로컬 네트워크 내에서 RDP를 통한 원격 액세스를 위한 표준 Windows 도구입니다. RDP - 원격 데스크톱 프로토콜(원격 데스크톱) Rdp 원격 연결 보안

분명히 많은 분들이 이미 이 약어를 듣고 본 적이 있을 것입니다. 문자 그대로 다음과 같이 번역됩니다. 원격 데스크톱 프로토콜(원격데스크톱규약). 이 응용 프로그램 계층 프로토콜의 기술적 미묘함에 관심이 있는 사람은 동일한 Wikipedia에서 시작하는 문헌을 읽을 수 있습니다. 순전히 실용적인 측면을 고려할 것입니다. 즉, 이 프로토콜을 사용하면 Windows에 내장된 "원격 데스크톱 연결" 도구를 사용하여 다양한 버전의 Windows를 실행하는 컴퓨터에 원격으로 연결할 수 있습니다.

RDP 프로토콜 사용의 장단점은 무엇입니까?

즐거운 것부터 시작합시다-프로와 함께. 장점은 이 도구가 더 정확하게 호출된다는 것입니다. 고객RDP, 원격 제어가 제어되는 컴퓨터의 모든 Windows 사용자와 컴퓨터에 대한 원격 액세스를 열려는 사용자 모두가 사용할 수 있습니다.

원격 데스크톱 연결을 통해 원격 데스크톱을 보고 원격 컴퓨터의 리소스를 사용할 수 있을 뿐만 아니라 로컬 드라이브, 프린터, 스마트 카드 등을 연결할 수 있습니다. 물론 RDP를 통해 비디오를 보거나 음악을 듣고 싶다면 이 프로세스가 만족스럽지 않을 것입니다. 대부분의 경우 슬라이드쇼가 표시되고 사운드가 중단될 가능성이 높습니다. 그러나 RDP 서비스는 이러한 작업을 위해 개발되지 않았습니다.

의심 할 여지가없는 또 다른 장점은 장점이 있지만 대부분 유료 인 추가 프로그램없이 컴퓨터 연결이 수행된다는 것입니다. RDP 서버(원격 컴퓨터)에 대한 액세스 시간은 원하는 만큼만 제한됩니다.

단 두 가지 마이너스가 있습니다. 하나는 중요하고 다른 하나는 그다지 중요하지 않습니다. 첫 번째이자 필수적인 것은 RDP로 작업하기 위해 연결된 컴퓨터에 흰색(외부) IP가 있거나 라우터에서 이 컴퓨터로 포트를 "전달"할 수 있어야 한다는 것입니다. 다시 외부 IP가 있어야 합니다. 그것은 정적이거나 동적일 것입니다. 그것은 중요하지 않지만 그래야 합니다.

그다지 중요하지 않은 두 번째 마이너스는 클라이언트의 최신 버전이 더 이상 16색 구성표를 지원하지 않는다는 것입니다. 최소값은 15비트입니다. 이렇게 하면 초당 64킬로비트를 초과하지 않는 속도로 중단된 인터넷을 통해 연결할 때 RDP 작업 속도가 크게 느려집니다.

무엇을 위해 RDP를 통한 원격 액세스를 사용할 수 있습니까?

일반적으로 조직은 1C 프로그램에서 공동 작업을 위해 RDP 서버를 사용합니다. 일부는 여기에 사용자 작업을 배포하기도 합니다. 따라서 사용자는 특히 출장이 있는 경우 3G 인터넷 또는 호텔/카페 Wi-Fi가 있는 경우 원격으로 직장에 연결하여 모든 문제를 해결할 수 있습니다.

경우에 따라 가정 사용자는 가정 컴퓨터에 대한 원격 액세스를 사용하여 가정 리소스에서 일부 데이터를 가져올 수 있습니다. 원칙적으로 원격 데스크톱 서비스를 사용하면 텍스트, 엔지니어링 및 그래픽 응용 프로그램으로 완벽하게 작업할 수 있습니다. 위의 이유로 비디오 및 사운드를 처리하면 작동하지 않지만 여전히 이것은 매우 중요한 장점입니다. 또한 익명 사용자, VPN 및 기타 악령 없이 가정용 컴퓨터에 연결하여 직장에서 회사 정책에 의해 폐쇄된 리소스를 볼 수 있습니다.

우리는 인터넷을 준비합니다

이전 섹션에서 RDP 프로토콜을 통해 원격 액세스를 제공하려면 외부 IP 주소가 필요하다는 사실에 대해 이야기했습니다. 이 서비스는 공급자가 제공할 수 있으므로 전화를 걸거나 편지를 쓰거나 개인 계정으로 이동하여 이 주소 제공을 구성합니다. 이상적으로는 정적인 것이어야 하지만 원칙적으로는 동적인 것으로 살 수 있습니다.

누군가 용어를 이해하지 못하는 경우 고정 주소는 영구적이고 동적 주소는 수시로 변경됩니다. 동적 IP 주소를 완벽하게 사용하기 위해 동적 도메인 바인딩을 제공하는 다양한 서비스가 개발되었습니다. 무엇을 어떻게, 곧이 주제에 대한 기사가 나올 것입니다.

