RDP клієнт Windows. Виконуємо віддалене підключення до комп'ютера! Порт RDP: зміна стандартного значення та основні етапи налаштування Які алгоритми шифрування використовуються в rdp

Служба Remote Desktop Services (RDS) Windows Server 2008 R2 – це не просто ребрендинг свого попередника – служби Terminal Services. Нові функції, частина з яких з'явилася ще в Windows Server 2008, такі як RemoteApp, RD Gateway та RD Virtualization Host, дозволяють просто та зручно забезпечити розгортання та функціонування як окремих користувацьких додатків, так і цілі робочі столи в RDS і VDI рішеннях, причому функціонал і зручність нітрохи не гірше, ніж у рішень Citrix або комплексів інших вендорів.

А як же справи з безпекою служби Remote Desktop Services? Microsoft істотно оновила та посилила безпеку цієї служби. У цій статті ми поговоримо про механізми безпеки RDS, забезпечення безпеки термінальних служб засобами групових політик та практичні аспекти забезпечення безпеки рішень RDS.

Що нового в R2

Якщо вам доводилося працювати з версіями служб терміналів у Windows Server 2003 та Windows Server 2008, то ви, мабуть, пам'ятаєте, що у Windows 2008 з'явився ряд нових можливостей, таких як (підключення через браузер), (доступ до термінальних служб через Інтернет), (Публікація окремих додатків за протоколом RDP) і служба (забезпечення балансування навантаження).

У Windows Server 2008 R2 з'явився наступні функції:

• Remote Desktop Virtualization для рішень VDI
• Провайдер RDS для PowerShell (тепер адміністратор може керувати конфігурацією та керуванням RDS з командного рядкаабо за допомогою скриптів)
• Remote Desktop IP Virtualization, що дозволяє призначати підключенням IP адреси, ґрунтуючись на параметрах сесії або програми, що запускається
• Нова версія протоколу RDP та клієнта Remote Desktop Connection (RDC) – v. 7.0
• Управління ресурсами CPU для динамічного виділення процесорних ресурсів на основі кількості активних сесій
• Сумісність з Windows Installer, що дозволяє встановлювати програми з можливістю доналаштування параметрів програми на стороні користувача.
• Підтримка на стороні клієнта – до 16 моніторів.

Крім того, були доопрацьовані функції роботи з відео та аудіо, та повноцінна підтримка технології Windows Aero(зауважимо, що Aero не підтримується при мультимоніторному режимі роботи).

Звичайно, питання безпеки служби RDS залежать від конкретного рішення. Наприклад, якщо публікувати робочий стіл для користувачів, що підключаються через Інтернет або за допомогою браузера, то питання безпеки постає набагато гостріше, ніж при стандартному рішенні, коли клієнти підключаються за допомогою клієнта RDC локальної мережі LAN.

Network Level Authentication

Для забезпечення більшої безпеки для всіх підключень необхідно використовувати механізм аутентифікації Network Level Authentication (NLA). NLA вимагає від користувача авторизуватися на сервері RD Session Host ще до того, як створена сесія. Цей механізм дозволяє захистити сервер від обробки зайвих сесій, які можуть генеруватись зловмисниками або програмами-ботами. Для того, щоб скористатися NLA, клієнтська операційна система повинна підтримувати протокол Credential Security Support Provider (CredSSP), що передбачає Windows XP SP3 () і вище, а також клієнта RDP 6.0 або вище.

Налаштувати NLA можна на сервері RD Session, відкривши консоль Administrative Tools -> Remote Desktop Services -> Desktop Session Host Configuration.

1. Клацніть правою кнопкою миші на підключення
2. Виберіть Properties
3. Перейдіть на вкладку General
4. Позначте опцію “Allow connections only from computers running Remote Desktop with Network Level Authentication”
5. Натисніть кнопку OK.

Transport Layer Security (TLS)

У сесії RDS можна задіяти один із трьох механізмів безпеки, що дозволяють захистити з'єднання між клієнтами та сервером RDS Session Host:

• RDP security layer– використовується вбудоване шифрування протоколу RDP, що є менш безпечним.
• Negotiate– шифрування TLS 1.0 (SSL) буде використовуватись у разі підтримки клієнтом, якщо клієнт його не підтримує, буде використовуватись звичайний рівень безпеки RDP.
• SSL- шифрування TLS 1.буде використовуватися для аутентифікації сервера і шифрування переданих даних між клієнтом і сервером. Це найбезпечніший режим.

