WindowsRDPクライアント。 コンピューターとの距離接続でヴィコヌエモ！ RDPポート：デフォルト値とカスタマイズの主な段階を変更するrdpで使用される暗号化アルゴリズム

リモートデスクトップサービス（RDS） Windows Server 2008 R2は、後継のターミナルサービスの単なるリブランドではありません。 RemoteApp、RDゲートウェイ、RD仮想化ホストなどの一部がWindows Server 2008に登場した新機能を使用すると、この機能の開始を手動で保護するだけでなく、 corystuvacdodatkіvそのため、RDSおよびVDIソリューションの作業テーブルの数は、さらに、antrohiの機能と堅牢性は高くありませんが、Citrixソリューションまたは他のベンダーの複合体です。

リモートデスクトップサービスをどのように安全に保ちますか？ マイクロソフトは、サービスのセキュリティを更新および改善しました。 この記事では、RDSのセキュリティメカニズム、グループポリシーによる端末サービスのセキュリティ、およびRDSソリューションのセキュリティの実際的な側面について説明します。

R2の新機能

WindowsServer2003およびWindowsServer2008バージョンのターミナルサービスを使用したことがある場合、Windows 2008には、（ブラウザ接続）、（インターネット経由のターミナルサービスへのアクセス）、（パブリケーション）などのいくつかの新機能があることを覚えておく必要があります。 RDPプロトコル用のokremikhdodatkіvの）およびサービス（セキュリティのバランス調整）。

Windows Server2008R2が登場しました 今後の機能:

• VDIソリューションのリモートデスクトップ仮想化
• PowerShell用のRDSプロバイダー（管理者がRDSを構成および構成できるようになりました コマンドラインしかし、スクリプトの助けのために）
• リモートデスクトップIP仮想化。これにより、実行中のセッション設定またはプログラムに基づいて接続にIPアドレスを割り当てることができます。
• 新しいバージョンのRDPプロトコルとリモートデスクトップ接続（RDC）クライアント–v。 7.0
• アクティブなセッションの数に基づいてCPUリソースを動的に表示するためのCPUリソース管理
• Sumіsnіstz Windowsインストーラー、ボックスの側面にあるプログラムのパラメータを調整できるプログラムをインストールできます。
• クライアント側でのサポート-最大16台のモニター。

さらに、ロボット工学の機能はビデオとオーディオで補完され、テクノロジーの完全なサポートが提供されました Windows Aero（重要なことに、Aeroは追加のマルチモニターモード作業ではサポートされていません）。

明らかに、RDSサービスのセキュリティは古くなっています 特定のソリューション。 たとえば、インターネット経由またはブラウザを使用して接続する最終候補者向けの作業スタイルを公開する場合、クライアントがRDCクライアント ローカルライン lan。

ネットワークレベル認証

すべての接続のセキュリティを強化するには、ネットワークレベル認証（NLA）認証メカニズムを獲得する必要があります。 NLAでは、セッションが作成される前であっても、RDセッションホストサーバーにログインする必要があります。 このメカニズムにより、ログインしたセッションのファイルからサーバーを盗むことができます。このファイルは、マレファクターまたはボットプログラムによって生成される可能性があります。 NLAを高速化するには、クライアントオペレーティングシステムは、Windows XP SP3（）以降とRDP6.0クライアント以上を送信する資格情報セキュリティサポートプロバイダー（CredSSP）プロトコルをサポートする必要があります。

[管理ツール]->[リモートデスクトップサービス]->[デスクトップセッションホスト構成]コンソールを開いて、RDセッションサーバーでNLAを構成できます。

1. 接続上でマウスを右クリックします
2. プロパティを選択します
3. [全般]タブに移動します
4. 「ネットワークレベル認証を使用してリモートデスクトップを実行しているコンピューターからの接続のみを許可する」オプションを設定します
5. OKを押します。

トランスポート層セキュリティ（TLS）

RDSセッションには、クライアントとRDSセッションホストサーバー間のデータを保護できる3つのセキュリティメカニズムのいずれかを含めることができます。

• RDPセキュリティレイヤー–安全性が低いRDP暗号化プロトコルへのハッキング。
• 交渉–暗号化TLS 1.0（SSL）は、クライアントがさまざまな時点で暗号化する必要があります。クライアントがそれをサポートしていない場合は、最高レベルのRDPセキュリティが必要です。
• SSL-暗号化TLS1.は、サーバー認証と、クライアントとサーバー間のデータ送信の暗号化に勝利します。 最も安全なモード。

