Kryptering av fjärrskrivbord. RDP - Remote Desktop Protocol


RDP med nätverkslagersäkerhet (SSL) används tyvärr inte i stor utsträckning bland systemadministratörer som föredrar att säkra terminalanslutningar på annat sätt. Detta kan bero på den uppenbara komplexiteten i metoden, men detta är inte fallet i detta material kommer vi att titta på hur man organiserar ett sådant skydd enkelt och utan svårighet.

Vilka fördelar ger oss att säkra RDP med SSL? För det första stark kanalkryptering, serverautentisering baserad på ett certifikat och användarautentisering på nätverksnivå. Sista chansen Tillgänglig från Windows Server 2008: Nätverksnivåautentisering förbättrar terminalserverns säkerhet genom att autentisera användaren innan sessionen börjar.

Autentisering på nätverksnivå utförs innan du ansluter till fjärrskrivbordet och visar inloggningsskärmen, detta minskar belastningen på servern och ökar avsevärt dess skydd mot inkräktare och skadlig programvara, och minskar också sannolikheten för överbelastningsattacker.

För full användning För alla RDP över SSL-funktioner måste klientdatorer vara igång Windows kontroll XP SP3, Windows Vista eller Windows 7 och använd RDP-klientversion 6.0 eller senare.

använder Windows Server 2003 SP1 eller senare senare versioner, kanalkryptering med SSL (TLS 1.0) och serverautentisering kommer att vara tillgänglig, klientdatorer måste ha RDP-klientversion 5.2 eller senare.

I vår artikel kommer vi att titta på hur vi ställer in en terminalserver på Windows baserad Server 2008 R2, men allt som sägs kommer att vara sant för Windows Server 2003 (förutom saknade funktioner).

För framgångsrikt genomförande detta beslut ditt nätverk måste ha en fungerande certifieringsmyndighet, vars konfiguration vi diskuterade i föregående artikel. För att lita på certifikaten utfärdade av denna CA på terminalservern måste du installera CA-certifikatet (eller kedjan av certifikat) i lagringen Betrodda rotcertifikatutfärdare.

Du bör sedan begära ett servercertifikat för äkthet med följande parametrar:

Skicka en begäran till certifikatutfärdaren och installera det utfärdade certifikatet. Detta certifikat måste installeras i datorns lokala lagring, annars kan det inte användas av Terminal Services. För att kontrollera detta, låt oss starta konsolen MMC (Start - Kör - mmc) och lägg till utrustningen Certifikat(Arkiv - Lägg till eller ta bort snap-in) För konto dator.

Välj klicka i konsolroten Visa - Alternativ och ställ in visningsläget Organisera certifikat efter syfte. Det utfärdade certifikatet måste vara i en grupp Serverautentisering.

Om du fick certifikatet med en isolerad (fristående) CA (nätverket har ingen domänstruktur), kommer det att installeras i användarkontoarkivet som standard och du måste utföra ett antal ytterligare steg.

Öppen Internet Explorer- Internetalternativ - Innehåll - Certifikat, det utfärdade certifikatet måste installeras i butiken Personlig.

Exportera det. När du exporterar, ange följande alternativ:

  • Ja, exportera privat nyckel
  • Ta bort privat nyckel efter lyckad export
Ta sedan bort certifikatet från av detta förvar. I snappet Certifikat (lokal dator) Välj

kapitel Serverautentisering, Klicka på det Högerklicka möss Alla uppgifter - Importera och importera certifikatet.

Nu inne Administration - Fjärrskrivbordstjänsteröppen Värdkonfiguration för fjärrskrivbordssession(i Windows Server 2003 Administrativa verktyg - Konfigurera terminaltjänster).

Och till sist en droppe salva i salvan. Terminal Windows-tjänster vet inte hur man kontrollerar äktheten av anslutande klienter, så om det behövs, bör du använda ytterligare metoder skydd som SSH-tunnel eller IPSec VPN.

Möjlighet till genomförande Fjärranslutning Windows-systemet har tillhandahållit RDP-protokollet under lång tid. Sådan standardverktyg dök upp i versionen av Windows NT 4.0, släppt 1996. Den modifierades mer eller mindre funktionellt i Windows XP-versionen och fann sin fullständighet redan i del av Windows 7. Versioner av Windows 8/8.1 och 10 ärvde fjärråtkomst via RDP från Windows 7 utan funktionella ändringar.

Nedan kommer vi att i detalj överväga driften av fjärråtkomst via RDP-protokollet i Windows-versioner 7, 8.1 och 10.