Для забезпечення високого рівня безпеки необхідно використовувати шифрування SSL/TLS. Для цього необхідно мати цифровий сертифікат, він може бути самопідписаним або виданим центром сертифікації CA (що краще).

На додаток до рівня безпеки можна вибрати рівень шифрування з'єднання. Доступні такі види шифрування:

• Low– використовується 56-бітове шифрування даних, що відправляються з клієнта на сервер. Дані, що надсилаються з сервера на клієнт не шифруються.
• Client Compatible – даний видшифрування використовується за замовчуванням. У цьому випадку шифрується весь трафік між клієнтом та сервером із максимальною довжиною ключа, яку підтримує клієнт.
• High- всі дані, що передаються між клієнтом і сервером в обидві сторони шифруються 128 бітним ключем
• FIPS Compliant– всі дані, що передаються між клієнтом і сервером, в обидві сторони шифруються методом FIPS 140-1.

Варто зазначити, що якщо використовуються рівні шифрування High або FIPS Compliant, всі клієнти, які не підтримують даний вид шифрування, не зможуть підключитися до сервера.

Налаштувати тип автентифікації сервера та рівень шифрування можна так:

1. На сервері RD Session Host відкрийте вікно конфігурації Remote Desktop Session Host і перейдіть у вікно властивостей.
2. На вкладці General, у випадаючих меню виберіть необхідний рівень безпеки та тип шифрування.
3. Натисніть кнопку OK.

Групові політики

Для налаштування параметрів RDS у Windows Server 2008 R2 є низка опцій групової політики. Всі вони розташовані в розділі Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services (скриншот консолі Group Policy Management Console відображений на картинці).

Як ви бачите тут є політики керування ліцензуванням, політики налаштування клієнта RDC та самого сервера RD Session Host. До політик безпеки RD Session Host відносяться:

• Set Client Connection Encryption Level:політика використовується управління рівнем шифрування. Якщо її активувати, всі з'єднання повинні використовувати вказаний рівень шифрування (за промовчанням – High).
• AlwaysPromptforPassworduponConnection: ця політика використовується, якщо необхідно завжди запитувати пароль користувача при підключенні до сесії RD, навіть якщо пароль введено в клієнті RDC. За замовчуванням користувачі можуть автоматично входити до сесії, якщо вони вказали пароль у клієнті RDC.
• RequireSecureRPCCommunication: — при включеній політиці дозволено лише автентифіковані та шифровані запити від клієнтів.
• RequireUseofSpecificSecurityLayerforRemote (RDP) Connections: при включеній політиці всі з'єднання між клієнтом і сервером терміналів повинні використовувати рівень безпеки, вказаний тут (RDP, Negotiate або SSL/TLS)
• DoNotAllowLocalAdministratorstoCustomizePermissions: політика відключає можливість адміністраторів налаштовувати параметри безпеки RD Session Host.
• Require User Authentication for Remote Connections за допомогою Network Level Authentication:Політика включає вимогу NLA для всіх з'єднань із термінальним сервером (клієнти без підтримки NLA підключитися не зможуть).

Параметри налаштування клієнта RDC знаходяться у підрозділі RemoteDesktopConnectionClient:

• Donotallowpasswordstorusaved: політика забороняє зберігати паролі в клієнті RDC, опція «Зберегти пароль» стає недоступною, всі збережені паролі будуть видалені.
• SpecifySHA1 thumbprintsofcertificatesrepresentingtrusted.rdppublishers: ця політика дозволяє створити список відбитків SHA1 сертифікатів, і якщо сертифікат відповідає відбитку цього списку, він вважається довіреним.
• Promptforcredentialsontheclientcomputer: політика активує запит облікових даних користувача на клієнтському комп'ютері, а не на сервері RD Session.

RD Web Access

Користувачі комп'ютерів, на яких не встановлено клієнт RDC, можуть отримувати доступ до опублікованих програм за допомогою веб-браузера. Для цього користувач повинен у браузері відкрити URL-адресу, на якій опубліковані ресурси RDS. Сервер RD Web Access - це окрема роль сервера RD, зазвичай він розміщується на виділеному сервері.

Веб-інтерфейс сервера RD Web Access заснований на використанні SSL і користувачі можуть авторизуватися на ньому за допомогою своїх облікових даних. Аутентифіковані користувачі бачать лише список тих опублікованих програм (RemoteApp), яких вони мають доступ.

