Erori  

Cum se asigură o conexiune rdp. Securizarea conexiunii RDP folosind SSL. Cum funcționează RDP

Din păcate, protocolul RDP cu securitate la nivel de rețea (SSL) nu a primit răspândită printre administratorii de sistem care preferă să protejeze conexiunile terminalelor într-un mod diferit. Acest lucru se poate datora complexității aparente a metodei, dar nu este cazul, acest material Vom analiza cum să organizăm o astfel de protecție simplu și fără dificultate.

Ce beneficii ne oferă securizarea RDP cu SSL? În primul rând, criptarea puternică a canalului, autentificarea serverului pe baza unui certificat și autentificarea utilizatorului la nivel de rețea. Ultima opțiune este disponibilă începând de la Windows Server 2008: Autentificarea la nivel de rețea îmbunătățește securitatea serverului terminal, permițând autentificarea să aibă loc înainte de începerea sesiunii.

Autentificarea la nivel de rețea este efectuată înainte de conectarea la desktopul de la distanță și de afișarea ecranului de autentificare, aceasta reduce sarcina pe server și crește semnificativ protecția acestuia împotriva intrușilor și malwareși, de asemenea, reduce probabilitatea atacurilor de tip denial of service.

Pentru a profita din plin de toate capabilitățile RDP peste SSL, computerele client trebuie să ruleze Control Windows XP SP3, Windows Vista sau Windows 7 și utilizați clientul RDP versiunea 6.0 sau o versiune ulterioară.

La folosind Windows Server 2003 SP1 și versiuni ulterioare, criptarea canalului folosind SSL (TLS 1.0) și autentificarea serverului vor fi disponibile, PC-urile client trebuie să aibă versiunea client RDP 5.2 sau mai recentă.

În articolul nostru ne vom uita la configurarea unui server terminal Bazat pe Windows Server 2008 R2, dar tot ceea ce s-a spus va fi adevărat pentru Windows Server 2003 (cu excepția caracteristicilor lipsă).

Pentru a implementa cu succes această soluție, rețeaua dvs. trebuie să aibă o autoritate de certificare funcțională, a cărei configurație am discutat în. Pentru a avea încredere în certificatele emise de această CA pe serverul terminal, trebuie să instalați certificatul CA (sau lanțul de certificate) în magazin.

Apoi ar trebui să solicitați un certificat de autenticitate de server cu următorii parametri:

Nume - numele complet al serverului terminal (adică server.domain.com dacă serverul face parte din domeniul domain.com)

  • Tip certificat - Certificat de autentificare server
  • Setați opțiunea Creați un nou set de chei
  • CSP- Furnizor de criptografic Microsoft RSA SChannel.
  • Bifați caseta Marcați cheia ca fiind exportabilă.
  • Pentru un CA de întreprindere, bifați caseta de selectare Utilizare depozitare locală calculator pentru certificat. (Într-un CA de sine stătător această opțiune nu este disponibil).

Trimiteți o solicitare autorității de certificare și instalați certificatul emis. Acest certificat trebuie instalat în stocarea locală a computerului, altfel nu poate fi utilizat de către Terminal Services. Pentru a verifica acest lucru, haideți să lansăm consola MMC (Start - Run - mmc) și adăugați echipamentul Certificate(Fișier - Adăugați sau eliminați un snap-in) Pentru cont calculator.

La rădăcina consolei, selectați clic Vizualizare - Opțiuniși setați modul de vizualizare Organizați certificatele în funcție de scop. Certificatul eliberat trebuie să fie într-un grup Autentificare pe server.

Dacă ați primit certificatul folosind o CA izolată (autonomă) (rețeaua nu are o structură de domeniu), atunci acesta va fi instalat implicit în magazinul de conturi de utilizator și va trebui să efectuați o serie de pași suplimentari.

Deschide Internet Explorer- Opțiuni Internet - Conținut - Certificate, certificatul emis trebuie instalat în magazin Personal.

Exportați-l. Când exportați, specificați următoarele opțiuni:

  • Da, exportați cheia privată
  • Eliminați cheia privată după exportul cu succes

Apoi ștergeți certificatul din acest magazin. Într-o clipă Certificate (calculator local) selectați secțiunea Autentificare pe server, dați clic pe el clic dreapta soareci Toate sarcinile - Importși importați certificatul.

Acum in Administrare - Servicii desktop la distanță deschide Configurarea gazdei sesiunii desktop la distanță(în Windows Server 2003 Administrative Tools - Configurarea serviciilor terminale).

Selectați conexiunea necesară și deschideți proprietățile acesteia. În partea de jos, faceți clic pe butonul Alegeși selectați certificatul primit la pasul anterior (în Windows Server 2003 această fereastră arată ușor diferit).

După selectarea certificatului, specificați proprietățile rămase:

  • Nivel de securitate SSL
  • Nivel de criptare Ridicat sau FIPS-compatibil
  • Bifați caseta Permite conexiuni numai de pe computere...(nu este disponibil pe Windows Server 2003)

Salvați parametrii introduși, aceasta completează configurarea serverului.

Pe computerul client, creați o conexiune desktop la distanță, utilizați numele complet al serverului specificat în certificat ca adresă. Deschideți proprietățile conexiunii și pe fila Conexiune - Autentificare server setați opțiunea Avertiza.

Pentru ca acest PC să aibă încredere în certificatele emise de autoritatea noastră de certificare, nu uitați să instalați certificatul CA pe el în stocare Autorități de certificare rădăcină de încredere.