高レベルのセキュリティを確保するには、SSL/TLS暗号化を使用する必要があります。 デジタル証明書が必要な場合は、自己署名するか、CA認証局（短い方）が確認できます。

セキュリティのレベルに加えて、データの暗号化のレベルを選択できます。 次のタイプの暗号化を使用できます。

• 低い-クライアントからサーバーに送信されるデータの56ビット暗号化。 サーバーからクライアントに送信されるデータは暗号化されていません。
• クライアント互換 – デンマークの見解ロックのための暗号化vikoristovuєtsya。 このようにして、クライアントとサーバー間のすべてのトラフィックは、クライアントがサポートされる方法である最大キー長で暗号化されます。
• 高い-クライアントとサーバー間で送信されるすべてのデータは、128ビットキーで両側が暗号化されます
• FIPS準拠–クライアントと反対側のサーバー間で送信されるすべてのデータは、FIPS140-1方式を使用して暗号化されます。

HighまたはFIPS準拠の暗号化を使用するように指定するには、このタイプの暗号化をサポートしていないすべてのクライアントがサーバーに接続できません。

サーバー認証タイプと暗号化率は次のように設定できます。

1. RDセッションホストサーバーで、リモートデスクトップセッションホストの構成ウィンドウを開き、権限ウィンドウに移動します。
2. [全般]タブのドロップダウンメニューで、必要なセキュリティレベルと暗号化の種類を選択します。
3. OKを押します。

グループポリシー

Windows Server 2008 R2でRDS設定を構成するには、グループポリシーオプションを低くします。 すべての悪臭は、コンピューターの構成\ポリシー\管理用テンプレート\Windowsコンポーネント\リモートデスクトップサービスに一覧表示されます（グループポリシー管理コンソールのスクリーンショットは小さな画像として表示されます）。

ご覧のとおり、ライセンス管理ポリシー、RDCクライアントとRDセッションホストサーバーを設定するためのポリシーがあります。 RDセッションホストのセキュリティポリシーの前に、次のことがわかります。

• クライアント接続の暗号化レベルを設定します。ポリシーは、同等の暗号化の管理に勝ちます。 アクティベートするために、すべてのza'dnannyaは、命令の暗号化の責任を負います（ロックの場合-高）。
• いつも促すにとってパスワードその上繋がり: このポリシーは勝利を収めているため、RDセッションに接続するときにkoristuvachのパスワードを入力する必要があります。 ロックインの場合、koristuvachsは、RDCクライアントにパスワードを指定したかのように、セッションに自動的にログインできます。
• 必要とする安全RPCコミュニケーション: -ポリシーが有効になっている場合、クライアントには認証と暗号化のみが許可されます。
• 必要とする使用するの明確安全層にとってリモート (RDP) 接続: ポリシーが有効になっている場合、クライアントとターミナルサーバー間のすべての通信は、セキュリティレベルのせいになります。ここに表示されます（RDP、ネゴシエート、またはSSL / TLS）
• 行ういいえ許可するローカル管理者にカスタマイズ権限: ポリシーには、管理者がRDセッションホストのセキュリティ設定を調整する機能が含まれています。
• ネットワークレベル認証を支援するには、リモート接続にユーザー認証を要求します。ポリシーにより、ターミナルサーバーからのすべての接続に対してNLAが有効になります（NLAサポートのないクライアントは接続できません）。

RDCクライアントをセットアップするためのパラメーターは、アップデートに記載されています。 リモートデスクトップ繋がりクライアント:

• 行ういいえ許可するパスワードにen保存しました: RDCクライアントにパスワードを保存するポリシー。[パスワードを保存]オプションが使用できなくなり、以前に保存したすべてのパスワードが削除されます。
• 特定SHA1 拇印の証明書を表す信頼できる.rdp出版社: このポリシーを使用すると、有効なSHA1証明書のリストを作成できます。証明書がそのリストと一致する場合は、それを信頼する必要があります。
• 促すにとって資格情報の上theクライアントコンピューター：ポリシーは、RDセッションサーバーではなく、クライアントコンピューターでレポーターのデータの要求をアクティブ化しています。

