ไคลเอนต์ Windows RDP Vikonuemo ในการเชื่อมต่อกับคอมพิวเตอร์ระยะไกล! พอร์ต RDP: เปลี่ยนค่าเริ่มต้นและขั้นตอนหลักของการตั้งค่า วิธีเปลี่ยนอัลกอริทึมการเข้ารหัสใน rdp

บริการเดสก์ท็อประยะไกล (RDS) Windows Server 2008 R2 ไม่ได้เป็นเพียงการรีแบรนด์ของผู้สืบทอดบริการ Terminal Services คุณลักษณะใหม่ ซึ่งบางส่วนได้ปรากฏใน Windows Server 2008 เช่น RemoteApp, RD Gateway และ RD Virtualization Host ช่วยให้คุณรักษาความปลอดภัยในการเปิดฟังก์ชันนี้ด้วยตนเองได้เช่นกัน corystuvac dodatkіvดังนั้นจำนวนโต๊ะทำงานในโซลูชัน RDS และ VDI นอกจากนี้ ฟังก์ชันและประสิทธิภาพของ nitrochi ยังไม่สูงขึ้น โซลูชันของ Citrix หรือสารเชิงซ้อนของผู้ขายรายอื่นที่ต่ำกว่าคือ

คุณรักษาบริการเดสก์ท็อประยะไกลให้ปลอดภัยได้อย่างไร Microsoft ได้อัปเดตและปรับปรุงความปลอดภัยของบริการ ในบทความนี้ เราจะพูดถึงกลไกความปลอดภัยของ RDS ความปลอดภัยของบริการเทอร์มินัลผ่านนโยบายกลุ่ม และแง่มุมที่ใช้งานได้จริงของการรักษาความปลอดภัยของโซลูชัน RDS

มีอะไรใหม่ใน R2

หากคุณเคยทำงานกับ Terminal Services เวอร์ชันต่างๆ ใน ​​Windows Server 2003 และ Windows Server 2008 คุณอาจจำได้ว่า Windows 2008 มีคุณสมบัติใหม่ๆ มากมาย เช่น (การเชื่อมต่อเบราว์เซอร์) (การเข้าถึงบริการเทอร์มินัลผ่านทางอินเทอร์เน็ต) ( การเผยแพร่ okremikh dodatkіvสำหรับโปรโตคอล RDP) และบริการ (การรักษาความปลอดภัยที่สมดุล)

Windows Server 2008 R2 ปรากฏขึ้น ฟังก์ชั่นที่จะเกิดขึ้น:

• การจำลองเสมือนเดสก์ท็อประยะไกลสำหรับโซลูชัน VDI
• ผู้ให้บริการ RDS สำหรับ PowerShell (ตอนนี้ผู้ดูแลระบบสามารถกำหนดค่าและกำหนดค่า RDS . ได้ บรรทัดคำสั่งแต่สำหรับความช่วยเหลือของสคริปต์)
• การจำลองเสมือน IP เดสก์ท็อประยะไกล ซึ่งช่วยให้คุณจดจำที่อยู่ IP ที่เชื่อมต่อ โดยอิงตามพารามิเตอร์เซสชันหรือโปรแกรมที่ทำงานอยู่
• เวอร์ชันใหม่ของโปรโตคอล RDP และไคลเอ็นต์การเชื่อมต่อเดสก์ท็อประยะไกล (RDC) – ​​v. 7.0
• การจัดการทรัพยากร CPU สำหรับมุมมองแบบไดนามิกของทรัพยากร CPU ตามจำนวนเซสชันที่ใช้งานอยู่
• สรุป z ตัวติดตั้ง Windowsซึ่งช่วยให้คุณสามารถติดตั้งโปรแกรมโดยสามารถปรับพารามิเตอร์ของโปรแกรมที่ด้านข้างของกล่องได้
• รองรับฝั่งไคลเอ็นต์ - สูงสุด 16 จอภาพ

