Standardní nástroj Windows pro vzdálený přístup přes RDP v rámci lokální sítě. RDP - Remote Desktop Protocol Ochrana vzdáleného připojení Rdp

Tuto zkratku jistě mnozí z vás již slyšeli a viděli – doslova se překládá jako Protokol vzdálené plochy (Dálkovýplocha počítačeprotokol). Pokud někoho zajímají technické jemnosti fungování tohoto protokolu aplikační úrovně, může si přečíst literaturu, počínaje stejnou Wikipedií. Budeme zvažovat čistě praktické aspekty. A to skutečnost, že tento protokol umožňuje vzdálené připojení k počítačům se systémem Windows různých verzí pomocí nástroje „Remote Desktop Connection“ zabudovaného ve Windows.

Jaké jsou výhody a nevýhody používání protokolu RDP?

Začněme tím příjemným – klady. Výhodou je, že tento nástroj, který se správněji nazývá KlientPRV, je k dispozici všem uživatelům Windows, a to jak na počítači, ze kterého má být dálkový ovladač ovládán, tak i těm, kteří si chtějí otevřít vzdálený přístup ke svému počítači.

Prostřednictvím připojení ke vzdálené ploše je možné vzdálenou plochu nejen vidět a využívat prostředky vzdáleného počítače, ale také k ní připojit lokální disky, tiskárny, čipové karty atd. Samozřejmě, pokud chcete sledovat video nebo poslouchat hudbu přes RDP, tento proces vám pravděpodobně nepřinese potěšení, protože... ve většině případů uvidíte prezentaci a zvuk bude pravděpodobně přerušen. Služba RDP však pro tyto úkoly nebyla vyvinuta.

Další nepochybnou výhodou je, že připojení k počítači probíhá bez jakýchkoliv doplňkových programů, které jsou většinou placené, i když mají své výhody. Doba přístupu k serveru RDP (což je váš vzdálený počítač) je omezena pouze vaším přáním.

Mínusy jsou jen dvě. Jeden je významný, druhý už tolik ne. První a zásadní je, že pro práci s RDP musí mít počítač, ke kterému se připojujete, bílou (externí) IP, nebo musí být možné „přeposlat“ port z routeru na tento počítač, který opět musí mít externí IP. Nezáleží na tom, zda je statický nebo dynamický, ale musí být.

Druhá nevýhoda není tak podstatná – nejnovější verze klienta již nepodporují 16barevné barevné schéma. Minimálně - 15bit. To značně zpomaluje RDP, když se připojujete přes zakrnělý, mrtvý internet s rychlostí nepřesahující 64 kilobitů za sekundu.

K čemu můžete využít vzdálený přístup přes RDP?

Organizace zpravidla používají servery RDP pro spolupráci v programu 1C. A někteří na ně dokonce nasazují uživatelské pracovní stanice. Uživatel, zejména pokud má práci na cestách, se tak může, pokud má 3G internet nebo hotelovou/kavárenskou Wi-Fi, připojit na své pracoviště na dálku a vyřešit všechny problémy.

V některých případech mohou domácí uživatelé využít vzdálený přístup ke svému domácímu počítači k získání některých dat z domácích zdrojů. Služba vzdálené plochy v zásadě umožňuje plně pracovat s textovými, inženýrskými a grafickými aplikacemi. Z výše uvedených důvodů to nebude fungovat se zpracováním videa a zvuku, ale stále je to velmi významné plus. Můžete také zobrazit zdroje, které jsou v práci uzavřeny zásadami společnosti, připojením k domácímu počítači bez jakýchkoliv anonymizátorů, VPN nebo jiných zlých duchů.

Příprava internetu

V předchozí části jsme mluvili o tom, že pro umožnění vzdáleného přístupu přes RDP potřebujeme externí IP adresu. Tuto službu může poskytovat poskytovatel, proto zavoláme nebo napíšeme, případně přejdeme na váš osobní účet a domluvíme se na poskytnutí této adresy. Ideálně by měl být statický, ale v zásadě se dá žít i s dynamickými.

Pokud někdo nerozumí terminologii, pak je statická adresa konstantní a dynamická adresa se čas od času mění. Aby bylo možné plně pracovat s dynamickými IP adresami, byly vynalezeny různé služby, které poskytují dynamickou vazbu domény. Co a jak, na toto téma bude brzy článek.

Příprava routeru

Pokud váš počítač není připojen přímo k ISP kabelu k internetu, ale prostřednictvím routeru, budeme muset také provést některé manipulace s tímto zařízením. jmenovitě - dopředný servisní port - 3389. V opačném případě vás NAT vašeho routeru jednoduše nepustí do vaší domácí sítě. Totéž platí pro nastavení serveru RDP v organizaci. Pokud nevíte, jak přesměrovat port, přečtěte si článek Jak přesměrovat porty na routeru (otevře se na nové kartě), pak se vraťte sem.

