The Gruppenrichtlinieneinstellung zur RDS-Sicherheit steuert, ob lokale Administratoren Berechtigungen anpassen dürfen.

Die Gruppenrichtlinieneinstellungen für Horizon 7-RDS sind im Ordner Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Remotedesktopdienste > Remotedesktop-Sitzungshost > Sicherheit gespeichert.

Tabelle 1. Gruppenrichtlinieneinstellungen für RDS-Sicherheitsgruppe

Einstellung

Beschreibung

Server Authentication Certificate Template

Mit dieser Richtlinieneinstellung können Sie den Namen der Zertifikatvorlage angeben, die festlegt, welches Zertifikat automatisch für die Authentifizierung eines RDS-Hosts ausgewählt wird.

Für die Authentifizierung eines RDS-Hosts ist ein Zertifikat erforderlich, wenn SSL (TLS 1.0) zur Gewährleistung einer sicheren Kommunikation zwischen einem Client und einem RDS-Host bei RDP-Verbindungen verwendet wird.

Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Sie den Namen einer Zertifikatvorlage angeben. Bei der automatischen Auswahl eines Zertifikats für die Authentifizierung eines RDS-Hosts werden nur Zertifikate berücksichtigt, die mit der angegebenen Zertifikatvorlage erstellt wurden. Die automatische Zertifikatauswahl wird nur durchgeführt, wenn kein spezielles Zertifikat ausgewählt wurde.

Wenn kein Zertifikat vorhanden ist, das mit der angegebenen Zertifikatvorlage erstellt wurde, wird vom RDS-Host eine Anforderung für eine Zertifikatregistrierung ausgegeben. Solange diese Anforderung nicht erfüllt wird, wird weiter das aktuelle Zertifikat verwendet. Wenn mehr als ein Zertifikat vorhanden ist, das mit der angegebenen Zertifikatvorlage erstellt wurde, wird das Zertifikat mit dem spätesten Ablaufdatum ausgewählt, das dem aktuellen Namen des RDS-Hosts entspricht.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird standardmäßig ein selbstsigniertes Zertifikat zur Authentifizierung des RDS-Hosts verwendet. Sie haben die Möglichkeit, ein bestimmtes Zertifikat für die Authentifizierung des RDS-Hosts auf der Registerkarte „Allgemein“ des Konfigurationstools für Remotedesktop-Sitzungshosts auszuwählen.

Anmerkung:

Wenn Sie ein bestimmtes Zertifikat für die Authentifizierung des RDS-Hosts auswählen, hat dieses Zertifikat Vorrang vor dieser Richtlinieneinstellung.

Set client connection encryption level

Legt fest, ob eine bestimmte Verschlüsselungsstufe zur Gewährleistung einer sicheren Kommunikation zwischen Clients und RDS-Hosts bei RDP-Verbindungen erforderlich ist.

Wenn Sie diese Einstellung aktivieren, muss für die gesamte Kommunikation zwischen Clients und RDS-Hosts bei Remoteverbindungen die mit dieser Einstellung festgelegte Verschlüsselungsmethode verwendet werden. Standardmäßig gilt für die Verschlüsselungsstufe der Wert „Hoch“. Es sind folgende Verschlüsselungsmethoden verfügbar:

  • High. Mit der Einstellung „Hoch“ werden die zwischen Client und Server gesendeten Daten mithilfe der starken 128-Bit-Verschlüsselung verschlüsselt. Diese Verschlüsselungsstufe sollte in Umgebungen verwendet werden, die ausschließlich 128-Bit-Clients enthalten (z. B. Clients, die die Remotedesktopverbindung ausführen). Clients, die diese Verschlüsselungsstufe nicht unterstützen, können keine Verbindung mit RDS-Hostservern herstellen.

  • Client Compatible. Mit der Einstellung „Clientkompatibel“ werden zwischen Client und Server gesendete Daten mit der vom Client unterstützten maximalen Schlüsselstärke verschlüsselt. Verwenden Sie diese Verschlüsselungsstufe für Umgebungen mit Clients, die keine 128-Bit-Verschlüsselung unterstützen.

  • Low. Mit der Einstellung „Niedrig “ werden nur vom Client zum Server gesendete Daten mithilfe der 56-Bit-Verschlüsselung verschlüsselt.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die für Remoteverbindungen zum RDS-Host verwendete Verschlüsselungsstufe nicht über Gruppenrichtlinien festgelegt. Sie haben aber die Möglichkeit, die erforderliche Verschlüsselungsstufe für diese Verbindungen mithilfe des Konfigurationstools für Remotedesktop-Sitzungshosts zu konfigurieren.