În Windows 7 (când utilizați clientul RDP versiunea 7), acest certificat trebuie instalat în stocare cont de calculator, pentru a face acest lucru, importați-l prin snap-in Certificate (calculator local)în consola MCC, similar cu modul de mai sus. În caz contrar, conexiunea nu va fi posibilă și veți primi următoarea eroare:

După ce ați instalat certificatul CA, puteți încerca să vă conectați, rețineți că vi se va solicita să introduceți un nume de utilizator și o parolă înainte de a crea o sesiune RDP. Dacă conexiunea are succes, acordați atenție lacătului din titlul ferestrei, care indică funcționarea prin SSL. Făcând clic pe acesta, puteți vizualiza informații despre certificat.

Și în sfârșit, o picătură de unguent în unguent. Terminal Servicii Windows nu știu cum să verifice autenticitatea clienților conectați, așa că, dacă există o astfel de nevoie, ar trebui să utilizați metode de securitate suplimentare, cum ar fi un tunel SSH sau IPSec VPN.

Remote Desktop Services (RDS) în Windows Server 2008 R2 nu este doar o rebranding a predecesorului său, Terminal Services. Noile funcții, dintre care unele au apărut în Windows Server 2008, cum ar fi RemoteApp, RD Gateway și RD Virtualization Host, fac posibilă implementarea și operarea simplă și convenabilă atât a aplicațiilor individuale ale utilizatorului, cât și a desktopurilor întregi în soluțiile RDS și VDI, precum și funcționalitatea și confortul nu este mai rău decât cel al soluțiilor Citrix sau al complexelor de la alți furnizori.

Cum rămâne cu securitatea Serviciilor Desktop la distanță? Microsoft a actualizat și consolidat în mod semnificativ securitatea acestui serviciu. În acest articol vom vorbi despre mecanismele de securitate RDS, despre asigurarea securității serviciilor terminale folosind politici de grup și aspecte practice asigurarea securității soluțiilor RDS.

Ce este nou în R2

Dacă ați lucrat cu versiuni de Terminal Services în Windows Server 2003 și Windows Server 2008, atunci probabil vă amintiți că Windows 2008 a introdus o serie de caracteristici noi, cum ar fi (conexiune prin browser), (acces Terminal Services prin Internet), (publicare). aplicatii individuale prin protocolul RDP) și serviciu (oferind echilibrarea sarcinii).

Windows Server 2008 R2 a introdus următoarele caracteristici:

  • Virtualizare desktop la distanță pentru soluții VDI
  • Furnizor RDS pentru PowerShell (administratorul poate gestiona acum configurarea și gestionarea RDS de la linie de comandă sau folosind scripturi)
  • Remote Desktop IP Virtualization, care vă permite să atribuiți adrese IP conexiunilor în funcție de parametrii sesiunii sau ai aplicației care se lansează
  • Versiune nouă a protocolului RDP și a clientului Remote Desktop Connection (RDC) - v. 7.0
  • Gestionarea resurselor CPU pentru a aloca dinamic resursele CPU pe baza numărului de sesiuni active
  • Compatibilitate cu Windows Installer, permițându-vă să instalați programe cu posibilitatea de a configura în continuare setările aplicației din partea utilizatorului.
  • Suport la nivelul clientului pentru până la 16 monitoare.

În plus, funcțiile de lucru cu video și audio și suportul complet pentru tehnologia Windows Aero au fost îmbunătățite (rețineți că Aero nu este acceptat în modul multi-monitor).

Desigur, problemele de securitate RDS variază în funcție de soluție. De exemplu, dacă publicați un desktop pentru utilizatorii care se conectează prin Internet sau folosesc un browser, atunci problema de securitate apare mult mai acută decât atunci când soluție standard când clienții se conectează folosind clientul RDC prin retea locala LAN

Autentificare la nivel de rețea

Pentru a asigura o securitate mai mare, autentificarea la nivel de rețea (NLA) trebuie să fie activată pentru toate conexiunile. NLA solicită utilizatorului să se conecteze la serverul RD Session Host chiar înainte de crearea sesiunii. Acest mecanism vă permite să protejați serverul de procesarea sesiunilor inutile care pot fi generate de atacatori sau de programe bot. Pentru a profita de NLA, sistemul de operare client trebuie să accepte protocolul Credential Security Support Provider (CredSSP), ceea ce înseamnă Windows XP SP3 () și o versiune ulterioară, precum și un client RDP 6.0 sau o versiune ulterioară.

Puteți configura NLA pe serverul RD Session deschizând consola Administrative Tools -> Remote Desktop Services -> Desktop Session Host Configuration.

  1. Faceți clic dreapta pe conexiune
  2. Selectați Proprietăți
  3. Accesați fila General
  4. Bifați opțiunea „Permiteți conexiunile numai de la computere care rulează Desktop la distanță cu autentificare la nivel de rețea”
  5. Faceți clic pe OK.

Securitatea stratului de transport (TLS)

O sesiune RDS poate folosi unul dintre cele trei mecanisme de securitate pentru a proteja conexiunea dintre clienți și serverul RDS Session Host:

  • Stratul de securitate RDP– se folosește criptarea încorporată a protocolului RDP, care este mai puțin sigură.
  • Negocia– Criptarea TLS 1.0 (SSL) va fi folosită dacă este acceptată de client, dacă clientul nu o acceptă, se va folosi nivelul normal de securitate RDP.
  • SSL– criptarea TLS 1. va fi folosită pentru autentificarea serverului și criptarea datelor transmise între client și server. Acesta este modul cel mai sigur.

Pentru a asigura nivel înalt Securitatea necesită utilizarea criptării SSL/TLS. În aceste scopuri este necesar să existe certificat digital, poate fi autosemnat sau emis de un CA (ceea ce este de preferat).

