none
请教一下为什么Windows2016开始SecurityLayer值变为了2 RRS feed

  • 问题

  • 尊敬的微软工程师,

    请教一下为什么Windows2016开始

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]

    下SecurityLayer值变为了2,1是协商不是更好吗?


    谷青松

    2020年12月23日 3:55

答案

  • 您好,

    由于一些现实问题,远程工作人员的数量快速增加。从而,通过传统的远程桌面协议(RDP)端口和用于RDP的众所周知的“备用”端口可访问的系统数量有所增加。RDP的持续使用及其在Internet上的暴露,让使用远程桌面服务面临许多安全挑战。所以,为了提搞RDP的安全性以防止一些恶意攻击,微软提升了RDP相关方面的安全等级。

    当SecurityLayer值为1即协商时,如果客户端不支持SSL,则将使用本地远程桌面协议(RDP)加密来保护通信,但是RD会话主机服务器未通过身份验证。因此仍然存在安全风险。

    当SecurityLayer值为2即SSL时,强制使用SSL来认证RD会话主机服务器,从而提升安全性。

    您可以阅读以下“远程桌面安全指南”作为远程安全设置的参考。

    https://www.microsoft.com/security/blog/2020/04/16/security-guidance-remote-desktop-adoption/

    Thanks,

    Eleven


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 谷青松 2020年12月23日 12:53
    2020年12月23日 8:07

全部回复

  • 您好,

    由于一些现实问题,远程工作人员的数量快速增加。从而,通过传统的远程桌面协议(RDP)端口和用于RDP的众所周知的“备用”端口可访问的系统数量有所增加。RDP的持续使用及其在Internet上的暴露,让使用远程桌面服务面临许多安全挑战。所以,为了提搞RDP的安全性以防止一些恶意攻击,微软提升了RDP相关方面的安全等级。

    当SecurityLayer值为1即协商时,如果客户端不支持SSL,则将使用本地远程桌面协议(RDP)加密来保护通信,但是RD会话主机服务器未通过身份验证。因此仍然存在安全风险。

    当SecurityLayer值为2即SSL时,强制使用SSL来认证RD会话主机服务器,从而提升安全性。

    您可以阅读以下“远程桌面安全指南”作为远程安全设置的参考。

    https://www.microsoft.com/security/blog/2020/04/16/security-guidance-remote-desktop-adoption/

    Thanks,

    Eleven


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 谷青松 2020年12月23日 12:53
    2020年12月23日 8:07
  • 为啥不是协商呢?2012R2默认都是协商,为啥到了2016默认就强制SSL

    谷青松


    • 已编辑 谷青松 2020年12月23日 12:54 补充
    2020年12月23日 12:54
  • 您好,

    默认是SSL,如果您需要协商,您可以用注册表修改。

    Thanks,

    Eleven


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年12月24日 7:53