Příprava počítače

Chcete-li vytvořit možnost vzdáleného připojení k počítači, musíte udělat přesně dvě věci:

Povolte připojení ve vlastnostech systému;
- nastavit heslo pro aktuálního uživatele (pokud heslo nemá), nebo vytvořit nového uživatele s heslem speciálně pro připojení přes RDP.

Sami se rozhodněte, co s uživatelem uděláte. Mějte však na paměti, že neserverové operační systémy nativně vícenásobné přihlášení nepodporují. Tito. pokud se přihlásíte lokálně (konzole) a poté se vzdáleně přihlásíte jako stejný uživatel, bude místní obrazovka uzamčena a relace na stejném místě se otevře v okně Připojení ke vzdálené ploše. Pokud zadáte heslo lokálně bez ukončení RDP, budete vyloučeni ze vzdáleného přístupu a na místním monitoru uvidíte aktuální obrazovku. Totéž vás čeká, pokud se na konzoli přihlásíte jako jeden uživatel a na dálku se pokusíte přihlásit jako jiný. V takovém případě vás systém vyzve k ukončení místní uživatelské relace, což nemusí být vždy vhodné.

Tak jdeme na Start, klikněte pravým tlačítkem na nabídku Počítač a stiskněte Vlastnosti.

Ve vlastnostech Systémy Vybrat Pokročilé systémové nastavení

V okně, které se otevře, přejděte na kartu Vzdálený přístup

...klikněte dodatečně

A zaškrtněte jediné políčko na této stránce.

Toto je „domácí“ verze Windows 7 – ti, kteří mají Pro a vyšší, budou mít více zaškrtávacích políček a je možné rozlišit přístup.

Klikněte OK všude.

Nyní můžete přejít na Připojení ke vzdálené ploše (Start>Všechny programy>Příslušenství), zadat tam IP adresu nebo název počítače, pokud se k němu chcete připojit z domácí sítě a využívat všechny prostředky.

Takhle. V zásadě je vše jednoduché. Pokud máte najednou nějaké otázky nebo něco není jasné, vítáme vás v komentářích.

Docela často má mnoho uživatelů, kteří používají relace vzdáleného přístupu, otázku, jak změnit port RDP. Nyní se podíváme na nejjednodušší řešení a také naznačíme několik hlavních fází procesu nastavení.

K čemu je protokol RDP?

Nejprve pár slov o RDP. Když se podíváte na dekódování zkratky, pochopíte ten vzdálený přístup

Jednoduše řečeno, jedná se o nástroj pro terminálový server nebo pracovní stanici. Nastavení systému Windows (a jakékoli verze systému) používají výchozí nastavení, která vyhovují většině uživatelů. Někdy je však potřeba je změnit.

Standardní port RDP: měl by se změnit?

Takže bez ohledu na modifikaci Windows mají všechny protokoly přednastavený význam. Jedná se o RDP port 3389, který se používá k uskutečnění komunikační relace (propojení jednoho terminálu se vzdálenými).

Jaký je důvod situace, kdy je potřeba změnit standardní hodnotu? Především pouze se zajištěním bezpečnosti místního počítače. Koneckonců, když se na to podíváte, s nainstalovaným standardním portem může v zásadě každý útočník snadno proniknout do systému. Nyní se tedy podívejme, jak změnit výchozí port RDP.

Změna nastavení v systémovém registru

Okamžitě poznamenejme, že postup změny se provádí výhradně v ručním režimu a samotný klient vzdáleného přístupu nezajišťuje žádné resetování nebo instalaci nových parametrů.

Nejprve zavolejte standardní editor registru pomocí příkazu regedit v nabídce Spustit (Win + R). Zde nás zajímá větev HKLM, ve které musíme jít dolů ve stromu oddílů přes adresář terminálového serveru do adresáře RDP-Tcp. V okně vpravo najdeme klíč PortNumber. Je to jeho význam, který musíme změnit.

Jdeme do editace a vidíme tam 00000D3D. Mnoho lidí je okamžitě zmateno, co to je. A toto je pouze hexadecimální reprezentace dekadického čísla 3389. Pro označení portu v desítkovém tvaru použijeme odpovídající řádek k zobrazení reprezentace hodnoty a poté určíme parametr, který potřebujeme.

Poté restartujeme systém a při pokusu o připojení zadejte nový port RDP. Dalším způsobem připojení je použití speciálního příkazu mstsc /v:ip_address:XXXXX, kde XXXXX je nové číslo portu. Ale to není všechno.

Pravidla brány Windows Firewall

Vestavěný firewall systému Windows může bohužel nový port blokovat. To znamená, že musíte provést změny v nastavení samotného firewallu.

