Windows Server 2008 R2のリモートデスクトップサービスは、さまざまな機能を提供します。それらの機能は、サーバー側から見るよりも、RDPのクライアント側から、つまり利用者の視点から見るほうが理解が早いでしょう。今回はRDPの最近のバージョンで、どのような機能が搭載されたか見ていきます。

RDP 6.1の機能

 以降は、RDP 6.1以降に搭載された新機能です。

 Windows Server 2008およびWindows Vista SP1で初めて提供されたRDP 6.1では、次の機能が強化されています。

ネットワークレベル認証(NLA)
 RDP 6.1では、RDPの認証が大幅に強化されました。その1つが「ネットワークレベル認証(Network Level Authentication:NLA)」です。ネットワークレベル認証(NLA)では、Windowsの新しいセキュリティサービスプロバイダーを使用して、RDPのセッションが確立する前にユーザー認証を完了します(図5)。

図5●ネットワークレベル認証(NLA)に対応したRDPクライアントからの接続。SSOを有効にすることで、資格情報の入力を省略することもできる
図5●ネットワークレベル認証(NLA)に対応したRDPクライアントからの接続。SSOを有効にすることで、資格情報の入力を省略することもできる
[画像のクリックで拡大表示]

 ネットワークレベル認証(NLA)により、RDPセッションの認証時の資格情報の盗聴や、サーバーに対するDoS(サービス拒否)攻撃に対する耐性が強化されます。また、ローカルのWindowsへのログオンに使用された資格情報を使用して資格情報の入力なしで接続する、シングルサインオン(Single Sign-On:SSO)認証にも対応しました。

 以前のRDPでは、RDPのセッションを確立し、リモートのWindowsのログオン画面を表示してから、ユーザー認証が行われていました(図6)。この従来の認証方式では、悪意のある第三者に対してもログオン画面を表示してしまい、認証の試行を可能にしてしまいます。

図6●RDP 5以前の従来の認証方式。ユーザー認証前にRDPセッションを確立してログオン画面を表示する
図6●RDP 5以前の従来の認証方式。ユーザー認証前にRDPセッションを確立してログオン画面を表示する
[画像のクリックで拡大表示]

 Windows Server 2008以降のターミナルサービスおよびリモートデスクトップサービスでは、RDP 5以前をサポートするようにセキュリティを緩和することもできますし(セキュリティレベルは低くなります)、ネットワークレベル認証(NLA)の使用を強制するように構成することもできます。