RDS 安全群組原則設定控制是否允許本機管理員自訂權限。

Horizon 7 RDS 群組原則設定安裝於電腦設定 > 原則 > 系統管理範本 > Windows 元件 > 遠端桌面服務 > 遠端桌面工作階段主機 > 安全性資料夾中。

表 1. RDS 安全群組原則設定
設定 說明
Server Authentication Certificate Template

使用此原則設定可指定憑證範本的名稱,以決定應自動選取哪個憑證來驗證 RDS 主機。

在 RDP 連線期間使用 SSL (TLS 1.0) 保護用戶端與 RDS 主機之間的通訊安全時,必須要有憑證才能驗證 RDS 主機。

如果啟用此原則設定,則必須指定憑證範本名稱。自動選取用來驗證 RDS 主機的憑證時,將只會考量使用指定憑證範本所建立的憑證。只有在未選取特定憑證時,才會執行自動憑證選取。

如果找不到以指定憑證範本建立的憑證,RDS 主機將會發出憑證註冊要求,且在此要求完成前將會使用目前的憑證。如果找到多個以指定憑證範本建立的憑證,則會選取最近即將到期、且符合目前 RDS 主機名稱的憑證。

如果停用或未設定此原則設定,依預設會使用自我簽署憑證來驗證 RDS 主機。您可以在 [遠端桌面工作階段主機設定] 工具的 [一般] 索引標籤上,選取要用來驗證 RDS 主機的特定憑證。

備註: 如果您選取了特定憑證用來驗證 RDS 主機,則該憑證的優先順序將高於此原則設定。
Set client connection encryption level

指定在遠端桌面通訊協定 (RDP) 連線期間,是否要求使用特定加密層級來保護用戶端與 RDS 主機之間的通訊安全。

如果啟用此設定,則在遠端連線期間,用戶端與 RDS 主機之間的所有通訊都必須使用此設定中指定的加密方法。依預設,加密層級會設為 [高]。可用的加密方法如下:

  • High。[高] 設定會使用增強式 128 位元加密,加密從用戶端傳送至伺服器以及從伺服器傳送至用戶端的資料。在僅包含 128 位元用戶端 (例如執行遠端桌面連線的用戶端) 的環境中,請使用此加密層級。不支援此加密層級的用戶端無法連線至 RDS 主機伺服器。
  • Client Compatible。[用戶端相容] 設定會以用戶端所支援的最大金鑰效力來加密在用戶端與伺服器之間傳送的資料。如果環境中包含不支援 128 位元加密的用戶端,請使用此加密層級。
  • Low。[低] 設定只會使用 56 位元加密,對用戶端傳送至伺服器的資料進行加密。

如果停用或未設定此設定,則不會透過群組原則強制執行要對 RDS 主機之遠端連線使用的加密層級。但您可以使用 [遠端桌面工作階段主機設定] 工具,設定這些連線的必要加密層級。

重要: FIPS 相容可透過 電腦設定 > Windows 設定 > 安全性設定 > 本機原則 > 安全性選項資料夾中的「系統加密編譯: 使用 FIPS 相容演算法於加密,雜湊,以及簽章」原則設定來設定,或透過 [遠端桌面工作階段主機設定] 中的「FIPS 相容」設定來設定。[FIPS 相容] 設定會透過美國聯邦資訊處理標準 (FIPS) 140-1 加密演算法,使用 Microsoft 密碼編譯模組來加密及解密從用戶端傳送至伺服器和從伺服器傳送至用戶端的資料。當用戶端與 RDS 主機之間的通訊需要最高層級的加密時,請使用此加密層級。如果已透過群組原則「系統加密編譯: 使用 FIPS 相容演算法於加密,雜湊,以及簽章」啟用 FIPS 相容,該設定將會覆寫在此群組原則設定中或 [遠端桌面工作階段主機設定] 工具中指定的加密層級。
Always prompt for password upon connection

