Có hai khía cạnh của bảo mật mà bạn cần lưu ý, cách nó tạo kết nối và cách kết nối được bảo mật. Có hai chế độ khác nhau để đảm bảo việc tạo kết nối cho máy tính để bàn từ xa, chế độ Legacy (tôi không nghĩ nó có tên) và Xác thực cấp độ mạng (NLA). Khi bạn cho phép máy tính để bàn từ xa, bạn có thể chọn nếu bạn chỉ muốn cho phép kết nối NLA hoặc cũng cho phép kết nối từ chế độ cũ hơn.
Chế độ NLA an toàn hơn nhiều và có ít khả năng hơn cho mọi người để thu thập dữ liệu từ hoặc chặn kết nối trong khi nó đang được thiết lập.
Đối với bản thân kết nối, có nhiều cài đặt tinh chỉnh được đặt ở phía máy chủ. Tệp trợ giúp tóm tắt tốt hơn nhiều so với tôi có thể vì vậy tôi sẽ chỉ trích dẫn điều đó.
Định cấu hình cấp độ xác thực và mã hóa máy chủ
Theo mặc định, các phiên Dịch vụ Máy tính Từ xa được định cấu hình để đàm phán mức mã hóa từ máy khách đến máy chủ Máy chủ Phiên RD. Bạn có thể tăng cường bảo mật cho các phiên Dịch vụ máy tính từ xa bằng cách yêu cầu sử dụng Bảo mật lớp vận chuyển (TLS) 1.0. TLS 1.0 xác minh danh tính của máy chủ lưu trữ phiên RD và mã hóa tất cả thông tin liên lạc giữa máy chủ lưu trữ phiên RD và máy tính khách. Máy chủ lưu trữ phiên RD và máy khách phải được cấu hình chính xác cho TLS để cung cấp bảo mật nâng cao.
Ghi chú
Để biết thêm thông tin về Máy chủ phiên RD, hãy xem trang Dịch vụ máy tính từ xa trên Windows Server 2008 R2 TechCenter (http://go.microsoft.com/fwlink/?LinkId=140438).
Ba lớp bảo mật có sẵn.
- SSL (TLS 1.0) - SSL (TLS 1.0) sẽ được sử dụng để xác thực máy chủ và để mã hóa tất cả dữ liệu được truyền giữa máy chủ và máy khách.
- Đàm phán - Đây là cài đặt mặc định. Lớp bảo mật nhất được hỗ trợ bởi máy khách sẽ được sử dụng. Nếu được hỗ trợ, SSL (TLS 1.0) sẽ được sử dụng. Nếu máy khách không hỗ trợ SSL (TLS 1.0), Lớp bảo mật RDP sẽ được sử dụng.
- Lớp bảo mật RDP - Giao tiếp giữa máy chủ và máy khách sẽ sử dụng mã hóa RDP gốc. Nếu bạn chọn Lớp bảo mật RDP, bạn không thể sử dụng Xác thực cấp mạng.
Lớp bảo mật nhất được hỗ trợ bởi máy khách sẽ được sử dụng. Nếu được hỗ trợ, SSL (TLS 1.0) sẽ được sử dụng. Nếu máy khách không hỗ trợ SSL (TLS 1.0), Lớp bảo mật RDP sẽ được sử dụng.
Lớp bảo mật RDP
Giao tiếp giữa máy chủ và máy khách sẽ sử dụng mã hóa RDP gốc. Nếu bạn chọn Lớp bảo mật RDP, bạn không thể sử dụng Xác thực cấp mạng.
Chứng chỉ, được sử dụng để xác minh danh tính của máy chủ lưu trữ phiên RD và mã hóa giao tiếp giữa Máy chủ phiên RD và máy khách, được yêu cầu sử dụng lớp bảo mật TLS 1.0. Bạn có thể chọn chứng chỉ mà bạn đã cài đặt trên máy chủ RD session Host hoặc bạn có thể sử dụng chứng chỉ tự ký.
Theo mặc định, các kết nối Dịch vụ Máy tính Từ xa được mã hóa ở mức bảo mật cao nhất hiện có. Tuy nhiên, một số phiên bản cũ hơn của máy khách Remote Desktop Connection không hỗ trợ mức mã hóa cao này. Nếu mạng của bạn chứa các máy khách cũ như vậy, bạn có thể đặt mức mã hóa của kết nối để gửi và nhận dữ liệu ở mức mã hóa cao nhất được máy khách hỗ trợ.
Bốn cấp độ mã hóa có sẵn.
- Trin Tuân thủ - Cấp độ này mã hóa và giải mã dữ liệu được gửi từ máy khách đến máy chủ và từ máy chủ đến máy khách bằng cách sử dụng các phương thức mã hóa được xác thực Tiêu chuẩn Quy trình Thông tin Liên bang (Trin) 140-1. Các khách hàng không hỗ trợ mức mã hóa này không thể kết nối.
- Cao - Mức này mã hóa dữ liệu được gửi từ máy khách đến máy chủ và từ máy chủ đến máy khách bằng cách sử dụng mã hóa 128 bit. Sử dụng mức này khi máy chủ lưu trữ phiên RD đang chạy trong môi trường chỉ chứa các máy khách 128 bit (chẳng hạn như máy khách Remote Desktop Connection). Các khách hàng không hỗ trợ mức mã hóa này sẽ không thể kết nối.
- Tương thích với máy khách - Đây là cài đặt mặc định. Cấp độ này mã hóa dữ liệu được gửi giữa máy khách và máy chủ ở cường độ khóa tối đa được máy khách hỗ trợ. Sử dụng cấp độ này khi máy chủ lưu trữ phiên RD đang chạy trong môi trường chứa các máy khách hỗn hợp hoặc cũ.
- Thấp - Mức này mã hóa dữ liệu được gửi từ máy khách đến máy chủ bằng cách sử dụng mã hóa 56 bit. Dữ liệu được gửi từ máy chủ đến máy khách không được mã hóa.
