client Windows RDP. Vikonuemo nella connessione a distanza al computer! Porta RDP: modifica il valore di default e le fasi principali dell'impostazione Come vengono modificati gli algoritmi di crittografia in rdp

Servizi Desktop remoto (RDS) Windows Server 2008 R2 non è solo un rebranding del suo successore, Terminal Services. Nuove funzionalità, alcune delle quali sono apparse in Windows Server 2008, come RemoteApp, Gateway Desktop remoto e Host di virtualizzazione Desktop remoto, consentono di proteggere semplicemente manualmente l'apertura di questa funzionalità oltre a corystuvac dodatkіv, quindi il numero di tavoli di lavoro nelle soluzioni RDS e VDI, inoltre, la funzionalità e la robustezza dell'antrohi non è maggiore, minore è la soluzione Citrix o il complesso di altri fornitori.

Come mantieni sicuri i Servizi Desktop remoto? Microsoft ha aggiornato e migliorato la sicurezza del servizio. In questo articolo parleremo dei meccanismi di sicurezza di RDS, della sicurezza dei servizi terminali tramite criteri di gruppo e degli aspetti pratici della sicurezza della soluzione RDS.

Cosa c'è di nuovo in R2

Se hai mai lavorato con le versioni Windows Server 2003 e Windows Server 2008 di Servizi terminal, dovresti ricordare che Windows 2008 ha alcune nuove funzionalità, come (connessione al browser), (accesso ai servizi terminal) tramite Internet), (Pubblicazione di okremikh dodatkіv per il protocollo RDP) e servizio (sicurezza di bilanciamento).

È apparso Windows Server 2008 R2 funzioni imminenti:

• Virtualizzazione desktop remoto per soluzioni VDI
• Provider RDS per PowerShell (ora l'amministratore può configurare e configurare RDS riga di comando ma per aiuto di script)
• Virtualizzazione IP desktop remoto, che consente di assegnare indirizzi IP alle connessioni in base alle impostazioni della sessione o ai programmi in esecuzione
• Nuova versione del protocollo RDP e del client Remote Desktop Connection (RDC) – ​​v. 7.0
• Gestione delle risorse della CPU per la visualizzazione dinamica delle risorse della CPU in base al numero di sessioni attive
• Somma z Programma di installazione di Windows, che permette di installare programmi con la possibilità di regolare i parametri del programma a lato del box.
• Supporto lato client - fino a 16 monitor.

Inoltre, le funzioni della robotica sono state integrate con video e audio e il pieno supporto della tecnologia Windows Aero(Significativamente, Aero non è supportato per il lavoro aggiuntivo in modalità multi-monitor).

Ovviamente, la sicurezza del servizio RDS è obsoleta soluzione specifica. Ad esempio, se si desidera pubblicare uno stile di lavoro per le persone in shortlist che si connettono tramite Internet o per l'aiuto di un browser, allora il potere di sicurezza diventerà più ricco, più basso con la soluzione standard, se il client si connette per l'aiuto del cliente RDC linee locali lan.

Autenticazione a livello di rete

Per garantire una maggiore sicurezza per tutte le connessioni, è necessario vincere il meccanismo di autenticazione Network Level Authentication (NLA). NLA richiede l'accesso al server Host sessione Desktop remoto anche prima della creazione della sessione. Questo meccanismo permette di rubare il server dai file delle sessioni loggate, che possono essere generati da malfattori o programmi bot. Per velocizzare l'NLA, il sistema operativo client deve supportare il protocollo Credential Security Support Provider (CredSSP), che trasmette Windows XP SP3 () e altro, e anche il client RDP 6.0 o più.

È possibile configurare NLA sul server sessione Desktop remoto aprendo la console Strumenti di amministrazione -> Servizi Desktop remoto -> Configurazione host sessione desktop.

1. Fare clic con il tasto destro del mouse sulla connessione
2. Seleziona Proprietà
3. Vai alla scheda Generale
4. Impostare l'opzione "Consenti connessioni solo da computer che eseguono Desktop remoto con autenticazione a livello di rete"
5. Premere OK.

Sicurezza del livello di trasporto (TLS)

Una sessione RDS può avere uno dei tre meccanismi di sicurezza che consentono di proteggere i dati tra i client e il server Host sessione RDS:

• Livello di sicurezza RDP– hackerare il protocollo di crittografia RDP, che è meno sicuro.
• Negoziare– La crittografia TLS 1.0 (SSL) deve essere crittografata in momenti diversi dal client, se il client non la supporta, è richiesto il massimo livello di sicurezza RDP.
• SSL- La crittografia TLS 1. sarà vittoriosa per l'autenticazione del server e la crittografia della trasmissione dei dati tra il client e il server. La modalità più sicura.