Pe lângă nivelul de securitate, puteți selecta nivelul de criptare a conexiunii. Disponibil următoarele tipuri criptare:

  • Scăzut– Criptarea pe 56 de biți este utilizată pentru datele trimise de la client la server. Datele transferate de la server la client nu sunt criptate.
  • Compatibil cu clientulacest tip criptarea este utilizată implicit. În acest caz, tot traficul dintre client și server este criptat cu lungimea maximă a cheii pe care o acceptă clientul.
  • Ridicat– toate datele transmise între client și server în ambele direcții sunt criptate cu o cheie de 128 de biți
  • Conform FIPS– toate datele transmise între client și server în ambele direcții sunt criptate folosind metoda FIPS 140-1.

Este de remarcat faptul că, dacă sunt utilizate niveluri de criptare High sau FIPS Compliant, atunci toți clienții care nu acceptă acest tip de criptare nu se vor putea conecta la server.

Puteți configura tipul de autentificare a serverului și nivelul de criptare după cum urmează:

  1. Pe serverul RD Session Host, deschideți fereastra de configurare Remote Desktop Session Host și accesați fereastra de proprietăți.
  2. În fila General, selectați nivelul de securitate și tipul de criptare necesare din meniurile derulante.
  3. Faceți clic pe OK.

Politicile de grup

Există o serie de opțiuni de politică de grup pentru configurarea setărilor RDS în Windows Server 2008 R2. Toate acestea se află în secțiunea Configurare computer\Politici\Șabloane administrative\Componente Windows\Servicii desktop la distanță (în imagine este afișată o captură de ecran a Consolei de gestionare a politicilor de grup).

După cum puteți vedea, există politici de gestionare a licențelor, politici de configurare a clientului RDC și serverul RD Session Host în sine. Politicile de securitate RD Session Host includ:

  • Setați nivelul de criptare a conexiunii clientului: Politica este utilizată pentru a controla nivelul de criptare. Dacă este activată, toate conexiunile trebuie să utilizeze nivelul de criptare specificat (implicit este High).
  • ÎntotdeaunaPromptpentruParolăpeConexiune: Această politică este utilizată dacă este necesar să se ceară întotdeauna parola utilizatorului atunci când se conectează la o sesiune RD, chiar dacă parola a fost introdusă în clientul RDC. În mod implicit, utilizatorii pot fi conectați automat la o sesiune dacă au furnizat o parolă în clientul RDC.
  • SolicitaAsiguraRPCComunicare: — când politica este activată, sunt permise numai cererile autentificate și criptate de la clienți.
  • SolicitaUtilizaredeSpecificSecuritateStratpentruTelecomanda (RDP) Conexiuni: Când politica este activată, toate conexiunile dintre client și serverul terminal trebuie să utilizeze nivelul de securitate specificat aici (RDP, Negociere sau SSL/TLS)
  • DoNuPermiteLocalAdministratoriilaPersonalizațiPermisiuni: Politica dezactivează capacitatea administratorilor de a configura setările de securitate pentru gazdă sesiune RD.
  • Solicitați autentificarea utilizatorului pentru conexiunile la distanță utilizând autentificarea la nivel de rețea: Politica include o cerință NLA pentru toate conexiunile la serverul terminal (clienții fără suport NLA nu se vor putea conecta).

Setările clientului RDC sunt situate în subsecțiune TelecomandaDesktopConexiuneClient:

  • Donupermiteparolelelafisalvat: politica interzice salvarea parolelor în clientul RDC, opțiunea „Salvare parolă” devine indisponibilă, toate parolele salvate anterior vor fi șterse.
  • SpecificaSHA1 amprentele degetelordecertificatereprezentândde încredere.rdpeditorilor: Această politică vă permite să creați o listă de amprente de certificat SHA1, iar dacă un certificat se potrivește cu o amprentă din această listă, este considerat de încredere.
  • Promptpentruacreditărilepecelclientcalculator: Politica permite solicitarea acreditărilor utilizatorului pe computerul client, mai degrabă decât pe serverul sesiune RD.

Acces Web RD

Utilizatorii de pe computere care nu au clientul RDC instalat pot accesa aplicațiile publicate folosind un browser web. Pentru a face acest lucru, utilizatorul trebuie să deschidă adresa URL în browserul în care sunt publicate resursele RDS. Serverul RD Web Access este un rol separat al serverului RD și se află de obicei pe un server dedicat.

Interfața web a serverului RD Web Access se bazează pe utilizarea SSL și utilizatorii se pot conecta la acesta folosind acreditările lor. Utilizatorii autentificați văd doar o listă de programe publicate (RemoteApp) la care au acces.

Serverul Web Access folosește un certificat X.509 pentru criptare. Valoarea implicită este un certificat autosemnat.

Remote Desktop Services (RDS) în Windows Server 2008 R2 are mai mult decât un nume nou; Acesta nu este serviciul dvs. terminal vechi. Datorită noilor funcții (dintre care unele au fost introduse în Windows Server 2008), cum ar fi RemoteApp, RD Gateway și RD Virtualization Host, acest rol server Windows acum vă oferă flexibilitatea de a instala aplicații individuale sau mașini întregi folosind o soluție RDS sau VDI - în multe cazuri fără a fi nevoie de Citrix sau alte suplimente terțe.

Dar ce zici de securitate? Toate aceste complexități suplimentare au un impact puncte suplimentare in domeniul securitatii. În acest articol, vom analiza mecanismele de securitate încorporate în RDS, cum să folosiți setările de configurare și politica de grup pentru a îmbunătăți securitatea și cele mai bune practici pentru securizarea unei instalări RDS.