1. Fjärråtkomst via RDP-protokoll

Anslutning via RDP-protokoll utförs mellan datorer placerade i densamma lokalt nätverk. Denna typ av anslutning är i första hand avsedd för IT-specialister som servar datorer hos företag integrerade i sina egna produktionsnätverk. Utan att lämna sin arbetsplats, ansluta på distans till företagsanställdas datorer, kan systemspecialister lösa problem som inte kräver ingrepp i maskinernas hårdvara och utföra förebyggande åtgärder.

Ansluter till en fjärrdator med RDP-protokoll Det är också möjligt utanför det lokala nätverket, över Internet. Men detta kommer att krävas ytterligare åtgärder– antingen vidarebefordra port 3389 på routern eller ansluta med en fjärrdator in enda nätverk VPN. Med tanke på detta är det mycket lättare att ansluta till en fjärrdator över Internet med andra programvaruverktyg som inte kräver onödiga åtgärder. Detta är till exempel standard Windows-verktyg"Fjärrassistans" för att tillhandahålla datorhjälp över Internet. Det fungerar enligt principen att skicka en inbjudningsfil till användaren som kommer att tillhandahålla datorhjälp. Dess mer funktionella analoger på Windows-programmarknaden är program som .

RDP-protokollet används också för att ansluta till virtuella maskiner. En fjärranslutning via RDP kan erbjuda fler möjligheter än standardanslutningsfönstret för en standard hypervisor. Hyper-V-anslutningsfönstret ger inte ljuduppspelning i gästoperativsystemet, ser inte anslutna USB-lagringsenheter och kan inte erbjuda mer anslutning till en fysisk dator än att klistra in text som kopierats in i den. Medan en RDP-anslutning kan ge synlighet virtuell maskin olika enheter, ansluten till fysisk dator, Mer högkvalitativ bild gäst OS-skrivbord, arbeta med ljud osv.

För att ansluta via RDP måste fjärrdatorn uppfylla följande krav:

  • Det måste ha ett lösenordsskyddat konto;
  • Systemet måste tillåta fjärranslutningar;
  • Om du inte vill ändra dina åtkomstdata varje gång du ansluter med en ständigt föränderlig dynamisk IP-adress måste du tilldela en statisk IP-adress i nätverksinställningarna.

Fjärråtkomst är endast möjlig på datorer med utgåvor installerade Windows Pro, Enterprise eller Ultimate. Hemversioner av Windows (Home) ger inte fjärråtkomst via RDP.

2. Lösenord på fjärrdatorn

Om du arbetar på en fjärrdator med ett Microsoft-konto och använder en kort PIN-kod istället för ett långt lösenord, när du ansluter via RDP, måste du ange samma långa lösenord och inte en fyrsiffrig PIN-kod.

Om ett lokalt konto utan lösenord används på fjärrdatorn och det inte finns något speciellt behov av ett lösenord, till exempel när du ansluter till virtuella Hyper-V-maskiner, minst enklaste lösenordet något som "777" eller "qwerty" måste skapas.

3. IP-adress för fjärrdatorn

När du ansluter via RDP måste du ange en IP-adress fjärrdator. Den interna IP-adressen är synlig i systemets nätverksinställningar. Men i versioner av Windows 7, 8.1 och 10 är det tre olika vägar. I Windows 7 är detta en del av kontrollpanelen, och i Windows 8.1 och 10 är det programmet Inställningar, med en egen organisation som är inneboende i varje version. Därför kommer vi att känna igen den interna IP-adressen på ett universellt sätt som är lämpligt för vart och ett av dessa system - genom kommandorad. Genvägen för att starta kommandotolken i Windows 7 är tillgänglig i Start-menyn. I Windows 8.1 och 10 startas kommandoraden från innehållsmeny på Start-knappen.

I kommandoradsfönstret anger du:

Efter att ha tryckt på Enter får vi en sammanfattning av data, där den interna IP-adressen kommer att synas.

4. Tillåta fjärranslutningar

Behörighet att fjärransluta till Windows-system initialt, som regel, funktionshindrade. Det gäller i alla fall definitivt licensierade sammansättningar. Möjligheten att ansluta via RDP på ​​en fjärrdator aktiveras i systeminställningarna. Vi behöver avsnittet "System". I Windows 7-versionen kan den nås genom att söka på Start-menyn. Och i Windows 8.1 och 10 kan du komma till avsnittet "System" från snabbmenyn på "Start" -knappen.

Klicka på "Ställa in fjärråtkomst".

I fönstret för systemegenskaper måste du ställa in aktivt alternativ behörigheter fjärranslutningar. Det finns inget behov av att ta bort autentiseringsalternativet. För att tillämpa ändringarna, klicka på "Apply" nedan.

Sådana inställningar öppnar sökvägen till en fjärranslutning, men bara för administratörskontot. Vanliga kontoanvändare får inte själv tillhandahålla en dator för fjärrkontroll. Administratören kan ge dem denna rätt.