우리는 라우터를 준비합니다

귀하의 컴퓨터가 공급자의 인터넷 회선에 직접 연결되어 있지 않고 라우터를 통해 연결되어 있는 경우 이 장치를 사용하여 몇 가지 조작을 수행해야 합니다. 즉 - 전달 서비스 포트 - 3389. 그렇지 않으면 라우터의 NAT가 홈 네트워크 내부로 들어가지 못하게 합니다. 조직에서 RDP 서버를 설정하는 경우에도 동일하게 적용됩니다. 포트를 전달하는 방법을 모르는 경우 라우터에서 포트를 전달하는 방법(새 탭에서 열림)에 대한 문서를 읽은 다음 여기로 돌아오십시오.

우리는 컴퓨터를 준비합니다

컴퓨터에 원격으로 연결하는 기능을 만들려면 정확히 두 가지 작업을 수행해야 합니다.

시스템 속성에서 연결을 허용하십시오.
- 현재 사용자의 비밀번호를 설정하거나(비밀번호가 없는 경우) RDP를 통해 연결하기 위한 비밀번호로 새 사용자를 만듭니다.

사용자를 다루는 방법 - 스스로 결정하십시오. 그러나 서버가 아닌 운영 체제는 기본적으로 다중 로그인을 지원하지 않는다는 점에 유의하십시오. 저것들. 로컬(콘솔)에서 본인으로 로그인한 후 원격으로 동일한 사용자로 로그인하면 로컬 화면이 차단되고 같은 장소의 세션이 원격 데스크톱 연결 창에서 열립니다. RDP를 종료하지 않고 로컬에서 암호를 입력하면 원격 액세스에서 쫓겨나고 로컬 모니터에 현재 화면이 표시됩니다. 콘솔에서 한 사용자로 로그인하고 원격으로 다른 사용자로 로그인을 시도하는 경우에도 동일한 현상이 나타납니다. 이 경우 시스템은 항상 편리하지 않을 수 있는 로컬 사용자 세션을 종료하라는 메시지를 표시합니다.

그래서 가자 시작, 메뉴를 마우스 오른쪽 버튼으로 클릭 컴퓨터그리고 누르기 속성.

속성에서 시스템선택하다 추가 시스템 설정

열리는 창에서 탭으로 이동하십시오. 원격 액세스

... 누르다 추가적으로

그리고 이 페이지에 유일한 체크박스를 두십시오.

이것은 Windows 7의 "홈" 버전입니다. Pro 이상을 사용하는 사용자에게는 더 많은 확인란이 있으며 액세스 제어가 가능합니다.

딸깍 하는 소리 좋아요어디에나.

이제 원격 데스크톱 연결(시작>모든 프로그램>보조 프로그램)로 이동하여 거기에 컴퓨터의 IP 주소를 입력하거나 홈 네트워크에서 연결하고 모든 리소스를 사용하려는 경우 이름을 입력할 수 있습니다.

이와 같이. 원칙적으로 모든 것이 간단합니다. 갑자기 질문이 있거나 명확하지 않은 것이 있으면 의견을 환영합니다.

종종 원격 액세스 세션을 사용하는 많은 사용자는 RDP 포트를 변경하는 방법에 대해 질문합니다. 이제 가장 간단한 솔루션을 살펴보고 구성 프로세스의 몇 가지 주요 단계를 나타냅니다.

RDP 프로토콜은 무엇입니까?

먼저 RDP에 대한 몇 마디. 약어의 디코딩을 보면 원격 액세스라는 것을 이해할 수 있습니다.

간단히 말해서 이것은 터미널 서버 또는 워크스테이션 도구입니다. Windows 설정(및 시스템의 모든 버전)은 대부분의 사용자에게 적합한 기본 설정을 사용합니다. 그러나 때로는 변경해야 하는 경우가 있습니다.

표준 RDP 포트: 변경해야 합니까?

따라서 Windows 수정에 관계없이 모든 프로토콜에는 미리 설정된 값이 있습니다. 이것은 통신 세션을 수행하는 데 사용되는 RDP 포트 3389입니다(한 터미널을 원격 터미널에 연결).

표준값을 변경해야 하는 상황에 대한 이유는 무엇입니까? 우선, 로컬 컴퓨터의 보안만 가능합니다. 결국 표준 포트가 설치된 상태에서 원칙적으로 모든 공격자가 시스템에 쉽게 침투 할 수 있습니다. 이제 기본 RDP 포트를 변경하는 방법을 살펴보겠습니다.

시스템 레지스트리에서 설정 변경

변경 절차는 수동 모드에서만 수행되며 원격 액세스 클라이언트 자체에서는 새 매개 변수의 재설정 또는 설정이 제공되지 않습니다.

먼저 실행 메뉴(Win + R)에서 regedit 명령을 사용하여 표준 레지스트리 편집기를 호출합니다. 여기에서 터미널 서버 디렉토리를 통해 RDP-Tcp 디렉토리로 파티션 트리를 내려가야 하는 HKLM 분기에 관심이 있습니다. 오른쪽 창에서 PortNumber 키를 찾습니다. 우리는 그 의미를 바꿀 필요가 있습니다.

편집을 시작하면 00000D3D가 표시됩니다. 많은 사람들은 그것이 무엇인지 즉시 당황합니다. 이것은 10진수 3389의 16진수 표현일 뿐입니다. 포트를 10진수 형식으로 지정하려면 값 표현에 적절한 표시 문자열을 사용한 다음 필요한 매개변수를 지정합니다.

그런 다음 시스템을 재부팅하고 연결을 시도하면 새 RDP 포트를 지정합니다. 연결하는 또 다른 방법은 특수 명령 mstsc /v:ip_address:XXXXX를 사용하는 것입니다. 여기서 XXXXX는 새 포트 번호입니다. 하지만 그게 다가 아닙니다.

