Τρόπος ρύθμισης των παραμέτρων ενός διακομιστή τερματικού των Windows Server 2003 για να χρησιμοποιήσετε TLS για έλεγχο ταυτότητας διακομιστή

Σύνοψη

Μπορείτε να συνδεθείτε σε έναν απομακρυσμένο υπολογιστή που εκτελεί Microsoft Windows Terminal Services, χρησιμοποιώντας μια σύνδεση πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας. Αυτό το είδος σύνδεσης παρέχει κρυπτογράφηση για τα δεδομένα που αποστέλλονται μεταξύ του διακομιστή τερματικού και του υπολογιστή-πελάτη. Ωστόσο, αυτό το είδος σύνδεσης παρέχει έλεγχο ταυτότητας για το διακομιστή τερματικού. Μπορεί να θέλετε να βεβαιωθείτε ότι terminal server σωστά τον έλεγχο ταυτότητας πριν να συνδεθείτε σε αυτό. Για να γίνει αυτό, ρυθμίστε τις παραμέτρους terminal server να χρησιμοποιήσετε Transport Layer Security (TLS) για τον έλεγχο ταυτότητας του διακομιστή τερματικού και να κρυπτογραφήσετε τα δεδομένα που αποστέλλονται μεταξύ του διακομιστή τερματικού και του υπολογιστή-πελάτη.

Για να ρυθμίσετε τις παραμέτρους μιας σύνδεσης TLS, πρέπει να ρυθμίσετε το διακομιστή τερματικού και του υπολογιστή-πελάτη. Για να ρυθμίσετε το διακομιστή τερματικού, πρέπει να εκτελέσετε τα δύο παρακάτω βήματα:
  • Πρέπει να εγκαταστήσετε ένα έγκυρο πιστοποιητικό του terminal Server.
  • Πρέπει να ρυθμίσετε τις παραμέτρους ελέγχου ταυτότητας, χρησιμοποιώντας το εργαλείο Terminal Services Configuration.
Για να ρυθμίσετε τις παραμέτρους του υπολογιστή-πελάτη, πρέπει να εκτελέσετε τα δύο παρακάτω βήματα:
  • Πρέπει να ρυθμίσετε τις παραμέτρους του υπολογιστή-πελάτη να θεωρούν αξιόπιστη τη ρίζα αρχή έκδοσης πιστοποιητικών που εξέδωσε το πιστοποιητικό του διακομιστή τερματικού.
  • Πρέπει να ρυθμίσετε τις ρυθμίσεις ελέγχου ταυτότητας για την απομακρυσμένη σύνδεση χρησιμοποιώντας το πρόγραμμα σύνδεσης απομακρυσμένης επιφάνειας εργασίας ή τροποποιώντας το μητρώο.

ΣΕ ΑΥΤΉΝ ΤΗΝ ΕΡΓΑΣΊΑ

ΕΙΣΑΓΩΓΗ

Σημαντικό Αυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας καθοδηγούν να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα εάν δεν τροποποιήσετε σωστά το μητρώο. Επομένως, βεβαιωθείτε ότι ακολουθείτε προσεκτικά αυτά τα βήματα. Για επιπλέον προστασία, δημιουργήστε αντίγραφα ασφαλείας του μητρώου πριν να το τροποποιήσετε. Στη συνέχεια, μπορείτε να επαναφέρετε το μητρώο εάν προκύψει κάποιο ζήτημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
322756 Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows


Εάν χρησιμοποιείτε το πρωτόκολλο Remote Desktop Protocol (RDP) για να συνδεθείτε με ένα διακομιστή τερματικού, RDP παρέχει κρυπτογράφηση δεδομένων αλλά δεν παρέχει έλεγχο ταυτότητας. Επομένως, δεν μπορείτε να επαληθεύσετε την ταυτότητα του terminal server. Μπορείτε να χρησιμοποιήσετε το Microsoft Windows Server 2003 Service Pack 1 (SP1) καθώς και Transport Layer Security (TLS) έκδοση 1.0, για να συμβάλει στην αύξηση της ασφαλείας του διακομιστή τερματικού, χρησιμοποιώντας TLS για έλεγχο ταυτότητας διακομιστή και να κρυπτογραφήσετε τις επικοινωνίες διακομιστή τερματικού.

Αυτό το άρθρο περιγράφει τον τρόπο ρύθμισης παραμέτρων του Windows Server 2003 SP1 για να χρησιμοποιήσετε TLS 1.0 για έλεγχο ταυτότητας διακομιστή για να κρυπτογραφήσετε τις επικοινωνίες διακομιστή τερματικού.

Επιστροφή στην κορυφή

Προϋποθέσεις για να ρυθμίσετε τις παραμέτρους ελέγχου ταυτότητας διακομιστή

Από προεπιλογή, το διακομιστή Terminal Server χρησιμοποιεί την εγγενή κρυπτογράφηση RDP και έλεγχο ταυτότητας στο διακομιστή. Για να χρησιμοποιήσετε TLS για έλεγχο ταυτότητας διακομιστή και να κρυπτογραφήσετε τις επικοινωνίες διακομιστή τερματικού, πρέπει να ρυθμίσετε τον υπολογιστή-διακομιστή και υπολογιστή-πελάτη σωστά.