Ce este nou în R2

Dacă ajungeți la RDS după ce lucrați cu Windows Server 2008 Terminal Services, nu veți vedea atât de multe schimbări semnificative ca atunci când vă mutați de la Windows Server 2003. WS 2008 a adăugat câteva îmbunătățiri semnificative la Terminal Services, inclusiv TS Web Access pentru conectivitate printr-un browser, TS Gateway pentru utilizatorii care se conectează prin Internet, RemoteApp pentru livrarea aplicațiilor individuale către utilizatori prin Remote Desktop Protocol (RDP) și un Broker de sesiune care include funcționalitate de echilibrare a încărcăturii.

  • Virtualizare desktop la distanță pentru soluție VDI
  • Furnizor RDS pentru PowerShell, astfel încât administratorii să poată schimba configurația și să efectueze sarcini în shell-ul de comandă și folosind scripturi
  • Virtualizare adrese de rețea (Remote Desktop IP Virtualization), care vă permite să atribuiți adrese IP conexiunilor pentru fiecare sesiune sau program individual
  • Noua versiune a clientului RDP și Remote Desktop Connection (RDC), versiunea 7.0
  • Programarea CPU Fair Share pentru a distribui dinamic timpul de procesare între sesiuni pe baza numărului de sesiuni active.
  • Compatibil cu Windows Installer pentru a simplifica instalarea programelor care necesită personalizare pentru utilizatorii individuali.
  • Suport adevărat pentru mai multe monitoare (până la 16), datorită cărora programele funcționează în același mod cum funcționează pe mașinile client.

Există, de asemenea, îmbunătățiri ale suportului audio/video și Windows Aero într-o sesiune RD (cu toate acestea, rețineți că Desktop Composition, care alimentează Aero, nu este acceptată în sesiunile cu mai multe monitoare).

Aspecte și mecanisme de securitate

Desigur, potențialele probleme de securitate depind de modul în care instalați RDS. Dacă aveți o configurație mai complexă în care utilizatorii se conectează prin Internet și/sau browser, veți avea mai multe aspecte de securitate de luat în considerare și de tratat decât dacă aveți o configurație simplă în care utilizatorii se conectează numai prin RDC-uri client prin LAN.

RDS include o serie de mecanisme de securitate pentru a ajuta conexiunile RD mai sigure.

Autentificare la nivel de rețea

Pentru cel mai înalt nivel de securitate, autentificarea la nivel de rețea (NLA) ar trebui să fie necesară pentru toate conexiunile. NLA solicită utilizatorilor să se autentifice pe serverul RD Session Host înainte de a putea fi creată o sesiune. Acest lucru ajută la protejarea computerelor de la distanță împotriva utilizatorilor rău intenționați și a programelor malware. Pentru a utiliza NLA, computerul client trebuie să folosească sistem de operare, care acceptă protocoale Credential Security Support Provider (CredSSP), adică Windows XP SP3 și o versiune ulterioară și are, de asemenea, un client RDC 6.0 sau o versiune ulterioară.

NLA este configurat pe serverul RD Session Host în următoarea secțiune: Instrumente administrative | Servicii desktop la distanță | Configurarea gazdei sesiunii desktop. Pentru a configura conexiunea pentru a utiliza NLA, urmați acești pași:

  1. Faceți clic dreapta pe Conexiune
  2. Selectați Proprietăți
  3. Accesați fila General
  4. Bifați caseta de lângă „Permiteți conexiunile numai de pe computere care rulează Desktop la distanță cu verificarea rețelei autentificare (Permite conexiuni numai de la computere care rulează Desktop la distanță cu autentificare la nivel de rețea)", așa cum se arată în Figura 1
  5. Faceți clic pe OK.

Figura 1

Protocolul TLS (Transport Layer Security).

O sesiune RDS poate folosi unul dintre cele trei niveluri de securitate pentru a proteja conexiunile dintre clienți și serverul gazdă sesiunii RDS:

  • Nivel de securitate RDP Acest nivel utilizează criptarea RDP nativă și este cel mai puțin sigur Serverul gazdă sesiunii RD nu este autentificat.
  • Negociați „Criptarea TLS 1.0 (SSL) va fi utilizată dacă clientul o acceptă. Dacă nu, sesiunea va reveni la securitatea RDP.
  • Criptarea SSL „TLS 1.0 va fi folosită pentru a autentifica serverul și a cripta datele transferate între client și serverul gazdă sesiunii. Aceasta este cea mai sigură opțiune.

Pe lângă selectarea nivelului de securitate, puteți selecta și nivelul de criptare a conexiunii. Iată următoarele opțiuni:

  • Low "folosește criptarea pe 56 de biți pentru datele trimise de la client la server. Nu criptează datele trimise de la server la client.
  • „Client Compatible” este opțiunea implicită. Acesta criptează datele transmise între client și server cu cea mai puternică cheie pe care o acceptă clientul.
  • High „Această opțiune criptează datele în ambele direcții între client și server folosind criptarea pe 128 de biți.
  • Compatibil cu FIPS - Această opțiune criptează datele transmise în ambele direcții între client și server folosind un algoritm de criptare aprobat cu FIPS 140-1.

Vă rugăm să rețineți că, dacă selectați opțiunea High sau FIPS Compliant, orice client care nu acceptă aceste niveluri de criptare nu se va putea conecta.

Iată cum să configurați setările de autentificare și criptare a serverului:

  1. Pe serverul RD Session Host, deschideți secțiunea Remote Desktop Session Host Configuration, apoi proprietățile conexiunii, așa cum s-a menționat mai sus.
  2. În fila General, selectați nivelul adecvat de securitate și criptare din lista verticală, așa cum se arată în Figura 2.
  3. Faceți clic pe OK.

Figura 2

De asemenea, puteți utiliza politica de grup pentru a gestiona aceste setări de criptare și autentificare, precum și alte setări RDS.