RDWebアクセス

RDCクライアントがインストールされていない対応するコンピューターは、Webブラウザーの助けを借りて公開されたプログラムにアクセスできる場合があります。 koristuvachが責任を負うのは、ブラウザが公開されたRDSリソースへのURLを開く必要があるためです。 RD Webアクセスサーバー-RDサーバーの役割を使用し、表示されたサーバーでホストされているvinを呼び出します。

SSLとコリスタントに基づくRDWebAccessサーバーのWebインターフェースにログインして、クラウドデータを支援することができます。 認証されたkoristuvachibachatは、悪臭がアクセスできる静かな公開プログラム（RemoteApp）のリストです。

勝利したX.509証明書を暗号化するためのWebアクセスサーバー。 ロックに対して証明書が授与されます。

みなさん、こんにちは。引き続きトピックを見ていきましょう。 今日は、リモートPCに接続できるWindowsをきっかけにあなたを見ていきます。 目標はRDP（リモートデスクトッププロトコル）クライアントと呼ばれるため、ロシア語（リモートデスクトッププロトコル）に変換できます。 このプロトコルは、端末接続のサービスを開始したリモートコンピュータで監視できます。 RDPクライアントはWindowsXPに表示され、新しいバージョンのオペレーティングシステムでサポートされています。 すべての人にとってより良い、あなたからの金持ちの誰か、あなたはそれが何であるかを知りません、この助けの助けを借りても、あなたは簡単にリモートコンピュータに接続してそれを大切にすることができます。 この記事では、ローカルエリアのリモート作業テーブルに接続する方法について報告します。 だから、もう一度テキストを読んでください。

RDPクライアントのチャレンジの準備。

同じローカルエリアで作業している場合、ほとんどのRDPクライアントが勝ちます。 たとえば、自宅で1台のコンピューターを別のコンピューターに接続する場合、悪臭を1台のルーターに接続する必要があります。 インターネット経由でリモートコンピュータに接続することも可能ですが、折り畳み式のセットアップ方法もあります。それは可能だと思います。 qiuトピック okremіystattiで。

まず、リモートデスクトッププロトコルを介して接続するには、リモートコンピューターのIPアドレスを知っている必要があります。 原則として、原則として Merezheve接続コンピュータ上で自動的に起動し、オペレーティングシステムを再起動すると、IPアドレスが変更されます。 そのために、まず、ローカルエリアのすべての別棟に静的アドレスを設定します。 穂軸のエールは、コンピュータが自動的に取得するアドレスを確認する必要があります。 誰のため。 コマンド「ipconfig」とbachimo、yakіを記述します：マスクマージ、そのゲートウェイotrimuєのマスクpіdmerezhі merezhevaカード自動調整付き。

尊敬を！ 原則として、ロックの背後にあるすべてのルーターで、境界線のマスク（192.168.0または192.168.1）が明確であり、スクリーンショットに示すようにすべての行を書き込み、変更を選択することができます。

これで、RDPクライアントを簡単に調整できるように、コンピューターに静的IPアドレスを設定しました。

ご覧のとおり、彼は私が遠くの作業台に接続することを許可してくれました。

私たちがあなたと一緒にコンピュータのアドレスを調べた場合。 リモートデスクトッププロトコル機能の拡張に移りましょう。 Tsіdіїはあなたが接続したいものに、コンピュータ上でvykonuvatiをスライドさせました。 すすり泣き口ひげzapratsyuvalo、vikonuemo kroki：

RDPクライアントが私たちと協力できるように、私たちはあなたのためにすべての準備をしました。 接続プロセスを確認するまで、休憩なしで次に進みましょう。

リモートRDPコンピューターに接続できます。

これまでの時点で、遠方の作業テーブルのプロトコルを使用して作業を行う必要があるため、調整を整理しました。 次に、接続方法を見てみましょう。

尊敬を！ 標準のWindowszasibを打ち負かします。 もちろん、サードパーティのユーティリティを利用することはできません。必要なものはすべて手元にあります。

「リモートデスクトップに接続」コマンドを実行するには、「スタート」メニュー-「すべてのプログラム」-「アクセサリ-Windows」を開きます。 表示されたメニュー項目で、RDPクライアントを起動し、「コンピューター」というフィールドがあります。 新しいものの前に、リモートコンピュータのアドレスtobtoを入力する必要があります。 静的IPアドレスを設定したもの。 接続ボタンをクリックすると、プログラムはリモートPCに接続するために「ログインとパスワード」を入力するように要求します。

