Windows サーバーとの間でやりとりするすべてのデータをセキュリティー保護するため、Windows Connector は組み込みの RDP ネットワークセキュリティーおよび強化されたネットワークセキュリティーオプションをサポートします。組み込みの RDP セキュリティーは、RC4 暗号化を使用します。RC4 は、56 ビットまたは 128 ビットの鍵を使用してさまざまなサイズのデータを暗号化します。強化されたネットワークセキュリティーオプションには、TLS/SSL (オプションでサーバー認証) および CredSSP を使用したネットワークレベル認証があります。
Windows Connector は、RSA セキュリティーの RC4 暗号を使用して、Windows システムとの間でやり取りされるすべてのデータを保護します。この暗号では、各種サイズのデータが、56 ビットまたは 128 ビットの鍵で暗号化されます。
Table 18.7, “ネットワークセキュリティーの暗号化レベル”は、Windows システムに構成できる 4 つの暗号化レベルの一覧です。
Table 18.7. ネットワークセキュリティーの暗号化レベル
レベル | 説明 |
---|---|
低 | クライアントがサポートする最大の鍵強度に基づいて、クライアントからサーバーへのデータがすべて暗号化されます。 |
クライアント互換 | クライアントがサポートする最大の鍵強度に基づいて、クライアントとサーバー間の両方向のデータがすべて暗号化されます。 |
高 | サーバーの最大の鍵強度に基づいて、クライアントとサーバー間の両方向のデータがすべて暗号化されます。この強度の暗号化をサポートしていないクライアントは接続できません。 |
FIPS 準拠 | FIPS 準拠暗号化はサポートされていません。 |
クライアントからサーバーへのデータのみを暗号化する「低」設定以外のデータ暗号化は双方向です。
強化されたネットワークセキュリティーオプションには、TLS/SSL (オプションでサーバー認証) および CredSSP を使用したネットワークレベル認証があります。これらのオプションは、完全なセッション接続が確立される前に、Windows セッションを悪意のあるユーザーやソフトウェアから保護するのに役立ちます。
TLS/SSL をサポートするためには、RDP ホストで Windows 2003、Windows 7、または Windows Server 2008 を実行している必要があります。また、TLS/SSL ピアの検証を有効にして (-j VerifyPeer:on
) Windows ホストに接続するには、クライアントの OpenSSL 証明書ストアにルート証明書を追加するか、uttsc コマンドの -j CAPath:
または path
-j CAfile:
オプションを使用して、別の検索パスまたは PEM ファイルを指定します。 pem-file
NLA をサポートするには、RDP ホストで Windows 7 または Windows 2008 R2 を実行し、さらに -u
および -p
オプションを指定した uttsc コマンドを使用します。
TLS/SSL および NLA のどちらをサポートする場合でも、Windows システムのセキュリティーレイヤーを「SSL (TLS 1.0)」または「ネゴシエーション」に構成する必要があります。
Table 18.8, “強化されたネットワークセキュリティーのコマンド行の例”に記載した uttsc コマンド行の例では、Windows リモートデスクトップサービスをクライアントとネゴシエーションするように構成した場合に使用されるセキュリティー機構を示しています。「RDP」という結果は、組み込みの RDP セキュリティーが使用されることを示しています。
Table 18.8. 強化されたネットワークセキュリティーのコマンド行の例
uttsc コマンド行の例 | Windows XP | Windows Server 2003 | Windows 7 | Windows Server 2008 |
---|---|---|---|---|
| RDP | SSL/TLS | NLA | NLA |
| RDP | SSL/TLS | SSL/TLS | SSL/TLS |
| RDP | SSL/TLS | NLA | NLA |
| RDP | RDP | RDP | RDP |
Windows システムで NLA セキュリティーを強化できます。たとえば、Windows Server 2008 の「システムのプロパティ」ウィンドウの「リモート」タブで、「ネットワークレベル認証でリモートデスクトップを実行しているコンピュータからのみ接続を許可する (セキュリティーのレベルは高くなります)」オプションを選択します。このオプションを選択した状態で、-u
および -p
オプションを指定した uttsc コマンドを使用してサーバーに接続します。
TLS/SSL 接続には、Windows システム上に証明書が存在している必要があります。証明書がない場合、接続は可能な場合は内蔵の RDP セキュリティーにフォールバックするか、失敗します。