停用 Windows 10 的原生 RDP 加密以實現透明 SSH 隧道

ChanLokMan 0 信譽點數
2026-04-24T02:01:13.21+00:00

我正在嘗試確保幾台 Windows 10 工作站之間的遠端存取安全,但不想依賴 RDP 的原生保護級別,因為我的安全審計員一直認為 RDP 的保護級別不足。我們已經建立了一個強大的 SSH 隧道來傳輸流量,所以讓作業系統對所有資料進行加密似乎是多餘的;這只會為我們的舊硬體增加不必要的開銷。說實話,我已經厭倦了為了獲得平庸的保護等級而費力地處理自簽名憑證和 Windows 繁瑣的憑證管理,而我本可以使用強大的 SSH 金鑰。是否存在特定的群組原則或註冊表值,可以強制 RDP 監聽器接受原始的、未加密的連接,以便 SSH 隧道可以處理 100% 的加密?我需要確保 Windows 10 主機不會因為沒有看到預期的標準 TLS 握手就拒絕傳入的資料流。

商務用 Windows | Windows Server | 網路功能 | 軟體定義的網路功能
0 則留言 沒有留言

1 個回答

排序依據: 最實用
  1. VPHAN 38,605 信譽點數 獨立顧問
    2026-04-24T02:45:31.4133333+00:00

    嗨,ChanLokMan

    现代 Windows 10 远程桌面架构不允许 RDP 流量保持原始、未加密状态。即使使用外部 SSH 隧道,Windows 内核仍通过终端设备驱动程序处理 RDP 流,驱动程序位于 %SystemRoot%\System32\drivers\termdd.sys,强制强制封装。虽然你可以尝试通过将 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP 注册箱中的 MinEncryptionLevel 值设为 1(低)来降低加密开销,但该协议仍会加密客户端到服务器的所有流量。没有官方注册表密钥或组策略支持“Null”加密级别,因为该功能已被弃用以防止协议级漏洞。

    为了解决你的问题,你应修改Windows组件管理>模板中“远程(RDP)连接需要使用特定安全层”策略,>Windows组件>远程桌面服务,>远程桌面会话主机>安全。将此设置为“RDP”后,主机将停止要求TLS/SSL握手,转而使用原生RDP安全层。该配置采用基于RSA的专有密钥交换,不依赖Windows证书存储或自签名证书。该配置通过消除“繁琐”的证书管理,有效弥合了差距,同时承认操作系统在数据进入SSH隧道前仍会执行内部加密过程。

    希望这个回答能给你带来有用的信息。如果有帮助,请点击“接受答案”。如果你有任何问题,欢迎留言

    副总统

    此回答有幫助嗎?

    0 則留言 沒有留言

您的回答

答案可由問題作者標示為「已接受」,而由仲裁者標示為「推薦」,這可協助使用者知道答案解決了作者的問題。