Per una sicurezza di alto livello, è necessario utilizzare la crittografia SSL/TLS. Per chi ha bisogno di un certificato digitale, può essere autofirmato o visualizzato dall'autorità di certificazione CA (più breve).

Oltre al livello di sicurezza, puoi scegliere il livello di crittografia dei dati. Sono disponibili i seguenti tipi di crittografia:

• basso- Crittografia a 56 bit dei dati inviati dal client al server. I dati trasmessi dal server al client non sono crittografati.
• Compatibile con il cliente – Visione danese cifrare vikoristovuєtsya per il blocco. In questo modo, tutto il traffico tra il client e il server viene crittografato con la lunghezza massima della chiave, in questo modo viene supportato il client.
• alto- tutti i dati che vengono trasmessi tra il client e il server sono crittografati su entrambi i lati con una chiave a 128 bit
• Conforme FIPS– tutti i dati trasmessi tra il client e il server dall'altra parte vengono crittografati utilizzando il metodo FIPS 140-1.

Per specificare che viene utilizzata la crittografia High o FIPS Compliant, tutti i client che non supportano questo tipo di crittografia non possono connettersi al server.

È possibile impostare il tipo di autenticazione del server e il tasso di crittografia come segue:

1. Sul server Host sessione Desktop remoto, aprire la finestra di configurazione Host sessione Desktop remoto e passare alla finestra di autorizzazione.
2. Nella scheda Generale, nei menu a discesa, selezionare il livello di sicurezza e il tipo di crittografia richiesti.
3. Premere OK.

Politiche di gruppo

Per configurare le impostazioni RDS in Windows Server 2008 R2, l'opzione dei criteri di gruppo è bassa. Tutte le puzze sono elencate in Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Servizi desktop remoto (uno screenshot della Console di gestione dei criteri di gruppo viene mostrato come una piccola immagine).

Come puoi vedere qui ci sono i criteri di gestione delle licenze, i criteri per l'impostazione del client RDC e del server Host sessione Desktop remoto. Prima della politica di sicurezza di RD Session Host si può vedere:

• Imposta il livello di crittografia della connessione client: la politica vince sulla gestione della crittografia uguale. Per attivarsi, tutti gli za'dnannya sono responsabili della cifratura delle istruzioni (per il blocco - Alto).
• SempreRichiestaperParola d'ordinesuconnessione: Questa politica è vittoriosa, quindi è necessario inserire la password del koristuvach quando ci si collega alla sessione RD; Per il lock-in, i koristuvach possono accedere automaticamente alla sessione, come se avessero fornito una password al client RDC.
• RichiederesicuroRPCcomunicazione: - quando la policy è abilitata, per i client è consentita solo l'autenticazione e la crittografia.
• RichiedereutilizzodiSpecificasicurezzastratoperA distanza (PSR) Connessioni: quando la politica è abilitata, tutte le comunicazioni tra il client e il server terminal sono da imputare al livello di sicurezza, qui indicazioni (RDP, Negozia o SSL/TLS)
• FareNonpermettereLocaleAmministratoriapersonalizzarePermessi: Il criterio include la capacità degli amministratori di modificare le impostazioni di sicurezza dell'host sessione Desktop remoto.
• Richiedi l'autenticazione dell'utente per le connessioni remote per assistenza con l'autenticazione a livello di rete: Il criterio abilita NLA per tutte le connessioni dal server terminal (i client senza supporto NLA non possono connettersi).

I parametri per la configurazione del client RDC sono disponibili nell'aggiornamento A distanzaDesktopconnessionecliente:

• FarenonpermettereLe passwordaitsalvato: Salva la politica delle password nel client RDC, l'opzione "Salva password" diventa non disponibile e tutte le password salvate in precedenza verranno eliminate.
• SpecificareSHA1 impronte digitalidicertificatiche rappresentanodi fiducia.rdpeditori: Questo criterio consente di creare un elenco di certificati SHA1 validi e, se un certificato corrisponde a tale elenco, è necessario considerarlo attendibile.
• Richiestapercredenzialisuilclientecomputer: il criterio sta attivando la richiesta dei dati del segnalante sul computer client e non sul server della sessione Desktop remoto.

Accesso al Web Desktop remoto

I computer corrispondenti che non dispongono di un client RDC installato possono essere in grado di accedere ai programmi pubblicati con l'aiuto di un browser web. Di cui è responsabile koristuvach, il browser dovrebbe aprire l'URL della risorsa RDS pubblicata. Server Accesso Web Desktop remoto: utilizza il ruolo del server Desktop remoto, chiama il vin ospitato sul server visualizzato.