Сервер Web Access для шифрування використовує сертифікат X.509. За замовчуванням використовується сертифікат.

Всім привіт, продовжуємо розглядати тему про . Сьогодні ми з вами розглянемо вбудований засіб Windows, який дозволяє підключитися до віддаленого ПК. Даний засіб називається RDP (Remote Desktop Protocol) клієнт, якщо перевести на Російську – протокол віддаленого робочого столу. За цим протоколом можна керувати віддаленим комп'ютером, у якому запущено сервіс термінальних підключень. RDP клієнт з'явився ще в Windows XP і досі підтримується в нових версіях операційної системи. Швидше за все, багато хто з вас, навіть не знає, що це таке, але ж за допомогою даного засобу, можна легко підключитися до віддаленого комп'ютера і керувати ним. У статті я докладно розповім, як виконувати підключення до віддаленого робочого столу в локальній мережі. Тому читайте текст повністю.

Підготовка перед використанням клієнта RDP.

У більшості випадків RDP клієнт використовують при роботі в одній локальній мережі. Наприклад, щоб вдома з одного комп'ютера підключитися до іншого, необхідно, щоб вони були підключені до одного роутера. Також є можливість підключитися до віддаленого комп'ютера по інтернету, але це складніший спосіб налаштування, думаю розберемо цю темуу окремій статті.

Перше, що потрібно зробити, щоб здійснити підключення по Remote Desktop Protocol необхідно знати IP адресу віддаленого комп'ютера. Як правило, якщо мережне підключенняна ваших комп'ютерах налаштовується автоматично, то при кожному перезавантаженні операційної системи IP адреси будуть змінюватися. Тому, перш за все, ми з вами ставимо статичні адреси для всіх пристроїв у вашій локальній мережі. Але для початку необхідно подивитися, які адреси, отримує комп'ютер автоматично. Для цього . Прописуємо команду «ipconfig» і бачимо, які: маска мережі, маска підмережі та шлюз отримує мережева картапри автоматичних налаштуваннях.

Зверніть увагу! Як правило, на всіх роутерах за замовчуванням маска мережі має вигляд (192.168.0 або 192.168.1) відповідно, прописуємо всі рядки як показано на скріншоті і зберігаємо зміни.

Все, тепер ми з вами поставили для нашого комп'ютера статичну IP-адресу, це дозволить нам легко використовувати RDP клієнт.

Як видати дозвіл, для підключення до віддаленого робочого столу.

Коли ми з вами розібралися з адресами комп'ютерів. Переходимо до увімкнення функції Remote Desktop Protocol. Ці дії слід виконувати на комп'ютері, до якого ви хочете підключатися. Щоб усе запрацювало, виконуємо кроки:

Ми з вами виконали всі підготовчі дії, щоб клієнт RDP зміг у нас заробити. Перейдемо тепер безпосередньо до розгляду процесу підключення.

Виконуємо підключення до віддаленого комп'ютера RDP.

У попередніх пунктах ми з вами розібралися з налаштуваннями, які потрібно виконати для роботи з протоколом віддаленого робочого столу. Тепер розглянемо, як здійснити підключення.

Зверніть увагу! Ми будемо використовувати стандартний засіб Windows. Відповідно нам не доведеться завантажувати якісь сторонні утиліти, все необхідне буде у нас під рукою.

Щоб запустити засіб "Підключення до віддаленого робочого столу", відкрийте меню "Пуск" - "Всі програми" - "Стандартні - Windows". У пункті меню ми запускаємо RDP клієнт і бачимо поле під назвою «Комп'ютер». У нього потрібно ввести адресу віддаленого комп'ютера, тобто. того, на якому ми задавали статичну IP адресу. Після натискання на кнопку підключити програма попросить вас ввести «Логін і пароль» для підключення до віддаленого ПК.

Також можна відкрити додаткові налаштування, для цього відкрийте пункт "Показати параметри". Тут можна відразу вказати користувача віддаленого комп'ютера, настроїти локальні ресурси, а також параметри екрана. Але думаю, що краще все залишити за замовчуванням і почати керувати віддаленим ПК.

RDP клієнт - плюси та мінуси.

Скажу чесно, використовувати RDP клієнт мені не так часто, але іноді це просто необхідно. Для себе я визначив такі плюси:

• Для того, щоб з'єднатися з віддаленим ПК, вам не потрібно шукати та встановлювати будь-які програми. Все передбачено розробниками компанії Майкрософт і засіб вбудований у операційну систему;
• Ви можете отримати повний доступ до комп'ютера за допомогою віддаленого робочого столу. Що дозволяє виконувати на ньому будь-які дії;
• Необмежений час доступу до віддаленого комп'ютера.

