18.9. 网络安全性

18.9.1. 内置 RDP 网络安全性
18.9.2. 增强的网络安全性

为了保护所有传入和传出 Windows 服务器的数据的安全,Windows 连接器支持内置 RDP 网络安全选项和增强的网络安全选项。内置 RDP 安全使用 RC4 加密器,可通过 56 位或 128 位密钥对各种大小的数据进行加密。增强网络安全选项包括 TLS/SSL(使用可选服务器验证)和使用 CredSSP 的网络级验证 (Network Level Authentication, NLA)。

18.9.1. 内置 RDP 网络安全性

Windows 连接器使用 RSA Security 的 RC4 加密器,以确保传入和传出 Windows 系统的所有数据的安全性。该加密算法可使用 56 位或 128 位密钥加密不同大小的数据。

表 18.7 “网络安全性的加密级别”列出了 Windows 系统上可以配置的四种加密级别。

表 18.7. 网络安全性的加密级别

级别

说明

Low(低)

基于客户端所支持的最大密钥强度,加密从客户端到服务器的所有数据。

Client-compatible(与客户端兼容)

基于客户端所支持的最大密钥强度,双向加密客户端和服务器之间的所有数据。

High(高)

基于服务器的最大密钥强度,双向加密客户端和服务器之间的所有数据。无法连接不支持该加密强度的客户端。

FIPS-Compliant(符合 FIPS)

不支持符合 FIPS 标准的加密。


注意

级别设置为“低”时,仅加密从客户端到服务器的数据,其他情况下,数据加密是双向的。

18.9.2. 增强的网络安全性

增强网络安全选项包括 TLS/SSL(使用可选服务器验证)和使用 CredSSP 的网络级验证 (Network Level Authentication, NLA)。这些选项可在建立完整的会话连接之前保护 Windows 会话免受恶意用户和软件的侵扰。

为了支持 TLS/SSL,RDP 主机必须运行 Windows Server 2003、Windows 7 或 Windows Server 2008。此外,为连接到启用了 TLS/SSL 对等验证的 Windows 主机 (-j VerifyPeer:on),必须使用 uttsc 命令的 -j CAPath:path-j CAfile:pem-file 选项,将 root 用户证书添加到客户端的 OpenSSL 证书存储库,或指定其他搜索路径/PEM 文件。

为了支持 NLA,RDP 主机必须运行 Windows 7 或 Windows 2008 R2,且必须将 -u-p 选项与 uttsc 命令配合使用。

为了同时支持 TLS/SSL 和 NLA,Windows 系统的安全层必须配置为 "SSL (TLS 1.0)" 或“协商”。

表 18.8 “增强的网络安全性的命令行示例”提供了一张 uttsc 命令行示例列表,显示了 Windows 远程桌面服务配置为与客户端进行协商时所使用的安全机制。结果为 "RDP" 表示将使用内置 RDP 安全。

表 18.8. 增强的网络安全性的命令行示例

uttsc 命令行示例

Windows XP

Windows Server 2003

Windows 7

Windows Server 2008

-u user -p

RDP

SSL/TLS

NLA

NLA

-u user -j VerifyPeer:on

RDP

SSL/TLS

SSL/TLS

SSL/TLS

-u user -j VerifyPeer:on -p

RDP

SSL/TLS

NLA

NLA

-N off

RDP

RDP

RDP

RDP


可以在 Windows 系统上实施 NLA 安全。例如,如果使用 Windows Server 2008,在“系统属性”窗口的“远程”选项卡上选择以下选项:“只允许运行带网络级身份验证的远程桌面的计算机连接(更安全)”。选择该选项时,用户必须将 -u-p 选项与 uttsc 命令配合使用,才能连接到服务器。

TLS/SSL 连接要求在 Windows 系统上必须存在证书。如果证书不存在,连接可能会退回到内置 RDP 安全(如果允许)或失败。