L'interfaccia Web del server Accesso Web Desktop remoto basata su SSL e corystants può accedere ad essa per supportare i propri dati cloud. Autenticato koristuvachi bachat un elenco di programmi pubblicati silenziosi (RemoteApp), a cui il fetore può accedere.

Server Web Access per crittografare un certificato X.509 vittorioso. Viene rilasciato un certificato per la chiusura.

Ciao a tutti, continuiamo a guardare l'argomento in merito. Oggi ti guarderemo sulla scia di Windows, che ti consente di connetterti a un PC remoto. L'obiettivo è chiamato client RDP (Remote Desktop Protocol), in modo che possa essere tradotto in russo, un protocollo desktop remoto. Questo protocollo può essere monitorato da un computer remoto, che ha avviato la manutenzione delle connessioni del terminale. Il client RDP viene visualizzato in Windows XP ed è supportato nelle nuove versioni del sistema operativo. Meglio per tutto, ricco qualcuno da te, non sai cosa sia, anche con l'aiuto di questo aiuto, puoi facilmente connetterti a un computer remoto e apprezzarlo. Nell'articolo, riferirò su come connettersi a un tavolo di lavoro remoto in un'area locale. Quindi rileggi il testo.

Prepararsi per la sfida del client RDP.

La maggior parte dei client RDP vince quando lavora nella stessa area locale. Ad esempio, se a casa un computer è collegato a un altro, è necessario che la puzza sia collegata a un router. È anche possibile connettersi a un computer remoto tramite Internet, ma c'è anche un modo pieghevole per configurare, penso sia possibile quì argomento all'okremіy statti.

Innanzitutto, è necessario conoscere l'indirizzo IP del computer remoto per connettersi tramite il Remote Desktop Protocol. Di regola, di regola Collegamento Merezheve automaticamente sui tuoi computer, quindi al riavvio del sistema operativo, gli indirizzi IP verranno modificati. A questo, prima di tutto, mettiamo indirizzi statici per tutti gli annessi nella tua zona. Ale per la pannocchia, è necessario guardare gli indirizzi che il computer prenderà automaticamente. Per chi. Scriviamo il comando "ipconfig" e bachimo, yakі: mask merge, mask pіdmerezhі quel gateway otrimuє carta merezheva con regolazioni automatiche.

Ottieni rispetto! Di norma su tutti i router dietro la serratura si vede la maschera del bordo (192.168.0 o 192.168.1) chiara, è possibile scrivere tutte le righe come da screenshot e scegliere la modifica.

Questo è tutto, ora abbiamo impostato un indirizzo IP statico per il nostro computer, per consentirci di modificare facilmente il client RDP.

Come puoi vedere, mi ha permesso di collegarmi a un tavolo di lavoro distante.

Se abbiamo elaborato con te gli indirizzi dei computer. Passiamo al potenziamento della funzione Remote Desktop Protocol. Tsі ha fatto scorrere vykonuvati sul computer, a ciò che vuoi connettere. Singhiozzo baffi zapratsyuvalo, vikonuemo kroki:

Abbiamo elaborato tutti i preparativi per te, in modo che il client RDP possa lavorare con noi. Andiamo avanti senza interruzioni finché non esaminiamo il processo di connessione.

Possiamo connetterci a un computer RDP remoto.

Nei punti precedenti, abbiamo risolto con voi gli adeguamenti, in quanto è necessario viconare per lavorare con il protocollo del tavolo di lavoro a distanza. Ora diamo un'occhiata a come stabilire una connessione.

Ottieni rispetto! Batteremo lo standard Windows zasib. Ovviamente non potremo usufruire di utilità di terze parti, tutto ciò di cui avremo bisogno sarà a portata di mano.

Per eseguire il comando "Connetti a desktop remoto", apri il menu "Start" - "Tutti i programmi" - "Accessori - Windows". Alla voce di menu che è apparsa, avviamo il client RDP e abbiamo un campo chiamato "Computer". Prima di quello nuovo, è necessario inserire l'indirizzo del computer remoto, tobto. quello su cui mettiamo un indirizzo IP statico. Dopo aver cliccato sul pulsante di connessione, il programma ti chiederà di inserire "Login e password" per connetterti al PC remoto.

Puoi anche votare dodatkovі nalashtuvannya, per cui selezionare la voce "Mostra parametri". Qui puoi specificare un computer remoto, regolare le risorse locali e i parametri dello schermo. Ma penso sia meglio sbarazzarsi dei lucchetti e iniziare a gestire il PC remoto.