На цьому плюси закінчуються, переходимо до мінусів використання даної утиліти:

• Програма коректно працює тільки в локальній мережі, щоб налаштувати з'єднання через інтернет, необхідно лізти в налаштування роутера для прокидання порту, що є проблемою для багатьох користувачів;
• Якщо ви використовуєте VPN, то для того, щоб підключитися до віддаленого комп'ютера, використовуючи клієнт RDP, необхідна гарна швидкістьінтернету, інакше ви дивитися слайд шоу;
• Програма має мінімальний набір функцій, а також не має вбудованого файлового менеджеравідповідно передати файли немає можливості;

Підведемо підсумки.

Сьогодні ми розглянули RDP клієнт для Windows. Даний засіб для віддаленого підключення до комп'ютера можна розглядати як альтернативу сторонніх програм, Таких як , але навряд чи RDP зможе замінити їх повністю. Так як вбудований засіб не має навіть всього необхідного набору функцій, які властиві програмам віддаленого доступу. Швидкість роботи залишає бажати кращого, але воно відмінно підійде в тих випадках, коли немає можливості і часу шукати і встановлювати інші програми і потрібно терміново отримати доступ до віддаленого ПК.

Напевно, багато хто з вас уже чув і бачив цю абревіатуру - дослівно перекладається вона, як Протокол віддаленого робочого столу (RemoteDesktopProtocol). Якщо когось цікавлять технічні тонкощі роботи цього протоколу прикладного рівня - можуть почитати літературу, починаючи з тієї самої вікіпедії. Ми ж розглянемо суто практичні аспекти. А саме той, що цей протокол дозволяє віддалено підключатися до комп'ютерів, під керуванням Windowsрізних версій з використанням вбудованого у Windows інструмента «Підключення до віддаленого робочого столу».

Які плюси та мінуси у використанні протоколу RDP?

Почнемо з приємного – з плюсів. Плюс полягає в тому, що цей інструмент, який правильніше називати КлієнтомRDP, доступний будь-кому користувачеві Windowsяк на комп'ютері, з якого належить керувати віддаленим, так і тому, хто хоче до свого комп'ютера віддалений доступвідкрити.

Через підключення до віддаленого робочого столу можна не тільки бачити віддалений робочий стіл і користуватися ресурсами віддаленого комп'ютера, а й підключати до нього. локальні диски, принтери, смарткарти і т.п. Звичайно, якщо ви захочете подивитися відео або послухати музику через RDP - навряд чи цей процес принесе вам задоволення, т.к. у більшості випадків ви побачите слайд шоу, і звук швидше за все буде перериватися. Але не під ці завдання розроблялася служба RDP.

Ще одним безперечним плюсом є те, що підключення до комп'ютера здійснюється без будь-яких додаткових програм, які в більшості своїй платні, хоча і мають свої переваги. Час доступу до RDP-сервера (яким є ваш віддалений комп'ютер) обмежується лише вашим бажанням.

Мінусів лише два. Один суттєвий, інший – не дуже. Перший і суттєвий - для роботи з RDP комп'ютер, до якого здійснюється підключення, повинен мати білий (зовнішній) IP, або на цей комп'ютер повинна бути можливість "прокинути" порт з маршрутизатора, який знову ж таки повинен мати зовнішній IP. Статичним він буде чи динамічним – значення не має, але він має бути.

Другий мінус - не такий суттєвий - останні версіїклієнта перестали підтримувати 16-колірну колірну схему. Мінімум – 15біт. Це сильно уповільнює роботу по RDP, коли ви підключаєтеся по хирлявому-дохлому інтернету зі швидкістю, що не перевищує 64 кілобіти в секунду.

Для чого можна використовувати віддалений доступ по RDP?

Організації, як правило, використовують RDP-сервера для спільної роботиу програмі 1С. А деякі навіть розвертають на них робочі місця користувачів. Таким чином, користувач, особливо, якщо у нього роз'їзна робота, може за наявності 3G інтернету або готельного/кафешного Wi-Fi - підключатися до свого робочого місця і вирішувати всі питання.