投票することもできます dodatkovіnalashtuvannya、項目「パラメータの表示」を選択します。 ここでは、リモートコンピューターを指定したり、ローカルリソースを調整したり、画面パラメーターを調整したりできます。 ただし、ロックを解除してリモートPCの管理を開始する方がよいと思います。

RDPクライアント-長所と短所。

正直に言うと、RDPクライアントを獲得することはめったにありませんが、必要な場合もあります。 私自身、次の利点を確認しました。

• リモートPCに接続するために、プログラムを検索してインストールする必要はありません。 すべてがマイクロソフトの小売業者によって提供されており、 オペレーティング·システム;
• リモートデスクトップを使用して、コンピューターへのアクセスを取り戻すことができます。 あなたが新しいものでvikonuvatすることを可能にするもの、be-yakіdії;
• あなたが遠くのコンピュータにアクセスできない限り。

プラスが終わったら、このユーティリティのマイナスに移りましょう。

• プログラムはローカルエリアでのみ正しく動作します。インターネット経由で接続を設定するには、ルーターの設定に移動してポートを通過する必要があります。これは、リッチなcoristuvachivにとって問題です。
• VPNを使用している場合、リモートコンピューターに接続するには、に接続するためのRDPクライアントが必要です。 ガルナshvidkistインターネット、それ以外の場合はスライドショーを見ることができます。
• プログラムには最小限の機能セットが含まれている場合があり、導入されていない場合もあります。 ファイル管理ファイルを簡単に転送することはできません。

かばんを持ってきましょう。

今日は、Windows用のRDPクライアントについて説明しました。 コンピュータへのリモート接続のためのデンマークzasіbは代替として見ることができます サードパーティプログラム、などですが、RDPが何らかの方法でそれらを置き換えることができる可能性は低いです。 Oscilki vbudovaniy zasibは、リモートアクセスのプログラムの能力など、必要なすべての機能セットを利用することはできません。 Shvidkіstrobotizashivatibazhatikraschogo、alevіdmіnnopіdіydeіntіvіdkah、それは時間shukatiіインストールではありません。

チャント、あなたからの豊かな誰かがすでにchuv i bachiv tsyuの略語-文字通りシフトアウト、ヤク リモートデスクトッププロトコル（リモートデスクトッププロトコル）。 適用されたレベルのプロトコルの技術的な詳細を読みたい場合は、このウィキペディアから始めて、文献を読むことができます。 実用的な側面を見てみましょう。 そして、このプロトコルでコンピューターにリモート接続できるのはまさにその1つ、pid keruvannyam Windows Windowsでツール「リモートデスクトップに接続」に導入されたバージョンのさまざまなバージョン。

RDPプロトコルを使用することの長所と短所は何ですか？

正当な理由で-プラス。 さらに、どのツールに名前を付けるのが正しいかによって異なります クライアントRDP誰でも利用可能 koristuvachevіWindowsコンピューターのように リモートアクセス vіdkriti。

リモート作業テーブルへの接続により、リモート作業テーブルにアクセスしてリモートコンピュータのリソースを使用できるだけでなく、新しいテーブルに接続することもできます。 ローカルドライブ、プリンタ、スマートカードなど。 もちろん、RDPを介してビデオを見たり音楽を聴いたりする場合は、このプロセスで満足できるとは限りません。 より多くのvipadkіvであなたはスライドショーを再生するでしょう、そして音はすべてのためにより良くなるでしょう。 Prote、RDPサービスが拡張されました。

もう一つの無尽蔵のプラスは、あなた自身の支払いのように、あなた自身のことをしたいという追加のプログラムなしでコンピュータへの接続が可能であるということです。 RDPサーバー（リモートコンピューター）への1時間のアクセスは、ニーズに制限されます。

2つ未満のマイナス。 1つは成功し、もう1つは-それほど多くはありません。 何よりもまず、接続が確立される前に接続が確立されるRDPコンピューターを備えたロボットの場合、母親が母親の（外部）IPを担当しますが、コンピューター全体で、ルーターからポートを「スロー」することができます。それでも外部IPの母のせいです。 静的なワインは動的になります-意味はできませんが、ワインはブティになることができます。

もう1つのマイナス-そのようなサットではない- 他のバージョンクライアントは16色のサポートを停止しました カラースキーム。 最小-15ビット。 コールドデッドインターネットを介して64キロビット/秒を超えない速度で接続すると、RDPでの作業が大幅に改善されます。

