RDS 安全组策略设置控制是否允许本地管理员自定义权限。

Horizon 7 RDS 组策略设置安装在计算机配置 > 策略 > 管理模板 > Windows 组件 > 远程桌面服务 > 远程桌面会话主机 > 安全性文件夹中。

表 1. RDS 安全组策略设置
设置 说明
Server Authentication Certificate Template

可以使用该策略设置指定确定自动选择哪个证书以对 RDS 主机进行身份验证的证书模板名称。

在 RDP 连接期间使用 SSL (TLS 1.0) 保护客户端和 RDS 主机之间的通信安全时,需要使用证书以对 RDS 主机进行身份验证。

如果启用该策略设置,您需要指定证书模板名称。在自动选择用于对 RDS 主机进行身份验证的证书时,仅考虑使用指定的证书模板创建的证书。只有在未选择特定的证书时,才会自动选择证书。

如果找不到使用指定的证书模板创建的证书,RDS 主机将发出证书注册请求并在完成请求之前使用当前证书。如果找到多个使用指定的证书模板创建的证书,将选择最晚到期并与当前 RDS 主机名称匹配的证书。

如果禁用或未配置该策略设置,则默认使用自签名证书对 RDS 主机进行身份验证。您可以在远程桌面会话主机配置工具的“常规”选项卡上选择用于对 RDS 主机进行身份验证的特定证书。

注: 如果选择特定证书以用于对 RDS 主机进行身份验证,该证书将优先于该策略设置。
Set client connection encryption level

指定在远程桌面协议 (RDP) 连接期间是否需要使用特定加密级别保护客户端和 RDS 主机之间的通信安全。

如果启用该设置,则在远程连接期间客户端和 RDS 主机之间的所有通信必须使用该设置中指定的加密方法。默认情况下,加密级别设置为“高”。可以使用以下加密方法:

  • High。“高”设置使用 128 位强加密对在客户端和服务器之间发送的数据进行加密。可以在仅包含 128 位客户端(例如,运行远程桌面连接的客户端)的环境中使用该加密级别。不支持该加密级别的客户端无法连接到 RDS 主机服务器。
  • Client Compatible。“客户端兼容”设置使用客户端支持的最大密钥强度对在客户端和服务器之间发送的数据进行加密。可以在包含不支持 128 位加密的客户端的环境中使用该加密级别。
  • Low。“低”设置仅使用 56 位加密对从客户端发送到服务器的数据进行加密。

如果禁用或未配置该设置,则不会通过组策略强制使用用于到 RDS 主机的远程连接的加密级别。不过,您可以使用远程桌面会话主机配置工具为这些连接配置所需的加密级别。

重要事项: 可以通过 计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 安全选项文件夹中的“系统加密: 将 FIPS 兼容算法用于加密、哈希和签名”策略设置或远程桌面会话主机配置中的“FIPS 兼容”设置配置 FIPS 兼容。“FIPS 兼容”设置使用 Microsoft 加密模块和联邦信息处理标准 (FIPS) 140-1 加密算法加密和解密在客户端和服务器之间发送的数据。在客户端和 RDS 主机之间的通信需要使用最高的加密级别时,请使用该加密级别。如果已通过“系统加密: 将 FIPS 兼容算法用于加密、哈希和签名”组策略设置启用了 FIPS 兼容,该设置将覆盖在该组策略设置或远程桌面会话主机配置工具中指定的加密级别。
Always prompt for password upon connection