นอกจากนี้ ฟังก์ชันของหุ่นยนต์ยังเสริมด้วยภาพและเสียง และสนับสนุนเทคโนโลยีอย่างเต็มที่ Windows Aero(ขอแสดงความนับถือ Aero ไม่รองรับในโหมดหลายจอภาพ)

เห็นได้ชัดว่าการรักษาความปลอดภัยของบริการ RDS นั้นไม่ทันสมัย สารละลายเฉพาะ. ตัวอย่างเช่น หากคุณต้องการเผยแพร่รูปแบบการทำงานสำหรับผู้ที่ได้รับการคัดเลือกที่เชื่อมต่อผ่านอินเทอร์เน็ตหรือเพื่อขอความช่วยเหลือจากเบราว์เซอร์ พลังการรักษาความปลอดภัยก็จะยิ่งสมบูรณ์ยิ่งขึ้น ต่ำกว่าด้วยโซลูชันมาตรฐาน หากไคลเอ็นต์เชื่อมต่อเพื่อขอความช่วยเหลือจาก ลูกค้า RDC สายท้องถิ่นแลน

การตรวจสอบระดับเครือข่าย

เพื่อให้แน่ใจว่ามีความปลอดภัยมากขึ้นสำหรับการเชื่อมต่อทั้งหมด จำเป็นต้องชนะกลไกการตรวจสอบสิทธิ์ระดับเครือข่าย (NLA) NLA จำเป็นต้องเข้าสู่ระบบเซิร์ฟเวอร์โฮสต์ของเซสชัน RD ก่อนที่จะสร้างเซสชัน กลไกนี้อนุญาตให้คุณขโมยเซิร์ฟเวอร์จากไฟล์ของเซสชันที่ล็อกอิน ซึ่งสามารถสร้างขึ้นโดยตัวร้ายหรือโปรแกรมบอท เพื่อเพิ่มความเร็ว NLA ระบบปฏิบัติการไคลเอ็นต์มีหน้าที่สนับสนุนโปรโตคอล Credential Security Support Provider (CredSSP) ซึ่งส่ง Windows XP SP3 () และอื่นๆ รวมทั้งไคลเอ็นต์ RDP 6.0 ขึ้นไป

คุณสามารถกำหนดค่า NLA บนเซิร์ฟเวอร์เซสชัน RD ได้โดยเปิดเครื่องมือการดูแลระบบ -> บริการเดสก์ท็อประยะไกล -> คอนโซลการกำหนดค่าโฮสต์เซสชันเดสก์ท็อป

1. คลิกขวาที่เมาส์ที่การเชื่อมต่อ
2. เลือกคุณสมบัติ
3. ไปที่แท็บทั่วไป
4. ตั้งค่าตัวเลือก "อนุญาตการเชื่อมต่อเฉพาะจากคอมพิวเตอร์ที่ใช้เดสก์ท็อประยะไกลที่มีการตรวจสอบระดับเครือข่าย"
5. กดปุ่ม ตกลง

ความปลอดภัยของชั้นการขนส่ง (TLS)

เซสชัน RDS สามารถมีหนึ่งในสามกลไกการรักษาความปลอดภัยที่อนุญาตให้คุณปกป้องข้อมูลระหว่างไคลเอนต์และเซิร์ฟเวอร์โฮสต์ของเซสชัน RDS:

• เลเยอร์ความปลอดภัย RDP– แฮ็คเข้าสู่โปรโตคอลการเข้ารหัส RDP ซึ่งมีความปลอดภัยน้อยกว่า
• ต่อรอง– การเข้ารหัส TLS 1.0 (SSL) จะถูกแทนที่ในเวลาที่ต่างกันโดยไคลเอนต์ หากไคลเอนต์ไม่รองรับ ระดับความปลอดภัย RDP ที่โดดเด่นจะถูกแทนที่
• SSL- การเข้ารหัส TLS 1. จะได้รับชัยชนะสำหรับการตรวจสอบเซิร์ฟเวอร์และการเข้ารหัสการรับส่งข้อมูลระหว่างไคลเอนต์และเซิร์ฟเวอร์ โหมดที่ปลอดภัยที่สุด