Client RDP: pro e contro.

Sarò onesto, non vinco spesso il client RDP, ma a volte è solo necessario. Per quanto mi riguarda, ho individuato i seguenti vantaggi:

• Per connettersi con un PC remoto, non è necessario cercare e installare alcun programma. Tutto è fornito dai rivenditori Microsoft e grazie per il contributo di sistema operativo;
• Puoi riprendere l'accesso al computer con l'aiuto di un desktop remoto. Cosa ti permette di vikonuvat su quello nuovo, be-yakі dії;
• A meno che tu non abbia accesso a un computer distante.

Dove finiscono i vantaggi, passiamo agli svantaggi di questa utilità:

• Il programma funziona correttamente solo nell'area locale, per stabilire una connessione via Internet è necessario andare alla configurazione del router per passare attraverso la porta, che è un problema per i ricchi coristuvachiv;
• Se stai utilizzando una VPN, per connetterti a un computer remoto, hai bisogno di un client RDP a cui connetterti garna shvidkist Internet, altrimenti puoi vedere la presentazione;
• Il programma potrebbe avere un insieme minimo di funzioni e potrebbe anche non essere introdotto gestore di file non è possibile trasferire file facilmente;

Portiamo le borse.

Oggi abbiamo esaminato il client RDP per Windows. La Danimarca zasіb per la connessione remota al computer può essere vista come un'alternativa programmi di terze parti, come , ma è improbabile che RDP possa sostituirli in qualche modo. Oscilki vbudovaniy zasib non può navigare in tutto il set di funzioni necessario, come la potenza dei programmi nell'accesso remoto. Shvidkіst roboti zashivati ​​​​bazhati kraschogo, ale vіdmіnno pіdіyde in tіvіdkah, in non molto in questo momento shukati installa i programmi inshі è necessariamente l'accesso in termіnovo otrimati a un pc lontano.

Chantly, riccamente qualcuno di te già chuv i bachiv tsyu abbreviazione - letteralmente spostando fuori, yak Protocollo desktop remoto (A distanzaDesktopprotocollo). Se vuoi leggere i dettagli tecnici del protocollo del livello applicato, puoi leggere la letteratura, partendo proprio da questa Wikipedia. Diamo un'occhiata agli aspetti pratici. E proprio quello che questo protocollo ti consente di connetterti in remoto ai computer, pid keruvannyam Windows diverse versioni della versione introdotta in Windows allo strumento "Connetti a Desktop Remoto".

Quali sono i pro ei contro dell'utilizzo del protocollo RDP?

Per una buona ragione - un vantaggio. Inoltre, dipende da quale strumento è più corretto nominare ClientePSR a disposizione di chiunque koristuvachevі Windows come un computer accesso remoto vіdkriti.

Attraverso il collegamento al tavolo di lavoro remoto è possibile non solo accedere al tavolo di lavoro remoto e utilizzare le risorse del computer remoto, ma anche connettersi a quello nuovo. unità locali, stampanti, smartcard, ecc. Ovviamente, se vuoi guardare video o ascoltare musica tramite RDP, è improbabile che questo processo ti dia soddisfazione, perché. in più vipadkіv riprodurrai una presentazione e il suono sarà migliore per tutto. Prote, il servizio RDP è stato ampliato.

Un altro vantaggio inesauribile sono quelli che la connessione al computer è possibile senza programmi aggiuntivi, come nella tua stessa paga, che vogliono fare le tue cose. Un'ora di accesso al server RDP (che è il tuo computer remoto) è limitata alle tue esigenze.

Meno di due svantaggi. Un suttviy, un altro - non molto di più. Innanzitutto - per i robot con un computer RDP, prima del quale viene stabilita la connessione, la madre è responsabile dell'IP (esterno) della madre, ma sull'intero computer può essere possibile "gettare" la porta dal router, che è ancora colpa della madre dell'IP esterno. Il vino statico sarà dinamico - il significato non può essere, ma il vino può essere buti.

Un altro aspetto negativo - non un tale sutt - altre versioni il client ha smesso di supportare 16 colori combinazione di colori. Minimo - 15 bit. Migliora notevolmente il lavoro su RDP, se ci si connette tramite una connessione Internet inattiva con una velocità che non supera i 64 kilobit al secondo.

Perché puoi ottenere l'accesso remoto RDP?

