使用网络级别身份验证保护远程桌面

2018年1月19日

在服务器上仅允许网络级别身份验证

网络级别身份验证是Windows 7​加入的功能,旨在服务器启动远程桌面服务前就验证用户身份,消耗较少资源。参见https://technet.microsoft.com/zh-cn/library/cc732713(v=ws.11).aspx

在远程桌面客户端,运行远程连接,点击左上角的窗口图标,关于,就可以查看该系统是否支持网络级别身份验证。Windows 7​及以后的操作系统都支持。

那么,我在服务器上仅允许网络级别身份验证,如果客户端不支持网络级别身份验证,服务器能否正确阻挡呢?

我们可以在支持网络级别身份验证的客户端电脑上禁用网络级别身份验证。如果你已经保存了一个远程桌面连接,就打开该rdp文件,(rdp文件用ucs-2le编码),添加一行enablecredsspsupport:i:0 (https://gist.github.com/pingec/7b391a04412a7034bfb6)。如果你没有保存特定的rdp文件,或者想全局禁用网络级别身份验证,就添加在C:\Users\\Documents\Default.rdp。

接着连接远程桌面,看到我的Windows 10操作系统提示“远程计算机需要网络级别身份验证,而你的计算机不支持该验证。请联系你的系统管理员或技术支持人员来获得帮助。”

这样就验证了老的不支持网络级别身份验证的操作系统,如Windows XP,将不能连接到你的Windows服务器。