เพื่อความปลอดภัยระดับสูง จำเป็นต้องใช้การเข้ารหัส SSL/TLS สำหรับผู้ที่คุณต้องการใบรับรองดิจิทัล ผู้ออกใบรับรอง CA สามารถลงชื่อด้วยตนเองหรือดูได้ (สั้นกว่า)

นอกจากระดับความปลอดภัยแล้ว คุณยังสามารถเลือกระดับการเข้ารหัสของข้อมูลได้อีกด้วย มีการเข้ารหัสประเภทต่อไปนี้:

• ต่ำ- การเข้ารหัสข้อมูลแบบ 56 บิตที่ส่งจากไคลเอนต์ไปยังเซิร์ฟเวอร์ ข้อมูลที่ส่งจากเซิร์ฟเวอร์ไปยังไคลเอนต์จะไม่ถูกเข้ารหัส
• รองรับไคลเอ็นต์ – มุมมองเดนมาร์กการเข้ารหัสvikoristovuєtsyaสำหรับการล็อค ด้วยวิธีนี้ การรับส่งข้อมูลทั้งหมดระหว่างไคลเอ็นต์และเซิร์ฟเวอร์จะได้รับการเข้ารหัสด้วยความยาวคีย์สูงสุด ซึ่งเป็นวิธีที่ไคลเอ็นต์ได้รับการสนับสนุน
• สูง- ข้อมูลทั้งหมดที่ส่งระหว่างไคลเอนต์และเซิร์ฟเวอร์ถูกเข้ารหัสทั้งสองด้านด้วยคีย์ 128 บิต
• ได้มาตรฐาน FIPS– ข้อมูลทั้งหมดที่ส่งระหว่างไคลเอนต์และเซิร์ฟเวอร์ถูกเข้ารหัสทั้งสองด้านโดยใช้วิธี FIPS 140-1

เมื่อต้องการระบุว่าใช้การเข้ารหัสแบบ High หรือ FIPS ไคลเอ็นต์ทั้งหมดที่ไม่สนับสนุนการเข้ารหัสประเภทนี้จะไม่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ได้

คุณสามารถกำหนดประเภทการรับรองความถูกต้องของเซิร์ฟเวอร์และอัตราการเข้ารหัสได้ดังนี้:

1. บนเซิร์ฟเวอร์โฮสต์ของเซสชัน RD เปิดหน้าต่างการกำหนดค่าโฮสต์เซสชันเดสก์ท็อประยะไกล และไปที่หน้าต่างสิทธิ์
2. บนแท็บ ทั่วไป ในเมนูดรอปดาวน์ ให้เลือกระดับความปลอดภัยที่จำเป็นและประเภทของการเข้ารหัส
3. กดปุ่ม ตกลง

นโยบายกลุ่ม

เมื่อต้องการกำหนดการตั้งค่า RDS ใน Windows Server 2008 R2 ตัวเลือกนโยบายกลุ่มจะเหลือน้อย กลิ่นเหม็นทั้งหมดแสดงอยู่ใน Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services (ภาพหน้าจอของ Group Policy Management Console ที่แสดงในรูปภาพ)

ดังที่คุณเห็นในที่นี้ มีนโยบายการออกใบอนุญาต นโยบายสำหรับการตั้งค่าไคลเอนต์ RDC และเซิร์ฟเวอร์โฮสต์ของเซสชัน RD ก่อนที่นโยบายความปลอดภัยของ RD Session Host จะดูได้:

• ตั้งค่าระดับการเข้ารหัสการเชื่อมต่อไคลเอ็นต์:นโยบายชนะการจัดการการเข้ารหัสที่เท่าเทียมกัน เพื่อเปิดใช้งาน za'dnannya ทั้งหมดจะต้องตำหนิสำหรับการเข้ารหัสของคำแนะนำ (สำหรับการเลื่อนตำแหน่ง - สูง)
• เสมอพร้อมท์สำหรับรหัสผ่านเมื่อการเชื่อมต่อ: นโยบายนี้ใช้ไม่ได้ ดังนั้นจึงจำเป็นต้องป้อนรหัสผ่านของผู้ติดต่อเมื่อเชื่อมต่อกับเซสชัน RD เพื่อพิมพ์ว่าป้อนรหัสผ่านในไคลเอนต์ RDC สำหรับ zamovchuvannyam koristuvachіสามารถเข้าสู่เซสชันได้โดยอัตโนมัติเพราะพวกเขาได้ให้รหัสผ่านกับไคลเอนต์ RDC
• จำเป็นต้องปลอดภัยRPCการสื่อสาร: - เมื่อเปิดใช้งานนโยบาย จะอนุญาตเฉพาะการพิสูจน์ตัวตนและการเข้ารหัสสำหรับลูกค้าเท่านั้น
• จำเป็นต้องใช้ของเฉพาะเจาะจงความปลอดภัยชั้นสำหรับระยะไกล (RDP) การเชื่อมต่อ: เมื่อเปิดใช้งานนโยบาย การสื่อสารทั้งหมดระหว่างไคลเอนต์และเซิร์ฟเวอร์เทอร์มินัลจะถูกตำหนิสำหรับระดับความปลอดภัย บ่งชี้ที่นี่ (RDP, Negotiate หรือ SSL/TLS)
• ทำไม่อนุญาตท้องถิ่นผู้ดูแลระบบถึงปรับแต่งสิทธิ์: นโยบายนี้รวมถึงความสามารถของผู้ดูแลระบบในการปรับการตั้งค่าความปลอดภัยของ RD Session Host
• ต้องการการรับรองความถูกต้องของผู้ใช้สำหรับการเชื่อมต่อระยะไกลสำหรับความช่วยเหลือเกี่ยวกับการตรวจสอบสิทธิ์ระดับเครือข่าย:นโยบายเปิดใช้งาน NLA สำหรับการเชื่อมต่อทั้งหมดจากเซิร์ฟเวอร์เทอร์มินัล (ไคลเอ็นต์ที่ไม่มีการสนับสนุน NLA จะไม่สามารถเชื่อมต่อได้)

พารามิเตอร์สำหรับการตั้งค่าไคลเอนต์ RDC สามารถพบได้ในการปรับปรุง ระยะไกลเดสก์ทอปการเชื่อมต่อลูกค้า:

• ทำไม่อนุญาตรหัสผ่านถึงenบันทึกไว้: นโยบายการป้องกันรหัสผ่านในไคลเอนต์ RDC ตัวเลือก "บันทึกรหัสผ่าน" จะไม่พร้อมใช้งาน การบันทึกรหัสผ่านทั้งหมดจะถูกลบ
• ระบุชา1 ลายนิ้วมือของใบรับรองเป็นตัวแทนที่เชื่อถือ.rdpสำนักพิมพ์: นโยบายนี้อนุญาตให้คุณสร้างรายการใบรับรอง SHA1 ที่ถูกต้อง และหากใบรับรองตรงกับรายการนั้น คุณต้องเชื่อถือใบรับรองนั้น
• พร้อมท์สำหรับข้อมูลประจำตัวบนที่ลูกค้าคอมพิวเตอร์: นโยบายกำลังเปิดใช้งานคำขอข้อมูลของผู้รายงานบนคอมพิวเตอร์ไคลเอนต์ ไม่ใช่บนเซิร์ฟเวอร์ RD Session