У деяких випадках домашні користувачі можуть використовувати віддалений доступ до свого домашньому комп'ютеру, щоб отримати дані з домашніх ресурсів. В принципі, служба віддаленого робочого столу дозволяє повноцінно працювати з текстовими, інженерними та графічними програмами. З обробкою відео та звуку з вищенаведених причин – працювати не вийде, але все одно – це дуже суттєвий плюс. А ще можна на роботі переглядати закриті політикою компанії ресурси, підключившись до домашнього комп'ютера без будь-яких анонімайзерів, vpn та іншої нечисті.

Готуємо інтернет

У попередньому розділі ми говорили про те, що для забезпечення можливості віддаленого доступу за протоколом RDP нам потрібна зовнішня IP-адреса. Цей сервіс може забезпечити провайдер, тому телефонуємо або пишемо, або заходимо в особистий кабінетта організовуємо надання цієї адреси. В ідеалі він має бути статичний, але і з динамічним, у принципі, можна жити.

Якщо комусь не зрозуміла термінологія, то статична адреса- це незмінний, а динамічний - іноді змінюється. Для того, щоб повноцінно працювати з динамічними IP-адресами, придумали різні сервіси, які забезпечують прив'язку динамічного домену. Що і як, незабаром буде стаття на цю тему.

Готуємо роутер

Якщо ваш комп'ютер підключений не безпосередньо до провайдерського проводу до інтернету, а через роутер - з цим пристроєм нам доведеться також зробити деякі маніпуляції. А саме - прокинути порт сервісу - 3389. В іншому випадку NAT вашого роутера просто не пускатиме вас всередину домашньої мережі. Теж відноситься до налаштування RDP-сервера в організації. Якщо ви не знаєте, як прокинути порт - читайте статтю про те, як прокинути порти на маршрутизаторі (відкриється в новій вкладці), потім повертайтеся сюди.

Готуємо комп'ютер

Для того, щоб створити можливість віддаленого підключення до комп'ютера, необхідно зробити дві речі:

Дозволити підключення до Властивостей Системи;
- встановити пароль для поточного користувача (якщо він не має пароля), або створити нового користувача з паролем спеціально для підключення по RDP.

Як чинити з користувачем - вирішуйте самі. Однак, майте на увазі, що штатно не серверні операційні системи не підтримують множинний вхід. Тобто. якщо ви залогінилися під собою локально (консольно), а потім зайдете під тим самим користувачем віддалено - локальний екран заблокується і сеанс на тому самому місці відкриється у вікні Підключення до віддаленого робочого столу. Введіть пароль локально, не вийшовши з RDP - викинете вас з віддаленого доступу, і ви побачите поточний екран на своєму локальному моніторі. Те саме чекає, якщо ви зайдете консольно під одним користувачем, а віддалено спробуєте зайти під іншим. І тут система запропонує завершити сеанс локального користувачащо не завжди може бути зручно.

Отже, заходимо до Пуск, клацаємо правою кнопкою по меню Комп'ютерта натискаємо Властивості.

У властивостях Системиобираємо Додаткові параметрисистеми

У вікні переходимо на вкладку Віддалений доступ…

…натискаємо Додатково…

І ставимо єдину галку на цій сторінці.

Це «домашня» версія Windows 7 - у кого Pro і вище, буде більше прапорців і можна зробити розмежування доступу.

Натискаємо ОКскрізь.

Тепер, ви можете зайти в Підключення до віддаленого робочого столу (Пуск>Всі програми>Стандартні), вбити туди IP-адресу комп'ютера, або ім'я, якщо хочете підключитися до нього зі своєї домашньої мережі та користуватися всіма ресурсами.

Ось так. В принципі все просто. Якщо раптом будуть якісь питання чи щось залишиться незрозумілим – ласкаво просимо у коментарі.

Служба віддаленого робочого столу (Remote Desktop Services - RDS) у Windows Server 2008 R2 має щось більше, ніж нова назва; це вам не застаріла служба терміналів. Завдяки новим компонентам (деякі з них були представлені в Windows Server 2008), таким як RemoteApp, RD Gateway та RD Virtualization Host, ця роль сервера Windows тепер надає вам гнучкість у встановленні окремих програм або повних машин за допомогою RDS або VDI рішення – у багатьох випадках без необхідності використання Citrix або інших доданих модулів сторонніх виробників.

Але як щодо безпеки? Всі ці додані складності позначаються на додаткових моментах безпеки. У цій статті ми розглянемо механізми безпеки, вбудовані в RDS, як використовувати параметри конфігурації та групову політикудля підвищення рівня безпеки, а також рекомендації щодо безпеки встановлення RDS.

