Answers:
默认情况下,连接是使用自签名证书进行SSL加密的。您应该在第一个连接或与此相关的每个连接上发出警告。如果偏执狂,可以使用签名证书。
RDP可以使用RC4 128位加密。据我所知,对于相同的密钥长度,RC4不如AES强大,但我不是密码学家。自XP以来就存在此功能,但不是必需的。默认的组策略允许进行最小限度的加密或不进行加密以实现兼容性。不幸的是,直到Server 2003 SP1加密后,由于使用了硬编码的私钥,因此没有对连接的身份验证。(建立连接后,我不是指登录提示,而是在连接尝试期间。)这意味着您无法确定自己实际上是在与真实的RDP服务器通信。您可能会受到中间人攻击,您刚刚与某个恶意的第三方协商了加密连接,该第三方正在解密所有内容,然后将其重新加密以发送到真实服务器。这只能在初次接触时发生。如果您确实与真实服务器建立连接并协商加密,那么至少在尝试再次连接之前,您是安全的。从Server 2003 SP1和Vista开始,添加了TLS,并且会自动生成一个证书来对连接握手进行签名。您仍然需要了解什么是证书,但是可以将其存储以验证将来的连接。理想情况下,证书将由内部CA为您的域签名,但是缺少任何PKI,除非您验证指纹,否则您可能仍会在第一个连接上受到中间人的约束。