windows远程桌面安全吗？

Question

Windows 内置远程桌面安全吗？我的意思是，它是否使用任何加密方法？或者有人可以劫持已在两个系统之间传输的数据？

Answer 1

您应该注意安全性的两个方面，它如何创建连接以及如何保护连接。有两种不同的模式来保护远程桌面连接的创建，传统模式（我认为它没有名称）和网络级身份验证 (NLA)。当您允许远程桌面时，您可以选择是只允许 NLA 连接还是也允许来自旧旧模式的连接。

NLA 模式更安全，人们在连接建立时从连接中捕获数据或拦截连接的可能性更小。

对于连接本身，有许多微调设置都是在服务器端设置的。帮助文件的总结比我能做的要好得多，所以我将引用它。

配置服务器身份验证和加密级别

默认情况下，远程桌面服务会话配置为协商从客户端到 RD 会话主机服务器的加密级别。您可以通过要求使用传输层安全性 (TLS) 1.0 来增强远程桌面服务会话的安全性。TLS 1.0 验证 RD 会话主机服务器的身份并加密 RD 会话主机服务器和客户端计算机之间的所有通信。必须为 TLS 正确配置 RD 会话主机服务器和客户端计算机以提供增强的安全性。

笔记

有关 RD 会话主机的详细信息，请参阅 Windows Server 2008 R2 技术中心 (http://go.microsoft.com/fwlink/?LinkId=140438) 上的远程桌面服务页面。

三个安全层可用。

• SSL (TLS 1.0) - SSL (TLS 1.0) 将用于服务器身份验证和加密服务器和客户端之间传输的所有数据。
• 协商- 这是默认设置。将使用客户端支持的最安全的层。如果支持，将使用 SSL (TLS 1.0)。如果客户端不支持 SSL (TLS 1.0)，则将使用 RDP 安全层。
• RDP 安全层- 服务器和客户端之间的通信将使用本机 RDP 加密。如果选择 RDP 安全层，则不能使用网络级身份验证。

将使用客户端支持的最安全的层。如果支持，将使用 SSL (TLS 1.0)。如果客户端不支持 SSL (TLS 1.0)，则将使用 RDP 安全层。

RDP 安全层

服务器和客户端之间的通信将使用本机 RDP 加密。如果选择 RDP 安全层，则不能使用网络级身份验证。

使用 TLS 1.0 安全层需要证书，用于验证 RD 会话主机服务器的身份并加密 RD 会话主机和客户端之间的通信。您可以选择已安装在 RD 会话主机服务器上的证书，也可以使用自签名证书。

默认情况下，远程桌面服务连接以可用的最高安全级别进行加密。但是，某些较旧版本的远程桌面连接客户端不支持这种高级别的加密。如果您的网络包含此类旧客户端，您可以将连接的加密级别设置为以客户端支持的最高加密级别发送和接收数据。

有四种加密级别可用。

• FIPS 兼容- 此级别使用经联邦信息处理标准 (FIPS) 140-1 验证的加密方法对从客户端发送到服务器以及从服务器发送到客户端的数据进行加密和解密。不支持此加密级别的客户端无法连接。
• 高- 此级别使用 128 位加密对从客户端发送到服务器以及从服务器发送到客户端的数据进行加密。当 RD 会话主机服务器在仅包含 128 位客户端（例如远程桌面连接客户端）的环境中运行时，请使用此级别。不支持此加密级别的客户端将无法连接。
• 客户端兼容- 这是默认设置。此级别以客户端支持的最大密钥强度对客户端和服务器之间发送的数据进行加密。当 RD 会话主机服务器在包含混合客户端或旧客户端的环境中运行时，使用此级别。
• 低- 此级别使用 56 位加密对从客户端发送到服务器的数据进行加密。从服务器发送到客户端的数据未加密。