Vyvolejte nastavení brány firewall s pokročilým nastavením zabezpečení. Zde byste měli nejprve vybrat příchozí spojení a kliknutím na řádek vytvořit nové pravidlo. Nyní vybereme položku pro vytvoření pravidla pro port, poté zadáme jeho hodnotu pro TCP, následně povolíme připojení, necháme sekci profilů beze změny a nakonec přiřadíme název novému pravidlu, načež klikneme na tlačítko kompletní konfigurace. Zbývá pouze restartovat server a při připojování zadat nový port RDP dvojtečkou v příslušném řádku. Teoreticky by neměly být žádné problémy.

Přesměrování portu RDP na routeru

V některých případech, kdy místo kabelového připojení používáte bezdrátové připojení, může být nutné přesměrovat port na routeru. Není na tom nic složitého.

Nejprve ve vlastnostech systému povolujeme a označujeme uživatele, kteří k tomu mají právo. Poté přes prohlížeč přejdeme do nabídky nastavení routeru (192.168.1.1 nebo na konci 0.1 - vše závisí na modelu routeru). Do pole (pokud je naše hlavní adresa 1.1) je vhodné uvést adresu počínaje třetí (1.3) a pro druhou (1.2) napsat pravidlo pro vydání adresy.

V síťových připojeních pak používáme zobrazení podrobností, kde byste si měli prohlédnout podrobnosti, zkopírovat odtud fyzickou MAC adresu a vložit ji do parametrů routeru.

Nyní v sekci nastavení NAT na modemu povolte připojení k serveru, přidejte pravidlo a zadejte port XXXXX, který je třeba přesměrovat na standardní RDP port 3389. Uložte změny a restartujte router (nový port se nelze přijmout bez restartu). Připojení si můžete ověřit na některém specializovaném webu jako je ping.eu v sekci testování portů. Jak vidíte, vše je jednoduché.

Nakonec si všimněte, že hodnoty portů jsou distribuovány následovně:

  • 0 - 1023 - porty pro nízkoúrovňové systémové programy;
  • 1024 - 49151 - přístavy přidělené pro soukromé účely;
  • 49152 - 65535 - dynamické soukromé porty.

Obecně platí, že mnoho uživatelů obvykle vybírá porty RDP ze třetího rozsahu seznamu, aby se vyhnuli problémům. Specialisté i odborníci však doporučují používat tyto hodnoty v nastavení, protože jsou vhodné pro většinu úkolů.

Pokud jde o tento konkrétní postup, používá se především pouze v případech Wi-Fi připojení. Jak již vidíte, u běžného kabelového připojení to není nutné: stačí změnit hodnoty klíčů registru a přidat pravidla pro port ve bráně firewall.

RDP - Remote Desktop Protocol

Nejprve zde budeme hovořit o samostatném serveru. Tedy o samostatném serveru. A ne o řadičích domény a podnikových sítích. (vyžadují se tam vysoce kvalifikovaní specialisté)

Situace, kdy vám přišel na mysl nápad a rozhodli jste se ho uvést v život. A k jeho implementaci je potřeba mít Server, který si pronajmete v určitém datovém centru.

Vybrali jste si vhodný tarif, zaplatili peníze a nyní již máte Server, na kterém je nainstalován potřebný software. Ve většině případů pro takové pilotní projekty postačuje Windows 2003 Server. Docela levné a účinné.

Technická podpora vám poskytne IP adresu, přihlašovací jméno a heslo pro přístup k RDP a vy můžete začít svou cestu plnou... no, obecně – nezdá se to jako mnoho.

Ve výchozím nastavení můžeme říci, že tato služba ve Windows je nakonfigurována tak, aby uživateli způsobovala spoustu potíží a problémů.

I když to samozřejmě funguje samo o sobě a svou funkci plní perfektně. Jenže postupem času (někdy už může být pozdě) si neopatrný majitel vzdáleného serveru s hrůzou uvědomí, co se vlastně s jeho systémem děje a jaký dav krvežíznivých lidí stojí kolem zdí jeho pevnosti.
Je to jako vypnout infračervený filtr na DVR a najednou začít vidět zdroje videa - kamery dopravní policie se záznamem fotografií a signály z dálkových ovladačů televizorů.

Začnete vidět a pak možná pochopíte.

Na jedné straně vývojáři softwaru předstírají, že své systémy vyrábějí pro běžného člověka, a vy tomu začnete věřit.

Ale na druhou stranu titíž vývojáři předpokládají, že klávesnici může zvednout pouze certifikovaný specialista. A to tak, že certifikát je z letošního roku.

Takový je paradox.

Řeknu vám, jak to doopravdy vypadá.

Ale ve skutečnosti si hordy hackerů po přečtení tuctu řádků na fórech stahují hotové seznamy serverů s otevřeným portem RDP. A začnou se vám vloupat do auta. Někteří to dělají ručně (ale to je vzácné), ale většinou s různými programy, které používají slovníky hrubou silou: přihlášení - heslo. A nikdo je v ničem neomezuje. Dokonce je jim tam občas těsno.