Windows 방화벽 규칙

아아, 내장된 Windows 방화벽이 새 포트를 차단할 수 있습니다. 따라서 방화벽 자체의 설정을 변경해야 합니다.

고급 보안 옵션을 사용하여 방화벽 설정을 호출합니다. 여기에서 먼저 들어오는 연결을 선택하고 새 규칙을 만들기 위한 줄을 클릭해야 합니다. 이제 포트에 대한 규칙을 만들기 위한 항목을 선택한 다음 TCP에 대한 값을 입력한 다음 연결을 허용하고 프로필 섹션을 변경하지 않고 마지막으로 새 규칙에 이름을 지정한 다음 버튼을 눌러 설정을 완료합니다. . 서버를 재부팅하고 연결할 때 해당 줄에 콜론으로 구분된 새 RDP 포트를 지정해야 합니다. 이론적으로는 문제가 없어야 합니다.

라우터의 RDP 포트 포워딩

경우에 따라 케이블 연결이 아닌 무선 연결을 사용하는 경우 라우터(라우터)에서 포트 포워딩을 수행해야 할 수 있습니다. 이것에는 어려운 것이 없습니다.

먼저 시스템 속성에서 권한이 있는 사용자를 허용하고 지정합니다. 그런 다음 브라우저를 통해 라우터 설정 메뉴로 이동합니다 (192.168.1.1 또는 끝에 0.1 - 모두 라우터 모델에 따라 다름). 필드(메인 주소가 1.1인 경우)에는 세 번째(1.3)부터 시작하여 주소를 표시하고 두 번째(1.2)에 대한 주소 발급 규칙을 작성하는 것이 바람직합니다.

그런 다음 네트워크 연결에서 세부 정보 보기를 사용하여 세부 정보를 보고 여기에서 물리적 MAC 주소를 복사하여 라우터 설정에 붙여넣습니다.

이제 모뎀의 NAT 설정 섹션에서 서버에 대한 연결을 활성화하고 규칙을 추가하고 표준 RDP 포트 3389로 전달해야 하는 XXXXX 포트를 지정합니다. 변경 사항을 저장하고 라우터를 재부팅합니다(새 포트는 재부팅하지 않으면 수락되지 않음). 포트 테스트 섹션의 ping.eu와 같은 일부 전문 사이트에서 연결을 확인할 수 있습니다. 보시다시피 모든 것이 간단합니다.

마지막으로 포트 값은 다음과 같이 배포됩니다.

  • 0 - 1023 - 저수준 시스템 프로그램용 포트;
  • 1024 - 49151 - 개인용으로 할당된 포트.
  • 49152 - 65535 - 동적 개인 포트.

일반적으로 많은 사용자는 일반적으로 문제를 피하기 위해 목록의 세 번째 범위에서 RDP 포트를 선택합니다. 그러나 전문가와 전문가 모두 대부분의 작업에 적합하므로 이러한 값을 튜닝에 사용할 것을 권장합니다.

이 절차는 주로 Wi-Fi 연결의 경우에만 사용됩니다. 이미 볼 수 있듯이 일반 유선 연결에서는 필요하지 않습니다. 레지스트리 키 값을 변경하고 방화벽의 포트에 대한 규칙을 추가하기만 하면 됩니다.

RDP - 원격 데스크톱 프로토콜(원격 데스크톱)

우선 여기에서는 StandAlone Server에 대해 이야기하겠습니다. 즉, 별도의 스탠딩 서버에 관한 것입니다. 그리고 도메인 컨트롤러와 회사 네트워크에 관한 것이 아닙니다. (그들은 단지 고도의 자격을 갖춘 전문가가 필요합니다)

어떤 생각이 떠오르고 그것을 실현하기로 결정한 상황. 그리고 구현을 위해서는 특정 데이터 센터에서 임대하는 서버가 필요합니다.

적절한 관세를 선택하고 돈을 지불했으며 이제 필요한 소프트웨어가 설치된 서버가 이미 있습니다. 대부분의 경우 Windows 2003 Server는 이러한 평가판 프로젝트에 충분합니다. 완전히 비용 효과적이고 효율적입니다.

기술 지원은 RDP 액세스를 위한 IP 주소, 로그인 및 비밀번호를 제공하고 일반적으로 ...로 가득 찬 여행을 시작합니다. 충분하지 않을 것입니다.

기본적으로 Windows의이 서비스는 사용자에게 많은 문제와 문제를 제공하도록 구성되어 있다고 말할 수 있습니다.

물론 자체적으로 작동하고 완벽하게 기능을 수행합니다. 그러나 시간이 지남에 따라 (때로는 너무 늦을 수 있음) 부주의 한 원격 서버 소유자는 자신의 시스템에서 실제로 무슨 일이 일어나고 있는지, 피에 굶주린 군중이 요새 벽 주위에 서 있다는 사실을 깨닫고 겁을 먹을 것입니다.
DVR에서 적외선 필터를 끄고 갑자기 비디오 소스(사진 고정 기능이 있는 교통 경찰 카메라, TV 리모콘의 신호)를 보기 시작하는 것과 같습니다.

당신은 보기 시작하고 아마도 이해하게 될 것입니다.

한편으로 소프트웨어 개발자는 평범한 사람을 위해 시스템을 만드는 척하고 당신은 그것을 믿기 시작합니다.