Επιστροφή στην κορυφή

Προϋποθέσεις διακομιστή

Για έλεγχο ταυτότητας TLS να λειτουργεί σωστά, ο διακομιστής τερματικού πρέπει να πληρούν τόσο τις ακόλουθες απαιτήσεις:
  • Ο διακομιστής τερματικού πρέπει να εκτελεί Windows Server 2003 SP1.
  • Πρέπει να αποκτήσετε ένα πιστοποιητικό για το διακομιστή τερματικού. Για να αποκτήσετε ένα πιστοποιητικό, χρησιμοποιήστε μία από τις ακόλουθες μεθόδους:
    • Επισκεφθείτε την τοποθεσία Web για την αρχή έκδοσης πιστοποιητικών. Για παράδειγμα, μπορείτε να επισκεφθείτε http://όνομα_διακομιστή/certsrv.
    • Εκτελέστε τον Οδηγό αίτησης πιστοποιητικού του Windows Server 2003 ή τον Οδηγό αίτησης πιστοποιητικού του Windows 2000 Server.
    • Λάβετε ένα πιστοποιητικό από μια αρχή έκδοσης πιστοποιητικών άλλου κατασκευαστή και, στη συνέχεια, να εγκαταστήσετε με μη αυτόματο τρόπο το πιστοποιητικό.
Σημείωση Εάν θέλετε να αποκτήσετε ένα πιστοποιητικό με χρήση της σελίδας Web υπηρεσίες πιστοποιητικών της Microsoft, ή χρησιμοποιώντας τον "Οδηγό αίτησης πιστοποιητικού", η υποδομή δημόσιου κλειδιού (PKI) πρέπει να έχει ρυθμιστεί σωστά για πιστοποιητικά X.509 ζήτημα συμβατότητας SSL στον terminal Server. Κάθε πιστοποιητικό πρέπει να ρυθμιστεί ως εξής:
  • Το πιστοποιητικό πρέπει να είναι ένα πιστοποιητικό υπολογιστή.
  • Το επιδιωκόμενο σκοπό του πιστοποιητικού πρέπει να είναι για έλεγχο ταυτότητας διακομιστή.
  • Το πιστοποιητικό πρέπει να έχετε το αντίστοιχο ιδιωτικό κλειδί.
  • Thecertificate πρέπει να αποθηκεύονται στο χώρο αποθήκευσης πιστοποιητικών του λογαριασμού υπολογιστή στον terminal server.

    Σημείωση Μπορείτε να προβάλετε αυτό το χώρο αποθήκευσης, χρησιμοποιώντας το συμπληρωματικό πρόγραμμα πιστοποιητικά κονσόλας διαχείρισης της Microsoft (MMC).
  • Το πιστοποιητικό πρέπει να έχετε μια υπηρεσία παροχής κρυπτογράφησης (CSP) που μπορεί να χρησιμοποιηθεί για το πρωτόκολλο TLS. Για παράδειγμα, το πιστοποιητικό πρέπει να χρησιμοποιήσετε μια υπηρεσία παροχής κρυπτογράφησης όπως η υπηρεσία παροχής κρυπτογράφησης Microsoft RSA SChannel. Για περισσότερες πληροφορίες σχετικά με τις υπηρεσίες παροχής κρυπτογράφησης υπηρεσία της Microsoft, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
Επιστροφή στην κορυφή

Προϋποθέσεις προγράμματος-πελάτη

Για έλεγχο ταυτότητας TLS να λειτουργεί σωστά, ο υπολογιστής-πελάτης των υπηρεσιών Terminal Services πρέπει να πληρούν τις ακόλουθες απαιτήσεις:
  • Ο υπολογιστής-πελάτης πρέπει να εκτελεί Microsoft Windows 2000 ή Microsoft Windows XP.
  • Ο υπολογιστής-πελάτης πρέπει να αναβαθμιστεί για να χρησιμοποιήσετε το πρόγραμμα-πελάτη RDP 5.2. Το πρόγραμμα-πελάτη RDP 5.2 περιλαμβάνεται στο Windows Server 2003 SP1. Μπορείτε να εγκαταστήσετε αυτό το πακέτο-πελάτη σύνδεσης απομακρυσμένης επιφάνειας εργασίας με χρήση του αρχείου %SYSTEMROOT%\System32\Clients\Tsclient\Win32\Msrdpcli.msi. Το αρχείο Msrdpcli.msi βρίσκεται σε διακομιστές τερματικού που βασίζονται σε Windows Server 2003. Εάν εγκαταστήσετε αυτό το αρχείο από το διακομιστή τερματικού, εγκαθίσταται η έκδοση RDP 5.2 σύνδεσης απομακρυσμένης επιφάνειας εργασίας στο %SYSTEMDRIVE%\Program files\Remote φάκελο της επιφάνειας εργασίας στον υπολογιστή προορισμού. Για περισσότερες πληροφορίες σχετικά με την απομακρυσμένη επιφάνεια εργασίας σύνδεσης για Windows Server 2003, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
  • Ο υπολογιστής-πελάτης πρέπει να θεωρούν αξιόπιστη τη ρίζα αρχή έκδοσης πιστοποιητικών του πιστοποιητικού του διακομιστή τερματικού. Επομένως, ο υπολογιστής-πελάτης πρέπει να έχετε το πιστοποιητικό της αρχής έκδοσης πιστοποιητικών στο φάκελο αξιόπιστες αρχές έκδοσης πιστοποιητικών ρίζας το πιστοποιητικό του υπολογιστή-πελάτη. Μπορείτε να προβάλετε αυτόν τον φάκελο, χρησιμοποιώντας το συμπληρωματικό πρόγραμμα πιστοποιητικά.
Επιστροφή στην κορυφή

Για να ρυθμίσετε τις παραμέτρους του διακομιστή τερματικού

Για να ρυθμίσετε τις παραμέτρους του terminal server για έλεγχο ταυτότητας TLS, ακολουθήστε τα εξής βήματα:

Βήμα 1: Να ζητήσετε ένα πιστοποιητικό υπολογιστή

Εάν δεν έχετε ήδη ένα πιστοποιητικό υπολογιστή που πληροί τις απαιτήσεις που αναφέρονται στην ενότητα "προϋποθέσεις για να ρυθμίσετε τις παραμέτρους ελέγχου ταυτότητας διακομιστή", αποκτήστε και εγκαταστήστε ένα. Για να γίνει αυτό, χρησιμοποιήστε μία από τις ακόλουθες μεθόδους.