RD Web Access

คอมพิวเตอร์ที่เกี่ยวข้องซึ่งไม่มีไคลเอ็นต์ RDC ติดตั้งอยู่อาจสามารถเข้าถึงโปรแกรมที่เผยแพร่ได้โดยใช้เว็บเบราว์เซอร์ ที่ควรตำหนิ koristuvach เบราว์เซอร์ควรเปิด URL ไปยังทรัพยากร RDS ที่เผยแพร่ เซิร์ฟเวอร์ RD Web Access - ใช้บทบาทของเซิร์ฟเวอร์ RD เรียก vin ที่โฮสต์บนเซิร์ฟเวอร์ที่เห็น

เว็บอินเตอร์เฟสของเซิร์ฟเวอร์ RD Web Access ที่ใช้ SSL และ corystants สามารถเข้าสู่ระบบเพื่อช่วยข้อมูลบนคลาวด์ได้ ตรวจสอบ koristuvachi bachat รายการของโปรแกรมที่เผยแพร่เงียบ (RemoteApp) ซึ่งกลิ่นเหม็นสามารถเข้าถึงได้

เซิร์ฟเวอร์ Web Access สำหรับการเข้ารหัสใบรับรอง X.509 ที่ได้รับชัยชนะ ใบรับรองได้รับรางวัลสำหรับการล็อค

สวัสดีทุกคน เรามาดูหัวข้อเกี่ยวกับ วันนี้เราจะมาดูคุณหลังจากใช้ Windows ซึ่งช่วยให้คุณเชื่อมต่อกับพีซีระยะไกลได้ เดนมาร์กzasіbเรียกว่าไคลเอนต์ RDP (Remote Desktop Protocol) ดังนั้นเพื่อแปลเป็นภาษารัสเซีย - โปรโตคอลเดสก์ท็อประยะไกล โปรโตคอลนี้สามารถตามด้วยคอมพิวเตอร์ระยะไกลที่มีบริการเชื่อมต่อเทอร์มินัลทำงานอยู่ ไคลเอ็นต์ RDP ปรากฏใน Windows XP และได้รับการสนับสนุนในระบบปฏิบัติการเวอร์ชันใหม่ ดีกว่าสำหรับทุกอย่าง พวกคุณหลายคนไม่รู้ว่ามันคืออะไร แต่สำหรับความช่วยเหลือนี้ คุณสามารถเชื่อมต่อกับคอมพิวเตอร์ระยะไกลและหวงแหนมันได้อย่างง่ายดาย ในบทความนี้ ผมจะรายงานวิธีเชื่อมต่อกับโต๊ะทำงานระยะไกลในพื้นที่ ดังนั้นอ่านข้อความอีกครั้ง

การเตรียมพร้อมสำหรับความท้าทายของลูกค้า RDP

ไคลเอนต์ RDP ส่วนใหญ่ชนะเมื่อทำงานในพื้นที่เดียวกัน ตัวอย่างเช่น ถ้าที่บ้านคอมพิวเตอร์เครื่องหนึ่งเชื่อมต่อกับอีกเครื่องหนึ่ง จำเป็นต้องเชื่อมต่อกลิ่นเหม็นกับเราเตอร์ตัวหนึ่ง ต่อคอมระยะไกลผ่านเน็ตก็ได้ แต่มีวิธีตั้งค่าแบบพับได้ด้วย ผมว่าน่าจะได้ หัวข้อชิวที่okremіy statti