그러나 반면에 동일한 개발자는 인증된 전문가만이 키보드를 선택할 수 있다고 제안합니다. 그리고 인증서는 올해의 것입니다.

이것이 역설입니다.

실제로 어떻게 생겼는지 알려드리겠습니다.

그러나 실제로 멋진 해커 무리는 포럼에서 12줄을 읽은 후 열린 RDP 포트가 있는 기성품 서버 목록을 다운로드합니다. 그리고 그들은 당신의 차에 침입하기 시작합니다. 일부는 수동으로(그러나 이것은 드물지만) 대부분 다른 프로그램을 사용하여 열거형으로 사전을 실행합니다: 로그인-비밀번호. 그리고 아무도 그들을 제한하지 않습니다. 그들은 때때로 거기에 비좁습니다.

게다가 로그를 보고 있는데 대부분 같은 사전이라는 것을 알았습니다.

그리고 당신의 서버는 반격해야 합니다. 그리고 당신은 모릅니다. 그리고 성능이 낮은 이유와 쿼리가 오랫동안 실행되는 이유를 이해하지 못합니다.

당신은 크게 생각하고 있습니다. 전략적으로 기능에 대해. 그리고 여기에서 어떤 종류의 브레이크가 명확하지 않습니다.

따라서 메모리 최적화, 임시 변수 삭제, 디스크 조각 모음 등을 시작합니다.

그리고 관리 스냅인의 "이벤트" 탭을 자세히 살펴볼 수도 있습니다.

그러나 나는 당신이 거기에서 이유를 보지 못할 것이라고 확신합니다! 잘못된 사용자 이름과 암호를 입력하려는 시도는 표시되지 않기 때문입니다. 아마도 당신은 그들이 두려워하거나 존경하기 때문에 당신을 망가뜨리는 것이 아니라고 다른 사람들과 논쟁할 것입니다.
아니요. 확실히 말씀드리지만 개발자들은 정말 재미있는 사람들입니다. 그리고 처음에는 어둠의 방향으로 비늘보다 약간 더 큽니다. 이러한 이벤트가 표시되면 서버의 로드가 더 높아질 것이라고 합니다.
그러나 여기에서 모든 사람이 가장 먼저 해야 할 일은 이 디스플레이를 켜는 것입니다. 물론 아무도 해킹하지 않는 외부 세계와 완전히 폐쇄된 특정 기술 시스템이 있습니다. 그러나 그곳에서는 그러한 시스템만이 전체 전문가 팀에 서비스를 제공합니다.

따라서 우선 이 상황을 수정하고 시스템을 정상적인 작동 형태로 가져갑시다.

우리는 무엇을 할 것인가:

  1. 허용되는 동시에 열린 세션의 수를 제한합시다.
    (원격 서버를 직접 관리한다면 왜 당신이 아닌 다른 사람이 동시에 서버를 관리해야 합니까?
    예를 들어 기술 지원을 위해 하나 더 필요할 수 있습니다. 그리고 더 - 왜?)
  2. 그리고 불을 켜십시오. 즉, 시스템이 이벤트 스냅인에 실패한 로그인 시도를 표시하도록 합니다.
    그리고 여기서 당신은 놀랄 것입니다.
  3. 우리는 3000개 이상의 IP 주소에서 서버에 액세스하는 것을 금지할 것입니다. 블랙리스트 가져오기.

할 일이없고 네트워크에서 RDP 설정에 대해 요청하면 많은 조언을 찾을 수 있습니다 (실험을 수행하기로 결정할 때까지 오랫동안 매우 효과적이라고 확신했습니다)

  1. 허용되는 로그인 시도 실패 횟수를 제한합니다.
    (술에 취하지 않은 경우 키보드가 잘못된 언어로 되어 있고 잘못된 레지스터에 있음을 이해하는 데 3번이면 충분합니다.)
  2. 이 3번의 시도 시간을 제한하십시오.
    (결국 일주일에 세 번, 또는 초당 세 번, 심지어 멀티 스레드까지 가능합니다. 멋진 해커 중 누구도 한 손가락으로 오랫동안 문자를 선택하여 키보드를 찌르지 않기 때문에 개발자가 결정한 10분 안에 수백, 수천 개의 조합을 분류할 시간이 있는 괜찮은 트래픽입니다.)
  3. 취한 경우 또는 귀하가 아닌 경우 입장 차단 시간을 설정하십시오.
    (기본값 - 3분이면 아무도 화내지 않습니다. 30분으로 설정합시다. 기다리다가 지치게 두십시오.)

나는 그런 기사를 발견했을 때 매우 기뻤고 즉시 모든 것을 올바르게했다고 고백합니다. 이제 안전에 대해 너무 걱정하지 않고 프로젝트 자체에 집중할 수 있다고 확신했습니다.

하루 동안 수만 번의 시도가 있었기 때문입니다. (그리고 하루 종일 모니터에 얼굴을 대고 앉아 있지 않고, 하루에 한 번은 애플리케이션의 성능을 확인하러 갑니다) 그래서 그대로였습니다.

그리고 나는 여전히 그것이 어땠는지 이해할 수 없었기 때문에 3 번의 시도가 설정되고 30 분 동안 차단되는 것을 봅니다. 그리고 이 봇은 "Administrator"에서 "ferapont"로 로그인하는 과정을 쉬지 않고 6시간 동안 플레이했습니다.
그러나 모든 것이 여가가 아니었습니다. 그런 다음 모든 것을 설정했습니다. 즉, 작동해야합니다!

