配置终端服务和远程桌面服务器身份验证和加密级别

1.1.1 配置服务器身份验证和加密级别

默认情况下，终端服务会话使用本机远程桌面协议 (RDP) 加密。但是，RDP 不提供身份验证来验证终端服务器的身份。使用传输层安全性 (TLS) 1.0 进行服务器身份验证并对终端服务器通信进行加密，可以提高终端服务会话的安全性。只有正确地配置了终端服务器和客户端计算机，TLS 才能提高安全性。

可以使用三个安全层。

ü SSL (TLS 1.0) 将用于服务器身份验证以及对服务器与客户端之间传输的所有数据进行加密。

ü 协商 这是默认设置，将使用客户端支持的最安全的安全层。如果支持 SSL (TLS 1.0)，则使用 SSL (TLS 1.0)。如果客户端不支持 SSL (TLS 1.0)，则使用 RDP 安全层。

ü RDP 安全层 服务器与客户端之间的通信将使用本机 RDP 加密。如果选择 RDP 安全层，则无法使用网络级身份验证。

注意：在客户端连接到终端服务器时，可以通过在连接过程的早期提供用户身份验证来提高终端服务器的安全性。这种早期用户身份验证方法称为网络级身份验证。有关网络级身份验证的详细信息，请参阅为终端服务连接配置网络级身份验证。

使用 SSL (TLS 1.0) 在 RDP 连接期间保护客户端与终端服务器之间的通信时，需要使用证书对终端服务器进行身份验证。可以选择已安装在终端服务器上的证书，也可以使用默认的自签名证书。

注意：建议您获取并安装参与 Microsoft 根证书程序成员计划的可信公用证书颁发机构颁发的证书。

对于终端服务连接，数据加密可以通过在客户端与服务器之间的通信链路上进行加密来保护您的数据。加密有助于抵御在服务器与客户端之间的链路上未经授权截获传输数据的风险。

默认情况下，以可用的最高安全级别对终端服务连接进行加密。但是，某些旧版本的终端服务客户端不支持此高级别的加密。如果网络中包含此类旧版客户端，可以将连接的加密级别设置为以客户端支持的最高加密级别发送和接收数据。

注意 若要确定计算机上运行的远程桌面连接版本支持的最大加密强度，请启动“远程桌面连接”，单击“远程桌面连接”对话框左上角的图标，然后单击“关于”。在“关于远程桌面连接”对话框中查找短语“最大加密强度”。Remote Desktop Connection 5.2 以及更高版本支持 128 位的加密。

可以使用四个加密级别。

ü 符合 FIPS 标准 此级别使用联邦信息处理标准 (FIPS) 140-1 经过验证的加密方法，对从客户端向服务器发送的数据以及从服务器向客户端发送的数据进行加密和解密。不支持此加密级别的客户端无法连接。

ü 高 此级别使用 128 位加密对从客户端向服务器发送的数据以及从服务器向客户端发送的数据进行加密。终端服务器在只包含 128 位客户端（例如远程桌面连接客户端）的环境中运行时使用此级别。不支持此加密级别的客户端无法连接。

ü 客户端兼容 这是默认设置，此级别以客户端支持的最大密钥强度对在客户端与服务器之间发送的数据进行加密。终端服务器在包含混合客户端或旧版客户端的环境中运行时使用此级别。

ü 低 此级别使用 56 位加密对从客户端向服务器发送的数据进行加密。不对从服务器向客户端发送的数据进行加密。

步骤：

1. 单击“开始”à“管理工具”à“终端服务”，然后单击“终端服务配置”。

2. 在“连接”下，右键单击相应的连接名，然后单击“属性”。

3. 在该连接的“属性”对话框中，单击“常规”选项卡。

根据您的安全要求以及客户端计算机可以支持的安全级别，选择适合您的环境的服务器身份验证设置和加密设置。

如果选择 SSL (TLS 1.0)，则选择终端服务器上安装的某个证书，或单击“默认”生成自签名证书。如果使用的是自签名证书，证书名称将显示为“已自动生成”。

4. 单击“确定”。