Επιστροφή στην κορυφή
Μέθοδος 1:, χρησιμοποιώντας την τοποθεσία Web για την αρχή έκδοσης πιστοποιητικών
Τα παρακάτω βήματα περιγράφουν πώς μπορείτε να αποκτήσετε ένα πιστοποιητικό από μια αυτόνομη αρχή έκδοσης πιστοποιητικών των Windows Server 2003. Μπορείτε επίσης να ζητήσετε ένα πιστοποιητικό από μια αρχή έκδοσης πιστοποιητικών των Windows 2000. Επιπλέον, πρέπει να έχετε ανάγνωσης δικαιώματα και εγγραφή δικαιώματα για το αρχείο του προτύπου πιστοποιητικού με επιτυχία αίτησης ενός πιστοποιητικού. Χρησιμοποιήστε αυτήν τη μέθοδο, εάν ισχύουν μία ή περισσότερες από τις ακόλουθες συνθήκες:
  • Θέλετε να αποκτήσετε ένα πιστοποιητικό από μια αυτόνομη αρχή έκδοσης πιστοποιητικών.
  • Θέλετε να αποκτήσετε ένα πιστοποιητικό που βασίζεται σε ένα πρότυπο πιστοποιητικών που έχει ρυθμιστεί ώστε να λαμβάνει το όνομα θέματος από το θέμα.
  • Θέλετε να αποκτήσετε ένα πιστοποιητικό που απαιτεί έγκριση διαχειριστή πριν εκδοθεί το πιστοποιητικό.
Για να αποκτήσετε ένα πιστοποιητικό, ακολουθήστε τα εξής βήματα:
  1. Ξεκινήστε τον Microsoft Internet Explorer και, στη συνέχεια, να επισκεφθείτε http://όνομα_διακομιστή/certsrv, όπου όνομα_διακομιστή είναι το όνομα του διακομιστή που εκτελεί υπηρεσίες πιστοποιητικών της Microsoft.
  2. Στην περιοχή Επιλέξτε μια εργασία, κάντε κλικ στο κουμπί αίτηση πιστοποιητικού.
  3. Κάντε κλικ στο κουμπί Σύνθετη αίτηση πιστοποιητικούκαι, στη συνέχεια, κάντε κλικ στην επιλογή Δημιουργία και υποβολή μιας αίτησης σε αυτήν την αρχή έκδοσης Πιστοποιητικών.
  4. Πληκτρολογήστε τις πληροφορίες αναγνώρισης στα πλαίσια της περιοχής Πληροφορίες αναγνώρισης, και στη συνέχεια κάντε κλικ στο κουμπί Πιστοποιητικό ελέγχου ταυτότητας διακομιστή από τη λίστα Τον τύπο του πιστοποιητικού απαιτείται .
  5. Αφήστε ενεργοποιημένη την επιλογή Δημιουργία νέου ζεύγους κλειδιών και, στη συνέχεια, κάντε κλικ στην επιλογή Microsoft SChannnel υπηρεσία παροχής κρυπτογράφησης RSA της λίστας CSP .

    Σημείωση Η υπηρεσία παροχής κρυπτογράφησης υποστηρίζει τα πρωτόκολλα SSL2, PCT1, SSL3 και TLS1 παραγωγή κλειδιού.
  6. Αφήστε την επιλογή Exchange ενεργοποιημένη δίπλα σε Χρήση κλειδιού. Αυτή η επιλογή δηλώνει ότι το ιδιωτικό κλειδί μπορεί να χρησιμοποιηθεί για την ενεργοποίηση της ανταλλαγής ευαίσθητων πληροφοριών.
  7. Κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου Επισήμανση κλειδιών ως εξαγώγιμα . Όταν το κάνετε αυτό, μπορείτε να αποθηκεύσετε το δημόσιο και το ιδιωτικό κλειδί σε ένα αρχείο PKCS #12. Επομένως, μπορείτε να αντιγράψετε αυτό το πιστοποιητικό σε άλλον υπολογιστή.
  8. Κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου Αποθήκευση πιστοποιητικού στο χώρο αποθήκευσης πιστοποιητικών του τοπικού υπολογιστή και, στη συνέχεια, κάντε κλικ στο κουμπί υποβολής.

    Σημαντικό Για έλεγχο ταυτότητας TLS λειτουργία, θα πρέπει να αποθηκεύσετε το πιστοποιητικό στο χώρο αποθήκευσης πιστοποιητικών του τοπικού υπολογιστή.
  9. Εάν λάβετε μια σελίδα Web Που εκδίδεται πιστοποιητικό , κάντε κλικ στο κουμπί εγκατάσταση αυτού του πιστοποιητικού. Εάν λάβετε ένα Πιστοποιητικό σε εκκρεμότητα ιστοσελίδα, πρέπει να περιμένετε μέχρι ο διαχειριστής εγκρίνει την αίτηση πιστοποιητικού. Σε αυτό το σενάριο, πρέπει να επισκεφθείτε ξανά την τοποθεσία Web των υπηρεσιών πιστοποιητικών για να αποκτήσετε και να εγκαταστήσετε αυτό το πιστοποιητικό.
Επιστροφή στην κορυφή
Μέθοδος 2: με χρήση του "Οδηγού αίτησης πιστοποιητικού"
Τα παρακάτω βήματα περιγράφουν πώς μπορείτε να αποκτήσετε ένα πιστοποιητικό από μια αρχή έκδοσης πιστοποιητικών του Windows Server 2003. Μπορείτε επίσης να ζητήσετε ένα πιστοποιητικό από μια αρχή έκδοσης πιστοποιητικών των Windows 2000. Επιπλέον, πρέπει να έχετε ανάγνωσης δικαιώματα και εγγραφή δικαιώματα για το αρχείο του προτύπου πιστοποιητικού με επιτυχία αίτησης ενός πιστοποιητικού. Χρησιμοποιήστε αυτήν τη μέθοδο, εάν ισχύουν μία ή περισσότερες από τις ακόλουθες συνθήκες:
  • Θέλετε να ζητήσετε ένα πιστοποιητικό από μια εταιρική αρχή έκδοσης πιστοποιητικών.
  • Θέλετε να ζητήσετε ένα πιστοποιητικό που βασίζεται σε ένα πρότυπο όταν δημιουργείται το όνομα θέματος από τα Windows.
  • Θέλετε να αποκτήσετε ένα πιστοποιητικό που απαιτεί έγκριση διαχειριστή πριν εκδοθεί το πιστοποιητικό.
Για να αποκτήσετε ένα πιστοποιητικό, ακολουθήστε τα εξής βήματα:
  1. Κάντε κλικ στο κουμπί Έναρξη, επιλέξτε Εκτέλεση, πληκτρολογήστε mmcκαι στη συνέχεια κάντε κλικ στο κουμπί OK.
  2. Στο μενού αρχείο , κάντε κλικ στην επιλογή Add/Remove Snap-in.
  3. Κάντε κλικ στο κουμπί Προσθήκη, κάντε κλικ στην επιλογή πιστοποιητικάκαι, στη συνέχεια, κάντε κλικ στο κουμπί Προσθήκη.
  4. Κάντε κλικ στο λογαριασμό υπολογιστήκαι, στη συνέχεια, κάντε κλικ στο κουμπί Επόμενο.
  5. Εάν θέλετε να προσθέσετε ένα πιστοποιητικό στον τοπικό υπολογιστή, κάντε κλικ στην επιλογή τοπικό υπολογιστή. Εάν θέλετε να προσθέσετε ένα πιστοποιητικό σε έναν απομακρυσμένο υπολογιστή, κάντε κλικ σε έναν άλλο υπολογιστήκαι, στη συνέχεια, πληκτρολογήστε το όνομα του απομακρυσμένου υπολογιστή στο πλαίσιο ενός άλλου υπολογιστή .
  6. Κάντε κλικ στο κουμπί Τέλος.
  7. Στο παράθυρο διαλόγου Προσθήκη μεμονωμένου συμπληρωματικού προγράμματος, κάντε κλικ στο κουμπί Closeκαι στη συνέχεια κάντε κλικ στο κουμπί OK στο πλαίσιο διαλόγου Add/Remove Snap-in .
  8. Κάτω από τη Ρίζα της κονσόλας, κάντε κλικ στην επιλογή πιστοποιητικά (τοπικός υπολογιστής).