한 번은 RAID 어레이 오류로 인해 한 서버에서 다른 서버로 내 프로젝트 중 하나를 전송해야 했습니다. 그리고 이전 서버를 한동안 사용할 수 있었지만 위험하고 그다지 실험하지 않는 것이 안전했습니다. 그래서 나는 그것을 확인하기로 결정했습니다.

이를 위해 인증 시스템이 나를 차단할 것이라고 예상하면서 몇 분 동안 잘못된 비밀번호로 로그인을 시도했습니다. Figushki. 아무 일도하지.

나는 이 문제를 좀 더 자세히 연구하는 데 며칠을 보냈다. 나는 매뉴얼과 빈약 한 의견에 뛰어 들었습니다. 모두가 포럼에서 확신합니다. 이 방법은 매우 효과적입니다.

그리고 이것이 내가 지금 여러분에게 말할 것입니다:

  • 첫째, 이 방법은 도메인 컨트롤러에서만 작동하며(무엇인지 모르십니까? Spit - 필요하지 않음) 독립 실행형 서버의 경우 특수 지식을 탐구하고 주문을 배워야 합니다.
  • 둘째, 그러한 메커니즘이 구현되면 입력하려는 사람이 차단 될 것이라고 많은 사람들이 실수하고 순진하게 (나처럼) 다르게 가정합니다.
    아니, 그 사람이 아니야. 그리고 당신은 차단됩니다!
    예 - 등록한 시간 동안 차단되는 것은 귀하의 계정입니다. 그리고 당신은 결코 당신 자신의 서버에 들어갈 수 없을 것입니다!

집을 나와 문을 잠그면 자물쇠를 부수겠습니다. 할머니를 괴롭히기 위해 귀를 얼리겠습니다.

하지만 그런 환상과 헤어지는 것은 며칠의 고통의 가치가 있다고 생각합니다.

서문을 마쳤습니다. 사업을 시작합시다.

1. 허용되는 동시 공개 세션 수를 제한하십시오.

터미널 서비스 구성 스냅인을 찾아 엽니다.

이 스냅인에서 "속성"의 RDP-Tcp 탭을 선택하여 모든 네트워크 어댑터에 대해 "Msximum 연결"을 2x로 제한합니다.

확인을 클릭합니다. 이제 당신과 동시에 한 명만 더 입장할 수 있습니다. 그리고 당신 없이는 원하는 모든 사람이 둘로 줄을 서야 할 것입니다.
다음은 개자식들아!

2. 이벤트 스냅인에서 실패한 로그인 시도 표시를 켭니다.

"로컬 보안 설정" 스냅인과 "감사 정책" 섹션을 찾아 엽니다.

스크린샷과 같이 모든 "Audit" 항목의 속성 값을 변경합니다. 그런 다음 변경 사항을 적용하려면 재부팅해야 합니다.

우리가 살고있는 세상과 실제로 우리를 둘러싼 사람을 이해하기 위해 몇 시간 후에 지금 실제 그림을 볼 수 있습니다.

3. 100% 악성 IP 주소로부터의 서버 접속을 금지합니다. 블랙리스트 가져오기.

여기에는 두 가지 옵션이 있습니다.

  • 빠르고 모두 한 번에.
  • 정확히 무엇을하고 있는지 이해하는 수동.
빠른 방법.

그 후에는 다음과 같은 것이 있어야 합니다.

이해와 함께 수동 방식.
  1. 먼저 추가 정책을 생성해야 합니다. "로컬 보안 설정" 스냅인을 엽니다.
  2. "로컬 컴퓨터의 IP 보안 정책" 섹션을 선택하고 "IP 보안 정책 생성 ..."을 마우스 오른쪽 버튼으로 클릭하면 구성 마법사가 시작됩니다.
  3. 새 규칙의 이름을 정하십시오. 예: "IP 차단".
  4. 그런 다음 모든 질문을 클릭하면 정책 속성을 편집할 수 있는 양식이 나타납니다.
  5. 새 규칙을 추가합니다. 을 클릭합니다. 마법사 확인란을 선택하면 다른 마법사가 시작되고 질문에 답해야 합니다.
  6. 터널 종점. 누르다
  7. 네트워크 유형. 이미 "모든 네트워크 연결"이 있습니다. 누르다
  8. IP 필터 목록.
    새 필터를 추가합니다. 우리는 의미있는 이름을 누르고 나옵니다.

    예: 무차별 대입 IP를 차단합니다.
    목록이 아직 비어 있습니다. 그대로 유지합니다.

Windows Server 2008 R2의 RDS(원격 데스크톱 서비스)는 단순히 이전 버전인 터미널 서비스의 리브랜딩이 아닙니다. RemoteApp, RD 게이트웨이 및 RD 가상화 호스트와 같이 Windows Server 2008에 일부 등장한 새로운 기능을 통해 RDS 및 VDI 솔루션에서 개별 사용자 응용 프로그램과 전체 데스크톱 모두를 쉽고 편리하게 배포하고 운영할 수 있습니다. 기능과 편의성은 Citrix 솔루션이나 다른 벤더의 컴플렉스보다 나쁘지 않습니다.

그러나 원격 데스크톱 서비스의 보안은 어떻습니까? Microsoft는 이 서비스의 보안을 대폭 업데이트하고 강화했습니다. 이 기사에서는 RDS의 보안 메커니즘, 그룹 정책을 사용하여 터미널 서비스를 보호하는 방법 및 RDS 솔루션 보안의 실질적인 측면에 대해 설명합니다.

