为了保护所有传入和传出 Windows 服务器的数据的安全,Windows 连接器支持内置 RDP 网络安全选项和增强的网络安全选项。内置 RDP 安全使用 RC4 加密器,可通过 56 位或 128 位密钥对各种大小的数据进行加密。增强网络安全选项包括 TLS/SSL(使用可选服务器验证)和使用 CredSSP 的网络级验证 (Network Level Authentication, NLA)。
Windows 连接器使用 RSA Security 的 RC4 加密器,以确保传入和传出 Windows 系统的所有数据的安全性。该加密算法可使用 56 位或 128 位密钥加密不同大小的数据。
表 18.7 “网络安全性的加密级别”列出了 Windows 系统上可以配置的四种加密级别。
表 18.7. 网络安全性的加密级别
级别 | 说明 |
---|---|
Low(低) | 基于客户端所支持的最大密钥强度,加密从客户端到服务器的所有数据。 |
Client-compatible(与客户端兼容) | 基于客户端所支持的最大密钥强度,双向加密客户端和服务器之间的所有数据。 |
High(高) | 基于服务器的最大密钥强度,双向加密客户端和服务器之间的所有数据。无法连接不支持该加密强度的客户端。 |
FIPS-Compliant(符合 FIPS) | 不支持符合 FIPS 标准的加密。 |
级别设置为“低”时,仅加密从客户端到服务器的数据,其他情况下,数据加密是双向的。
增强网络安全选项包括 TLS/SSL(使用可选服务器验证)和使用 CredSSP 的网络级验证 (Network Level Authentication, NLA)。这些选项可在建立完整的会话连接之前保护 Windows 会话免受恶意用户和软件的侵扰。
为了支持 TLS/SSL,RDP 主机必须运行 Windows Server 2003、Windows 7 或 Windows Server 2008。此外,为连接到启用了 TLS/SSL 对等验证的 Windows 主机 (-j VerifyPeer:on
),必须使用 uttsc 命令的 -j CAPath:
或 path
-j CAfile:
选项,将 root 用户证书添加到客户端的 OpenSSL 证书存储库,或指定其他搜索路径/PEM 文件。 pem-file
为了支持 NLA,RDP 主机必须运行 Windows 7 或 Windows 2008 R2,且必须将 -u
和 -p
选项与 uttsc 命令配合使用。
为了同时支持 TLS/SSL 和 NLA,Windows 系统的安全层必须配置为 "SSL (TLS 1.0)" 或“协商”。
表 18.8 “增强的网络安全性的命令行示例”提供了一张 uttsc 命令行示例列表,显示了 Windows 远程桌面服务配置为与客户端进行协商时所使用的安全机制。结果为 "RDP" 表示将使用内置 RDP 安全。
表 18.8. 增强的网络安全性的命令行示例
uttsc 命令行示例 | Windows XP | Windows Server 2003 | Windows 7 | Windows Server 2008 |
---|---|---|---|---|
| RDP | SSL/TLS | NLA | NLA |
| RDP | SSL/TLS | SSL/TLS | SSL/TLS |
| RDP | SSL/TLS | NLA | NLA |
| RDP | RDP | RDP | RDP |
可以在 Windows 系统上实施 NLA 安全。例如,如果使用 Windows Server 2008,在“系统属性”窗口的“远程”选项卡上选择以下选项:“只允许运行带网络级身份验证的远程桌面的计算机连接(更安全)”。选择该选项时,用户必须将 -u
和 -p
选项与 uttsc 命令配合使用,才能连接到服务器。
TLS/SSL 连接要求在 Windows 系统上必须存在证书。如果证书不存在,连接可能会退回到内置 RDP 安全(如果允许)或失败。