Under alternativet för att tillåta fjärranslutningar finns en "Välj användare"-knapp. Låt oss trycka på den.

I fältet nedan anger du namnet på den användare som får ansluta till honom via RDP-protokollet. För lokala konton är detta deras namn, och för Microsoft-konton är det e-postadress, med vars hjälp auktorisation sker. Klicka på "Ok".

Det är det – nu kommer användarens konto att vara tillgängligt från vilken dator som helst inom det lokala nätverket.

5. Anslut till en fjärrdator

Alla nödvändiga åtgärder på fjärrdatorn har slutförts, låt oss gå vidare till huvuddatorn från vilken anslutning och kontroll kommer att utföras. Lansera standardverktyg Du kan ansluta med RDP-protokollet genom att hitta dess genväg med en sökning i systemet. I Windows 7 är detta en sökning i Start-menyn.

I versioner av Windows 8.1 och 10, tryck på Win+Q-tangenterna.

Ett litet anslutningsfönster visas. I framtiden kommer det att vara möjligt att ansluta till fjärrdatorer med exakt denna förkortade form. Men för nu, klicka på "Visa alternativ".

I fältet "Dator" anger du IP-adressen för fjärrdatorn. I fältet nedan - "Användare" - skriv därför in användarnamnet. Om ett konto är anslutet till fjärrdatorn Microsoft inträde, Skriv in din mailadress.

Om du arbetar på datorn med ett vanligt lokalt konto måste användarnamnet anges i formatet:

Dator\användare

Till exempel, DESKTOP-R71R8AM\Vasya, Var DESKTOP-R71R8AMär namnet på datorn och Vasya– användarnamnet för det lokala kontot.

Under användarnamnet finns ett alternativ att spara behörighetsdata på en fjärrdator. Anslutningsparametrar - IP-adress, användarnamn och lösenord - kan sparas som en separat RDP-fil och användas för att öppna den på en annan dator. Klicka på "Anslut" och sedan på "Anslut" igen i ett nytt fönster.

Ange lösenordet för fjärrdatorkontot.

Klicka på "Ja" i certifikatfelfönstret.

Vi kommer att få fler inställningar för anslutning via RDP-protokollet i verktygsfönstret initialt, innan anslutningen upprättas.

6. Anslut till ett annat konto på en fjärrdator

Under kolumnen för att fylla i användarnamnet för fjärrdatorn, om kryssrutan "Begär alltid referenser" inte är markerad, visas alternativ för att radera och ändra åtkomstdata. Genom att klicka på alternativet "Ändra", utöver auktoriseringsformuläret i ett befintligt konto på en fjärrdator, ser vi möjligheten att ansluta till ett annat konto som finns på samma dator.

Efter att ha angett ett nytt användarnamn och lösenord kommer behörighetsdata för en specifik IP-adress att skrivas över.

7. Anslutningsinställningar

I det öppnade fönstret för anslutning till en fjärrdator hittar vi flikar med anpassningsbara parametrar. De två första gäller bekvämligheten och funktionaliteten med fjärråtkomst.

"Skärm" - på den här fliken kan du ställa in skärmupplösningen för fjärrdatorn. Verktygsfönstret öppnas med denna upplösning efter anslutning. Om åtkomst görs från svag dator, kan du ställa in upplösningen till låg och offra färgdjupet.

”Lokala resurser” – här för ekonomins skull systemresurser Du kan inaktivera ljuduppspelning på fjärrdatorn. Eller tvärtom, du kan också installera ljudinspelning från en fjärrdator. I kolumnen lokala enheter och resurser efter att ha klickat på knappen "Detaljer" kan vi, förutom den aktiva skrivaren, välja enheter på huvuddatorn som kommer att fungera på fjärrdatorn. Dessa är smarta kort, separata delar av hårt disk, flash-enhet, minneskort, externa hårddiskar.

Ett hinder för att använda RDP-protokollet kan vara dess blockering av antivirus. I detta fall måste RDP-protokollet vara aktiverat i inställningarna antivirusprogram.

Ha en bra dag!

RDP - Remote Desktop Protocol

Först och främst kommer vi att prata om StandAlone Server här. Det vill säga ungefär separat - stående server. Och inte om domänkontrollanter och företagsnätverk. (högt kvalificerade specialister krävs där)

En situation då en idé kom till dig och du bestämde dig för att förverkliga den. Och för att implementera det behöver du ha en Server, som du hyr i ett visst datacenter.

Vald lämplig taxa, betalade pengarna och nu har du redan en server där programvaran du behöver är installerad. I de flesta fall räcker Windows 2003 Server för sådana pilotprojekt. Ganska billigt och effektivt.

