Las versiones recientes de RDP admiten SSL / TLS . El propio RDP tiene su propio formato para transferir paquetes de datos; dentro de estos paquetes, clientes y servidores suficientemente recientes pueden transportar los registros TLS que codificarán un túnel al que se enviarán los datos reales (incluida la autenticación). Esto es razonablemente seguro, en la medida en que el cliente y el servidor no obstaculizan la implementación o hacen mal uso de los certificados (consulte esta respuesta para una discusión sobre el tema).
Además, el uso de TLS es opcional y está sujeto a negociación entre el cliente y el servidor; Posiblemente, un atacante que intente un ataque de hombre en el medio podría alterar los primeros paquetes, por lo que como para simular una falta de soporte de TLS en ambos lados, lo que lleva a una conexión sin TLS. Depende de la implementación del cliente detectar esta ocurrencia y abortar la conexión (o generar una advertencia y dejar que el usuario aborte).
Se agregó soporte TLS en RDP 5.2. Las implementaciones gratuitas de código abierto del protocolo RDP generalmente no lo admiten.
Otra forma de proteger una sesión RDP mediante TLS es Gateway de escritorio remoto (anteriormente conocido como Terminal Services Gateway) que encapsula todo en un túnel SSL / TLS. Esto es acumulativo con otras características de RDP, por lo que puede terminar con TLS-in-RDP-in-TLS. La puerta de enlace es un servicio específico disponible desde Windows Server 2008, y solo el cliente de Microsoft parece admitirlo (según Wikipedia, ni siquiera el puerto MacOS del cliente de Microsoft puede usarlo).