Windowsリモートデスクトップは安全ですか?

10

Windows内蔵のリモートデスクトップは安全ですか?つまり、暗号化方式を使用していますか?または誰かが2つのシステム間で転送されたデータを乗っ取ることができますか?

windows  security  remote-desktop  encryption 
アミレザ・ナシリ
ソース
4
ほとんどの場合、セキュリティは絶対ではなく確率で表現されます。それはあなたのルームメイトに対して安全ではなく、私の犬に対して安全です。最初に、失敗のコストや攻撃者にとっての妥協の価値などを特徴付ける必要があります。
Ram

回答:

14

セキュリティには、接続を作成する方法と接続を保護する方法の2つの側面があります。リモートデスクトップ用の接続の作成をセキュリティで保護するための2つの異なるモード、レガシモード(名前があるとは思わない)とネットワークレベル認証(NLA)があります。リモートデスクトップを許可する場合、NLA接続のみを許可するか、古いレガシーモードからの接続も許可するかを選択できます。

ここに画像の説明を入力してください

NLAモードははるかに安全であり、接続の確立中に接続からデータをキャプチャしたり、接続を傍受したりする可能性が低くなります。

接続自体については、すべてサーバー側で設定される多くの微調整設定があります。ヘルプファイルの要約は私よりもはるかに優れているので、引用します。

サーバー認証および暗号化レベルの構成

既定では、リモートデスクトップサービスセッションは、クライアントからRDセッションホストサーバーへの暗号化レベルをネゴシエートするように構成されています。トランスポート層セキュリティ(TLS)1.0の使用を要求することにより、リモートデスクトップサービスセッションのセキュリティを強化できます。TLS 1.0は、RDセッションホストサーバーのIDを確認し、RDセッションホストサーバーとクライアントコンピューター間のすべての通信を暗号化します。強化されたセキュリティを提供するには、RDセッションホストサーバーとクライアントコンピューターをTLS用に正しく構成する必要があります。

注意

RDセッションホストの詳細については、Windows Server 2008 R2 TechCenterのリモートデスクトップサービスページ(http://go.microsoft.com/fwlink/?LinkId=140438)を参照してください。

3つのセキュリティ層が利用可能です。

  • SSL(TLS 1.0) -SSL(TLS 1.0)は、サーバー認証と、サーバーとクライアントの間で転送されるすべてのデータの暗号化に使用されます。
  • ネゴシエート -これはデフォルト設定です。クライアントがサポートする最も安全なレイヤーが使用されます。サポートされている場合、SSL(TLS 1.0)が使用されます。クライアントがSSL(TLS 1.0)をサポートしていない場合は、RDPセキュリティレイヤーが使用されます。
  • RDPセキュリティレイヤー -サーバーとクライアント間の通信には、ネイティブRDP暗号化が使用されます。RDP Security Layerを選択した場合、ネットワークレベル認証を使用できません。

クライアントがサポートする最も安全なレイヤーが使用されます。サポートされている場合、SSL(TLS 1.0)が使用されます。クライアントがSSL(TLS 1.0)をサポートしていない場合は、RDPセキュリティレイヤーが使用されます。

RDPセキュリティレイヤー

サーバーとクライアント間の通信は、ネイティブRDP暗号化を使用します。RDP Security Layerを選択した場合、ネットワークレベル認証を使用できません。

TLS 1.0セキュリティレイヤーを使用するには、RDセッションホストサーバーのIDを確認し、RDセッションホストとクライアント間の通信を暗号化するために使用される証明書が必要です。RDセッションホストサーバーにインストールした証明書を選択するか、自己署名証明書を使用できます。

既定では、リモートデスクトップサービス接続は、利用可能な最高レベルのセキュリティで暗号化されます。ただし、一部の古いバージョンのリモートデスクトップ接続クライアントは、この高レベルの暗号化をサポートしていません。ネットワークにこのようなレガシークライアントが含まれている場合は、クライアントがサポートする最高の暗号化レベルでデータを送受信するように接続の暗号化レベルを設定できます。

4つの暗号化レベルを使用できます。

  • FIPS準拠 -このレベルでは、連邦情報処理標準(FIPS)140-1検証済みの暗号化方式を使用して、クライアントからサーバーへ、およびサーバーからクライアントへ送信されるデータを暗号化および復号化します。このレベルの暗号化をサポートしていないクライアントは接続できません。
  • -このレベルでは、128ビット暗号化を使用して、クライアントからサーバーへ、およびサーバーからクライアントへ送信されるデータを暗号化します。このレベルは、RDセッションホストサーバーが128ビットクライアントのみ(リモートデスクトップ接続クライアントなど)を含む環境で実行されている場合に使用します。このレベルの暗号化をサポートしていないクライアントは接続できません。
  • クライアント互換 -これはデフォルト設定です。このレベルでは、クライアントがサポートする最大のキー強度で、クライアントとサーバー間で送信されるデータを暗号化します。混合またはレガシクライアントを含む環境でRDセッションホストサーバーが実行されている場合は、このレベルを使用します。
  • -このレベルは、56ビット暗号化を使用して、クライアントからサーバーに送信されるデータを暗号化します。サーバーからクライアントに送信されるデータは暗号化されません。
スコット・チェンバレン
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.