なぜリモートRDPアクセスを獲得できるのですか？

組織はRDPサーバーを獲得する傾向があります 寝室 1Cプログラムで。 そして、deyakіnavіtはkoristuvachіvの仕事を彼らに展開します。 このようにして、特に新しいバラのロボットとしてのkoristuvachは、3Gインターネットまたはホテル/カフェWi-Fiの存在のために、遠くから作業エリアに接続して、すべての電力を得ることができます。

場合によっては、自宅の使徒座代理区は、彼らの 家庭用コンピューター、ホームリソースからデータを取得します。 原則として、リモート作業テーブルのサービスにより、テキスト、エンジニアリング、および グラフィックプログラム。 ビデオと神聖な理由の音で-見ようとしないでください、しかしすべては同じです-それはプラスです。 また、ロボットに関する会社のポリシーによって閉鎖されたリソースを確認し、アノニマイザー、VPN、その他の汚れのない状態で自宅のコンピューターに接続することもできます。

インターネットが準備されています

部門の前で、RDPプロトコルの背後でリモートアクセスの可能性を確保するために、呼び出し元のIPアドレスが必要であるということについて話しました。 このサービスはプロバイダーによって保護されます。その電話に書き込むか、次のアドレスにアクセスします。 特別事務所そのorganіzovuєmoはtsієїアドレスを与えられました。 理想的には、ワインのせいですが、静的ですが動的です。原則として、あなたは生きることができます。

誰かが用語を理解していなかった場合は、 静的アドレス--tse nezminny、および動的--іnоdіの変更。 動的IPアドレスを完全に処理するために、動的ドメインのバインドを確実にするために、さまざまなサービスがありました。 何をどのように、このトピックに関する記事を書くことは難しくありません。

ルーターを準備する

お使いのコンピューターはプロバイダーのインターネット接続に直接接続されているのではなく、ルーターを介して接続されているため、このアドオンを使用すると、操作を実行することもできます。 そして私自身 - ポートをサービスに転送します-3389。 別の方法では、ルーターのNATは単にあなたを中に入れさせません ホームメジャー。 組織内にRDPサーバーをセットアップする必要がある場合があります。 ポートを転送する方法がわからない場合は、ルーターでポートを転送する方法に関する記事を読んでから（新しいタブで読んでください）、向きを変えてください。

コンピューターを準備する

コンピュータへのリモート接続の可能性を作成するには、2つの単語を作成する必要があります。

システムオーソリティへの接続を許可します。
-ストリーミングkoristuvachのパスワードを設定するか（たとえば、パスワードがない場合）、RDP経由で接続するための特別なパスワードを使用して新しいkoristuvachを作成します。

coristuvachで修正する方法-自分で書いてください。 ただし、サーバー以外のオペレーティングシステムは複数のログインをサポートしていないことに注意してください。 トブト。 ローカル（コンソール）にログインしてから、同じcoristuvachyを使用してリモートでログインする場合、ローカル画面がブロックされ、同じ場所のセッションが[リモートワークテーブルに接続]ウィンドウで開きます。 RDP経由ではなく、ローカルでパスワードを入力します。リモートアクセス用にログインし、ローカルモニターでストリーミング画面を表示できます。 あなたは自分自身をチェックするので、あなたはあるショーツの下でコンソールに入り、遠く離れてあなたは別のショーツの下に入ろうとします。 その時点で、システムはセッションを終了するように促します 地元のkoristuvach zavzhdiではなくschoが便利です。

ああ、行きましょう 始める、メニューを右クリックします コンピューターその猛攻撃 パワー.

権力の座 システム収集可能 追加のパラメータシステム

vіknі、schovіdkrylosで、タブに移動します リモートアクセス…

…押す ドダトコボ…

左側にチェックマークを1つ付けました。

ツェ「家」 Windows版 7-誰がプロ以上になることができれば、より多くの代表者が存在し、アクセスの分離を増やすことが可能になります。

猛攻撃 わかった擦ります。

これで、リモートデスクトップへの接続（[スタート]>[すべてのプログラム]>[アクセサリ]）に移動し、そこにコンピュータのIPアドレスを入力するか、新しいホームネットワークに接続してすべてのリソースを使用できます。