Navíc se podívám na protokoly a vidím, že z velké části se jedná o stejné slovníky.

A váš server je nucen se bránit. a nevíte. A nechápete, proč je váš výkon nízký a proč zpracování požadavků trvá tak dlouho.

Přemýšlíš o skvělých věcech. Strategicky, o funkčnosti. A tady jsou některé nepochopitelné brzdy.

Začnete tedy optimalizovat paměť, mazat dočasné proměnné, defragmentovat disky atp.

A možná se dokonce blíže podívejte na kartu Události v modulu snap-in pro správu.

Ale ujišťuji vás, že tam důvod neuvidíte! Protože pokusy o zadání nesprávného loginu a hesla se tam nezobrazují. Možná se dokonce budete hádat s ostatními lidmi, že vás nezlomí, protože se bojí nebo vás respektují.
Ne. Ujišťuji vás, že vývojáři jsou prostě takoví vtipálci. A zpočátku misky vah mírně naklánějí směrem k temnotě. Říká se, že pokud by se tyto události zobrazovaly, zatížení serveru by bylo vyšší.
Ale mějte na paměti, že první věc, kterou by měl každý udělat, je zapnout tento displej. I když samozřejmě existují určité technologické systémy zcela uzavřené před okolním světem, kde nikdo nikdy nic nehackne. Ale právě takové systémy slouží celým týmům profesionálů.

Začněme tedy nápravou této situace a uvedením systému do normálního funkčního stavu.

Co budeme dělat:

  1. Omezíme počet povolených současně otevřených relací.
    (Pokud si spravujete vzdálený server sami, proč potřebujete někoho jiného, ​​aby server spravoval ve stejnou dobu jako vy?
    I když může být potřeba ještě jeden – například pro technickou podporu. A proč víc?)
  2. A rozsviťte světlo. To znamená, že umožníme systému zobrazit neúspěšné pokusy o přihlášení v modulu snap-in „Události“.
    A tady budete překvapeni.
  3. Zakážeme přístup na server z více než 3000 IP adres, které, přísně vzato, nedělají nic jiného, ​​než že způsobují lidem problémy. Import černé listiny.

Pokud z ničeho nic zadáte na síti požadavky na nastavení RDP, narazíte na spoustu rad (a dlouho jsem si byl jistý, že byly velmi účinné, dokud jsem se nerozhodl provést experiment )

  1. Omezte počet povolených neúspěšných pokusů o přihlášení.
    (Pokud nejste opilí, stačí 3x, abyste pochopili, že klávesnice je ve špatném jazyce a ve špatném registru.)
  2. Omezte čas na tyto 3 pokusy.
    (Můžete to dělat 3krát týdně nebo 3krát za sekundu a také vícevláknové. A proto, protože žádný ze skvělých hackerů nešťouchá dlouho jedním prstem do klávesnice při výběru písmene, je tam slušný provoz, který za 10 minut, který vývojáři určili, stihne vyřešit několik stovek, několik tisíc kombinací.)
  3. Nastavte čas blokování vstupu, pokud jste opilí, nebo pokud nejste vy.
    (Výchozí nastavení jsou 3 minuty, což nikoho nerozruší. Nastavme to na půl hodiny. Ať se unaví čekáním.)

Přiznám se, že jsem byl velmi rád, když jsem takové články našel, a hned jsem udělal vše správně. Byl jsem si jistý, že se nyní mohu soustředit na samotný projekt a nestarat se příliš o bezpečnost.

Jak to byly desítky tisíc pokusů během dne. (a nesedím celý den s hlavou přilepenou k monitoru, ale jednou denně zajdu zkontrolovat funkčnost svých aplikací) Tak to zůstává.

A stále jsem nemohl pochopit, jak se to mohlo stát, takže vidím, že mám nakonfigurovány 3 pokusy a poté na 30 minut zablokovány. A tento robot je už šest hodin zaneprázdněn a neúnavně třídí přihlašovací údaje od „Administrátora“ po „ferapont“.
Všechno ale nebylo volno. A pak – vše jsem nastavil, tak by to mělo fungovat!

Jednou jsem musel přenést jeden ze svých projektů z jednoho serveru na druhý kvůli selhání pole RAID. A starý server mi byl nějakou dobu k dispozici, ale mohl jsem na něm bez obav zkoušet provádět nebezpečné i ne tak nebezpečné experimenty. Proto jsem se rozhodl to zkontrolovat.

Za tímto účelem jsem se několik minut snažil přihlásit pomocí nesprávného hesla a očekával jsem, že mě ověřovací systém nyní zablokuje. Figurky. Se nic nestalo.

Strávil jsem několik dní podrobnějším studiem tohoto problému. Ponořil jsem se do manuálů a skrovných komentářů. Každý na fórech ujišťuje, že tato metoda je super účinná.