Що нового в R2

Якщо ви приступаєте до роботи з RDS після роботи зі службами терміналів Windows Server 2008 Terminal Services, ви не зустрінете там багато значних змін, як при переході з Windows Server 2003. WS 2008 додав деякі значні поліпшення служби терміналів, включаючи TS Web Access для підключення через браузер, TS Gateway для користувачів, що підключаються через інтернет, RemoteApp для доставки окремих програм користувачам через Remote Desktop Protocol (RDP) протокол і Session Broker, який включає функцію балансування навантаження.

• Віртуалізація віддаленого робочого столу (Remote Desktop Virtualization) для VDI рішення
• RDS Provider для PowerShell, щоб адміністратори могли змінювати конфігурацію та виконувати завдання в інтерпретаторі команд та за допомогою сценаріїв
• Віртуалізація мережної адреси (Remote Desktop IP Virtualization), яка дозволяє надавати IP адреси з'єднанням для кожного окремого сеансу або програми
• Нова версія RDP та Remote Desktop Connection (RDC) клієнта, версія 7.0
• Fair Share CPU планування динамічного розподілу часу обробки між сеансами на основі кількості активних сеансів.
• Сумісність з Windows Installer для спрощення встановлення програм, які потребують налаштування під окремих користувачів.
• Дійсна підтримка кількох моніторів (до 16 штук), завдяки яким програми працюють так само, як вони працюють на клієнтських машинах.

Також є покращення в аудіо/відео та підтримці Windows Aero у RD сеансі (проте зверніть увагу, що Desktop Composition, яка забезпечує роботу Aero, не підтримується у сеансах з кількома моніторами).

Аспекти та механізми безпеки

Звичайно, потенційні проблеми безпеки залежать від того, як встановлювати RDS. Якщо у вас більш складна конфігурація, в якій користувачі підключаються через інтернет та/або браузер, у вас буде більше аспектів безпеки, які потрібно враховувати та опрацьовувати, ніж під час використання простої конфігурації, в якій користувачі підключаються виключно через RDC клієнтів через LAN.

RDS включає низку механізмів безпеки, які допоможуть зробити RD підключення безпечнішими.

Перевірка автентичності на мережному рівні (Network Level Authentication)

Для максимального рівня безпеки слід вимагати автентифікації на мережному рівні (Network Level Authentication - NLA) для всіх підключень. NLA вимагає, щоб користувачі автентифікувалися на сервері RD Session Host, перш ніж сеанс буде створено. Це допомагає захистити віддалені комп'ютеривід зловмисних користувачів та шкідливого ПЗ. Щоб використовувати NLA, клієнтський комп'ютер повинен використовувати операційну систему, яка підтримує протоколи Credential Security Support Provider (CredSSP), тобто Windows XP SP3 і вище, а також мати RDC 6.0 клієнта або вище.

NLA налаштовується на сервері RD Session Host у наступному розділі: Інструменти адміністрування (Administrative Tools) | Служби віддаленого робочого столу (Remote Desktop Services) | Налаштування вузла сеансів віддаленого робочого стола (Desktop Session Host Configuration). Щоб настроїти підключення до NLA, виконайте такі кроки:

1. Натисніть правою клавішею Підключення (Connection)
2. Виберіть Властивості
3. Перейдіть в закладку Загальні (General)
4. Позначте прапорцем опцію " Дозволяти підключення тільки від комп'ютерів з віддаленим робочим столом з мережевою автентифікацією (Allow connections only from computers running).
5. Натисніть кнопку OK.

Малюнок 1

Протокол Transport Layer Security (TLS)

Сеанс RDS може використовувати один із трьох рівнів безпеки для захисту підключень між клієнтами та сервером RDS Session Host:

• Рівень безпеки RDP Цей рівень використовує власне RDP шифрування і є найменш безпечним. Сервер RD Session Host не проходить автентифікацію.
• Узгодити (Negotiate) TLS 1.0 (SSL) шифрування буде використовуватися, якщо клієнт його підтримує. Якщо ні, сеанс перейде назад на RDP безпеку.
• SSL " TLS 1.0 шифрування буде використовуватися для перевірки автентичності сервера та шифрування даних, що передаються між клієнтом та Session Host сервером. Це найбезпечніша опція.