    Σημείωση Εάν έχετε ρυθμίσει το συμπληρωματικό πρόγραμμα MMC πιστοποιητικά για να διαχειριστείτε έναν απομακρυσμένο υπολογιστή, κάντε κλικ στην επιλογή πιστοποιητικά (όνομα διακομιστή) αντί για πιστοποιητικά (τοπικός υπολογιστής).
  9. Στο μενού Προβολή , κάντε κλικ στο κουμπί " Επιλογές".
  10. Στο πλαίσιο διαλόγου " Επιλογές προβολής ", κάντε κλικ στην επιλογή Χρήση πιστοποιητικούκαι, στη συνέχεια, κάντε κλικ στο κουμπί OK.
  11. Στο δεξιό τμήμα του παραθύρου, κάντε δεξιό κλικ στο Διακομιστή ελέγχου ταυτότητας, επιλέξτε Όλες τις εργασίεςκαι, στη συνέχεια, κάντε κλικ στο κουμπί Αίτηση νέου πιστοποιητικού.
  12. Στο του Οδηγού αίτησης πιστοποιητικού που ξεκινά, κάντε κλικ στο κουμπί " Επόμενο".
  13. Στη λίστα τύπων πιστοποιητικών , κάντε κλικ στο κουμπί Έλεγχος ταυτότητας διακομιστή, κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου " για προχωρημένους " και, στη συνέχεια, κάντε κλικ στο κουμπί Επόμενο.
  14. Στη λίστα Υπηρεσίες παροχής κρυπτογράφησης , κάντε κλικ στο κουμπί Παροχής κρυπτογράφησης SChannel RSA της Microsoft.

    Σημείωση Η υπηρεσία παροχής κρυπτογράφησης υποστηρίζει τα πρωτόκολλα SSL2, PCT1, SSL3 και TLS1 παραγωγή κλειδιού.
  15. Στη λίστα Μήκος κλειδιού , αφήστε την προεπιλεγμένη επιλογή 1024 επιλεγμένο ή κάντε κλικ στο κουμπί το μήκος κλειδιού που θέλετε να χρησιμοποιήσετε.
  16. Κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου Σήμανση αυτού του κλειδιού ως εξαγώγιμου . Όταν το κάνετε αυτό, μπορείτε να αποθηκεύσετε το δημόσιο και το ιδιωτικό κλειδί σε ένα αρχείο PKCS #12. Επομένως, μπορείτε να αντιγράψετε αυτό το πιστοποιητικό σε άλλον υπολογιστή.
  17. Εάν θέλετε να ενεργοποιήσετε την "ισχυρή προστασία ιδιωτικού κλειδιού", κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου Ενεργοποίηση ισχυρής προστασίας ιδιωτικού κλειδιού .
  18. Κάντε κλικ στο κουμπί Επόμενο, πληκτρολογήστε το όνομα του στην αρχή έκδοσης πιστοποιητικών, στο πλαίσιο της αρχής έκδοσης Πιστοποιητικών , κάντε κλικ στο κουμπί Επόμενο, πληκτρολογήστε ένα όνομα για το πιστοποιητικό αυτό στο πλαίσιο φιλικό όνομα , κάντε κλικ στο κουμπί Επόμενοκαι, στη συνέχεια, κάντε κλικ στο κουμπί Τέλος.
Επιστροφή στην κορυφή
Μέθοδος 3: χρησιμοποιώντας μια αρχή έκδοσης πιστοποιητικών άλλου κατασκευαστή
Αποκτήστε και εγκαταστήστε ένα πιστοποιητικό από μια αρχή έκδοσης πιστοποιητικών άλλου κατασκευαστή.