軸そう。 原則として、すべてが単純です。 raptomは食べ物のようになりますが、気が狂ったらコメントをお願いします。

Windows Server 2008 R2のリモートデスクトップサービス（RDS）は、より大きく、より低い新しい名前になる場合があります。 ターミナルサービスに飽きることはありませんでした。 RemoteApp、RDゲートウェイ、RD仮想化ホストなどの新しいコンポーネント（Windows Server 2008で導入されたもの）のおかげで、Windowsサーバーの役割により、最大8つのプログラムまたは新しいマシンをインストールしてRDSまたはVDIソリューション-Citrixやサードパーティコンパイラの他のアドオンモジュールを使用せずに、豊富なオプションを利用できます。

エールヤクschodobezpeki？ 折りたたみの追加のすべてのポイントは、安全の追加の瞬間に示されます。 これらの統計では、RDSで導入されたセキュリティメカニズム、構成パラメーターを微調整する方法を確認できます。 グループポリシー RDSのインストールのセキュリティに関する推奨事項だけでなく、セキュリティのレベルを向上させるため。

R2の新機能

Windows Server 2008ターミナルサービスを使用した後にRDSを使用し始める場合、Windows Server 2003から移行する場合のように、RDSで多くの重要な変更を加えることはありません。ブラウザー、インターネット経由で接続する候補者用のTSゲートウェイ、最大4つを配信するためのRemoteAppリモートデスクトッププロトコル（RDP）プロトコルとセッションブローカーを介して候補者にプログラムを提供します。これには、トラフィックのバランスをとる機能が含まれます。

• VDIソリューションのリモートデスクトップ仮想化
• PowerShell用のRDSプロバイダー。これにより、管理者はコマンドインタープリターおよび追加のスクリプトで構成を変更したり、設定を変更したりできます。
• リモートデスクトップIP仮想化。これにより、スキン対応セッションまたはプログラムの連絡先にIPアドレスを割り当てることができます。
• 新しいバージョンのRDPおよびリモートデスクトップ接続（RDC）クライアント、バージョン7.0
• フェアシェアCPUは、アクティブなセッションの数に基づいて、セッション間の処理時間の動的な分散をスケジュールします。
• okremykoristuvachіvのインストールを必要とするプログラムのインストールを簡素化するためのWindowsインストーラーの概要。
• Diyasnapіdtrimkakіlkohmonitorіv（最大16個）、zavdyakiのようなプログラムは、クライアントマシンでの悪臭の作業と同じように機能します。

また、オーディオ/ビデオ編集 Windowsサポート RDセッションでのAero（Aeroの作業を保証するデスクトップコンポジションは、複数のモニターを使用するセッションではサポートされていないことに注意してください）。

側面とセキュリティメカニズム

明らかに、RDSのインストール方法によっては、潜在的なセキュリティの問題があります。 あなたが持っているYakshchoBilshはcandygurasiを折りたたんでいます、yaki coristuvachiで、あなたはizhternet ta / aboブラウザを通り抜けます、あなたはより多くの側面、yaki、nyzhovati、nibを持っているでしょう。

RDSには、RDのセキュリティを強化するのに役立つ低セキュリティメカニズムが含まれています。

境界レベルでの信頼性レビュー（ネットワークレベル認証）

セキュリティを最大限に高めるために、次のステップは、すべての接続に対してエッジレベルでの認証（ネットワークレベル認証-NLA）を有効にすることです。 NLAは、RDセッションホストサーバーで認証されることを確認し、最初のセッションが作成されます。 Tseは保護するのに役立ちます リモートコンピューター悪意のあるkoristuvachivとshkidlivyPZの形で。 NLAを獲得するには、クライアントコンピューターがオペレーティングシステムのせいになります。これは、クレデンシャルセキュリティサポートプロバイダー（CredSSP）プロトコルをサポートしているため、Windows XP SP3の方が優れており、RDC6.0クライアントなどのマザーも優れています。

NLAは、次のブランチのRDセッションホストサーバーで構成されます。 リモートデスクトップサービス| リモートデスクトップセッションホストの構成。 NLAへの接続を設定するには、次の手順に従います。

1. [接続（接続）]を右クリックします
2. 力を選ぶ
3. ブックマークに移動Zagalni（一般）
4. サムネイル1に示すように、フラグを[実行中のコンピューターからの接続のみを許可する]オプションに設定します。
5. OKを押します。