Крім вибору рівня безпеки, можна також вибрати рівень шифрування підключення. Тут є такі варіанти:

• Низький (Low)" використовує 56-розрядне шифрування для даних, що пересилаються з клієнта на сервер. Не шифрує дані, що пересилаються з сервера клієнту.
• Сумісний з клієнтом (Client Compatible) - це опція за замовчуванням. Вона шифрує дані, що передаються між клієнтом і сервером з найнадійнішим ключем, який підтримує клієнт.
• Високий (High) ця опція шифрує дані в обох напрямках між клієнтом і сервером за допомогою 128-бітного шифрування.
• FIPS-сумісний (FIPS Compliant) " ця опція шифрує дані, що передаються в обох напрямках між клієнтом і сервером за допомогою FIPS 140-1 затвердженого алгоритму шифрування.

Зверніть увагу, що якщо вибрати опцію "Високий" або "FIPS-сумісний", будь-які клієнти, які не підтримують такі рівні шифрування, не зможуть підключитися.

Ось, як налаштовувати параметри автентифікації та шифрування сервера:

1. На сервері RD Session Host відкрийте розділ конфігурації Remote Desktop Session Host Configuration, а потім властивості підключення, як говорилося вище.
2. У закладці Загальні виберіть відповідний рівень безпеки та шифрування зі списку, що розкривається, як показано на малюнку 2.
3. Натисніть кнопку OK.

Малюнок 2

Ви також можете скористатися груповою політикоюдля керування цими параметрами шифрування та автентифікації, а також іншими налаштуваннями RDS.

Групова політика

Існує ряд параметрів групової політики для RDS в Windows Server 2008 R2. Вони розташовані в розділі Конфігурація комп'ютера (Computer Configuration) \ Політики (Policies) \ Адміністративні шаблони (Administrative Templates) \ Компоненти Windows(Windows Components)\ Служби віддаленого робочого столу (Remote Desktop Services) в консолі управління груповою політикою вашого домену, як показано на малюнку 3.

Як ви бачите, тут є політики для ліцензування клієнтів RDC і сервера RD Session Host. Політики для сервера RD Session Host, пов'язані з безпекою, включають:

• Шаблон сертифіката автентифікації сервера (Server Authentication Certificate Template):використовуйте цю політику, щоб вказати ім'я шаблону сертифіката, який визначає, який сертифікат буде автоматично вибиратися для перевірки автентичності сервера RD Session Host. Якщо увімкнути цю політику, лише сертифікати, створені за допомогою вказаного шаблону, будуть враховуватися при виборі сертифіката для автентифікації сервера RD Session Host.
• Задати рівень шифрування клієнтських підключень (Set Client Connection Encryption Level):ця політика використовується, щоб контролювати те, чи буде потрібний певний рівень шифрування. Коли ви включаєте цю політику, всі з'єднання повинні використовувати вказаний рівень шифрування. За замовчуванням рівень шифрування є високий рівень.
• Завжди запитувати пароль при підключенні (Always Prompt for Password upon Connection):можна використовувати цю політику, щоб змусити RDS завжди запитувати пароль користувача при вході в сеанс RD, навіть якщо пароль введений на RDC клієнта. За промовчанням користувачі можуть входити автоматично, якщо пароль введено на клієнта RDC.
• Вимагати захищені RPC з'єднання (Require Secure RPC Communication):включення цієї політики означає, що тільки зашифровані запити з клієнтів, які пройшли автентифікацію, будуть дозволені. З'єднання з не довіреними клієнтами не буде дозволено.
• Вимагати використання певного рівня безпеки для підключення RDP (Require Use of Specific Security Layer for Remote (RDP) Connections): якщо включити цю політику, всі з'єднання між клієнтами та серверами Session Host повинні використовувати рівень безпеки, який ви тут вкажете (RDP, Negotiate або SSL/TLS)
• Не дозволяти локальним адміністраторам налаштовувати дозволи (Do Not Allow Local Administrators to Customize Permissions):ця політика відключає права адміністраторів на зміну дозволів безпеки в інструментах налаштування RD Session Host Configuration, що не дозволяє локальним адміністраторам змінювати групи користувачів у закладці Дозвіл (Permissions) в інструменті конфігурації.
• Вимагати автентифікацію користувача для віддалених підключень шляхом перевірки автентичності на рівні мережі: за допомогою цієї політики ви можете вимагати NLA для всіх віддалених підключень до сервера RD Session Host. Тільки клієнти з підтримкою NLA можуть підключатися.