Επιστροφή στην κορυφή

Βήμα 2: Ρύθμιση παραμέτρων ελέγχου ταυτότητας TLS και κρυπτογράφησης

Μπορείτε να ρυθμίσετε ρυθμίσεις κρυπτογράφησης του terminal Server, χρησιμοποιώντας την πολιτική ομάδας. Ωστόσο, δεν μπορείτε να χρησιμοποιήσετε την πολιτική ομάδας για να ρυθμίσετε τις ρυθμίσεις ελέγχου ταυτότητας του διακομιστή τερματικού. Επομένως, αυτή η ενότητα περιγράφει τον τρόπο ρύθμισης των παραμέτρων ελέγχου ταυτότητας και κρυπτογράφησης, χρησιμοποιώντας το εργαλείο Terminal Services Configuration. Για TLS να λειτουργεί σωστά σε ένα διακομιστή τερματικού, πρέπει να ρυθμίσετε τα ακόλουθα στοιχεία στην καρτέλα " Γενικά " του παραθύρου διαλόγου Ιδιότητες RDP-Tcp :
  • Πρέπει να επιλέξετε ένα πιστοποιητικό που πληροί τις απαιτήσεις που αναφέρονται στην ενότητα "προϋποθέσεις διακομιστή".
  • Πρέπει να ορίσετε το επίπεδο ασφαλείας τιμή διαπραγμάτευση ή σε SSL.
  • Πρέπει να ορίσετε το επίπεδο κρυπτογράφησης τιμή Υψηλή, ή πρέπει να ενεργοποιήσετε την Ομοσπονδιακή πληροφορίες επεξεργασία Standard (FIPS)-συμβατός με κρυπτογράφηση.

    Σημείωση Μπορείτε επίσης να ενεργοποιήσετε την κρυπτογράφηση συμβατό με το FIPS χρησιμοποιώντας πολιτική ομάδας. Ωστόσο, δεν μπορείτε να ενεργοποιήσετε το TLS χρησιμοποιώντας πολιτική ομάδας.
Σημείωση Εάν ενεργοποιήσετε τον έλεγχο ταυτότητας TLS ενός συμπλέγματος καταλόγου περιόδου λειτουργίας, πρέπει να ρυθμίσετε μία από τις ακόλουθες ρυθμίσεις σε κάθε έναν από τους διακομιστές που είναι μέλη του συμπλέγματος καταλόγου περιόδου λειτουργίας:
  • Ορίστε την τιμή επιπέδου ασφαλείας SSL.
  • Ορίστε την τιμή του επιπέδου ασφαλείας σε διαπραγμάτευση. Εάν ορίσετε το επίπεδο ασφαλείας σε διαπραγμάτευση, έλεγχο ταυτότητας TLS ενεργοποιείται μόνο εάν ο υπολογιστής-πελάτης υποστηρίζει έλεγχο ταυτότητας TLS.
Για να ρυθμίσετε τις παραμέτρους ελέγχου ταυτότητας TLS και κρυπτογράφησης στο διακομιστή, ακολουθήστε τα εξής βήματα:
  1. Ξεκινήστε το εργαλείο Terminal Services Configuration. Για να γίνει αυτό, κάντε κλικ στο κουμπί Έναρξη, έπειτα στην επιλογή Εργαλεία διαχείρισηςκαι, στη συνέχεια, κάντε κλικ στην επιλογή Ρύθμιση παραμέτρων υπηρεσιών τερματικού.
  2. Στο αριστερό τμήμα του παραθύρου, κάντε κλικ στην εντολή " συνδέσεις".
  3. Στο δεξιό τμήμα του παραθύρου, κάντε δεξιό κλικ στη σύνδεση που θέλετε να ρυθμίσετε και, στη συνέχεια, κάντε κλικ στο κουμπί Ιδιότητες.
  4. Στην καρτέλα Γενικά , κάντε κλικ στο κουμπί " Επεξεργασία " δίπλα στο πιστοποιητικό.
  5. Στο πλαίσιο διαλόγου " Επιλογή πιστοποιητικού ", κάντε κλικ στο πιστοποιητικό που θέλετε να χρησιμοποιήσετε.