Politica de grup

Există o serie de setări de politică de grup pentru RDS în Windows Server 2008 R2. Acestea se află sub Configurație computer\Politici\Șabloane administrative\Componente Windows\Servicii desktop la distanță în Consola de gestionare a politicilor de grup a domeniului dvs., așa cum se arată în Figura 3.

După cum puteți vedea, există politici pentru licențierea clienților RDC și a serverului RD Session Host. Politicile legate de securitate pentru serverul RD Session Host includ:

  • Șablon de certificat de autentificare server: Utilizați această politică pentru a specifica numele șablonului de certificat care determină ce certificat va fi selectat automat pentru a autentifica serverul gazdă sesiune RD. Dacă activați această politică, numai certificatele generate folosind șablonul specificat vor fi luate în considerare atunci când selectați un certificat pentru autentificarea serverului RD Session Host.
  • Setați nivelul de criptare a conexiunii clientului: această politică este utilizată pentru a controla dacă va fi necesar un anumit nivel de criptare. Când activați această politică, toate conexiunile trebuie să utilizeze nivelul de criptare specificat. Nivelul de criptare implicit este High.
  • Solicitați întotdeauna parola la conectare: Puteți utiliza această politică pentru a forța RDS să solicite întotdeauna utilizatorului o parolă atunci când se conectează la o sesiune RD, chiar dacă parola este introdusă pe clientul RDC. În mod implicit, utilizatorii se pot conecta automat dacă o parolă este introdusă pe clientul RDC.
  • Necesită comunicare RPC securizată: Activarea acestei politici înseamnă că vor fi permise numai cererile criptate și autentificate de la clienți. Conexiunile la clienți neîncrezători nu vor fi permise.
  • Necesită utilizarea unui strat de securitate specific pentru conexiuni la distanță (RDP): dacă activați această politică, toate conexiunile dintre clienți și serverele gazdă de sesiune trebuie să utilizeze nivelul de securitate pe care îl specificați aici (RDP, Negociere sau SSL/TLS)
  • Nu permiteți administratorilor locali să personalizeze permisiunile: Această politică dezactivează drepturile administratorilor de a modifica permisiunile de securitate în instrumentele de configurare a gazdei sesiunii RD, ceea ce împiedică administratorii locali să schimbe grupurile de utilizatori în fila Permisiuni a instrumentului de configurare.
  • Necesită autentificarea utilizatorului pentru conexiuni la distanță Solicitați autentificarea utilizatorului pentru conexiunile la distanță utilizând autentificarea la nivel de rețea: cu această politică, puteți solicita NLA pentru toate conexiunile la distanță la serverul gazdă sesiune RD. Numai clienții activați pentru NLA se vor putea conecta.

Nota: Iată cum puteți afla dacă un computer client acceptă autentificarea stratului de rețea: deschideți clientul RDC și faceți clic pe pictograma din colțul din stânga sus, apoi selectați „ Despre program". Dacă NLA este acceptat, veți vedea linia "Network Level Authentication Supported".

Alte setări ale politicii de grup care merită menționate se află în secțiunea RD Connection Client. Acestea includ:

  • Nu permiteți salvarea parolelor: activarea acestei opțiuni va dezactiva opțiunea de salvare a parolelor în dialogul client RDC. Dacă utilizatorul deschide fișierul RDP și își salvează setările, parolele salvate anterior vor fi șterse. Acest lucru obligă utilizatorul să-și introducă parola de fiecare dată când se conectează.
  • Specificați amprentele digitale SHA1 ale certificatelor care reprezintă de încredere. editori rdp): Folosind acest parametru, puteți specifica o listă de amprente de certificat SHA1, iar dacă certificatul se potrivește cu amprentele din listă, va fi considerat de încredere.
  • Solicitați acreditările pe computerul client: Această politică permite solicitarea acreditărilor pe computerele client, mai degrabă decât pe serverul gazdă sesiune RD.
  • Configurați autentificarea serverului pentru client: Acest parametru vă permite să specificați dacă clientul va putea crea o conexiune la serverul gazdă sesiune RD atunci când nu poate verifica identitatea serverului gazdă sesiune RD. Cea mai sigură opțiune este opțiunea „Nu vă conectați dacă autentificarea eșuează”.

De asemenea, puteți utiliza Politica de grup pentru a configura conformitatea cu FIPS, dar această politică nu se găsește aici împreună cu alte politici de securitate RDS. Se află în următoarea secțiune: Configurare computer\Setări Windows\Setări de securitate\Politici locale\Opțiuni de securitate. În panoul din dreapta, derulați în jos la: „Criptografie de sistem: utilizați algoritmi conformi FIPS pentru criptare, hashing și semnare”. Când este activată, această politică acceptă doar algoritmul de criptare Triple DES (3DES) pentru conexiunile RDS.

Acces Web RD

Pe computerele care nu au clientul RDC instalat, utilizatorii pot accesa aplicațiile publicate pe care le pot accesa dintr-un browser web. Utilizatorul merge la adresa URL, pentru care sunt publicate resurse RDS. Server de acces Web RD Web Access Server este un server separat de RD Session Host. Specificați ce servere RD Web Access se pot conecta la care servere RD Session Host.

Interfața web este configurată cu SSL și utilizatorul trebuie să se autentifice folosind acreditările sale. Verificat autentificare, utilizatorul va putea vedea doar acele programe RemoteApp pe care contul său este autorizat să le folosească, deoarece aceste programe publicate sunt „decupate” folosind o listă de control al accesului (ACL).