R2의 새로운 기능

Windows Server 2003 및 Windows Server 2008 버전의 터미널 서비스로 작업한 적이 있다면 Windows 2008에서 (브라우저 연결), (터미널 서비스에 대한 인터넷 액세스), (개별 응용 프로그램 게시 RDP 프로토콜을 통해) 및 서비스(로드 밸런싱 보장).

Windows Server 2008 R2에는 다음과 같은 기능이 도입되었습니다.

  • VDI 솔루션을 위한 원격 데스크톱 가상화
  • PowerShell용 RDS 공급자(관리자는 이제 명령줄 또는 스크립트를 통해 RDS 구성 및 관리를 관리할 수 있음)
  • 원격 데스크톱 IP 가상화를 통해 실행 중인 세션 또는 애플리케이션의 매개변수를 기반으로 연결에 IP 주소를 할당할 수 있습니다.
  • RDP 프로토콜 및 RDC(원격 데스크톱 연결) 클라이언트의 새 버전 - v. 7.0
  • 활성 세션 수에 따라 CPU 리소스를 동적으로 할당하는 CPU 리소스 관리
  • Windows Installer와의 호환성으로 사용자 측에서 응용 프로그램 설정을 추가로 구성할 수 있는 기능으로 프로그램을 설치할 수 있습니다.
  • 최대 16대의 모니터에 대한 클라이언트 측 지원.

또한 비디오 및 오디오 작업 기능이 개선되었으며 Windows Aero 기술을 완벽하게 지원합니다(Aero는 다중 모니터 모드에서 지원되지 않음).

당연히 RDS 보안 문제는 특정 솔루션에 따라 다릅니다. 예를 들어 인터넷을 통해 연결하거나 브라우저를 사용하는 사용자를 위해 데스크톱을 게시하는 경우 클라이언트가 LAN(Local Area Network)을 통해 RDC 클라이언트를 사용하여 연결할 때 표준 솔루션보다 보안 문제가 훨씬 더 심각합니다.

네트워크 수준 인증

모든 연결에 대한 보안을 강화하려면 NLA(네트워크 수준 인증) 인증 메커니즘을 활성화해야 합니다. NLA는 세션이 생성되기 전에 사용자가 RD 세션 호스트에 로그인하도록 요구합니다. 이 메커니즘을 사용하면 침입자나 봇 프로그램이 생성할 수 있는 불필요한 세션을 처리하지 못하도록 서버를 보호할 수 있습니다. NLA를 사용하려면 클라이언트 운영 체제가 CredSSP(Credential Security Support Provider)를 지원해야 합니다. 즉, Windows XP SP3() 이상 및 RDP 6.0 클라이언트 이상을 의미합니다.

관리 도구 -> 원격 데스크톱 서비스 -> 데스크톱 세션 호스트 구성 콘솔을 열어 RD 세션 서버에서 NLA를 구성할 수 있습니다.

  1. 연결을 마우스 오른쪽 버튼으로 클릭하십시오.
  2. 속성 선택
  3. 일반 탭으로 이동
  4. "네트워크 수준 인증을 사용하여 원격 데스크톱을 실행하는 컴퓨터에서만 연결 허용" 옵션을 선택합니다.
  5. 확인을 클릭합니다.

TLS(전송 계층 보안)

RDS 세션은 세 가지 보안 메커니즘 중 하나를 사용하여 클라이언트와 RDS 세션 호스트 간의 연결을 보호할 수 있습니다.

  • RDP 보안 계층– 내장된 RDP 암호화를 사용하여 덜 안전합니다.
  • 협상하다– 클라이언트가 지원하는 경우 TLS 1.0(SSL) 암호화가 사용되며, 클라이언트가 지원하지 않는 경우 일반 RDP 보안이 사용됩니다.
  • SSL– TLS 1.encryption은 서버를 인증하고 클라이언트와 서버 간에 전송되는 데이터를 암호화하는 데 사용됩니다. 가장 안전한 모드입니다.

높은 수준의 보안을 위해서는 SSL/TLS 암호화를 사용해야 합니다. 이러한 목적을 위해서는 디지털 인증서가 있어야 하며 자체 서명하거나 CA 인증 기관에서 발행할 수 있습니다(바람직함).

보안 수준 외에도 연결에 대한 암호화 수준을 선택할 수 있습니다. 다음 유형의 암호화를 사용할 수 있습니다.

  • 낮은– 클라이언트에서 서버로 전송되는 데이터의 56비트 암호화가 사용됩니다. 서버에서 클라이언트로 전송되는 데이터는 암호화되지 않습니다.
  • 클라이언트 호환– 이 유형의 암호화는 기본적으로 사용됩니다. 이 경우 클라이언트와 서버 간의 모든 트래픽은 클라이언트가 지원하는 최대 키 길이로 암호화됩니다.
  • 높은– 클라이언트와 서버 간에 양방향으로 전송되는 모든 데이터는 128비트 키로 암호화됩니다.
  • FIPS 준수– 클라이언트와 서버 간에 양방향으로 전송되는 모든 데이터는 FIPS 140-1 방식을 사용하여 암호화됩니다.

높음 또는 FIPS 준수 암호화 수준을 사용하는 경우 이 유형의 암호화를 지원하지 않는 모든 클라이언트는 서버에 연결할 수 없습니다.

다음과 같이 서버 인증 유형 및 암호화 수준을 구성할 수 있습니다.