Wichtig:

Die FIPS-Kompatibilität kann mithilfe der Richtlinieneinstellung „Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden“ im Ordner Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen oder über die Einstellung „FIPS-konform“ im Konfigurationstool für Remotedesktop-Sitzungshosts konfiguriert werden. Die Einstellung „FIPS-konform“ verschlüsselt und entschlüsselt zwischen Client und Server gesendete Daten unter Verwendung der kryptografischen Microsoft-Module mit dem FIPS-140-1-Verschlüsselungsalgorithmus (Federal Information Processing Standard). Verwenden Sie diese Verschlüsselungsstufe, wenn für die Kommunikation zwischen Clients und RDS-Hosts die höchste Verschlüsselungsstufe erforderlich ist. Wenn die FIPS-Kompatibilität bereits über die Gruppenrichtlinieneinstellung „Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden“ aktiviert ist, hat diese Einstellung Vorrang vor der in dieser Gruppenrichtlinieneinstellung oder im Konfigurationstool für Remotedesktop-Sitzungshosts festgelegten Verschlüsselungsstufe.

Always prompt for password upon connection

Legt fest, ob Remotedesktopdienste den Client bei der Herstellung einer Verbindung immer zur Eingabe eines Kennworts auffordern.

Sie haben mit dieser Einstellung die Möglichkeit, die Kennworteingabe für Benutzer anzufordern, die sich bei den Remotedesktopdiensten anmelden, auch wenn diese bereits im Remotedesktopverbindungs-Client ein Kennwort angegeben haben.

Standardmäßig ermöglichen die Remotedesktopdienste Benutzern die automatische Anmeldung durch Eingabe eines Kennworts im Remotedesktopverbindungs-Client.

Wenn Sie diese Einstellung aktivieren, haben Benutzer nicht die Möglichkeit, sich automatisch bei den Remotedesktopdiensten durch Eingabe des Kennworts im Remotedesktopverbindungs-Client anzumelden. Die Benutzer werden dann zur Eingabe eines Kennworts für die Anmeldung aufgefordert.

Wenn Sie diese Einstellung deaktivieren, können sich Benutzer immer automatisch bei den Remotedesktopdiensten durch Eingabe des Kennworts im Remotedesktopverbindungs-Client anmelden.

Wenn Sie diese Einstellung nicht konfigurieren, wird automatische Anmeldung nicht auf Gruppenrichtlinienebene festgelegt. Ein Administrator hat aber weiterhin die Möglichkeit, die Kennworteingabe mithilfe des Konfigurationstools für Remotedesktop-Sitzungshosts anzufordern.

Require secure RPC communication

Legt fest, ob ein RDS-Host eine sichere RPC-Kommunikation mit allen Clients erfordert oder ob eine unsichere Kommunikation zulässig ist.

Sie haben mit dieser Einstellung die Möglichkeit, die Sicherheit der RPC-Kommunikation mit Clients zu erhöhen, indem Sie nur authentifizierte und verschlüsselte Anforderungen zulassen.

Wenn Sie diese Einstellung aktivieren, akzeptieren die Remotedesktopdienste Anforderungen von RPC-Clients, die sichere Anforderungen unterstützen, und unterbinden eine unsichere Kommunikation mit nicht vertrauenswürdigen Clients.

Wenn Sie diese Einstellung deaktivieren, muss der gesamte RPC-Datenverkehr für Remotedesktopdienste immer sicher sein. Allerdings ist eine unsichere Kommunikation für RPC-Clients erlaubt, die nicht auf die Anforderung reagieren.

Wenn Sie diese Einstellung nicht konfigurieren, ist eine unsichere Kommunikation zulässig.

Anmerkung:

Die RPC-Schnittstelle wird für die Verwaltung und Konfiguration der Remotedesktopdienste verwendet.

Require use of specific security layer for remote (RDP) connections

Legt fest, ob eine bestimmte Sicherheitsebene zur Gewährleistung einer sicheren Kommunikation zwischen Clients und RDS-Hosts bei RDP-Verbindungen erforderlich ist.

Wenn Sie diese Einstellung aktivieren, muss für die gesamte Kommunikation zwischen Clients und RDS-Hosts bei Remoteverbindungen die mit dieser Einstellung festgelegte Sicherheitsmethode verwendet werden. Es sind folgende Sicherheitsmethoden verfügbar:

  • Negotiate. Mit der Methode „Aushandeln“ wird die sicherste Methode, die vom Client unterstützt wird, erzwungen. Wird Transport Layer Security (TLS) Version 1.0 unterstützt, wird diese Methode zur Authentifizierung des RDS-Hosts verwendet. Wird TLS nicht unterstützt, wird die native RDP-Verschlüsselung (Remotedesktopprotokoll) für die Gewährleistung einer sicheren Kommunikation verwendet. Der RDS-Host wird jedoch nicht authentifiziert.