A tohle vám teď řeknu:

  • za prvé, tato metoda funguje pouze pod doménovým řadičem (nevíte, co to je? Spit, nepotřebujete to) a pro samostatný server se musíte ponořit do speciálních znalostí a naučit se kouzla.
  • zadruhé se ukazuje, a očividně mnozí mylně a naivně předpokládají opak (jako já), že při implementaci takového mechanismu bude zablokován ten, kdo se pokusí vstoupit.
    Ne - přesně, on ne. A budete zablokováni!
    Ano – je to váš účet, který bude zablokován po dobu, kdy jste se tam zaregistrovali. A vy sami se nikdy nebudete moci přihlásit na svůj vlastní server!

Když odejdu z domu a zamknu dveře, vylomím zámek. Navzdory babičce si omrznu uši.

Ale myslím, že rozloučení s takovými iluzemi stálo za pár dní trápení.

S preambulí jsme skončili. Pojďme pracovat.

1. Omezíme počet povolených současně otevřených relací.

Najděte a otevřete modul snap-in „Konfigurace terminálových služeb“:

V tomto modulu snap-in vyberte a otevřete kartu „vlastnosti“ RDP-Tcp, kde omezujeme „Maximální připojení“ na 2x pro všechny síťové adaptéry.

Klepněte na tlačítko OK. Nyní s vámi může ve stejnou dobu vstoupit pouze jedna další osoba. A bez vás se každý, kdo bude chtít, bude muset postavit do fronty po dvou.
Postavte se do řady - mrchy!

2. Povolte zobrazení neúspěšných pokusů o přihlášení v modulu snap-in „Události“.

Najděte a otevřete modul snap-in „Místní nastavení zabezpečení“ a v něm – sekci: „Zásady auditu“:

A změňte hodnoty vlastností všech položek „Audit“ - jak je znázorněno na snímku obrazovky. Poté budete muset restartovat, aby se změny projevily.

Můžete počkat a po několika hodinách se podívat na nyní skutečný obraz, abyste pochopili, v jakém světě žijeme a kdo nás skutečně obklopuje.

3. Zakazujeme přístup k serveru ze 100% škodlivých IP adres. Import černé listiny.

Zde máte 2 možnosti:

  • Rychle a vše najednou.
  • Manuální, s pochopením toho, co přesně děláte.
Rychlá cesta.

Poté byste měli dostat něco takového:

Manuální metoda, s porozuměním.
  1. Nejprve musíte vytvořit další zásady. Otevřete modul snap-in „Místní nastavení zabezpečení“.
  2. Vyberte sekci „Zásady zabezpečení IP na místním počítači“ a klepněte pravým tlačítkem myši: „Vytvořit zásady zabezpečení IP...“ a spusťte Průvodce konfigurací.
  3. Vy vymyslíte název pro nové pravidlo. Například: "Blokovat IP".
  4. Dále klikněte na všechny otázky a na konci budete mít formulář pro úpravu vlastností Zásad.
  5. Přidat nové pravidlo. Klikněte. a pokud je zaškrtnuto políčko Průvodce, spustí se další Průvodce, na jehož otázky je třeba odpovědět.
  6. Koncový bod tunelu. klikněte
  7. Typ sítě. „Všechna síťová připojení“ již existuje. klikněte
  8. Seznam filtrů IP.
    Přidat nový filtr. Klikněte a vymyslete smysluplný název.

    Například: Block brute forceing IP.
    Jeho seznam je zatím prázdný. Uložíme tak, jak je.

Služba Remote Desktop Services (RDS) v systému Windows Server 2008 R2 není jen rebrandingem svého předchůdce, Terminálové služby. Nové funkce, z nichž některé se objevily v systému Windows Server 2008, jako je RemoteApp, RD Gateway a RD Virtualization Host, umožňují jednoduše a pohodlně nasazovat a provozovat jak jednotlivé uživatelské aplikace, tak celé desktopy v řešeních RDS a VDI a funkčnost a pohodlí není o nic horší než u řešení Citrix nebo komplexů od jiných prodejců.

Jak je to se zabezpečením Služeb vzdálené plochy? Microsoft výrazně aktualizoval a posílil zabezpečení této služby. V tomto článku si povíme o bezpečnostních mechanismech RDS, zajištění bezpečnosti terminálových služeb pomocí skupinových politik a praktických aspektech zajištění bezpečnosti RDS řešení.

Co je nového v R2

Pokud jste pracovali s verzemi Terminálových služeb v systémech Windows Server 2003 a Windows Server 2008, pravděpodobně si pamatujete, že systém Windows 2008 zavedl řadu nových funkcí, jako je (připojení přes prohlížeč), (přístup k terminálovým službám přes internet), (publikování jednotlivých aplikací prostřednictvím RDP) a služby (poskytování load balancingu).