  1. RD 세션 호스트 서버에서 원격 데스크톱 세션 호스트 구성 창을 열고 속성 창으로 이동합니다.
  2. 일반 탭의 드롭다운 메뉴에서 원하는 보안 수준과 암호화 유형을 선택합니다.
  3. 확인을 클릭합니다.

그룹 정책

Windows Server 2008 R2에는 RDS 설정을 구성하기 위한 여러 그룹 정책 옵션이 있습니다. 모두 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\원격 데스크톱 서비스 섹션에 있습니다(그룹 정책 관리 콘솔의 스크린샷이 그림에 표시됨).

보시다시피 라이선스 관리 정책, RDC 클라이언트 구성 정책 및 RD 세션 호스트 서버 자체가 있습니다. RD 세션 호스트 보안 정책에는 다음이 포함됩니다.

  • 클라이언트 연결 암호화 수준 설정:정책은 암호화 수준을 제어하는 ​​데 사용됩니다. 활성화된 경우 모든 연결은 지정된 암호화 수준을 사용해야 합니다(기본값은 높음).
  • 언제나즉각적인~을 위한비밀번호...에연결: 이 정책은 RDC 클라이언트에서 암호를 입력한 경우에도 RD 세션에 연결할 때 항상 사용자의 암호를 묻는 경우에 사용됩니다. 기본적으로 사용자는 RDC 클라이언트에 암호를 제공하면 자동으로 세션에 로그인할 수 있습니다.
  • 필요하다안전한RPC의사소통: - 정책이 활성화되면 클라이언트의 인증되고 암호화된 요청만 허용됩니다.
  • 필요하다사용~의특정한보안~을 위한원격 (RDP) 사이: 정책이 활성화되면 클라이언트와 터미널 서버 간의 모든 연결은 여기에 지정된 보안 수준(RDP, 협상 또는 SSL/TLS)을 사용해야 합니다.
  • 하다아니다허용하다현지의관리자에게커스터마이징권한: 이 정책은 관리자가 RD 세션 호스트 보안 설정을 구성하는 기능을 비활성화합니다.
  • 네트워크 수준 인증을 사용하여 원격 연결에 사용자 인증 필요:정책에는 모든 터미널 서버 연결에 대한 NLA 요구 사항이 포함됩니다(NLA 지원이 없는 클라이언트는 연결할 수 없음).

RDC 클라이언트 설정은 하위 섹션 아래에 있습니다. 원격데스크톱연결고객:

  • 하다~ 아니다허용하다암호에게BE저장: 정책이 RDC 클라이언트에 비밀번호 저장을 금지하면 "비밀번호 저장" 옵션을 사용할 수 없게 되고 이전에 저장된 모든 비밀번호가 삭제됩니다.
  • 지정1 지문~의인증서나타내는신뢰할 수 있는.rdp출판사: 이 정책을 사용하면 인증서의 SHA1 지문 목록을 만들 수 있으며 인증서가 이 목록의 지문과 일치하면 신뢰할 수 있는 것으로 간주됩니다.
  • 즉각적인~을 위한신임장~에그만큼고객컴퓨터: 이 정책은 RD 세션 서버가 아닌 클라이언트 컴퓨터에서 사용자 자격 증명을 묻는 메시지를 표시하도록 설정합니다.

RD 웹 액세스

RDC 클라이언트가 설치되지 않은 컴퓨터 사용자는 웹 브라우저를 사용하여 게시된 애플리케이션에 액세스할 수 있습니다. 이렇게 하려면 사용자는 RDS 리소스가 게시된 브라우저에서 URL을 열어야 합니다. RD 웹 액세스 서버는 별도의 RD 서버 역할이며 일반적으로 전용 서버에서 호스팅됩니다.

RD 웹 액세스 서버의 웹 인터페이스는 SSL을 기반으로 하며 사용자는 자신의 자격 증명으로 로그인할 수 있습니다. 인증된 사용자는 액세스 권한이 있는 게시된 프로그램(RemoteApp) 목록만 볼 수 있습니다.

웹 액세스 서버는 암호화를 위해 X.509 인증서를 사용합니다. 기본값은 자체 서명된 인증서입니다.

네트워크 계층 보안(SSL) RDP는 유감스럽게도 다른 방식으로 터미널 연결 보안을 선호하는 시스템 관리자가 널리 채택하지 않습니다. 아마도 이것은 방법의 명백한 복잡성 때문일 수 있지만 그렇지 않습니다. 이 자료에서는 그러한 보호를 간단하고 어려움없이 구성하는 방법을 고려할 것입니다.

SSL로 RDP를 보호하면 어떤 이점이 있습니까? 첫째, 강력한 채널 암호화, 인증서 기반 서버 인증 및 네트워크 수준 사용자 인증입니다. 후자의 기능은 Windows Server 2008부터 사용할 수 있습니다. 네트워크 수준 인증은 세션이 시작되기도 전에 인증이 발생하도록 하여 터미널 서버의 보안을 향상시킵니다.

네트워크 수준 인증은 원격 데스크톱에 연결하고 로그인 화면을 표시하기 전에 발생하여 서버의 부하를 줄이고 침입자 및 맬웨어에 대한 보호를 크게 강화할 뿐만 아니라 서비스 거부 공격의 가능성을 줄입니다.

RDP over SSL을 최대한 활용하려면 클라이언트 PC에서 Windows XP SP3, Windows Vista 또는 Windows 7을 실행하고 RDP 클라이언트 버전 6.0 이상을 사용해야 합니다.