Serverul Web Access folosește un certificat X.509 pentru a oferi criptare. Valoarea implicită este un certificat auto-înregistrat. Pentru o mai mare securitate, ar trebui să obțineți un certificat de la o autoritate publică de certificare sau de la PKI-ul companiei dumneavoastră.

RD Gateway

Gateway-ul RD (RDG) este utilizat pentru a oferi utilizatorilor acces la resurse RD prin Internet. Serverul Gateway este situat la margine și filtrează cererile RDS primite în funcție de Network Policy Server (NPS). NPS utilizează două politici: o politică de autorizare a conexiunii (CAP), care specifică ce utilizatori pot accesa RDG și o politică de autorizare a resurselor (RAP), care specifică la ce dispozitive CAP se poate conecta un utilizator prin RDG .

Concluzie

Serviciile desktop la distanță din Windows Server 2008 R2 îmbunătățesc foarte mult funcționalitatea predecesorului său, Serviciile terminale, dar introduce și câteva noi considerații de securitate pe care ar trebui să le luați în considerare Urmând cele mai bune practici pentru securitate maximă atunci când configurați componentele de configurare RDS, RD Session Host, RD Web Accesați Server, Gateway RD și Client și folosind Politica de grup pentru gestionarea configurației, puteți obține un mediu securizat și puteți profita de livrarea aplicației RDS și puteți oferi utilizatorilor o experiență completă de desktop.

Destul de comun pentru mulți utilizatori care folosesc sesiuni acces la distanță, apare întrebarea cum se schimbă portul RDP. Acum să ne uităm la cele mai simple soluții și să indicăm, de asemenea, câteva etape principale ale procesului de configurare.

Pentru ce este protocolul RDP?

În primul rând, câteva cuvinte despre RDP. Dacă te uiți la decodificarea abrevierei, poți înțelege acel acces la distanță

În termeni simpli, acesta este un instrument pentru un server terminal sau o stație de lucru. Setările Windows (și orice versiune a sistemului) folosesc setări implicite care se potrivesc majorității utilizatorilor. Cu toate acestea, uneori este nevoie să le schimbați.

Port RDP standard: ar trebui schimbat?

Deci, indiferent de modificarea Windows, toate protocoalele au o semnificație prestabilită. Acesta este portul RDP 3389, care este folosit pentru a efectua o sesiune de comunicare (conectarea unui terminal la cele de la distanță).

Care este motivul pentru situația în care valoarea standard trebuie schimbată? În primul rând, doar cu securitate calculator local. La urma urmei, dacă te uiți la el, cu un port standard instalat, în principiu, orice atacator poate pătrunde cu ușurință în sistem. Deci acum să vedem cum să schimbăm portul RDP implicit.

Modificarea setărilor din registrul de sistem

Să observăm imediat că procedura de schimbare se efectuează exclusiv în modul manual, iar în clientul de acces la distanță în sine nu există nicio prevedere pentru resetarea sau setarea de noi parametri.

Mai întâi, apelați editorul de registry standard cu comanda regedit din meniul „Run” (Win + R). Aici ne interesează ramura HKLM, în care trebuie să coborâm arborele de partiții prin directorul serverului terminal în directorul RDP-Tcp. În fereastra din dreapta găsim cheia PortNumber. Este sensul său pe care trebuie să îl schimbăm.

Intrăm în editare și vedem 00000D3D acolo. Mulți oameni sunt imediat perplexi despre ce este. Și aceasta este doar o reprezentare hexazecimală a numărului zecimal 3389. Pentru a indica portul în formă zecimală, folosim linia corespunzătoare pentru a afișa reprezentarea valorii și apoi specificăm parametrul de care avem nevoie.

După aceasta, repornim sistemul și când încercăm să ne conectăm, specificăm un nou port RDP. O altă modalitate de conectare este să utilizați comanda specială mstsc /v:ip_address:XXXXX, unde XXXXX este număr nou port. Dar asta nu este tot.

Reguli Windows Firewall

Vai, dar încorporat Firewall Windows poate bloca noul port. Aceasta înseamnă că trebuie să faceți modificări la setările paravanului de protecție în sine.

Apelați setările paravanului de protecție cu setări avansate de securitate. Aici ar trebui mai întâi să selectați conexiunile primite și să faceți clic pe linie pentru a crea o nouă regulă. Acum selectăm elementul pentru a crea o regulă pentru port, apoi introducem valoarea acestuia pentru TCP, apoi permitem conexiunea, lăsăm secțiunea de profiluri neschimbată și în final atribuim un nume noii reguli, după care facem clic pe butonul de configurare completă. Tot ce rămâne este să reporniți serverul și, atunci când vă conectați, să specificați noul port RDP prin două puncte în linia corespunzătoare. În teorie, nu ar trebui să existe probleme.

Redirecționarea portului RDP de pe router

În unele cazuri când este utilizat conexiune fără fir, și nu cablu, poate fi necesar să redirecționați portul de pe router (router). Nu este nimic complicat în asta.

În primul rând, în proprietățile sistemului, permitem și indicăm utilizatorii care au dreptul să facă acest lucru. Apoi accesați meniul de setări al routerului prin browser (192.168.1.1 sau la sfârșitul 0.1 - totul depinde de modelul de router). În câmp (dacă adresa noastră principală este 1.1), este indicat să indicați adresa începând cu a treia (1.3) și să scrieți regula de emitere a adresei pentru a doua (1.2).

Apoi in conexiuni de rețea Folosim vizualizarea detaliilor, unde ar trebui să vizualizați detaliile, să copiați adresa MAC fizică de acolo și să o lipiți în parametrii routerului.