  • RDP. Die RDP-Methode verwendet eine native RDP-Verschlüsselung für eine sichere Kommunikation zwischen Client und RDS-Host. Wenn Sie diese Einstellung auswählen, wird der RDS-Host nicht authentifiziert.

  • SSL (TLS 1.0). Die SSL-Methode erfordert die Verwendung von TLS 1.0 zur Authentifizierung des RDS-Hosts. Wenn TLS nicht unterstützt wird, kann keine Verbindung hergestellt werden.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die für Remoteverbindungen zum RDS-Host verwendete Sicherheitsmethode nicht über Gruppenrichtlinien festgelegt. Sie haben aber die Möglichkeit, die erforderliche Sicherheitsmethode für diese Verbindungen mithilfe des Konfigurationstools für Remotedesktop-Sitzungshosts zu konfigurieren.

Require user authentication for remote connections by using Network

Mit dieser Richtlinieneinstellung können Sie festlegen, ob eine Benutzerauthentifizierung für Remoteverbindungen zum RDS-Host mithilfe der Authentifizierung auf Netzwerkebene (Network Level Authentication, NLA) erforderlich ist. Diese Richtlinieneinstellung erhöht die Sicherheit, da die Benutzerauthentifizierung bereits früher im Prozess der Herstellung der Remoteverbindung stattfindet.

Wenn Sie diese Richtlinieneinstellung aktivieren, können nur Computer, die die NLA-Authentifizierung unterstützen, eine Verbindung mit RDS-Hosts herstellen.

Um festzustellen, ob ein Clientcomputer die NLA-Authentifizierung unterstützt, starten Sie die Remotedesktopverbindung auf dem Clientcomputer, klicken Sie auf das Symbol links oben im Dialogfeld „Remotedesktopverbindung“ und dann auf „Info“. Suchen Sie im Dialogfeld „Info“ der Remotedesktopverbindung nach dem Ausdruck „Authentifizierung auf Netzwerkebene wird unterstützt“.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, ist keine Authentifizierung auf Netzwerkebene für die Benutzerauthentifizierung erforderlich, um eine Remoteverbindung mit dem RDS-Host herzustellen.

Sie können mit dem Konfigurationstool für Remotedesktop-Sitzungshosts oder mit der Registerkarte „Remote“ in den Systemeigenschaften festlegen, dass die Authentifizierung auf Netzwerkebene für die Benutzerauthentifizierung erforderlich ist.

Wichtig:

Die Deaktivierung oder fehlende Konfiguration dieser Richtlinieneinstellung vermindert die Sicherheit, da die Benutzerauthentifizierung erst später im Prozess der Herstellung der Remoteverbindung vorgenommen wird.

Do not allow local administrators to customize permissions

Gibt an, ob die Administratorrechte zum Anpassen der Sicherheitsberechtigungen im Tool für die Konfiguration des Remote-Desktop-Sitzungshosts deaktiviert werden.

Sie können diese Einstellung verwenden, um Administratoren daran zu hindern, im Tool für die Konfiguration des Remote-Desktop-Sitzungshosts auf der Registerkarte „Berechtigungen“ Änderungen an den Benutzergruppen vorzunehmen. Administratoren sind standardmäßig in der Lage, derartige Änderungen vorzunehmen.

Wenn der Status auf „Aktiviert“ gesetzt ist, kann die Registerkarte „Berechtigungen“ im Tool für die Konfiguration des Remote-Desktop-Sitzungshosts nicht verwendet werden, um die Sicherheitsbeschreibungen für jede Verbindung anzupassen oder um die Standard-Sicherheitsbeschreibungen für eine bestehende Gruppe zu verändern. Sämtliche Sicherheitsbeschreibungen sind schreibgeschützt.

Wenn der Status auf „Deaktiviert“ oder „Nicht konfiguriert“ gesetzt ist, haben Server-Administratoren auf der Registerkarte „Berechtigungen“ im Tool für die Konfiguration des Remote-Desktop-Sitzungshosts vollen Lese-/Schreibzugriff auf die Sicherheitsbeschreibungen für Benutzer.

Anmerkung:

Die bevorzugte Methode zur Verwaltung des Benutzerzugriffs besteht darin, einen Benutzer zu der Gruppe der Remote-Desktop-Benutzer hinzuzufügen.