    Σημείωση Έλεγχος ταυτότητας διακομιστή πρέπει να εμφανίζονται στη στήλη Σκοπό που προορίζονται για αυτό το πιστοποιητικό. Επιπλέον, αυτό το πιστοποιητικό πρέπει να είναι ένα πιστοποιητικό X.509 με το αντίστοιχο ιδιωτικό κλειδί. Για να διαπιστώσετε εάν το πιστοποιητικό έχει ένα ιδιωτικό κλειδί, κάντε κλικ στο κουμπί " Προβολή πιστοποιητικού". Το παρακάτω κείμενο μηνύματος εμφανίζεται στο κάτω μέρος των πληροφοριών του πιστοποιητικού:
    Έχετε ένα ιδιωτικό κλειδί που αντιστοιχεί σε αυτό το πιστοποιητικό.
    Κάντε κλικ στο κουμπί OK.
  6. Κάντε κλικ στο κουμπί OK.
  7. Στη λίστα επίπεδο ασφαλείας , κάντε κλικ σε μία από τις παρακάτω επιλογές:
    • Διαπραγμάτευση: Αυτή η μέθοδος ασφαλείας χρησιμοποιεί TLS 1.0 για έλεγχο ταυτότητας του διακομιστή εάν υποστηρίζεται το TLS. Αν δεν υποστηρίζεται το TLS, ο διακομιστής δεν έλεγχος ταυτότητας.
    • Επίπεδο ασφαλείας RDP: Αυτή η μέθοδος ασφαλείας χρησιμοποιεί κρυπτογράφηση πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας για την ασφαλή επικοινωνία μεταξύ του υπολογιστή-πελάτη και του διακομιστή. Εάν ενεργοποιήσετε αυτήν τη ρύθμιση, ο διακομιστής δεν έλεγχος ταυτότητας.
    • SSL: Αυτή η μέθοδος ασφαλείας απαιτεί TLS 1.0 για έλεγχο ταυτότητας διακομιστή. Αν δεν υποστηρίζεται το TLS, δεν μπορείτε να δημιουργήσετε μια σύνδεση με το διακομιστή. Αυτή η μέθοδος είναι διαθέσιμη μόνο αν επιλέξετε ένα έγκυρο πιστοποιητικό.
    Σημείωση Εάν κάνετε κλικ στο κουμπί διαπραγμάτευση ή SSL στη λίστα επίπεδο ασφαλείας , πρέπει να ρυθμίσετε επίσης ένα από τα εξής:
    • Ορίστε το επίπεδο κρυπτογράφησης σε υψηλό επίπεδο.
    • Ρύθμιση παραμέτρων κρυπτογράφησης με το FIPS.
  8. Στη λίστα επίπεδο κρυπτογράφησης , κάντε κλικ σε μία από τις παρακάτω επιλογές:
    • Συμβατό με το FIPS: Εάν χρησιμοποιήσετε αυτήν τη ρύθμιση ή αν ορίσετε το Κρυπτογραφία συστήματος: χρήση συμβατών με FIPS για κρυπτογράφηση, κατακερματισμό και υπογραφή επιλογή χρησιμοποιώντας πολιτική ομάδας, δεδομένα κρυπτογραφούνται και αποκρυπτογραφούνται μεταξύ του υπολογιστή-πελάτη και του διακομιστή που έχει αλγορίθμων που FIPS 140-1 κρυπτογράφησης χρησιμοποιώντας τις λειτουργικές μονάδες κρυπτογράφησης Microsoft.
    • Υψηλή Εάν χρησιμοποιήσετε αυτήν τη ρύθμιση, τα δεδομένα που αποστέλλονται μεταξύ του υπολογιστή-πελάτη και του διακομιστή είναι κρυπτογραφημένη χρησιμοποιώντας κρυπτογράφηση 128-bit.
    • Συμβατό με υπολογιστή-πελάτη Εάν χρησιμοποιήσετε αυτήν τη ρύθμιση, τα δεδομένα που αποστέλλονται μεταξύ του υπολογιστή-πελάτη και, στη συνέχεια, του διακομιστή κρυπτογραφείται μέσω της μέγιστης ισχύος κλειδιού που υποστηρίζεται από τον υπολογιστή-πελάτη.
    • Χαμηλή Εάν χρησιμοποιήσετε αυτήν τη ρύθμιση, τα δεδομένα που αποστέλλονται μεταξύ του υπολογιστή-πελάτη και του διακομιστή είναι κρυπτογραφημένη χρησιμοποιώντας κρυπτογράφηση 56-bit.

      Σημείωση Αυτή η επιλογή δεν είναι διαθέσιμη όταν κάνετε κλικ στο SSL στη λίστα του επιπέδου ασφαλείας .
  9. Κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου χρήση των Windows τυπική σύνδεση περιβάλλοντος εργασίας , για να καθορίσετε ότι οι χρήστες συνδέονται στον terminal server πληκτρολογώντας τις πιστοποιήσεις τους με το παράθυρο διαλόγου σύνδεσης των Windows προεπιλογή.
  10. Κάντε κλικ στο κουμπί OK.
Σημείωση
  • Για να ρυθμίσετε αυτές τις επιλογές, πρέπει να είστε μέλος της ομάδας Administrators στον τοπικό υπολογιστή ή πρέπει να εκχωρήσει τα κατάλληλα δικαιώματα. Εάν ο υπολογιστής είναι συνδεδεμένος σε έναν τομέα, τα μέλη της ομάδας ασφαλείας Domain Admins έχετε επαρκή δικαιώματα για να ακολουθήσετε αυτά τα βήματα.
  • Επίπεδα κρυπτογράφησης που ρυθμίζετε χρησιμοποιώντας πολιτική ομάδας παρακάμπτουν τις επιλογές ρύθμισης παραμέτρων που έχετε ορίσει, χρησιμοποιώντας το εργαλείο Terminal Services Configuration. Επιπλέον, εάν ενεργοποιήσετε την Κρυπτογραφία συστήματος: χρήση συμβατών με FIPS για κρυπτογράφηση, κατακερματισμό και υπογραφή πολιτικής, το Κρυπτογραφία συστήματος: χρήση συμβατών με FIPS για κρυπτογράφηση, κατακερματισμό και υπογραφή η πολιτική παρακάμπτει τη ρύθμιση κρυπτογράφησης σύνδεσης υπολογιστή-πελάτη ρύθμιση πολιτικής ομάδας επιπέδου.
  • Όταν αλλάζετε το επίπεδο κρυπτογράφησης, το νέο επίπεδο κρυπτογράφησης που ρυθμίζετε τίθεται σε ισχύ την επόμενη φορά που συνδέεται ένας χρήστης. Εάν απαιτούνται πολλά επίπεδα κρυπτογράφησης, εγκαταστήσετε πολλούς προσαρμογείς δικτύου, και στη συνέχεια ρυθμίστε κάθε προσαρμογέα δικτύου με κρυπτογράφηση διαφορετικό επίπεδο.
Επιστροφή στην κορυφή

Για να ρυθμίσετε τις παραμέτρους του υπολογιστή-πελάτη

Για να ρυθμίσετε τις παραμέτρους του υπολογιστή-πελάτη για έλεγχο ταυτότητας TLS, ακολουθήστε τα εξής βήματα:

Βήμα 1: Να ζητήσετε ένα πιστοποιητικό υπολογιστή

  1. Ξεκινήστε τον Internet Explorer και κατόπιν επισκεφθείτε http://όνομα_διακομιστή/certsrv.
  2. Κάντε κλικ στο κουμπί λήψη ενός πιστοποιητικού, η αλληλουχία πιστοποιητικών, ή το CRL CA.
  3. Κάντε κλικ στο κουμπί εγκατάσταση αυτής της αλυσίδας πιστοποιητικών CA για να ρυθμίσετε τις παραμέτρους του υπολογιστή-πελάτη να θεωρούνται αξιόπιστα όλα τα πιστοποιητικά που εκδίδονται από αυτήν την αρχή έκδοσης πιστοποιητικών.
  4. Κάντε κλικ στο κουμπί " Ναι ", εάν σας ζητηθεί να προσθέσετε τα πιστοποιητικά από την τοποθεσία Web της αρχής έκδοσης πιστοποιητικών.
  5. Αφού λάβετε το ακόλουθο μήνυμα, κλείσετε τον Internet Explorer:
    Η αλληλουχία πιστοποιητικών CA έχει εγκατασταθεί με επιτυχία.
Σημείωση
  • Δεν χρειάζεται να συνδεθείτε στον υπολογιστή με δικαιώματα διαχειριστή για να εκτελέσετε αυτήν τη λειτουργία.
  • Εγκατάσταση της αλληλουχίας πιστοποιητικών αρχής έκδοσης Πιστοποιητικών, για να βεβαιωθείτε ότι οι υπολογιστές-πελάτες αξιόπιστο ριζικό κατάλογο του πιστοποιητικού του διακομιστή τερματικού. Αυτό σημαίνει ότι το πιστοποιητικό της ρίζας CA που εξέδωσε το πιστοποιητικό του διακομιστή τερματικού είναι αποθηκευμένο στο χώρο αποθήκευσης πιστοποιητικών αξιόπιστων αρχών έκδοσης πιστοποιητικών ρίζας ο υπολογιστής-πελάτης τοπικού υπολογιστή. Αυτό απαιτείται για TLS που θα χρησιμοποιηθεί για έλεγχο ταυτότητας διακομιστή, όταν οι υπολογιστές-πελάτες που συνδέονται με τον terminal server.
  • Μπορείτε να χρησιμοποιήσετε την επιλογή εγκατάσταση αυτής της αλυσίδας πιστοποιητικών αρχής έκδοσης Πιστοποιητικών για να εδραιωθεί η αξιοπιστία μιας αρχής έκδοσης πιστοποιητικών εξαρτημένη Εάν αυτήν τη στιγμή έχετε το πιστοποιητικό της αρχής έκδοσης Πιστοποιητικών ρίζας στο χώρο αποθήκευσης πιστοποιητικών.
Επιστροφή στην κορυφή

Βήμα 2: Ρύθμιση παραμέτρων ελέγχου ταυτότητας του υπολογιστή-πελάτη

Για να ρυθμίσετε τον έλεγχο ταυτότητας του υπολογιστή-πελάτη, χρησιμοποιήστε μία από τις ακόλουθες μεθόδους.
Μέθοδος 1: χρησιμοποιώντας σύνδεση απομακρυσμένης επιφάνειας εργασίας
  1. Έναρξη σύνδεσης απομακρυσμένης επιφάνειας εργασίας.
  2. Κάντε κλικ στο κουμπί Επιλογέςκαι στη συνέχεια κάντε κλικ στην καρτέλα ασφάλεια .

    Σημείωση Η καρτέλα ασφαλείας εμφανίζεται εάν εγκαταστήσετε την έκδοση Windows Server 2003 SP1 σύνδεσης απομακρυσμένης επιφάνειας εργασίας.
  3. Στη λίστα ελέγχου ταυτότητας , κάντε κλικ σε μία από τις παρακάτω επιλογές:
    • Χωρίς έλεγχο ταυτότητας: Αυτή είναι η προεπιλεγμένη επιλογή. Εάν ενεργοποιήσετε αυτήν την επιλογή, ο terminal server δεν έλεγχος ταυτότητας.
    • Προσπάθεια ελέγχου ταυτότητας: Εάν ενεργοποιήσετε αυτήν την επιλογή και εάν υποστηρίζεται και ρυθμιστεί σωστά TLS, TLS 1.0 χρησιμοποιείται για τον έλεγχο ταυτότητας του διακομιστή τερματικού.

      Εάν κάνετε κλικ στην επιλογή " προσπάθεια ελέγχου ταυτότητας", μπορείτε να επιλέξετε να συνεχίσετε τη σύνδεση υπηρεσιών Terminal Services χωρίς έλεγχο ταυτότητας TLS, εάν προκύψει ένα από τα παρακάτω σφάλματα ελέγχου ταυτότητας:
      • Το πιστοποιητικό του διακομιστή έχει λήξει.
      • Το πιστοποιητικό διακομιστή δεν έχει εκδοθεί από μια αξιόπιστη αρχή έκδοσης πιστοποιητικών ρίζας.
      • Το όνομα του πιστοποιητικού δεν συμφωνεί με το όνομα του υπολογιστή-πελάτη.
      Άλλα σφάλματα ελέγχου ταυτότητας έχει ως αποτέλεσμα να αποτύχει η σύνδεση υπηρεσιών Terminal Services.
  4. Απαιτείται έλεγχος ταυτότητας: Εάν κάνετε κλικ σε αυτήν την επιλογή, TLS απαιτείται για τον έλεγχο ταυτότητας του διακομιστή τερματικού. Αν δεν υποστηρίζεται το TLS ή TLS δεν έχει ρυθμιστεί σωστά, η προσπάθεια σύνδεσης δεν είναι επιτυχής. Αυτή η επιλογή είναι διαθέσιμη μόνο για υπολογιστές-πελάτες που συνδέονται σε διακομιστές τερματικού που εκτελούν τον Windows Server 2003 SP1.
Σημείωση Δεν πρέπει να έχετε δικαιώματα διαχειριστή για να ρυθμίσετε τις παραμέτρους της σύνδεσης απομακρυσμένης επιφάνειας εργασίας. Επιπλέον, αφού ρυθμίσετε τις παραμέτρους αυτής της σύνδεσης, μπορείτε να αποθηκεύσετε τις αλλαγές σας ως αρχείο απομακρυσμένης επιφάνειας εργασίας (.rdp). Για να ρυθμίσετε άλλους υπολογιστές-πελάτες να χρησιμοποιήσετε τις ρυθμίσεις ασφαλείας που έχει ρυθμιστεί, διανείμετε το αρχείο .rdp για αυτούς τους υπολογιστές.