Примітка:ось, як дізнатися, чи підтримує клієнтський комп'ютер автентифікацію на мережному рівні: відкрийте RDC клієнт і натисніть значок у верхньому лівому кутку, потім виберіть " Про програму (about)Якщо NLA підтримується, ви побачите рядок "Network Level Authentication Supported".

Інші параметри групової політики, про які слід згадати, наведено в розділі клієнтських з'єднань RD Connection Client. Вони включають:

• Не дозволяти збереження паролів (Do not allow passwords to be saved):увімкнення цього параметра відключить опцію збереження паролів у діалозі клієнта RDC. Якщо користувач відкриє файл RDP і збереже свої параметри, раніше збережені паролі будуть видалені. Це змушує користувача вводити пароль при кожному вході.
• Вказувати відбитки сертифікатів SHA1, що представляють довірених видавців RDP (Specify SHA1 thumbprints of certificates representing trusted ). rdp publishers):за допомогою цього параметра можна вказати список відбитків SHA1 сертифікатів, і якщо сертифікат відповідає відбиткам у списку, він вважатиметься довіреним.
• Запитувати облікові дані на клієнтському комп'ютері (Prompt for credentials on the client computer): ця політика включає запит облікових даних на клієнтських комп'ютерах, а не на сервері RD Session Host.
• Налаштувати автентифікацію сервера для клієнта (Configure server authentication for client): за допомогою цього параметра можна вказати, чи клієнт зможе створити підключення до RD Session Host серверу, коли не може перевірити справжність сервера RD Session Host. Найбезпечнішим параметром буде опція "Не підключатися при невдалій автентифікації (Do not connect if authentication fails)."

Можна також використовувати групову політику для налаштування відповідності FIPS, але цю політику тут не знайти з іншими RDS політиками безпеки. Вона розташована в наступному розділі: Конфігурація комп'ютера (Computer Configuration) \ Налаштування Windows (Windows Settings) \ Налаштування безпеки (Security Settings) \ Локальні політики (Local Policies) \ Опції безпеки (Security Options). У правій панелі перейдіть до: Системна криптографія: використовувати FIPS-сумісні алгоритми для шифрування, хешування та підписування ("System Cryptography: use FIPS compliant algorithms for encryption, hashing and signing"). При включенні цієї політики вона підтримує лише Triple DES (3DES) алгоритм шифрування RDS з'єднань.

RD Web Access

На комп'ютерах, де не встановлено клієнт RDC, користувачі можуть отримувати доступ до опублікованих програм, до яких вони мають доступ із веб-браузера. Користувач переходить на URL-адресу, за якою опубліковані RDS ресурси. Сервер доступу RD Web Access Server є окремим від RD Session Host сервером. Ви вказуєте, які RD Web Access сервери можуть підключатися до яких RD Session Host серверів.

Веб інтерфейс налаштовується з SSL і користувач повинен пройти автентифікацію за допомогою своїх облікових даних. Користувач, який пройшов автентифікацію, зможе побачити лише ті RemoteApp програми, використання яких дозволено для нього. облікового запису, оскільки ці опубліковані програми "урізаються" за допомогою списку керування доступом (ACL).

Сервер Web Access використовує сертифікат X.509 для забезпечення шифрування. За замовчуванням використовується сертифікат, що самореєструється. Для більшої безпеки слід отримати сертифікат у публічному центрі сертифікації або PKI вашої компанії.

RD Gateway

The RD Gateway (RDG) використовується для надання користувачам доступу до ресурсів RD через інтернет. Сервер шлюзу Gateway розташований на кордоні, і він фільтрує вхідні запити RDS відповідно до Network Policy Server (NPS). NPS використовує дві політики: Політика авторизації підключень (Connection Authorization Policy - CAP), в якій вказується, які користувачі можуть мати доступ до RDG та Політика авторизації ресурсів (Resource Authorization Policy - RAP), що вказує, до яких пристроїв CAP користувач може підключатися через RDG .

Висновок

Служби віддаленого робочого столу в Windows Server 2008 R2 значно розширюють функціонал свого попередника, служби терміналів, але вони також представляють деякі нові аспекти безпеки, які слід враховувати. Дотримуючись рекомендацій щодо забезпечення максимальної безпеки при налаштуванні компонентів RDS конфігурації Server, RD Gateway та клієнт, а також використовуючи групову політику для керування конфігурацією, ви зможете отримати безпечне середовище та скористатися перевагами RDS доставки додатків та забезпечити своїм користувачам відчуття роботи на повноцінних комп'ютерах.