web-dev-qa-db-ja.com

Windowsリモートデスクトップは安全ですか?

Windows組み込みのリモートデスクトップは安全ですか?つまり、暗号化方式を使用していますか?または誰かが2つのシステム間で転送されたデータをハイジャックできますか?

windowssecurityremote-desktopencryption
10
Amirreza Nasiri

セキュリティには、接続を作成する方法と接続を保護する方法の2つの側面があります。リモートデスクトップの接続の作成をセキュリティで保護するには、レガシモード(名前はないと思います)とネットワークレベル認証(NLA)の2つの異なるモードがあります。リモートデスクトップを許可する場合、NLA接続のみを許可するか、古いレガシーモードからの接続も許可するかを選択できます。

enter image description here

NLAモードははるかに安全であり、接続が確立されている間に接続からデータをキャプチャしたり、接続を傍受したりする可能性が低くなります。

接続自体については、すべてサーバー側で設定される多くの微調整設定があります。ヘルプファイルの要約は私よりもはるかに優れているので、引用します。

サーバー認証と暗号化レベルの構成

既定では、リモートデスクトップサービスセッションは、クライアントからRDセッションホストサーバーに暗号化レベルをネゴシエートするように構成されています。トランスポート層セキュリティ(TLS)1.0の使用を要求することにより、リモートデスクトップサービスセッションのセキュリティを強化できます。 TLS 1.0は、RDセッションホストサーバーのIDを確認し、RDセッションホストサーバーとクライアントコンピューター間のすべての通信を暗号化します。セキュリティを強化するには、RDセッションホストサーバーとクライアントコンピューターをTLS用に正しく構成する必要があります。

注意

RDセッションホストの詳細については、Windows Server 2008 R2 TechCenterのリモートデスクトップサービスのページ(http://go.Microsoft.com/fwlink/?LinkId=140438)を参照してください。

3つのセキュリティ層が利用可能です。

  • SSL(TLS 1.0) -サーバー認証とサーバーとクライアント間で転送されるすべてのデータの暗号化には、SSL(TLS 1.0)が使用されます。
  • 交渉する -これはデフォルト設定です。クライアントがサポートする最も安全なレイヤーが使用されます。サポートされている場合、SSL(TLS 1.0)が使用されます。クライアントがSSL(TLS 1.0)をサポートしていない場合は、RDPセキュリティレイヤーが使用されます。
  • RDPセキュリティレイヤー -サーバーとクライアント間の通信は、ネイティブRDP暗号化を使用します。 RDP Security Layerを選択した場合、ネットワークレベル認証を使用できません。

クライアントがサポートする最も安全なレイヤーが使用されます。サポートされている場合、SSL(TLS 1.0)が使用されます。クライアントがSSL(TLS 1.0)をサポートしていない場合は、RDPセキュリティレイヤーが使用されます。

RDPセキュリティレイヤー

サーバーとクライアント間の通信は、ネイティブRDP暗号化を使用します。 RDP Security Layerを選択した場合、ネットワークレベル認証を使用できません。

TLSセッションセキュリティサーバーを使用するには、RDセッションホストサーバーのIDを確認し、RDセッションホストとクライアント間の通信を暗号化するために使用する証明書が必要です。 RDセッションホストサーバーにインストールした証明書を選択するか、自己署名証明書を使用できます。

既定では、リモートデスクトップサービス接続は、利用可能な最高レベルのセキュリティで暗号化されます。ただし、一部の古いバージョンのリモートデスクトップ接続クライアントは、この高レベルの暗号化をサポートしていません。ネットワークにこのようなレガシークライアントが含まれている場合は、クライアントがサポートする最高の暗号化レベルでデータを送受信するように接続の暗号化レベルを設定できます。

4つの暗号化レベルを使用できます。

  • FIPS準拠 -このレベルでは、連邦情報処理標準(FIPS)140-1検証済みの暗号化方式を使用して、クライアントからサーバーへ、およびサーバーからクライアントへ送信されるデータを暗号化および復号化します。このレベルの暗号化をサポートしていないクライアントは接続できません。
  • 高い -このレベルは、128ビット暗号化を使用して、クライアントからサーバーへ、およびサーバーからクライアントへ送信されるデータを暗号化します。このレベルは、RDセッションホストサーバーが128ビットクライアントのみ(リモートデスクトップ接続クライアントなど)を含む環境で実行されている場合に使用します。このレベルの暗号化をサポートしないクライアントは接続できません。
  • クライアント互換 -これはデフォルト設定です。このレベルでは、クライアントがサポートする最大のキー強度でクライアントとサーバー間で送信されるデータを暗号化します。このレベルは、RDセッションホストサーバーが混合クライアントまたはレガシクライアントを含む環境で実行されている場合に使用します。
  • -このレベルは、56ビット暗号化を使用して、クライアントからサーバーに送信されるデータを暗号化します。サーバーからクライアントに送信されるデータは暗号化されません。
14
Scott Chamberlain

はい!ただし、RDP接続がTor経由でルーティングされない限り、米国政府がアクセスでき、すべての接続を復号化できることに注意してください。脳を持つすべての人がTorを介してルーター上のすべてをルーティングするため、デフォルトでどちらにする必要がありますか。

0
man