Teknisk support ger dig en IP-adress, inloggning och lösenord för RDP-åtkomst, och du börjar din resa, full av... ja, i allmänhet - det kommer inte att verka som mycket.

Som standard kan vi säga att den här tjänsten i Windows är konfigurerad för att orsaka användaren mycket problem och problem.

Även om den såklart fungerar på egen hand och utför sin funktion perfekt. Men med tiden (ibland kan det vara för sent) kommer den vårdslösa ägaren av en fjärrserver att bli förskräckt över att inse vad som verkligen händer med hans system och vilken skara blodtörstiga människor som står runt väggarna i hans fästning.
Det är som att stänga av det infraröda filtret på DVR och plötsligt börja se källorna till videofilmer - trafikpoliskameror med fotografier och fjärrkontrollsignaler fjärrkontroll TV.

Du börjar se och sedan, kanske, förstå.

Å ena sidan - utvecklarna programvara låtsas att de gör sina system för vanlig person, och du börjar tro det.

Men å andra sidan antar samma utvecklare att endast en certifierad specialist kan ta upp tangentbordet. Och så att certifikatet är från i år.

Sådan är paradoxen.

Låt mig berätta hur det verkligen ser ut.

Men faktiskt, horder av hackare, efter att ha läst ett dussin rader på forum, laddar ner färdiga listor över servrar med en öppen RDP-port. Och de börjar bryta sig in i din bil. Vissa manuellt (men detta är sällsynt), men oftast olika program, lanserar brute-force-ordböcker: login - lösenord. Och ingen begränsar dem i någonting. De är till och med trånga där ibland.

Dessutom tittar jag på loggarna och ser att det för det mesta är samma ordböcker.

Och din server tvingas slå tillbaka. Och du vet inte. Och du förstår inte varför du låg prestanda varför förfrågningar tar lång tid att slutföra.

Du tänker på fantastiska saker. Strategiskt, om funktionalitet. Och här - någon sorts bromsar är obegripliga.

Därför kommer du att börja optimera minnet, ta bort tillfälliga variabler, defragmentera diskar, etc.

Och kanske till och med ta en närmare titt på fliken Händelser i hanteringssnap-in.

Men jag försäkrar dig att du inte kommer att se anledningen där! Eftersom försök att ange felaktig inloggning och lösenord inte visas där. Kanske kommer du till och med att argumentera med andra människor att de inte knäcker dig för att de är rädda eller respekterade.
Nej. Jag försäkrar dig, utvecklarna är bara så roliga killar. Och till en början tippar de vågen något mot mörker. De säger att om dessa händelser visades skulle belastningen på servern bli högre.
Men observera bara att det första alla bör göra är att slå på den här skärmen. Även om det förstås är helt stängt från världen utanför vissa tekniska system där ingen någonsin hackar något. Men där är det just sådana system som servar hela team av proffs.

Så låt oss börja med att korrigera den här situationen och föra systemet i normalt skick.

Vad vi ska göra:

  1. Vi kommer att begränsa antalet tillåtna samtidigt öppna sessioner.
    (Om du administrerar din egen Fjärrserver, varför behöver du någon annan än dig för att hantera servern samtidigt som du?
    Även om det kan behövas en till - till exempel för teknisk support. Och varför mer?)
  2. Och tända ljuset. Det vill säga, vi kommer att tillåta systemet att visa misslyckade inloggningsförsök i snapin-modulen "Händelser".
    Och här kommer du att bli förvånad.
  3. Vi kommer att förbjuda åtkomst till servern från fler än 3000 IP-adresser, som strängt taget inte gör något annat än att orsaka problem för människor. Importera den svarta listan.

Om du, av ingenting att göra, gör förfrågningar på nätverket om att ställa in RDP, kommer du att stöta på många råd (och under lång tid var jag själv säker på att de var mycket effektiva, tills jag bestämde mig för att genomföra ett experiment )

  1. Begränsa antalet tillåtna misslyckade inloggningsförsök.
    (Om du inte är full så räcker det med 3 gånger för att du ska förstå att tangentbordet är på fel språk och i fel register.)
  2. Begränsa tiden för dessa 3 försök.
    (Du kan göra det 3 gånger i veckan, eller så kan du göra det 3 gånger i sekunden, och flertrådigt också. Och därför, eftersom ingen av de coola hackarna petar på tangentbordet med ett finger under lång tid när de väljer en bokstav, det finns hyfsad trafik där, som på 10 minuter, som utvecklarna har bestämt kommer att hinna reda ut flera hundra, ett par tusen kombinationer.)
  3. Ställ in en spärrtid för inträde om du är full, eller om du inte är du.
    (Standardinställningen är 3 minuter, vilket inte gör någon upprörd. Låt oss ställa in den på en halvtimme. Låt dem tröttna på att vänta.)