Le organizzazioni tendono a vincere il server RDP per Camera da letto al programma 1C. E deyakі navіt distribuisce su di loro il lavoro di koristuvachіv. In questo modo, koristuvach, soprattutto come un nuovo robot rosa, puoi, per la presenza di Internet 3G o Wi-Fi di hotel/bar, collegarti alla tua area di lavoro da lontano e ottenere tutta la potenza.

In alcuni casi, i koristuvach domestici possono vicariare in lontananza l'accesso al loro computer di casa, per prelevare dati dalle risorse domestiche. In linea di principio, il servizio di un tavolo di lavoro remoto consente di lavorare completamente con testo, ingegneria e programmi di grafica. Con un video e un suono di ragioni divine - non provare a vedere, ma è tutto uguale - è un vantaggio. E puoi anche guardare le risorse chiuse dalla politica aziendale sul robot, collegandoti al tuo computer di casa senza anonimizzatori, vpn e altri sporchi.

Internet è in preparazione

Al fronte della divisione abbiamo parlato di quelli che, per garantire la possibilità di accesso remoto dietro il protocollo RDP, necessitano di un indirizzo IP chiamante. Questo servizio può essere protetto da un provider, possiamo scrivere a quel telefono o andare a ufficio speciale quell'organizovuєmo dato gli indirizzi tsієї. Idealmente, la colpa è del vino, ma statico, ma dinamico, in linea di principio, puoi vivere.

Se qualcuno non ha capito la terminologia, allora indirizzo statico- tse nezminny e dinamico - in nessun cambiamento. Per lavorare completamente con indirizzi IP dinamici, c'erano diversi servizi, in modo da garantire il legame di un dominio dinamico. Cosa e come, non sarà difficile scrivere un articolo su questo argomento.

Prepara il router

Poiché il tuo computer non è collegato direttamente alla connessione del provider a Internet, ma tramite un router, con questo componente aggiuntivo saremo anche in grado di eseguire manipolazioni. E me stesso - inoltrare il porto al servizio - 3389. In un altro modo, il NAT del tuo router semplicemente non ti lascia entrare misura casalinga. Potrebbe essere necessario configurare un server RDP nell'organizzazione. Se non sai come inoltrare una porta, leggi l'articolo su come inoltrare una porta su un router (leggi nella nuova scheda), quindi girati.

Prepara il computer

Per creare la possibilità di una connessione remota a un computer, è necessario fare due parole:

Consenti connessione alle Autorità di sistema;
- imposta una password per lo streaming koristuvach (ad esempio, non hai una password) o crea un nuovo koristuvach con una password specifica per la connessione tramite RDP.

Come risolverlo con un coristuvach: scrivilo tu stesso. Tuttavia, fai attenzione che i sistemi operativi non server non supportano più accessi. Totò. Se hai effettuato l'accesso localmente (console), quindi accederai con lo stesso coristuvachy da remoto - lo schermo locale verrà bloccato e la sessione nello stesso posto si aprirà nella finestra Connesso al tavolo di lavoro remoto. Inserisci la password in locale, non tramite RDP: verrai registrato per l'accesso remoto e potrai visualizzare la schermata di streaming sul tuo monitor locale. Ti controlli, quindi entrerai nella console sotto uno shorty, e da lontano proverai ad entrare sotto un altro. A quel punto il sistema ti chiederà di terminare la sessione koristuvach locale scho non zavzhdi può essere utile.

Oh, andiamo a Inizio, fare clic con il pulsante destro del mouse sul menu Computer quell'assalto potenza.

Al potere Sistemi da collezione Parametri aggiuntivi sistemi

Al vіknі, scho vіdkrylos, vai alla scheda Accesso remoto…

... spingendo Dodatkovo…

Metto un segno di spunta sul lato sinistro.

Tse "casa" Versione Windows 7 - chi può Pro e più, ci saranno più rappresentanti ed è possibile aumentare la separazione degli accessi.

Assalto OK raschiare.

Ora puoi andare su Connetti al desktop remoto (Start>Tutti i programmi>Accessori), inserire lì l'indirizzo IP del computer, oppure vuoi connetterti alla tua nuova rete domestica e utilizzare tutte le risorse.

Asse così. In linea di principio, tutto è semplice. Come il raptom sarà come il cibo, o se perdi la testa, chiediamo gentilmente commenti.

Servizi Desktop remoto (RDS) in Windows Server 2008 R2 potrebbe essere più grande, più basso il nuovo nome; tse non ti sei stancato del servizio terminal. Grazie a nuovi componenti (sono stati introdotti in Windows Server 2008), come RemoteApp, Gateway Desktop remoto e Host di virtualizzazione Desktop remoto, il ruolo del server Windows ora ti dà la possibilità di installare fino a 8 programmi o nuove macchine per assistenza con RDS o Soluzioni VDI - alle opzioni avanzate senza la necessità di utilizzare Citrix o altri moduli aggiuntivi di compilatori di terze parti.