マリノク1

トランスポート層セキュリティ（TLS）プロトコル

RDSセッションは、クライアントとRDSセッションホストサーバー間の接続について、次の3つの同等のセキュリティのいずれかを獲得できます。

• RDPセキュリティリボン「この勝利したRDP暗号化は最も安全性が低いです。RDセッションホストサーバーは正確性をチェックしません。
• Negotiate TLS 1.0（SSL）暗号化は、クライアントがサポートしているため暗号化されます。 いいえ、セッションはRDPセキュリティに戻ります。
• SSL「TLS1.0暗号化は、サーバーの信頼性と、クライアントとセッションホストサーバー間で送信されるデータの暗号化を検証するために使用されます。これは最も安全なオプションです。

クリミアはセキュリティのレベルを選択するために、接続の暗号化のレベルを選択することもできます。 オプションは次のとおりです。

• Low（Low）"クライアントからサーバーに送信されるデータの56ビット暗号化。サーバーからクライアントに送信されるデータは暗号化しないでください。
• クライアントとの要約（クライアント互換）-これはロックのオプションです。 クライアントとサーバー間で送信されるデータを、クライアントがサポートする最適なキーで暗号化します。
• 128ビット暗号化を利用してクライアントとサーバー間で双方向にデータを暗号化する高（高）オプション。
• FIPS-sum（FIPS準拠） "このオプションは、FIPS 140-1検証済み暗号化アルゴリズムを使用して、クライアントとサーバー間で双方向に送信されるデータを暗号化します。

「高」または「FIPSスマート」オプションを選択した場合、クライアントであっても、そのような同等の暗号化をサポートしていないと、接続できなくなることに注意してください。

Axis、サーバーの認証と暗号化のパラメーターを設定する方法：

1. 上記のように、RDセッションホストサーバーで、リモートデスクトップセッションホストの構成構成を開き、電源を接続します。
2. ブックマークZagalniで、リストから最も重要なセキュリティリベンと暗号化を選択します。これは、小さい2に示すように表示されます。
3. OKを押します。

マリノク2

スピードアップすることもできます グループポリシー暗号化および認証パラメーター、およびその他のRDS設定を使用した暗号化用。

グループポリシー

Windows Server2008R2のRDSにはいくつかのグループポリシー設定を使用します。 コンピューターの構成\ポリシー\管理用テンプレート\ Windowsコンポーネント（Windowsコンポーネント）\図3に示すように、ドメインのグループポリシー管理コンソールのリモートデスクトップサービス。

ご覧のとおり、RDCクライアントとRDセッションホストサーバーのライセンスに関するポリシーは次のとおりです。 RDセッションホストサーバーのセキュリティポリシーは次のとおりです。

• サーバー認証証明書テンプレート：このポリシーを選択して、指定する証明書テンプレートの名前を指定します。この証明書は、RDセッションホストサーバーの信頼性を検証するために自動的に選択されます。 このポリシーを入力すると、RDセッションホストサーバー認証用の証明書を選択するときに、指定したテンプレートを超えて作成された証明書が保護されます。
• クライアント接続の暗号化レベルを設定します。このポリシーは、同じレベルの暗号化を必要とする人を制御するために勝利します。 このポリシーをオンにした場合、この暗号化レベルを獲得するのはすべてあなたの責任です。 zamovchuvannyamのためにrіven暗号化єhighrіven。
• 接続時に常にパスワードの入力を求める：ポリシーを変更してRDSパスワードを設定し、RDセッションに入るときにパスワードのパスワードを入力し、RDCクライアントのエントリのパスワードを入力することもできます。 ロック後、RDCクライアントでパスワードが入力されている限り、コレスポンデントは自動的にログインできます。
• Wimagati RPC保護（安全なRPC通信が必要）：有効なポリシーとは、検証に合格したクライアントからの暗号化された要求のみが許可されることを意味します。 信頼できないクライアントとのミーティングは許可されません。
• RDP接続の最初のセキュリティレベルを変更することが重要です（リモート（RDP）接続には特定のセキュリティレイヤーの使用が必要）：このポリシーを有効にすると、クライアントとセッションホストサーバー間のすべての接続でセキュリティレベルを変更する必要があります。ここ（RDP、ネゴシエートまたはSSL / TLS）
• ローカル管理者に権限のカスタマイズを許可しない：このポリシーには、RDセッションホスト構成セットアップツールでセキュリティアクセス許可を変更する管理者の権限が含まれています。これにより、ローカル管理者は構成ツールの[アクセス許可]タブでホストグループを変更できません。
• 同等の立場で信頼性を確認することにより、リモート接続のcoristuvachの信頼性を確認してください。追加のポリシーとして、RDセッションホストサーバーへのすべてのリモート接続のNLAを変更できます。 NLAをサポートしているクライアントのみが参加できます。

