关于mstsc的安全问题

这几天联想到了远程桌面（Windows mstsc, RDP - romote desktop protocol）的安全性，数据包被别人抓取后是否能看到里面的操作，包括键盘和鼠标，实际上RDP的安全性是越来越强的： Remote Desktop Protocol (RDP) provides data encryption, but it does not provide authentication to verify the identity of a terminal server. In Windows Server 2003 Service Pack 1 (SP1), you can enhance the security of Terminal Server by configuring Terminal Services connections to use Transport Layer Security (TLS) 1.0 for server authentication, and to encrypt terminal server communications. 出自：https://technet.microsoft.com/en-us/library/cc782610.aspx 这里所说的属性是从Version 5.2开始 出自：https://en.wikipedia.org/wiki/Remote_Desktop_Protocol 远程桌面数据加密，登录认证也较安全，而且也可以使用TLS全程加密 虽然没有绝对安全，但多增加一层安全机制就会增加一些复杂度，一般用户使用也没有必要，还是集中精力干主要事情 后记： win7从sp1开始支持RemoteFX（win7用不了），相关协议RDP8.0，和显卡虚拟化、远程图形加速相关。 首先win7系统升级到SP1； 第二步打补丁：KB2574819，这样就新增了对DTLS（数据报传输层安全）的支持，老版本RDP只支持TLS（使用TCP协议），现在可以用UDP，效率更高 https://support.microsoft.com/zh-cn/kb/2574819 第三步打补丁：KB2592687，更新系统RDP协议至8.0版本 https://support.microsoft.com/zh-cn/kb/2592687 这样打过补丁之后，系统作为服务端和客户端（通俗的说，被连和去连）都支持RDP8.0了 最后修改一下组策略配置： 计算机配置\管理模板\Windows 组件\远程桌面服务\远程桌面会话主机\远程会话环境，启用远程桌面协议策略 计算机配置\管理模板\Windows 组件\远程桌面服务\远程桌面会话主机\连接，启用RDP传输策略，然后将值设置为“同时使用 TCP 和 UDP” 注意 配置 RDP 传输策略也会使防火墙允许使用 3389 UDP 端口。 如果自己配置的mstsc端口不是3389，那么可以关掉3389，然后允许UDP通过自己的****端口（不配置也默认可以过，增加一个允许更保险） 后记2： 打补丁：KB2592687，更新系统RDP协议至8.0版本 之后，重启系统之前正常，重启之后突然无法远程桌面访问，提示：连接被拒绝，****（意思是用户未被授权访问） 原因是RDP升级后安全审核加强，以前不在“Remote Desktop Users”组里面的用户，只要系统属性-远程设置里面被允许就可以了，但现在访问用户不仅要在系统属性-远程设置里面被允许，而且要被添加至 计算机管理-用户和组里面的“Remote Desktop Users”组里 才可以，添加至该组之后，原用户正常访问。 参考：https://technet.microsoft.com/en-us/library/ff817585(v=ws.10).aspx The following error message appeared after I install the virtual GPU: “Connection was denied because the user account is not authorized for remote log on.” All users (even users who are part of the Administrators group on the virtual machine) who need to log on to a virtual desktop that has a RemoteFX 3D Video Adapter need to be members of the Remote Desktop Users group. 另外注意一下防火墙（与此问题无关）： I am unable to connect to the RemoteFX virtual desktop. Connection is denied even though Remote Desktop access is enabled. A new Windows Firewall rule is added for RemoteFX. If you perform a new installation and enable Remote Desktop by using the System properties sheet, the rule is enabled automatically. You must enable the RemoteFX Windows Firewall rule manually if you do either of the following: Enable Remote Desktop by using the netsh command or the Windows Firewall APIs. Upgrade to Windows 7 with SP1 on a virtual desktop that already had Remote Desktop enabled.