ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

リモートデスクトップの通信は暗号化されている?SSL、TLS認証が使われている

最近は、企業のセキュリティに関する意識が高まり、管理系の通信はなるべく暗号化するよになっていますよね。


例えば、ネットワーク機器ならtelnetではなくsshとか。Linuxサーバもsshで接続。ほかにもWEB系の管理画面もHTTPではなくHTTPSとかになっています。


この辺りは当たり前になってくる気がしますが、WEBサイトもだんだんとHTTPS化が進んでいますよね。


では、Windowsサーバーに接続する場合に使用するRDPは暗号化されているのでしょうか。これ気になる方多いですよね。そこで、マイクロソフトの情報を見えると、リモートデスクトップの通信は暗号化されているそうで、SSLTLS認証が使われているとのこと。


■サーバー認証と暗号化レベルを構成する
https://technet.microsoft.com/ja-jp/library/cc770833(v=ws.11).aspx


適用対象: Windows Server 2008 R2

 

既定では、リモート デスクトップ サービス セッションは、クライアントの暗号化レベルを RD セッション ホスト サーバーにネゴシエイトするように構成されています。

トランスポート層セキュリティ (TLS) 1.0 の使用を要求することで、リモート デスクトップ サービス セッションのセキュリティを強化できます。

TLS 1.0 は RD セッション ホスト サーバーの ID を確認して、RD セッション ホスト サーバーとクライアント コンピューター間のすべての通信を暗号化します。セキュリティを高めるために、RD セッション ホスト サーバーとクライアント コンピューターは、TLS 用に正しく構成する必要があります。

 

 


そして、3 つのセキュリティ層を使用できるそうです。


SSL (TLS 1.0)
SSL (TLS 1.0) は、サーバー認証と、サーバーとクライアントの間で転送されるすべてのデータの暗号化に使用されます。

ネゴシエート
※これは、既定の設定です。
クライアントがサポートしている最も安全な層が使用されます。サポートされている場合は SSL (TLS 1.0) が使用されます。クライアントが SSL (TLS 1.0) をサポートしていない場合は、RDP セキュリティ層が使用されます。

●RDP セキュリティ層
サーバーとクライアント間の通信では、ネイティブな RDP 暗号化が使用されます。RDP セキュリティ層を選択した場合、ネットワーク レベル認証は使用できません。


RDP セキュリティ層ってなんでしょうね。暗号化レベルが低いように見えますが、できればSSL(TLS1.0)を使うようにしたほうがいいということになるでしょう。


続いて、暗号化レベルが4つ。


●FIPS 準拠
このレベルでは、連邦情報処理規格 (FIPS) 140-1 で確認された暗号化方式を使用して、クライアントとサーバーの間でやり取りされるデータの暗号化と暗号化の解除を行います。このレベルの暗号化をサポートしていないクライアントは接続できません。

●高
このレベルでは、128 ビットの暗号化を使用して、クライアントとサーバーの間でやり取りされるデータの暗号化を行います。このレベルの暗号化は、128 ビットのクライアント (リモート デスクトップ接続クライアントなど) のみが含まれる環境で RD セッション ホスト サーバーが動作している場合に使用します。このレベルの暗号化をサポートしていないクライアントは接続できません。

●クライアント互換
※これは、既定の設定です。
このレベルでは、クライアントとサーバーの間で送信されるデータは、クライアントがサポートしている最高のキーの強度で暗号化されます。このレベルの暗号化は、クライアントが混在している場合や、古いクライアントが含まれる環境で RD セッション ホスト サーバーが動作している場合に使用します。

●低
このレベルでは、56 ビットの暗号化を使用して、クライアントからサーバーに送信されるデータの暗号化を行います。サーバーからクライアントに送信されるデータは暗号化されません。


暗号化はされているということで、厳しくするならサイトに書かれているグループポリシーの設定で、制限をするかどうかくらいですね。