ノート：軸、認識方法、境界線でのクライアントコンピュータ認証をサポート：RDCクライアントを開き、左上隅のアイコンを押してから、[ プログラムについて（約） NLAがサポートされている場合は、「サポートされているネットワークレベル認証」の行を確認する必要があります。

グループポリシーの他のパラメーターは、次に推測することについて、RD接続クライアントクライアント領域の分布に設定されます。 悪臭は次のとおりです。

• パスワードの保存を許可しない： RDCクライアントダイアログでパスワードを保存するオプションを有効にします。 RDPファイルを開いて設定を保存するとすぐに、パスワードは以前に削除されます。 Tsezmushuєkoristuvachは、皮膚の入り口でパスワードを入力します。
• 信頼できるを表す証明書のSHA1拇印を指定します。 rdpパブリッシャー）：このパラメーターを使用すると、有効なSHA1証明書のリストを指定できます。証明書がリスト内の有効なビットと一致する場合は、信頼されます。
• クライアントコンピューターで資格情報の入力を求める：このポリシーには、 クライアントコンピューター RDセッションホストサーバー上ではありません。
• クライアントのサーバー認証を構成する：このパラメーターを使用すると、RDセッションホストサーバーの権限を確認できない場合に、どのクライアントがRDセッションホストサーバーに接続できるかを指定できます。 最も安全な設定は、「認証が失敗した場合は接続しない」オプションです。

グループポリシーを獲得してFIPSセキュリティを適用することもできますが、他のRDSセキュリティポリシーと一緒にそのポリシーをここで知ることはできません。 次のセクションでroztashovanaを獲得しました：コンピューターの構成\Windowsの設定\セキュリティの設定\ローカルポリシー\セキュリティオプション。 右側のペインで、次の場所に移動します。システム暗号化：暗号化、ハッシュ、および署名にFIPS準拠のアルゴリズムを使用します。 ポリシーを有効にすると、RDS呼び出しのトリプルDES（3DES）暗号化アルゴリズムはサポートされなくなります。

RDWebアクセス

RDCクライアントがインストールされていないコンピューターでは、Webブラウザーからアクセスできる公開されたプログラムにアクセスできる場合があります。 Koristuvachは、公開されているRDSリソースのURLにアクセスします。 RDWebアクセスサーバーはRDセッションホストサーバーと呼ばれます。 どのRDWebアクセスサーバーがどのRDセッションホストサーバーに接続できるかを指定します。

WebインターフェースはSSLで保護されており、ユーザーはクラウドデータを支援するために認証を渡す責任があります。 Koristuvach、ある種の正しさの検証では、新しいプログラムで許可されているRemoteAppプログラムのみを使用できます。 oblіkovogoレコード、シャードおよび公開されたプログラムは、追加のアクセスリスト（ACL）のために「urized」されます。

安全な暗号化のためのX.509証明書を備えたWebアクセスサーバー。 zamovchuvannyam vikoristovuetsya証明書については、scho自己登録。 セキュリティを強化するには、公開認証センターまたは会社のPKIから証明書を取得します。

RDゲートウェイ

RDゲートウェイ（RDG）は、インターネットを介してRDリソースに簡単にアクセスできるように設計されています。 サーバーからゲートウェイへのコードン配布、およびネットワークポリシーサーバー（NPS）へのRDS入力要求のフィルタリング。 NPSは、2つのポリシーを獲得します。接続承認ポリシー（CAP）。この場合、RDGにアクセスできるかどうかを指定できます。また、リソース承認ポリシー（RAP）を指定して、RDGを介してKoristuvachを接続できるCAPデバイスを指定できます。

ヴィスノヴォク

Windows Server 2008 R2のサービスvіddalenogorobochemテーブルは、独自にrozshiryuyutfunktsіonalSvogepoperednika、サービスtermіnalіv "ale stink takozhpredstavlyayutdeyakіnovіアスペクトBEZPEKA、SSMSC Sessionアクセスサーバー、RDゲートウェイ、クライアント、および構成を構成するためのグループポリシーを使用すると、中間を安全に処理して、アドオンのRDS配信を高速化し、独自の基本的なコンピューターを保護できます。