Windows Server 2008 R2 představil následující funkce:

  • Virtualizace vzdálené plochy pro řešení VDI
  • Poskytovatel RDS pro PowerShell (administrátor nyní může spravovat konfiguraci a správu RDS z příkazového řádku nebo pomocí skriptů)
  • Virtualizace IP vzdálené plochy, která umožňuje přiřadit IP adresy připojení na základě parametrů relace nebo spouštěné aplikace
  • Nová verze protokolu RDP a klienta Připojení ke vzdálené ploše (RDC) - v. 7,0
  • Správa prostředků CPU pro dynamické přidělování prostředků CPU na základě počtu aktivních relací
  • Kompatibilita s Windows Installer, umožňující instalaci programů s možností další konfigurace nastavení aplikace na straně uživatele.
  • Podpora na straně klienta až pro 16 monitorů.

Kromě toho byly vylepšeny funkce pro práci s videem a zvukem a plná podpora technologie Windows Aero (všimněte si, že Aero není podporováno v režimu více monitorů).

Problémy se zabezpečením RDS se samozřejmě liší podle řešení. Pokud například zveřejníte plochu pro uživatele, kteří se připojují přes internet nebo pomocí prohlížeče, pak problém zabezpečení vyvstává mnohem akutněji než u standardního řešení, kde se klienti připojují pomocí klienta RDC přes místní LAN.

Ověření na úrovni sítě

Pro zajištění vyšší bezpečnosti musí být pro všechna připojení povoleno ověřování na úrovni sítě (NLA). NLA vyžaduje, aby se uživatel přihlásil k serveru RD Session Host ještě před vytvořením relace. Tento mechanismus vám umožňuje chránit server před zpracováním zbytečných relací, které mohou generovat útočníci nebo programy botů. Aby bylo možné využít výhod NLA, musí klientský operační systém podporovat protokol Credential Security Support Provider (CredSSP), což znamená Windows XP SP3 () a vyšší, a také klienta RDP 6.0 nebo vyšší.

NLA můžete nakonfigurovat na serveru RD Session otevřením konzoly Nástroje pro správu -> Služby vzdálené plochy -> Konfigurace hostitele relací plochy.

  1. Klikněte pravým tlačítkem na připojení
  2. Vyberte Vlastnosti
  3. Přejděte na kartu Obecné
  4. Zaškrtněte možnost „Povolit připojení pouze z počítačů se vzdálenou plochou s ověřováním na úrovni sítě“
  5. Klepněte na tlačítko OK.

Transport Layer Security (TLS)

Relace RDS může k ochraně připojení mezi klienty a serverem hostitele relací RDS používat jeden ze tří bezpečnostních mechanismů:

  • Bezpečnostní vrstva RDP– používá se vestavěné šifrování protokolu RDP, které je méně bezpečné.
  • Vyjednávat– Šifrování TLS 1.0 (SSL) bude použito, pokud je klientem podporováno, pokud jej klient nepodporuje, použije se normální úroveň zabezpečení RDP.
  • SSL– Šifrování TLS 1. bude použito k ověření serveru a šifrování přenášených dat mezi klientem a serverem. Toto je nejbezpečnější režim.

Chcete-li zajistit vysokou úroveň zabezpečení, musíte použít šifrování SSL/TLS. Pro tyto účely musíte mít digitální certifikát, který může být podepsaný sám sebou nebo vydaný CA (což je vhodnější).

Kromě úrovně zabezpečení můžete vybrat úroveň šifrování připojení. K dispozici jsou následující typy šifrování:

  • Nízký– Pro data odesílaná z klienta na server se používá 56bitové šifrování. Data přenášená ze serveru na klienta nejsou šifrována.
  • Kompatibilní s klientem– tento typ šifrování se používá ve výchozím nastavení. V tomto případě je veškerý provoz mezi klientem a serverem šifrován maximální délkou klíče, kterou klient podporuje.
  • Vysoký– všechna data přenášená mezi klientem a serverem v obou směrech jsou šifrována 128bitovým klíčem
  • Vyhovující FIPS– všechna data přenášená mezi klientem a serverem v obou směrech jsou šifrována metodou FIPS 140-1.

Stojí za zmínku, že pokud jsou použity úrovně šifrování High nebo FIPS Compliant, pak se všichni klienti, kteří nepodporují tento typ šifrování, nebudou moci připojit k serveru.

Typ ověřování serveru a úroveň šifrování můžete nakonfigurovat následovně:

  1. Na serveru RD Session Host otevřete okno Konfigurace hostitele relací vzdálené plochy a přejděte do okna vlastností.
  2. Na kartě Obecné vyberte z rozevíracích nabídek požadovanou úroveň zabezpečení a typ šifrování.
  3. Klepněte na tlačítko OK.

