Безопасен ли удаленный рабочий стол Windows?

10

Безопасен ли встроенный в Windows удаленный рабочий стол? Я имею в виду, использует ли он какие-либо методы шифрования? или кто-то может похитить данные, которые были переданы между двумя системами?

Амирреза Насири
источник
4
Безопасность почти всегда описывается в терминах вероятностей, а не абсолютов. Он не защищен от вашего соседа по комнате, он защищен от моей собаки. Сначала вы должны охарактеризовать такие вещи, как стоимость неудачи, а также ценность для злоумышленника компрометации.
Рам

Ответы:

14

Есть два аспекта безопасности, о которых вы должны знать: как это создает соединение и как оно защищено. Существует два разных режима для обеспечения создания соединения для удаленного рабочего стола: режим Legacy (я не думаю, что у него есть имя) и аутентификация на уровне сети (NLA). Когда вы разрешаете удаленный рабочий стол, вы можете выбрать, хотите ли вы только разрешить соединения NLA или разрешить соединения из более старого унаследованного режима.

введите описание изображения здесь

Режим NLA намного более безопасен и дает людям меньше возможностей для сбора данных или перехвата соединения во время его установления.

Для самого соединения существует множество настроек тонкой настройки, которые устанавливаются на стороне сервера. Файл справки суммирует намного лучше, чем я, поэтому я просто процитирую это.

Настройте уровни проверки подлинности и шифрования сервера

По умолчанию сеансы служб удаленных рабочих столов настроены для согласования уровня шифрования от клиента к серверу узла сеансов удаленных рабочих столов. Вы можете повысить безопасность сеансов служб удаленных рабочих столов, требуя использования Transport Layer Security (TLS) 1.0. TLS 1.0 проверяет подлинность сервера Узел сеансов удаленных рабочих столов и шифрует все соединения между сервером Узел сеансов удаленных рабочих столов и клиентским компьютером. Сервер Узел сеансов удаленных рабочих столов и клиентский компьютер должны быть правильно настроены для TLS для обеспечения повышенной безопасности.

Запись

Дополнительные сведения о узле сеансов удаленных рабочих столов см. На странице «Службы удаленных рабочих столов» в техническом центре Windows Server 2008 R2 (http://go.microsoft.com/fwlink/?LinkId=140438).

Доступны три уровня безопасности.

  • SSL (TLS 1.0) - SSL (TLS 1.0) будет использоваться для аутентификации сервера и для шифрования всех данных, передаваемых между сервером и клиентом.
  • Согласовать - это настройка по умолчанию. Будет использоваться наиболее безопасный уровень, поддерживаемый клиентом. Если поддерживается, SSL (TLS 1.0) будет использоваться. Если клиент не поддерживает SSL (TLS 1.0), будет использоваться уровень безопасности RDP.
  • Уровень безопасности RDP - для связи между сервером и клиентом будет использоваться собственное шифрование RDP. Если вы выберете RDP Security Layer, вы не сможете использовать аутентификацию на уровне сети.

Будет использоваться наиболее безопасный уровень, поддерживаемый клиентом. Если поддерживается, SSL (TLS 1.0) будет использоваться. Если клиент не поддерживает SSL (TLS 1.0), будет использоваться уровень безопасности RDP.

Уровень безопасности RDP

Связь между сервером и клиентом будет использовать собственное шифрование RDP. Если вы выберете RDP Security Layer, вы не сможете использовать аутентификацию на уровне сети.

Сертификат, используемый для проверки подлинности сервера Узел сеансов удаленных рабочих столов и шифрования связи между Узлом сеансов удаленных рабочих столов и клиентом, необходим для использования уровня безопасности TLS 1.0. Вы можете выбрать сертификат, установленный на сервере Узел сеансов удаленных рабочих столов, или использовать самозаверяющий сертификат.

По умолчанию подключения к службам удаленных рабочих столов шифруются с наивысшим доступным уровнем безопасности. Однако некоторые старые версии клиента подключения к удаленному рабочему столу не поддерживают этот высокий уровень шифрования. Если ваша сеть содержит такие устаревшие клиенты, вы можете установить уровень шифрования соединения для отправки и получения данных на самом высоком уровне шифрования, поддерживаемом клиентом.

Доступны четыре уровня шифрования.

  • Соответствует FIPS - этот уровень шифрует и дешифрует данные, передаваемые от клиента к серверу и от сервера к клиенту, с использованием проверенных методов шифрования Федерального стандарта информационных процессов (FIPS) 140-1. Клиенты, которые не поддерживают этот уровень шифрования, не могут подключиться.
  • Высокий - этот уровень шифрует данные, отправляемые с клиента на сервер и с сервера на клиент, с использованием 128-битного шифрования. Используйте этот уровень, когда сервер Узел сеансов удаленных рабочих столов работает в среде, содержащей только 128-разрядные клиенты (например, клиенты для подключения к удаленному рабочему столу). Клиенты, которые не поддерживают этот уровень шифрования, не смогут подключиться.
  • Совместимость с клиентами - это настройка по умолчанию. Этот уровень шифрует данные, передаваемые между клиентом и сервером, с максимальной надежностью ключа, поддерживаемой клиентом. Используйте этот уровень, когда сервер Узел сеансов удаленных рабочих столов работает в среде, содержащей смешанные или устаревшие клиенты.
  • Низкий - этот уровень шифрует данные, отправляемые с клиента на сервер, с использованием 56-битного шифрования. Данные, отправляемые с сервера на клиент, не шифруются.
Скотт Чемберлен
источник