Acum, în secțiunea de setări NAT de pe modem, activați conexiunea la server, adăugați o regulă și specificați portul XXXXX, care trebuie redirecționat către portul RDP standard 3389. Salvați modificările și reporniți routerul (noul port va nu poate fi acceptat fără repornire). Puteți verifica conexiunea pe un site web specializat, cum ar fi ping.eu, în secțiunea de testare porturi. După cum puteți vedea, totul este simplu.

În cele din urmă, rețineți că valorile portului sunt distribuite după cum urmează:

  • 0 - 1023 - porturi pentru programe de sistem de nivel scăzut;
  • 1024 - 49151 - porturi alocate în scop privat;
  • 49152 - 65535 - porturi private dinamice.

În general, mulți utilizatori selectează de obicei porturile RDP din a treia gamă a listei pentru a evita problemele. Cu toate acestea, atât specialiștii, cât și experții recomandă utilizarea acestor valori în setări, deoarece sunt potrivite pentru majoritatea sarcinilor.

În ceea ce privește această procedură specială, este utilizată în principal numai în cazurile de conexiune Wi-Fi. După cum puteți vedea deja, cu o conexiune normală prin cablu nu este necesară: doar schimbați valorile cheilor de registry și adăugați reguli pentru portul în firewall.

Sistemul Windows oferă de multă vreme capacitatea de a implementa acces la distanță prin protocolul RDP. Acest instrument standard a apărut în versiunea Windows NT 4.0, lansată în 1996. A fost mai mult sau mai puțin modificat funcțional în versiunea Windows XP și și-a găsit completitatea deja ca parte a Windows 7. Versiunile de Windows 8/8.1 și 10 au moștenit accesul de la distanță prin protocolul RDP de la Windows 7 fără modificări funcționale.

Mai jos vom analiza în detaliu funcționarea accesului de la distanță prin protocolul RDP în versiuni Windows 7, 8.1 și 10.

1. Acces de la distanță prin protocol RDP

Conexiunea folosind protocolul RDP se realizează între computere situate în aceeași rețea locală. Acest tip de conexiune este destinat în primul rând specialiștilor IT care întrețin computerele companiei integrate în rețeaua lor de producție. Fără a părăsi locul de muncă, conectându-se de la distanță la computerele angajaților întreprinderii, specialiștii de sistem pot rezolva probleme care nu necesită intervenție în hardware-ul mașinilor și pot lua măsuri preventive.

Conectarea la un computer la distanță folosind protocolul RDP este posibilă și în afara rețelei locale, prin Internet. Dar acest lucru va necesita pași suplimentari - fie redirecționarea portului 3389 pe router, fie conectarea cu un computer la distanță în o singură rețea VPN. Având în vedere acest lucru, conectarea la un computer la distanță prin Internet este mult mai ușoară folosind alte instrumente software care nu necesită acțiuni inutile. Acesta este, de exemplu, standard Utilitarul Windows„Asistență de la distanță” pentru furnizarea de asistență computerizată prin Internet. Funcționează pe principiul trimiterii unui fișier de invitație către utilizatorul care va furniza ajutor computer. Analogii săi mai funcționali de pe piața de software Windows sunt programe precum .

Protocolul RDP este, de asemenea, utilizat pentru a vă conecta la mașini virtuale. O conexiune la distanță prin RDP poate oferi mai multe oportunități decât fereastra de conexiune standard a unui hypervisor standard. Fereastra de conexiune Hyper-V nu oferă redarea sunetului în sistemul de operare invitat, nu vede dispozitivele de stocare USB conectate și nu poate oferi mai multă conexiune cu un computer fizic decât inserarea textului copiat în acesta. În timp ce o conexiune RDP poate oferi vizibilitate mașină virtuală diverse dispozitive, conectat la calculator fizic, Mai mult imagine de înaltă calitate desktop OS invitat, lucrul cu sunet etc.

Pentru a se conecta prin RDP, computerul la distanță trebuie să îndeplinească următoarele cerințe:

  • Trebuie să aibă un cont protejat prin parolă;
  • Sistemul trebuie să permită conexiuni la distanță;
  • Dacă nu doriți să vă schimbați datele de acces de fiecare dată când vă conectați cu o adresă IP dinamică în continuă schimbare, trebuie să atribuiți o adresă IP statică în setările rețelei.

Accesul de la distanță este posibil numai pe computerele cu ediții instalate Windows Pro, Enterprise sau Ultimate. Versiunile Home de Windows (Home) nu oferă acces la distanță prin RDP.

2. Parola de pe computerul de la distanță

Dacă lucrați pe un computer de la distanță folosind un cont Microsoft și utilizați un cod PIN scurt în loc de o parolă lungă, atunci când vă conectați prin RDP, trebuie să introduceți aceeași parolă lungă, și nu un cod PIN de patru cifre.

Dacă pe computerul de la distanță este utilizat un cont local fără parolă și nu este nevoie specială de o parolă, cum ar fi atunci când vă conectați la virtual Mașini Hyper-V, cel putin cea mai simplă parolă va trebui creat ceva de genul „777” sau „qwerty”.

3. Adresa IP a computerului de la distanță

Când vă conectați prin RDP, va trebui să introduceți o adresă IP computer la distanță. Adresa IP internă este vizibilă în parametrii rețelei sisteme. Dar în versiunile de Windows 7, 8.1 și 10 acestea sunt trei căi diferite. În Windows 7, aceasta este o secțiune a Panoului de control, iar în Windows 8.1 și 10 este aplicația Setări, cu propria organizare inerentă fiecărei versiuni. Prin urmare, vom afla adresa IP internă într-un mod universal potrivit pentru fiecare dintre aceste sisteme - prin linia de comandă. Comanda rapidă pentru lansarea promptului de comandă în Windows 7 este disponibilă în meniul Start. În Windows 8.1 și 10, linia de comandă este lansată de la meniul contextual pe butonul Start.