Zásady skupiny

Existuje řada možností zásad skupiny pro konfiguraci nastavení RDS v systému Windows Server 2008 R2. Všechny jsou umístěny v části Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Služby vzdálené plochy (na obrázku je snímek obrazovky Konzoly pro správu zásad skupiny).

Jak vidíte, existují zásady správy licencí, zásady konfigurace klienta RDC a samotný server RD Session Host. Zásady zabezpečení hostitele relací RD zahrnují:

  • Nastavit úroveň šifrování připojení klienta: Tato zásada se používá k řízení úrovně šifrování. Pokud je povoleno, všechna připojení musí používat zadanou úroveň šifrování (výchozí je Vysoká).
  • VždyVýzvaproHeslonaSpojení: Tato zásada se používá, pokud je nutné při připojování k relaci RD vždy požádat o heslo uživatele, i když bylo heslo zadáno v klientovi RDC. Ve výchozím nastavení mohou být uživatelé automaticky přihlášeni do relace, pokud zadali heslo v klientovi RDC.
  • VyžadovatZajistitRPCSdělení: — když je zásada povolena, jsou povoleny pouze ověřené a šifrované požadavky od klientů.
  • VyžadovatPoužitízCharakteristickýBezpečnostníVrstvaproDálkový (PRV) Spojení: Je-li tato zásada povolena, všechna připojení mezi klientem a terminálovým serverem musí používat zde zadanou úroveň zabezpečení (RDP, Negotiate nebo SSL/TLS)
  • DělatNeDovolitMístníSprávcinaPřizpůsobitOprávnění: Tato zásada zakáže správcům možnost konfigurovat nastavení zabezpečení hostitele relací VP.
  • Vyžadovat ověření uživatele pro vzdálená připojení pomocí ověřování na úrovni sítě: Zásady zahrnují požadavek NLA pro všechna připojení k terminálovému serveru (klienti bez podpory NLA se nebudou moci připojit).

Nastavení klienta RDC se nachází v podsekci Dálkovýplocha počítačeSpojeníKlient:

  • Dělatnedovolitheslanabýtuložené: zásada zakazuje ukládání hesel v klientovi RDC, možnost „Uložit heslo“ nebude dostupná, všechna dříve uložená hesla budou odstraněna.
  • UpřesněteSHA1 otisky palcůzcertifikátyzastupujícídůvěryhodný.rdpvydavatelů: Tato zásada umožňuje vytvořit seznam otisků certifikátů SHA1, a pokud se certifikát shoduje s otiskem v tomto seznamu, je považován za důvěryhodný.
  • Výzvapropověřenínaaklientapočítač: Zásada umožňuje vyžadovat zadání přihlašovacích údajů uživatele na klientském počítači, nikoli na serveru RD Session.

RD Web Access

Uživatelé na počítačích, které nemají nainstalovaného klienta RDC, mohou přistupovat k publikovaným aplikacím pomocí webového prohlížeče. K tomu musí uživatel otevřít adresu URL v prohlížeči, kde jsou publikovány prostředky RDS. Server RD Web Access je samostatnou rolí serveru RD a je obvykle umístěn na vyhrazeném serveru.

Webové rozhraní serveru RD Web Access je založeno na použití SSL a uživatelé se k němu mohou přihlásit pomocí svých přihlašovacích údajů. Ověření uživatelé vidí pouze seznam publikovaných programů (RemoteApp), ke kterým mají přístup.

Server Web Access používá k šifrování certifikát X.509. Výchozí nastavení je certifikát s vlastním podpisem.

Protokol RDP se zabezpečením síťové vrstvy (SSL) se bohužel příliš nepoužívá mezi správci systému, kteří preferují zabezpečení terminálových připojení jiným způsobem. To může být způsobeno zdánlivou složitostí metody, ale není tomu tak v tomto materiálu se podíváme na to, jak takovou ochranu jednoduše a bez obtíží zorganizovat.

Jaké výhody nám poskytuje zabezpečení RDP pomocí SSL? Za prvé, silné šifrování kanálu, autentizace serveru na základě certifikátu a autentizace uživatele na úrovni sítě. Tato druhá funkce je k dispozici počínaje systémem Windows Server 2008. Ověřování na úrovni sítě zlepšuje zabezpečení terminálového serveru tím, že umožňuje ověření před zahájením relace.

Autentizace na úrovni sítě se provádí před připojením ke vzdálené ploše a zobrazením přihlašovací obrazovky, což snižuje zatížení serveru a výrazně zvyšuje jeho ochranu před vetřelci a malwarem a také snižuje pravděpodobnost útoků odmítnutí služby.

Chcete-li plně využít výhod RDP oproti SSL, musí klientské počítače používat systém Windows XP SP3, Windows Vista nebo Windows 7 a používat klienta RDP verze 6.0 nebo novější.

Při použití systému Windows Server 2003 SP1 a novějších bude k dispozici šifrování kanálu pomocí SSL (TLS 1.0) a ověřování serveru musí mít klientské počítače RDP verze 5.2 nebo novější.