指定远程桌面服务是否始终在连接时提示客户端输入密码。

您可以使用该设置强制提示登录到远程桌面服务的用户输入密码,即使他们已在远程桌面连接客户端中提供了密码。

默认情况下,远程桌面服务允许用户在远程桌面连接客户端中输入密码以自动登录。

如果启用该设置,则用户无法在远程桌面连接客户端中提供其密码以自动登录到远程桌面服务。将提示他们输入密码以进行登录。

如果禁用该设置,则用户始终可以在远程桌面连接客户端中提供其密码以自动登录到远程桌面服务。

如果未配置该设置,则不会在组策略级别指定自动登录。不过,管理员仍然可以使用远程桌面会话主机配置工具强制提示输入密码。

Require secure RPC communication

指定 RDS 主机是要求所有客户端进行安全的 RPC 通信,还是允许进行不安全的通信。

您可以使用该设置仅允许经过身份验证并加密的请求以增强与客户端的 RPC 通信的安全性。

如果启用该设置,则远程桌面服务接受来自支持安全请求的 RPC 客户端的请求,并且不允许与不受信任的客户端进行不安全的通信。

如果禁用该设置,则远程桌面服务始终要求保护所有 RPC 流量的安全。不过,未响应该请求的 RPC 客户端允许进行不安全的通信。

如果未配置该设置,则允许进行不安全的通信。

注: RPC 接口用于管理和配置远程桌面服务。
Require use of specific security layer for remote (RDP) connections

指定在远程桌面协议 (RDP) 连接期间是否需要使用特定安全层保护客户端和 RDS 主机之间的通信安全。

如果启用该设置,则在远程连接期间客户端和 RDS 主机之间的所有通信必须使用该设置中指定的安全方法。可以使用以下安全方法:

  • Negotiate。“协商”方法强制使用客户端支持的最安全方法。如果支持传输层安全 (TLS) 1.0 版,则使用该版本对 RDS 主机进行身份验证。如果不支持 TLS,则使用本地远程桌面协议 (RDP) 加密保护通信安全,但不会对 RDS 主机进行身份验证。
  • RDP。RDP 方法使用本地 RDP 加密保护客户端和 RDS 主机之间的通信安全。如果选择该设置,则不会对 RDS 主机进行身份验证。
  • SSL (TLS 1.0)。SSL 方法要求使用 TLS 1.0 对 RDS 主机进行身份验证。如果不支持 TLS,连接将失败。

如果禁用或未配置该设置,则不会通过组策略强制使用用于到 RDS 主机的远程连接的安全方法。不过,您可以使用远程桌面会话主机配置工具为这些连接配置所需的安全方法。

Require user authentication for remote connections by using Network

可以使用该策略设置指定是否要求使用网络级别身份验证对远程连接到 RDS 主机的用户进行身份验证。该策略设置要求在远程连接过程早期对用户进行身份验证以增强安全性。

如果启用该策略设置,仅支持网络级别身份验证的客户端计算机可以连接到 RDS 主机。

要确定客户端计算机是否支持网络级别身份验证,请在客户端计算机上启动远程桌面连接,单击“远程桌面连接”对话框左上角的图标,然后单击“关于”。在“关于远程桌面连接”对话框中,查找词语“支持网络级别的身份验证”。

如果禁用或未配置该策略设置,在允许远程连接到 RDS 主机之前,不要求使用网络级别身份验证对用户进行身份验证。

您可以使用远程桌面会话主机配置工具或“系统属性”中的“远程”选项卡指定需要使用网络级别身份验证对用户进行身份验证。

重要事项: 如果禁用或未配置该策略设置,则具有较低的安全性,因为用户身份验证是在远程连接过程后期进行的。
Do not allow local administrators to customize permissions

指定是否在远程桌面会话主机配置工具中禁用管理员自定义安全权限的权利。

您可以使用此设置阻止管理员对远程桌面会话主机配置工具中“权限”选项卡上的用户组进行更改。默认情况下,管理员能够进行此类更改。

如果状态设置为“已启用”,远程桌面会话主机配置工具中的“权限”选项卡无法用于自定义每连接安全描述符或更改现有组的默认安全描述符。所有安全描述符均为只读。

如果状态设置为“已禁用”或“未配置”,则服务器管理员对远程桌面会话主机配置工具中“权限”选项卡上的用户安全描述符具有完整读/写特权。

注: 首选的用户访问权限管理方法是将用户添加到远程桌面用户组。