Ale yak schodo bezpeki? Tutti i punti di aggiunta di piegatura sono indicati nei momenti addizionali di sicurezza. In queste statistiche, possiamo vedere i meccanismi di sicurezza introdotti in RDS, come modificare i parametri di configurazione politica di gruppo per migliorare il livello di sicurezza, nonché raccomandazioni per la sicurezza dell'installazione di RDS.

Cosa c'è di nuovo in R2

Se inizi a lavorare con RDS dopo aver lavorato con Servizi terminal di Windows Server 2008, non apporterai molte modifiche significative, come quando esegui la migrazione da Windows Server 2003. browser, Gateway TS per elenchi ristretti che si connettono tramite Internet, RemoteApp per fornire fino a quattro programmi agli utenti selezionati tramite il protocollo Remote Desktop Protocol (RDP) e Session Broker, che include la funzione di bilanciamento del traffico.

• Virtualizzazione del desktop remoto per la soluzione VDI
• Provider RDS per PowerShell, in modo che gli amministratori possano modificare la configurazione e modificare le impostazioni nell'interprete dei comandi e per script aggiuntivi
• Virtualizzazione IP desktop remoto, che consente di assegnare indirizzi IP ai contatti per una sessione abilitata per skin o un programma
• Nuova versione del client RDP e Remote Desktop Connection (RDC), versione 7.0
• Programmazione CPU Fair Share una distribuzione dinamica dei tempi di elaborazione tra le sessioni in base al numero di sessioni attive.
• Si tratta di Windows Installer per semplificare l'installazione di programmi che richiedono l'installazione di okremy koristuvachіv.
• Diyasna pіdtrimka kіlkoh monitorіv (fino a 16 pezzi), i programmi simili a zavdyaki funzionano proprio come il fetore funziona sulle macchine client.

Inoltre, editing audio/video Supporto di Windows Aero nelle sessioni RD (si noti che la composizione del desktop, che garantisce il lavoro di Aero, non è supportata nelle sessioni con più monitor).

Aspetti e meccanismi di sicurezza

Ovviamente, ci sono potenziali problemi di sicurezza a seconda di come è installato RDS. Yakscho hai Bіlsh Folding Conifiguitzіya, in Yakiy Korhuvachi tramite il browser Introtnet TA / ABO, sarai B_SHSH come punteggi, Yakі Potterbno Ektshuvati Tu Trojvyovati, Nіzh con Vikonovni Estate Conifiguzzi, in Yakiy Korhuvachi p_ddle vocaus via RDC Klієntіv via LAN.

RDS include meccanismi di bassa sicurezza, che aiuteranno ad aumentare la sicurezza di RD.

Revisione dell'autenticità a livello di frontiera (Autenticazione a livello di rete)

Per il massimo livello di sicurezza, il passaggio successivo consiste nell'abilitare l'autenticazione a livello perimetrale (Network Level Authentication - NLA) per tutte le connessioni. NLA verifica di essere autenticato sul server Host sessione Desktop remoto, verrà creata la prima sessione. Tse aiutano a proteggere computer remoti sotto forma di koristuvachiv dannoso e shkidlivy PZ. Per vincere l'NLA, il computer client deve incolpare il sistema operativo, poiché supporta i protocolli Credential Security Support Provider (CredSSP), quindi Windows XP SP3 è migliore, così come la madre del client RDC 6.0 o altro.

NLA è configurato sul server Host sessione Desktop remoto nel ramo successivo: Strumenti di amministrazione | Servizi desktop remoto | Configurazione host sessione desktop remoto. Per configurare una connessione a NLA, attenersi alla seguente procedura:

1. Fare clic con il pulsante destro del mouse su Connetti (Connessione)
2. Scegli il potere
3. Vai al segnalibro Zagalni (Generale)
4. Imposta il flag sull'opzione "Consenti connessioni solo da computer in esecuzione)" come mostrato nella miniatura 1
5. Premere OK.

Maljunok 1

Protocollo Transport Layer Security (TLS).

La sessione RDS può ottenere uno dei tre livelli di sicurezza uguali per la connessione tra i client e il server Host sessione RDS:

• Nastro di sicurezza RDP "Questa crittografia RDP vittoriosa è la meno sicura. Il server Host sessione Desktop remoto non verifica la correttezza.
• La crittografia della negoziazione TLS 1.0 (SSL) verrà crittografata poiché il client la supporta. No, la sessione sta tornando alla sicurezza RDP.
• SSL "La crittografia TLS 1.0 verrà utilizzata per verificare l'autenticità del server e la crittografia dei dati trasmessi tra il client e il server Session Host. Questa è l'opzione più sicura.