În fereastra liniei de comandă, introduceți:

După apăsarea Enter, vom obține un rezumat al datelor, unde va fi vizibilă adresa IP internă.

4. Permiterea conexiunilor de la distanță

Permisiune de conectare de la distanță la sisteme Windows inițial, de regulă, dezactivat. În orice caz, acest lucru se aplică cu siguranță ansamblurilor licențiate. Posibilitatea de a vă conecta prin RDP pe un computer la distanță este activată în setările sistemului. Avem nevoie de secțiunea „Sistem”. În versiunea Windows 7, acesta poate fi accesat căutând în meniul Start. Și în Windows 8.1 și 10, puteți ajunge la secțiunea „Sistem” din meniul contextual de pe butonul „Start”.

Faceți clic pe „Configurarea accesului la distanță”.

În fereastra de proprietăți ale sistemului, trebuie să setați opțiunea pentru a permite conexiunile la distanță să fie active. Nu este nevoie să eliminați opțiunea de autentificare. Pentru a aplica modificările, faceți clic pe „Aplicați” de mai jos.

Astfel de setări vor deschide calea către o conexiune la distanță, dar numai pentru contul de administrator. Utilizatorii obișnuiți de cont nu au voie să-și ofere singuri un computer pentru telecomanda. Administratorul le poate acorda acest drept.

Sub opțiunea de a permite conexiunile la distanță există un buton „Selectați utilizatori”. Hai să-l apăsăm.

În câmpul de mai jos, introduceți numele utilizatorului căruia i se permite să se conecteze la el prin protocolul RDP. Pentru conturile locale acesta este numele lor, iar pentru conturile Microsoft acesta este Adresa de e-mail, cu ajutorul căruia intervine autorizarea. Faceți clic pe „Ok”.

Asta este - acum contul acestui utilizator va fi accesibil de pe orice computer din rețeaua locală.

5. Conectați-vă la un computer la distanță

Toate acțiunile necesare pe computerul de la distanță au fost finalizate, să trecem la computerul principal de la care se vor efectua conexiunea și controlul. Lansa utilitate standard Vă puteți conecta folosind protocolul RDP găsindu-i comanda rapidă folosind o căutare în sistem. În Windows 7, aceasta este o căutare în meniul Start.

În versiunile de Windows 8.1 și 10, apăsați tastele Win+Q.

Va apărea o mică fereastră de conectare. În viitor, va fi posibil să vă conectați la computere de la distanță folosind exact această formă prescurtată. Dar pentru moment, faceți clic pe „Afișați opțiuni”.

În câmpul „Computer”, introduceți adresa IP a computerului de la distanță. În câmpul de mai jos - „Utilizator” - în consecință, introduceți numele de utilizator. Dacă un cont este conectat la computerul de la distanță intrare Microsoft, introduceți adresa dvs. de e-mail.

Dacă lucrați pe computer folosind un cont local obișnuit, numele de utilizator trebuie introdus în formatul:

Computer\Utilizator

De exemplu, DESKTOP-R71R8AM\Vasya, Unde DESKTOP-R71R8AM este numele computerului și Vasia– numele de utilizator al contului local.

Sub numele de utilizator există o opțiune de salvare a datelor de autorizare pe un computer la distanță. Parametrii de conexiune - adresa IP, numele de utilizator și parola - pot fi salvați ca fișier RDP separat și utilizați pentru a-l deschide pe alt computer. Faceți clic pe „Conectați”, apoi pe „Conectați” din nou într-o fereastră nouă.

Introduceți parola pentru contul de computer la distanță.

Faceți clic pe „Da” în fereastra de eroare a certificatului.

Vom obține mai multe setări pentru conectarea prin protocolul RDP în fereastra utilitarului inițial, înainte de a stabili conexiunea.

6. Conectați-vă la alt cont pe un computer la distanță

Sub coloana pentru completarea numelui de utilizator al computerului la distanță, dacă caseta de selectare „Solicitați întotdeauna acreditările” nu este bifată, sunt afișate opțiuni pentru ștergerea și modificarea datelor de acces. Făcând clic pe opțiunea „Schimbare”, pe lângă formularul de autorizare dintr-un cont existent pe un computer la distanță, vom vedea posibilitatea de a ne conecta la un alt cont care este prezent pe același computer.

După introducerea unui nou nume de utilizator și parolă, datele de autorizare pentru o anumită adresă IP vor fi suprascrise.

7. Setări de conexiune

În fereastra deschisă pentru conectarea la un computer la distanță, vom găsi file cu parametri personalizabili. Primele două se referă la confortul și funcționalitatea accesului de la distanță.

„Ecran” – în această filă puteți seta rezoluția ecranului computerului la distanță se va deschide fereastra de utilitate cu această rezoluție după conectare; Dacă accesul se face din calculator slab, puteți seta rezoluția la scăzută și puteți sacrifica profunzimea culorii.

« Resurse locale» – aici pentru a economisi bani resurse de sistem Puteți dezactiva redarea audio pe computerul de la distanță. Sau, dimpotrivă, puteți instala și înregistrarea audio de la un computer la distanță. În coloană dispozitive localeși resurse după ce facem clic pe butonul „Detalii”, putem, pe lângă imprimanta activă, să selectăm dispozitive ale computerului principal care vor funcționa pe computerul de la distanță. Acestea sunt carduri inteligente, separate secțiuni de hard discuri, unități flash, carduri de memorie, hard disk-uri externe.

Un obstacol în calea utilizării protocolului RDP poate fi blocarea acestuia de către antivirusuri. În acest caz, protocolul RDP trebuie activat în setări programe antivirus.

O zi bună!