指定遠端桌面服務在連線時是否一律會提示用戶端提供密碼。

您可以使用這個設定,對登入遠端桌面服務的使用者強制執行密碼提示,即使他們已經在遠端桌面連線用戶端中提供過密碼。

依預設,遠端桌面服務允許使用者在遠端桌面連線用戶端中輸入密碼即可自動登入。

如果啟用此設定,使用者將無法在遠端桌面連線用戶端中提供其密碼而自動登入遠端桌面服務。他們會看見提供登入密碼的提示。

如果停用此設定,則使用者一律可在遠端桌面連線用戶端中提供其密碼以自動登入遠端桌面服務。

若未設定此設定,則不會在群組原則層級上指定自動登入。但管理員仍然可以使用 [遠端桌面工作階段主機設定] 工具強制執行密碼提示。

Require secure RPC communication

指定 RDS 主機是否要求在所有用戶端使用安全 RPC 通訊,或允許不安全的通訊。

您可以使用此設定,藉由僅允許經過驗證和加密的要求,強化用戶端的 RPC 通訊安全性。

如果啟用此設定,遠端桌面服務會接受支援安全要求之 RPC 用戶端的要求,且不允許與未受信任的用戶端進行不安全的通訊。

如果停用此設定,則遠端桌面服務一律會要求所有 RPC 流量的安全性。不過,未回應要求的 RPC 用戶端仍可進行不安全的通訊。

若未設定此設定,則會允許不安全的通訊。

備註: RPC 介面可用來管理及設定遠端桌面服務。
Require use of specific security layer for remote (RDP) connections

指定在遠端桌面通訊協定 (RDP) 連線期間,是否要求使用特定安全性階層來保護用戶端與 RDS 主機之間的通訊安全。

如果啟用此設定,則在遠端連線期間,用戶端與 RDS 主機之間的所有通訊都必須使用此設定中指定的安全性方法。可用的安全性方法如下:

  • Negotiate。交涉方法會強制執行用戶端支援的最安全方法。如果支援傳輸層安全性 (TLS) 1.0 版,則會用來驗證 RDS 主機。如果不支援 TLS,則會使用原生遠端桌面通訊協定 (RDP) 加密來保護通訊安全,但不會驗證 RDS 主機。
  • RDP。RDP 方法會使用原生 RDP 加密來保護用戶端與 RDS 主機之間的通訊安全。如果選取此設定,則不會驗證 RDS 主機。
  • SSL (TLS 1.0)。SSL 方法必須使用 TLS 1.0 來驗證 RDS 主機。如果不支援 TLS,則連線會失敗。

如果停用或未設定此設定,則不會透過群組原則強制執行要對 RDS 主機的遠端連線使用的安全性方法。但您可以使用 [遠端桌面工作階段主機設定] 工具,設定這些連線的必要安全性方法。

Require user authentication for remote connections by using Network

使用此原則設定,可指定是否要使用「網路層級驗證」要求 RDS 主機的遠端連線進行使用者驗證。這個原則設定要求使用者驗證在遠端連線處理程序初期執行,以增強安全性。

如果啟用此原則設定,將只有支援網路層級驗證的用戶端電腦可連線至 RDS 主機。

若要判斷用戶端電腦是否支援網路層級驗證,請在用戶端電腦上啟動 [遠端桌面連線],按一下 [遠端桌面連線] 對話方塊左上角的圖示,然後按一下 [關於]。在 [關於遠端桌面連線] 對話方塊中,尋找是否出現「支援網路層級驗證」。

如果停用或未設定此原則設定,則在允許遠端連線至 RDS 主機之前,無需使用網路層級驗證進行使用者驗證。

您可以使用 [遠端桌面工作階段主機設定] 工具,或是 [系統內容] 中的 [遠端] 索引標籤,指定必須使用網路層級驗證進行使用者驗證。

重要: 停用或未設定這個原則設定將提供較低的安全性,因為使用者驗證將在遠端連線程序後期執行。
Do not allow local administrators to customize permissions

指定是否停用管理員在「遠端桌面工作階段主機設定」工具中自訂安全性權限的權限。

您可以使用這個設定,防止管理員在「遠端桌面工作階段主機設定」工具中的 [權限] 索引標籤上對使用者群組進行變更。依預設,管理員有權進行此類變更。

若狀態設定為 [已啟用],則無法使用「遠端桌面工作階段主機設定」工具中的 [權限] 索引標籤來自訂每個連線的安全性說明元,也不能變更現有群組的預設安全性說明元。所有安全性說明元皆為「唯讀」。

若狀態設定為 [已停用] 或 [未設定],則伺服器管理員具有在「遠端桌面工作階段主機設定」工具中的 [權限] 索引標籤上完整讀取/寫入使用者安全性說明元的權限。

備註: 管理使用者存取的慣用方法,是將使用者新增至遠端桌面平台使用者群組。