Jag erkänner att jag blev väldigt glad när jag hittade sådana artiklar och gjorde omedelbart allt rätt. Jag var säker på att jag nu kunde fokusera på själva projektet och inte oroa mig för mycket om säkerheten.

Hur det blev tiotusentals försök under dagen. (och jag sitter inte med huvudet klistrat vid monitorn hela dagen, utan jag går in en gång om dagen för att kontrollera funktionen hos mina applikationer) Så förblir det.

Och jag kunde fortfarande inte förstå hur detta kunde hända, så jag ser att jag har konfigurerat 3 försök och sedan blockerat i 30 minuter. Och den här boten har varit upptagen i sex timmar nu och outtröttligt sorterat genom inloggningar från "Administratör" till "ferapont".
Men allt var inte fritid. Och sedan – jag ställer in allt, så det borde fungera!

En gång var jag tvungen att överföra ett av mina projekt från en server till en annan på grund av fel RAID-array. Och den gamla servern var tillgänglig för mig under en tid, men på den kunde jag utan rädsla försöka utföra farliga och inte så farliga experiment. Därför bestämde jag mig för att kolla upp det.

För att göra detta försökte jag i flera minuter att logga in med fel lösenord, förväntar mig att nu kommer autentiseringssystemet att blockera mig. Figuriner. Inget hände.

Jag tillbringade ett par dagar med att studera detta problem mer i detalj. Jag fördjupade mig i manualer och knappa kommentarer. Alla försäkrar oss på forumen att denna metod är supereffektiv.

Och detta är vad jag ska berätta för dig nu:

  • För det första fungerar den här metoden bara under en domänkontrollant (du vet inte vad det är? Spotta, du behöver det inte) och för en fristående server behöver du fördjupa dig i specialkunskaper och lära dig trollformler.
  • för det andra visar det sig, och tydligen antar många felaktigt och naivt något annat (som jag själv), att när en sådan mekanism implementeras kommer den som försöker komma in att blockeras.
    Nej - bara inte han. Och du kommer att blockeras!
    Ja – det är ditt konto som kommer att spärras under den tid du registrerade dig där. Och själv kommer du aldrig att kunna logga in på din egen server!

När jag lämnar huset och låser dörren bryter jag låset. Jag kommer att förfrysa mina öron för att trotsa mormor.

Men jag tror att avsked med sådana illusioner var värt ett par dagars plåga.

Vi är klara med ingressen. Låt oss komma till saken.

1. Vi kommer att begränsa antalet tillåtna samtidigt öppna sessioner.

Hitta och öppna snapin-modulen "Terminal Services Configuration":

I denna snapin, välj och öppna fliken RDP-Tcp "egenskaper", där vi begränsar "Msximum Connections" till 2x, för alla nätverkskort.

Klicka på OK. Nu kan bara ytterligare en person komma in med dig samtidigt. Och utan dig måste alla som vill stå i två rader.
Ställ dig i kö - jävlar!

2. Aktivera visningen av misslyckade inloggningsförsök i snapin-modulen "Händelser".

Hitta och öppna snapin-modulen "Lokala säkerhetsinställningar" och i den - avsnittet: "Revisionspolicy":

Och ändra egenskapsvärdena för alla "Audit" -poster - som visas på skärmdumpen. Du måste sedan starta om för att ändringarna ska träda i kraft.

Du kan vänta och efter några timmar titta på den nu verkliga bilden för att förstå vilken typ av värld vi lever i och vem som verkligen omger oss.

3. Vi nekar åtkomst till servern från 100 % skadliga IP-adresser. Importera den svarta listan.

Här har du 2 alternativ:

  • Snabbt och allt på en gång.
  • Manual, med en förståelse för exakt vad du gör.
Snabb väg.

Därefter bör du få något sånt här:

Manuell metod, med förståelse.
  1. Först måste du skapa en ytterligare policy. Öppna snapin-modulen "Lokala säkerhetsinställningar".
  2. Välj avsnittet "IP-säkerhetspolicyer på lokal dator" och högerklicka på: "Skapa IP-säkerhetspolicy..." och starta konfigurationsguiden.
  3. Du kommer på ett namn för den nya regeln. Till exempel: "Blockera IP".
  4. Klicka sedan på alla frågorna och till slut får du ett formulär för att redigera policyns egenskaper.
  5. Lägg till en ny regel. Klick. och om kryssrutan Wizard är markerad, startar en annan guide, vars frågor måste besvaras.
  6. Tunnelslutpunkt. klick
  7. Nätverkstyp. "Alla nätverksanslutningar" finns redan där. klick
  8. IP-filterlista.
    Lägg till nytt filter. Klicka och kom på ett meningsfullt namn.