Crimea per scegliere il livello di sicurezza, puoi anche scegliere il livello di crittografia della connessione. Ecco le opzioni:

• Bassa (bassa)" Crittografia a 56 bit per i dati inviati dal client al server. Non crittografare i dati inviati dal server al client.
• Riepilogo con un client (compatibile con il client): questa è un'opzione per il blocco. Crittografa i dati che vengono trasmessi tra il client e il server con la migliore chiave supportata dal client.
• Opzione alta (alta) per crittografare i dati in entrambe le direzioni tra il client e il server per l'aiuto della crittografia a 128 bit.
• Somma FIPS (Compliant FIPS) "Questa opzione crittografa i dati trasmessi in entrambe le direzioni tra il client e il server utilizzando l'algoritmo di crittografia convalidato FIPS 140-1.

Tieni presente che se scegli l'opzione "Alta" o "FIPS smart", siano essi client, se non supportano tale crittografia uguale, non saranno in grado di connettersi.

Axis, come impostare i parametri di autenticazione e crittografia del server:

1. Sul server Host sessione Desktop remoto, aprire la configurazione Configurazione host sessione Desktop remoto, quindi collegare l'alimentazione, come indicato in precedenza.
2. Al segnalibro Zagalni, scegli la sicurezza più importante strappata e la crittografia dall'elenco, che viene rivelato, come mostrato nel piccolo 2.
3. Premere OK.

Maljunok 2

Puoi anche accelerare politica di gruppo per la crittografia con parametri di crittografia e autenticazione, nonché altre impostazioni RDS.

Politica di gruppo

Utilizzare una serie di impostazioni dei criteri di gruppo per RDS in Windows Server 2008 R2. Configurazione computer \ Criteri \ Modelli amministrativi \ Componenti di Windows(Componenti Windows)\ Servizi Desktop remoto nella console di gestione dei criteri di gruppo del dominio, come mostrato nella figura 3.

Come puoi vedere, ecco i criteri per la licenza dei client RDC e del server Host sessione Desktop remoto. I criteri di sicurezza per il server Host sessione Desktop remoto includono:

• Modello di certificato di autenticazione del server: Selezionare questo criterio per specificare il nome del modello di certificato, quale si designa, quale certificato verrà selezionato automaticamente per verificare l'autenticità del server Host sessione Desktop remoto. Se si immette questo criterio, tutti i certificati creati oltre il modello specificato verranno protetti quando si sceglie un certificato per l'autenticazione del server Host sessione Desktop remoto.
• Imposta il livello di crittografia della connessione client: Questa politica è vittoriosa per controllare coloro che avranno bisogno dello stesso livello di crittografia. Se attivi questa politica, è tutta colpa tua se vinci questo livello di crittografia. Per zamovchuvannyam rіven cifrare є alto rіven.
• Richiedi sempre la password al momento della connessione:è possibile modificare il criterio per impostare la password RDS, immettere la password della password quando si accede alla sessione RD e anche digitare la password delle voci sul client RDC. Dopo il blocco, i corrispondenti possono accedere automaticamente, purché la password sia inserita nel client RDC.
• Protezione Wimagati RPC (richiede comunicazione RPC sicura): Il criterio abilitato significa che saranno consentite solo le richieste crittografate dai client che hanno superato la verifica. Non sarà consentito incontrare clienti non fidati.
• È importante modificare il primo livello di sicurezza per le connessioni RDP (Richiedi l'uso di Specific Security Layer for Remote (RDP) Connections): se si abilita questo criterio, tutte le connessioni tra client e server Session Host devono modificare il livello di sicurezza, a seconda di quale si specifica qui (RDP, Negozia o SSL/TLS)
• Non consentire agli amministratori locali di personalizzare le autorizzazioni: Questo criterio include i diritti degli amministratori di modificare le autorizzazioni di sicurezza negli strumenti di configurazione della configurazione dell'host sessione Desktop remoto, che non consentono agli amministratori locali di modificare il gruppo host nella scheda Autorizzazioni dello strumento di configurazione.
• Si prega di verificare l'autenticità del coristuvach per le connessioni remote controllando l'autenticità su un piano di parità: per criteri aggiuntivi, è possibile modificare l'NLA per tutte le connessioni remote al server Host sessione Desktop remoto. Possono aderire solo i clienti con il supporto dell'NLA.