Windows Server 2003 SP1 이상을 사용하는 경우 SSL(TLS 1.0) 채널 암호화 및 서버 인증을 사용할 수 있으며 클라이언트 PC에는 RDP 클라이언트 버전 5.2 이상이 있어야 합니다.

이 기사에서는 Windows Server 2008 R2를 기반으로 터미널 서버를 설정하는 것을 고려할 것입니다. 그러나 언급된 모든 것은 Windows Server 2003에 해당됩니다(누락된 기능 제외).

이 솔루션을 성공적으로 구현하려면 네트워크에 작동 중인 인증 기관이 있어야 하며 그 구성은 고려했습니다. 터미널 서버에서 이 CA가 발급한 인증서를 신뢰하려면 에 CA 인증서(또는 인증서 체인)를 설치해야 합니다.

그런 다음 다음 매개변수를 사용하여 서버 인증 인증서를 요청해야 합니다.

이름 - 터미널 서버의 전체 이름(예: 서버가 domain.com 도메인에 속하는 경우 server.domain.com)

  • 인증서 유형 - 서버인증서
  • 옵션 설정 새 키 세트 생성
  • CSP- Microsoft RSA 채널 암호화 공급자.
  • 확인란 키를 내보낼 수 있는 것으로 표시.
  • 엔터프라이즈 CA의 경우 확인란을 선택합니다. 인증서에 컴퓨터의 로컬 저장소 사용. (이 옵션은 독립형 CA에서는 사용할 수 없습니다.)

CA에 요청을 보내고 발급된 인증서를 설치합니다. 이 인증서는 컴퓨터의 로컬 저장소에 설치해야 합니다. 그렇지 않으면 터미널 서비스에서 사용할 수 없습니다. 이를 확인하려면 콘솔을 실행하십시오. MMC (시작 - 실행 - mmc) 및 스냅 추가 인증서(파일 - 스냅인 추가 또는 제거) 컴퓨터 계정용.

콘솔 루트에서 클릭 선택 보기 - 옵션보기 모드 설정 목적별로 인증서 구성. 발급된 인증서는 그룹에 있어야 합니다. 서버 인증.

독립형(독립형) CA(네트워크에 도메인 구조가 없음)를 사용하여 인증서를 받은 경우 기본적으로 사용자 계정 저장소에 인증서가 설치되며 여러 추가 단계를 수행해야 합니다.

열려 있는 Internet Explorer - 인터넷 옵션 - 콘텐츠 - 인증서, 발급된 인증서가 매장에 설치되어 있어야 합니다. 개인의.

내보내기를 수행합니다. 내보낼 때 다음 옵션을 지정합니다.

  • 예, 비공개 키를 내보냅니다.
  • 내보내기 성공 후 개인 키 삭제

그런 다음 이 저장소에서 인증서를 삭제하십시오. 순식간에 인증서(로컬 컴퓨터)섹션을 선택하세요 서버 인증, 마우스 오른쪽 버튼으로 클릭 모든 작업 - 가져오기인증서를 가져옵니다.

지금에 관리 - 원격 데스크톱 서비스열려 있는 원격 데스크톱 세션 호스트 구성(Windows Server 2003 관리 도구 - 터미널 서비스 구성).

원하는 연결을 선택하고 속성을 엽니다. 맨 아래에 있는 버튼을 클릭하세요. 선택하다이전 단계에서 얻은 인증서를 선택합니다(Windows Server 2003에서는 이 창이 약간 다르게 보입니다).

인증서를 선택한 후 나머지 속성을 지정합니다.

  • 보안 레벨 SSL
  • 암호화 수준 높은또는 FIPS-호환 가능
  • 확인란 컴퓨터에서의 연결만 허용...(Windows Server 2003에서는 사용할 수 없음)

입력한 매개변수를 저장하면 서버 설정이 완료됩니다.

클라이언트 PC에서 원격 데스크톱 연결을 만들고 인증서에 지정된 정규화된 서버 이름을 주소로 사용합니다. 연결 속성을 열고 탭에서 연결 - 서버 인증옵션 설정 경고하다.

이 PC가 우리 인증 기관에서 발급한 인증서를 신뢰하려면 스토어에서 CA 인증서를 설치하는 것을 잊지 마십시오. 신뢰할 수있는 인증 기관.

Windows 7(RDP 클라이언트 버전 7 사용 시)에서 이 인증서를 저장소에 설치해야 합니다. 컴퓨터 계정, 이렇게 하려면 스냅을 통해 가져옵니다. 인증서(로컬 컴퓨터) MCC 콘솔에서 위에서 수행한 것과 동일한 방식으로 그렇지 않으면 연결이 실패하고 다음 오류가 표시됩니다.

CA 인증서를 설치한 후 연결을 시도할 수 있습니다. RDP 세션을 생성하기 전에도 사용자 이름과 암호를 입력하라는 메시지가 표시됩니다. 연결에 성공하면 SSL을 통해 작업 중임을 나타내는 창 제목의 잠금에 주의하십시오. 그것을 클릭하면 인증서에 대한 정보를 볼 수 있습니다.

그리고 마지막으로 꿀 통에 타르 한 방울. Windows 터미널 서비스는 연결 클라이언트를 인증하는 방법을 알지 못하므로 필요한 경우 SSH 터널 또는 IPSec VPN과 같은 추가 보안 방법을 사용해야 합니다.