    Till exempel: Blockera brute forcering IP.
    Hans lista är fortfarande tom. Vi sparar det som det är.

Ganska ofta har många användare som använder fjärråtkomstsessioner en fråga om hur man ändrar RDP-porten. Låt oss nu titta på de enklaste lösningarna och även ange flera huvudsteg i installationsprocessen.

Vad är RDP-protokollet till för?

Först några ord om RDP. Om du tittar på avkodningen av förkortningen kan du förstå att fjärråtkomst

Tala på ett enkelt språk, detta är ett verktyg för terminalservern eller arbetsstation. Windows-inställningar(och alla versioner av systemet) använder standardinställningar som passar de flesta användare. Men ibland finns det ett behov av att ändra dem.

Standard RDP-port: ska den ändras?

Så, oavsett modifiering av Windows, har alla protokoll en förinställd betydelse. Detta är RDP-port 3389, som används för att utföra en kommunikationssession (ansluter en terminal till fjärranslutna).

Vad är anledningen till situationen när schablonvärdet behöver ändras? Först av allt, bara med säkerhet lokal dator. När allt kommer omkring, om du tittar på det, med en standardport installerad, kan i princip vilken angripare som helst enkelt penetrera systemet. Så låt oss nu se hur man ändrar standard RDP-porten.

Ändra inställningar i systemregistret

Låt oss omedelbart notera att ändringsproceduren utförs uteslutande i manuellt läge, och i själva fjärråtkomstklienten finns det ingen möjlighet att återställa eller ställa in nya parametrar.

Anrop först standardregisterredigeraren med kommandot regedit i Kör-menyn (Win + R). Här är vi intresserade av HKLM-grenen, där vi måste gå ner i partitionsträdet genom terminalserverkatalogen till RDP-Tcp-katalogen. I fönstret till höger hittar vi nyckeln PortNumber. Det är dess innebörd som vi måste förändra.

Vi går in i redigering och ser 00000D3D där. Många människor blir omedelbart förbryllade över vad det är. Och detta är bara en hexadecimal representation decimal nummer 3389. För att ange porten i decimalform använder vi motsvarande rad för att visa värderepresentationen och anger sedan den parameter vi behöver.

Efter detta startar vi om systemet och indikerar när vi försöker ansluta ny hamn RDP. Ett annat sätt att ansluta är att använda specialteam mstsc /v:ip_address:XXXXX, där XXXXX är det nya portnumret. Men det är inte allt.

Regler för Windows-brandväggen

Ack, men inbyggt Windows brandvägg kan blockera den nya porten. Det betyder att du måste göra ändringar i inställningarna för själva brandväggen.

Öppna brandväggsinställningarna med avancerade säkerhetsinställningar. Här ska du först välja inkommande anslutningar och klicka på raden för att skapa en ny regel. Nu väljer vi objektet för att skapa en regel för porten, anger sedan dess värde för TCP, tillåter sedan anslutningen, lämnar profilsektionen oförändrad och tilldelar slutligen ett namn till den nya regeln, varefter vi klickar på den fullständiga konfigurationsknappen. Allt som återstår är att starta om servern och, vid anslutning, ange den nya RDP-porten genom ett kolon i lämplig rad. I teorin borde det inte vara några problem.

Vidarebefordra RDP-porten på routern

I vissa fall, när du använder en trådlös anslutning istället för en kabelanslutning, kan du behöva vidarebefordra porten på din router. Det är inget komplicerat med det.

Först, i systemegenskaperna tillåter och anger vi de användare som har rätt att göra det. Gå sedan till menyn för routerinställningar via webbläsaren (192.168.1.1 eller i slutet 0.1 - allt beror på routermodellen). I fältet (om vår huvudadress är 1.1) är det lämpligt att ange adressen, börja med den tredje (1.3), och skriva regeln för att utfärda adressen för den andra (1.2).

Sedan i nätverkskopplingar Vi använder detaljvyn, där du ska se detaljerna, kopiera den fysiska MAC-adressen därifrån och klistra in den i routerns parametrar.

Aktivera nu anslutningen till servern i avsnittet NAT-inställningar på modemet, lägg till en regel och ange XXXXX-porten som måste vidarebefordras till standardport RDP 3389. Spara ändringarna och starta om routern (utan omstart kommer den nya porten inte att accepteras). Du kan kontrollera anslutningen på någon specialiserad webbplats som ping.eu i avsnittet för porttestning. Som du kan se är allt enkelt.

Slutligen, notera att portvärdena är fördelade enligt följande:

  • 0 - 1023 - portar för systemprogram på låg nivå;
  • 1024 - 49151 - hamnar tilldelade för privata ändamål;
  • 49152 - 65535 - dynamiska privata portar.