Nota: asse, come riconoscere, che supporta l'autenticazione del computer client sulla linea di confine: aprire il client RDC e premere l'icona in alto a sinistra, quindi selezionare " Informazioni sul programma (su) Se NLA è supportato, dovresti controllare la riga "Autenticazione a livello di rete supportata".

Gli altri parametri del criterio di gruppo, circa la cosa successiva da indovinare, sono impostati nella distribuzione delle aree client di Connessione Desktop remoto. Le puzze includono:

• Non consentire il salvataggio delle password: abilitando l'opzione per salvare le password nella finestra di dialogo del client RDC. Non appena apri il file RDP e salvi le impostazioni, le password verranno eliminate prima. Tse zmushuє koristuvach inserisci la password all'ingresso della pelle.
• Specificare le identificazioni personali SHA1 dei certificati che rappresentano trusted . editori rdp): Per l'aiuto di questo parametro, puoi specificare un elenco di certificati SHA1 validi e, se il certificato corrisponde ai bit validi nell'elenco, sarai considerato attendibile.
• Richiedi le credenziali nel computer client: Questa politica include la richiesta di dati in contanti su computer client non sul server Host sessione Desktop remoto.
• Configura l'autenticazione del server per il client: con l'aiuto di questo parametro è possibile specificare quale client può connettersi al server Host sessione Desktop remoto se non può verificare l'autorizzazione del server Host sessione Desktop remoto. L'impostazione più sicura sarebbe l'opzione "Non connetterti se l'autenticazione fallisce".

Puoi anche vincere una politica di gruppo per applicare la sicurezza FIPS, ma non conosci quella politica qui con altre politiche di sicurezza RDS. Ha vinto roztashovana nella sezione successiva: Configurazione computer \ Impostazioni di Windows \ Impostazioni di sicurezza \ Criteri locali \ Opzioni di sicurezza. Nel riquadro di destra, vai a: Crittografia di sistema: utilizza algoritmi conformi a FIPS per crittografia, hashing e firma. Quando il criterio è abilitato, non supporterà più l'algoritmo di crittografia Triple DES (3DES) per le chiamate RDS.

Accesso al Web Desktop remoto

Nei computer in cui non è installato un client RDC, potrebbero essere in grado di accedere ai programmi pubblicati a cui è possibile accedere da un browser Web. Koristuvach vai all'URL, per qualsiasi risorsa RDS pubblicata. Il server Accesso Web Desktop remoto è denominato server Host sessione Desktop remoto. Specificare quali server Accesso Web Desktop remoto possono connettersi a quali server Host sessione Desktop remoto.

L'interfaccia web è protetta con SSL e l'utente è responsabile del passaggio dell'autenticazione per aiutare i suoi dati cloud. Koristuvach, una sorta di verifica della correttezza, puoi utilizzare solo quei programmi RemoteApp, che sono consentiti per quello nuovo. record oblіkovogo, gli shard e i programmi pubblicati vengono "urizzati" per un elenco di accesso aggiuntivo (ACL).

Server Web Access con certificato X.509 per crittografia sicura. Per il certificato zamovchuvannyam vikoristovuetsya, autoregistrazione scho. Per una maggiore sicurezza, prendi un certificato da un centro di certificazione pubblico o dalla PKI della tua azienda.

Gateway RD

Il gateway RD (RDG) è progettato per fornire un facile accesso alle risorse RD tramite Internet. Server al gateway gateway per la distribuzione del cordone e il filtraggio vin delle richieste di input RDS al Network Policy Server (NPS). NPS vince due criteri: Connection Authorization Policy (CAP), nel qual caso è possibile specificare se è possibile accedere alla RDG e Resource Authorization Policy (RAP), che si specifica, a cui i dispositivi CAP possono essere collegati a Koristuvach tramite RDG.

Visnovok

Servizi del Viddal River Table in Windows Server 2008 R2 che si precipitano consapevolmente sul funk_onal di un coherer, il Thermal_vіv "Ale of Woney, IMA IS ALEKS OF NOWS ASSESTING ASPECTS, YAKI SLIDE EKUSYUVATU. TRANSFER THE RECOMMENSI RESSION SLOWS TREATMENTS MEMBERY DESIGN CAPTER IN THE NASTASHTUVANIE INFORMATION HOST, RD WEB ACCESS Server, RD Gateway e il client, oltre alla politica di gruppo per la configurazione della configurazione, puoi tranquillamente occuparti del mezzo e velocizzare la consegna RDS dei componenti aggiuntivi e proteggere i tuoi computer di base.