V našem článku se podíváme na nastavení terminálového serveru založeného na Windows Server 2008 R2, vše však bude platit i pro Windows Server 2003 (s výjimkou chybějících funkcí).

Pro úspěšnou implementaci tohoto řešení musí mít vaše síť fungující certifikační autoritu, jejíž konfiguraci jsme probírali v. Chcete-li důvěřovat certifikátům vydaným tímto CA na terminálovém serveru, musíte certifikát CA (nebo řetězec certifikátů) nainstalovat do úložiště.

Poté byste měli požádat o certifikát pravosti serveru s následujícími parametry:

Název – celé jméno terminálového serveru (tj. server.domena.com, pokud je server součástí domény domain.com)

  • Typ certifikátu - Certifikát pro ověření serveru
  • Nastavit možnost Vytvořte novou sadu klíčů
  • CSP- Poskytovatel kryptografie Microsoft RSA SChannel.
  • Zaškrtněte políčko Označte klíč jako exportovatelný.
  • V případě podnikové CA zaškrtněte políčko Pro certifikát použijte místní úložiště počítače. (Tato možnost není k dispozici v samostatné CA.)

Odešlete žádost certifikační autoritě a nainstalujte vydaný certifikát. Tento certifikát musí být nainstalován v místním úložišti počítače, jinak jej Terminálové služby nemohou používat. Chcete-li to zkontrolovat, spusťte konzolu MMC (Start - Spustit - mmc) a přidejte zařízení Certifikáty(Soubor – Přidat nebo odebrat modul snap-in) pro počítačový účet.

V kořenovém adresáři konzoly vyberte kliknutí Zobrazit - Možnosti a nastavte režim prohlížení Uspořádejte certifikáty podle účelu. Vydaný certifikát musí být ve skupině Ověření serveru.

Pokud jste certifikát obdrželi pomocí izolované (samostatné) CA (síť nemá doménovou strukturu), bude standardně nainstalován do úložiště uživatelských účtů a budete muset provést řadu dalších kroků.

OTEVŘENO Internet Explorer - Možnosti Internetu - Obsah - Certifikáty, vydaný certifikát musí být nainstalován v obchodě Osobní.

Exportujte to. Při exportu zadejte následující možnosti:

  • Ano, exportovat soukromý klíč
  • Po úspěšném exportu odeberte soukromý klíč

Poté certifikát z tohoto úložiště odstraňte. Ve snímku Certifikáty (místní počítač) Vyberte sekci Ověření serveru, klikněte na něj pravým tlačítkem Všechny úkoly - Import a importovat certifikát.

Nyní v Správa – Služby vzdálené plochy OTEVŘENO Konfigurace hostitele relace vzdálené plochy(ve Windows Server 2003 Nástroje pro správu – Konfigurace terminálových služeb).

Vyberte požadované připojení a otevřete jeho vlastnosti. Úplně dole klikněte na tlačítko Vybrat a vyberte certifikát získaný v předchozím kroku (ve Windows Server 2003 toto okno vypadá trochu jinak).

Po výběru certifikátu zadejte zbývající vlastnosti:

  • Úroveň zabezpečení SSL
  • Úroveň šifrování Vysoký nebo FIPS-kompatibilní
  • Zaškrtněte políčko Povolit připojení pouze z počítačů...(není k dispozici v systému Windows Server 2003)

Uložte zadané parametry, tím je nastavení serveru dokončeno.

Na klientském počítači vytvořte připojení ke vzdálené ploše pomocí úplného názvu serveru uvedeného v certifikátu jako adresy. Otevřete vlastnosti připojení a na kartě Připojení - Ověření serveru nastavit možnost Varovat.

Aby tento počítač důvěřoval certifikátům vydaným naší certifikační autoritou, nezapomeňte na něj nainstalovat certifikát CA do úložiště Důvěryhodné kořenové certifikační úřady.

Ve Windows 7 (při použití klienta RDP verze 7) musí být tento certifikát nainstalován v úložišti počítačový účet Chcete-li to provést, importujte jej prostřednictvím modulu snap-in Certifikáty (místní počítač) v konzole MCC, podobně jako výše. V opačném případě nebude připojení možné a zobrazí se následující chyba:

Po instalaci certifikátu CA se můžete pokusit připojit, uvědomte si prosím, že před vytvořením relace RDP budete vyzváni k zadání uživatelského jména a hesla. Pokud je připojení úspěšné, věnujte pozornost visacímu zámku v záhlaví okna, který označuje provoz přes SSL. Kliknutím na něj zobrazíte informace o certifikátu.

A nakonec kapka masti v masti. Terminálové služby Windows nemohou ověřit pravost připojovaných klientů, takže v případě potřeby byste měli použít další metody zabezpečení, jako je tunel SSH nebo IPSec VPN.