I allmänhet väljer många användare RDP-portar från det tredje området i listan för att undvika problem. Men både specialister och experter rekommenderar att du använder dessa värden i inställningarna, eftersom de är lämpliga för de flesta av uppgifterna.

När det gäller denna specifika procedur används den huvudsakligen endast i fall av Wi-Fi-anslutning. Som redan kan ses, med normal kabelanslutning det krävs inte: ändra bara värdena på registernycklarna och lägg till regler för porten i brandväggen.

Remote Desktop Services (RDS) i Windows Server 2008 R2 är inte bara en omprofilering av sin föregångare, Terminal Services. Nya funktioner, av vilka några introducerades i Windows Server 2008, såsom RemoteApp, RD Gateway och RD Virtualization Host, gör det enkelt och bekvämt att distribuera och driva separat anpassade applikationer, och hela stationära datorer i RDS- och VDI-lösningar, och funktionaliteten och bekvämligheten är inte sämre än Citrix-lösningar eller komplex från andra leverantörer.

Hur är det med säkerheten för Remote Desktop Services? Microsoft har avsevärt uppdaterat och stärkt säkerheten för denna tjänst. I den här artikeln kommer vi att prata om RDS-säkerhetsmekanismer, säkerställa säkerheten för terminaltjänster med hjälp av grupppolicyer och praktiska aspekter säkerställa säkerheten för RDS-lösningar.

Vad är nytt i R2

Om du har arbetat med versioner av Terminal Services i Windows Server 2003 och Windows Server 2008, kommer du förmodligen ihåg att Windows 2008 introducerade ett antal nya funktioner som (anslutning via webbläsare), (åtkomst till Terminal Services över Internet), (publicering) individuella applikationer via RDP) och service (som ger lastbalansering).

Windows Server 2008 R2 introducerade följande funktioner:

  • Remote Desktop Virtualization för VDI-lösningar
  • RDS-leverantör för PowerShell (Admin kan nu hantera RDS-konfiguration och hantering från kommandoraden eller med skript)
  • Remote Desktop IP Virtualization, som låter dig tilldela IP-adresser till anslutningar baserat på parametrarna för den session eller applikation som startas
  • Ny version av RDP-protokollet och Remote Desktop Connection (RDC)-klient - v. 7,0
  • CPU resurshantering för dynamiskt urval CPU-resurser baserat på antalet aktiva sessioner
  • Kompatibel med Windows Installer, som låter dig installera program med möjlighet att ytterligare konfigurera applikationsparametrar på användarens sida.
  • Stöd på klientsidan för upp till 16 bildskärmar.

Dessutom har funktioner för att arbeta med video och ljud förbättrats, och fullt stöd Windows-tekniker Aero (observera att Aero inte stöds i flerskärmsläge).

Naturligtvis beror RDS-tjänstens säkerhetsproblem på specifik lösning. Till exempel, om du publicerar ett skrivbord för användare som ansluter via Internet eller använder en webbläsare, så uppstår säkerhetsproblemet mycket mer akut än med standardlösningen, där klienter ansluter med en RDC-klient över ett lokalt LAN.

Autentisering på nätverksnivå

För att säkerställa större säkerhet måste Network Level Authentication (NLA) vara aktiverat för alla anslutningar. NLA kräver att användaren loggar in på RD Session Host-servern redan innan sessionen skapas. Denna mekanism låter dig skydda servern från att behandla onödiga sessioner som kan genereras av angripare eller botprogram. För att använda NLA måste kunden operativ system måste stödja Credential Security Support Provider-protokollet (CredSSP), vilket betyder Windows XP SP3 () och högre, samt en RDP-klient 6.0 eller högre.

Du kan konfigurera NLA på RD Session-servern genom att öppna konsolen Administrationsverktyg -> Fjärrskrivbordstjänster -> Konfiguration av värddatorsession.

  1. Högerklicka på anslutning
  2. Välj Egenskaper
  3. Gå till fliken Allmänt
  4. Markera alternativet "Tillåt endast anslutningar från datorer som kör Remote Desktop with Network Level Authentication"
  5. Klicka på OK.

Transport Layer Security (TLS)

En RDS-session kan använda en av tre säkerhetsmekanismer för att skydda anslutningen mellan klienter och RDS-sessionsvärdservern:

  • RDP säkerhetslager– inbyggd kryptering av RDP-protokollet används, vilket är mindre säkert.
  • Förhandla– TLS 1.0 (SSL)-kryptering kommer att användas om det stöds av klienten, om klienten inte stöder det kommer den normala RDP-säkerhetsnivån att användas.
  • SSL– TLS 1.-kryptering kommer att användas för att autentisera servern och kryptera de överförda data mellan klienten och servern. Detta är det säkraste läget.

