。重要的是要理解,“增强”既不是功能级别也不是选项;它是一个概念,通过使用正确的设置来实现。
您正在搜索的项目存储在
Computer Policy > Administrative Templates > Windows Components
> Remote Desktop Services > Remote Desktop Session Host > Security
客户端连接加密级别:将其设置为“高”级别,这样您的远程桌面会话将受到 128 位加密的保护
要求使用网络级别身份验证对远程连接进行用户身份验证 - 将其设置为已启用
此外,您还必须使用证书身份验证(这很重要)并使用 RDS 网关角色来加密 RDP 流量。TLS 封装(如 HTTPS/TLS)是 RDS 网关的一项功能,而不是普通会话主机。
为了进一步提高 RDP 安全性,Windows 确实提供了在一定次数的错误猜测后锁定 RDP 登录一段时间的选项。我强烈建议对您想要保护的集合使用此选项。