Ένα αρχείο .rdp περιέχει όλες τις πληροφορίες για τη σύνδεση με τον terminal server. Αυτό περιλαμβάνει τις ρυθμίσεις ασφαλείας που ρυθμίζετε τις παραμέτρους στην καρτέλα ασφάλεια . Μπορείτε να προσαρμόσετε τις συνδέσεις σας σε έναν συγκεκριμένο διακομιστή τερματικού, δημιουργώντας αρχεία .rdp διαφορετικές που αντιστοιχούν στις ρυθμίσεις που θέλετε να χρησιμοποιείτε όταν συνδέεστε σε αυτόν το διακομιστή τερματικού. Επιπλέον, μπορείτε να αλλάξετε το αρχείο .rdp χρησιμοποιώντας οποιοδήποτε πρόγραμμα επεξεργασίας κειμένου, όπως το Σημειωματάριο (Notepad). Για να τροποποιήσετε τις ρυθμίσεις ασφαλείας ενός αρχείου .rdp, χρησιμοποιώντας το Σημειωματάριο (Notepad), ακολουθήστε τα εξής βήματα:
  1. Εντοπίστε το αρχείο .rdp που θέλετε να τροποποιήσετε και στη συνέχεια ανοίξτε το χρησιμοποιώντας το Σημειωματάριο (Notepad).
  2. Εντοπίστε το επίπεδο ελέγχου ταυτότητας γραμμή στο αρχείο RDP.
  3. Ορίστε την τιμή του επιπέδου ελέγχου ταυτότητας σε μία από τις ακόλουθες τιμές:
    • 0 η τιμή αυτή αντιστοιχεί σε "Χωρίς έλεγχο ταυτότητας."
    • 1 η τιμή αυτή αντιστοιχεί στην "Απαιτείται έλεγχος ταυτότητας".
    • 2 η τιμή αυτή αντιστοιχεί στην "Προσπάθεια ελέγχου ταυτότητας."
    Για παράδειγμα, για να ρυθμίσετε τις παραμέτρους της σύνδεσης απομακρυσμένης επιφάνειας εργασίας για να απαιτείται έλεγχος ταυτότητας, πληκτρολογήστε επίπεδο ελέγχου ταυτότητας: i:1.
  4. Αποθηκεύστε τις αλλαγές στο αρχείο και στη συνέχεια κλείστε το Σημειωματάριο (Notepad).
Επιστροφή στην κορυφή
Μέθοδος 2: με χρήση του επεξεργαστή μητρώου
  1. Κάντε κλικ στο κουμπί Έναρξη, επιλέξτε Εκτέλεση, πληκτρολογήστε regedit και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
  2. Χρησιμοποιήστε μία από τις ακόλουθες μεθόδους:
    • Για να τροποποιήσετε τις ρυθμίσεις μητρώου για όλους τους χρήστες που συνδέονται στον υπολογιστή, εντοπίστε και, στη συνέχεια, κάντε κλικ στο ακόλουθο δευτερεύον κλειδί μητρώου:
      Πρόγραμμα-πελάτης διακομιστή HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Terminal
    • Για να τροποποιήσετε τις ρυθμίσεις μητρώου για μόνο ο χρήστης που είναι συνδεδεμένος αυτήν τη στιγμή, εντοπίστε και, στη συνέχεια, κάντε κλικ στο ακόλουθο δευτερεύον κλειδί μητρώου:
      Πρόγραμμα-πελάτης διακομιστή HKEY_CURRENT_USER\Software\Microsoft\Terminal
  3. Στο μενού Επεξεργασία , επιλέξτε Δημιουργίακαι, στη συνέχεια, κάντε κλικ στην επιλογή Τιμή DWORD.
  4. Στο πλαίσιο νέα τιμή # του 1 , πληκτρολογήστε AuthenticationLevelOverrideκαι, στη συνέχεια, πιέστε το πλήκτρο ENTER.
  5. Κάντε δεξιό κλικ στο AuthenticationLevelOverrideκαι, στη συνέχεια, κάντε κλικ στο κουμπί Τροποποίηση.
  6. Στο πλαίσιο " δεδομένα τιμής ", πληκτρολογήστε μία από τις ακόλουθες τιμές και στη συνέχεια κάντε κλικ στο κουμπί OK:
    • 0 , πληκτρολογήστε αυτήν την τιμή για να ρυθμίσετε ένα επίπεδο ελέγχου ταυτότητας "Χωρίς έλεγχο ταυτότητας."
    • 1 πληκτρολογήστε αυτήν την τιμή για να ρυθμίσετε ένα επίπεδο ελέγχου ταυτότητας "Απαιτείται έλεγχος ταυτότητας".
    • 2 πληκτρολογήστε αυτήν την τιμή για να ρυθμίσετε ένα επίπεδο ελέγχου ταυτότητας "Προσπάθεια ελέγχου ταυτότητας."
Για πρόσθετες πληροφορίες σχετικά με αυτά τα επίπεδα ελέγχου ταυτότητας, ανατρέξτε στο θέμα της "Μέθοδος 1: χρησιμοποιώντας σύνδεση απομακρυσμένης επιφάνειας εργασίας" ενότητα.

Σημείωση
  • Εάν ρυθμίσετε το επίπεδο ελέγχου ταυτότητας χρησιμοποιώντας το μητρώο, οι χρήστες που είναι συνδεδεμένοι στον υπολογιστή-πελάτη δεν είναι δυνατό να τροποποιήσετε τις ρυθμίσεις ελέγχου ταυτότητας.
  • Το επίπεδο ελέγχου ταυτότητας που έχετε ορίσει, χρησιμοποιώντας το δευτερεύον κλειδί μητρώου του υπολογιστή-πελάτη HKEY_CURRENT_USER\Software\Microsoft\Terminal αντικαθιστά ένα επίπεδο ελέγχου ταυτότητας που μπορεί να ρυθμιστεί το δευτερεύον κλειδί μητρώου του υπολογιστή-πελάτη HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Terminal.
Επιστροφή στην κορυφή
Ιδιότητες

Αναγνωριστικό άρθρου: 895433 - Τελευταία αναθεώρηση: 17 Ιαν 2017 - Αναθεώρηση: 1

Σχόλια