Att förse hög nivå Säkerhet kräver användning av SSL/TLS-kryptering. För dessa ändamål är det nödvändigt att ha digitalt certifikat, den kan vara självsignerad eller utfärdad av en CA (vilket är att föredra).

Utöver säkerhetsnivån kan du välja anslutningskrypteringsnivån. Följande typer av kryptering är tillgängliga:

  • Låg– använd 56 bitkryptering data som skickas från klient till server. Data som överförs från servern till klienten är inte krypterad.
  • Klientkompatibelden här typen kryptering används som standard. I detta fall krypteras all trafik mellan klienten och servern med maximal längd nyckel som klienten stödjer.
  • Hög– all data som överförs mellan klienten och servern i båda riktningarna är krypterad med en 128-bitars nyckel
  • FIPS-kompatibel– all data som överförs mellan klienten och servern i båda riktningarna krypteras med FIPS 140-1-metoden.

Det är värt att notera att om hög- eller FIPS-kompatibla krypteringsnivåer används, kommer alla klienter som inte stöder denna typ av kryptering inte att kunna ansluta till servern.

Du kan konfigurera serverautentiseringstypen och krypteringsnivån enligt följande:

  1. På RD Session Host-servern öppnar du konfigurationsfönstret för Remote Desktop Session Host och går till egenskapsfönstret.
  2. På fliken Allmänt väljer du önskad säkerhetsnivå och krypteringstyp från rullgardinsmenyerna.
  3. Klicka på OK.

Grupppolicyer

Det finns ett antal alternativ för att konfigurera RDS-inställningar i Windows Server 2008 R2 gruppolicy. Alla finns i avsnittet Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services (en skärmdump av Group Policy Management Console visas på bilden).

Som du kan se finns det licenshanteringspolicyer, RDC-klientkonfigurationspolicyer och själva RD Session Host-servern. Säkerhetspolicyer för RD Session Host inkluderar:

  • Ställ in klientanslutningskrypteringsnivå: Policyn används för att kontrollera krypteringsnivån. Om det är aktiverat måste alla anslutningar använda den angivna krypteringsnivån (standard är Hög).
  • AlltidPromptförLösenordFörbindelse: Denna policy används om det är nödvändigt att alltid fråga efter användarens lösenord när du ansluter till en RD-session, även om lösenordet angavs i RDC-klienten. Som standard kan användare automatiskt loggas in på en session om de har angett ett lösenord i RDC-klienten.
  • BehövaSäkraRPCKommunikation: — när policyn är aktiverad tillåts endast autentiserade och krypterade förfrågningar från klienter.
  • BehövaAnvända sig avavSpecifiksäkerhetLagerförAvlägsen (RDP) Anslutningar: När policyn är aktiverad måste alla anslutningar mellan klienten och terminalservern använda den säkerhetsnivå som anges här (RDP, Negotiate eller SSL/TLS)
  • DoInteTillåtaLokalAdministratörertillAnpassaBehörigheter: Policyn inaktiverar möjligheten för administratörer att konfigurera säkerhetsinställningar för RD Session Host.
  • Kräv användarautentisering för fjärranslutningar genom att använda nätverksnivåautentisering: Policyn innehåller ett NLA-krav för alla kopplingar till terminalserver(klienter utan NLA-stöd kommer inte att kunna ansluta).

RDC-klientinställningar finns i underavsnittet AvlägsenSkrivbordFörbindelseKlient:

  • Dointetillåtalösenordtillvarasparat: policyn förbjuder att spara lösenord i RDC-klienten, alternativet "Spara lösenord" blir otillgängligt, alla tidigare sparade lösenord kommer att raderas.
  • SpecificeraSHA1 tumavtryckavcertifikatrepresenterarbetrodd.rdpförlag: Den här policyn låter dig skapa en lista över SHA1-certifikattumavtryck, och om ett certifikat matchar ett tumavtryck i den här listan anses det vara betrodd.
  • Promptförreferenserdeklientdator: Policyn gör det möjligt att fråga efter användaruppgifter på klientdatorn i stället för RD-sessionsservern.

RD Web Access

Användare på datorer som inte har RDC-klienten installerad kan komma åt publicerade applikationer med en webbläsare. För att göra detta måste användaren öppna URL:en i webbläsaren där RDS-resurserna publiceras. RD Web Access-servern är en separat roll för RD-servern och är vanligtvis placerad på en dedikerad server.

Webbgränssnittet för RD Web Access-servern är baserat på användningen av SSL och användare kan logga in på det med sina referenser. Autentiserade användare ser bara en lista över publicerade program (RemoteApp) som de har åtkomst till.

Web Access-servern använder ett X.509-certifikat för kryptering. Standard är ett självsignerat certifikat.


2024 gtavrl.ru.