ขั้นแรก คุณต้องทราบที่อยู่ IP ของคอมพิวเตอร์ระยะไกลเพื่อเชื่อมต่อโดยใช้โปรโตคอลเดสก์ท็อประยะไกล ตามกฎแล้วตามกฎ การเชื่อมต่อบนคอมพิวเตอร์ของคุณโดยอัตโนมัติ จากนั้นเมื่อระบบปฏิบัติการรีบูต ที่อยู่ IP จะเปลี่ยนไป อย่างแรกเลย เราใส่ที่อยู่คงที่สำหรับสิ่งปลูกสร้างทั้งหมดในพื้นที่ของคุณ เบียร์สำหรับซังจำเป็นต้องดูที่อยู่ที่คอมพิวเตอร์จะใช้โดยอัตโนมัติ เพื่อใคร. เราเขียนคำสั่ง "ipconfig" และ bachimo, yakі: mask merge, mask pіdmerezhі that gateway otrimuє บัตร merezhevaด้วยการปรับอัตโนมัติ

รับความเคารพ! ตามกฎแล้วบนเราเตอร์ทั้งหมดที่อยู่เบื้องหลังการล็อคสามารถมองเห็นมาสก์ของเส้นขอบ (192.168.0 หรือ 192.168.1) ได้ชัดเจน เป็นไปได้ที่จะเขียนแถวทั้งหมดตามที่แสดงในภาพหน้าจอและเลือกการเปลี่ยนแปลง

ตอนนี้เราได้ตั้งค่าที่อยู่ IP แบบคงที่สำหรับคอมพิวเตอร์ของเราแล้ว เพื่อให้เราปรับแต่งไคลเอ็นต์ RDP ได้อย่างง่ายดาย

อย่างที่คุณเห็น เขาอนุญาตให้ฉันเชื่อมต่อกับโต๊ะทำงานที่อยู่ไกลออกไป

หากเราได้ทำงานกับคุณที่อยู่ของคอมพิวเตอร์ มาดูการเพิ่มประสิทธิภาพของฟังก์ชัน Remote Desktop Protocol กัน Tsіdіїเลื่อน vykonuvati บนคอมพิวเตอร์ไปยังสิ่งที่คุณต้องการเชื่อมต่อ Sob หนวด zapratsyuvalo, vikonuemo kroki:

เราได้เตรียมการทั้งหมดสำหรับคุณแล้ว เพื่อให้ไคลเอ็นต์ RDP สามารถทำงานร่วมกับเราได้ ไปต่อกันตอนนี้โดยไม่หยุดพักจนกว่าเราจะดูกระบวนการเชื่อมต่อ

เราสามารถเชื่อมต่อกับคอมพิวเตอร์ RDP ระยะไกล

ในจุดก่อนหน้านี้ เราได้แยกการปรับเปลี่ยนกับคุณ เนื่องจากจำเป็นต้องเปลี่ยนการทำงานกับโปรโตคอลของโต๊ะทำงานที่อยู่ไกลออกไป ตอนนี้เรามาดูวิธีการเชื่อมต่อกัน

รับความเคารพ! เราจะเอาชนะ Windows zasib มาตรฐาน เห็นได้ชัดว่าเราไม่สามารถใช้ประโยชน์จากยูทิลิตี้ของบุคคลที่สามได้ ทุกสิ่งที่เราต้องการจะอยู่แค่เพียงปลายนิ้วสัมผัส

หากต้องการเรียกใช้คำสั่ง "เชื่อมต่อกับเดสก์ท็อประยะไกล" ให้เปิดเมนู "เริ่ม" - "โปรแกรมทั้งหมด" - "อุปกรณ์เสริม - Windows" ที่รายการเมนู เราเปิดไคลเอนต์ RDP และเรามีฟิลด์ภายใต้ชื่อ "คอมพิวเตอร์" คุณต้องป้อนที่อยู่ของคอมพิวเตอร์ระยะไกลแล้ว ซึ่งเราได้รับที่อยู่ IP แบบคงที่ หลังจากคลิกที่ปุ่มเชื่อมต่อ โปรแกรมจะขอให้คุณป้อน "เข้าสู่ระบบและรหัสผ่าน" เพื่อเชื่อมต่อกับพีซีระยะไกล

โหวตได้ด้วยนะ dodatkovі nalashtuvannyaซึ่งเลือกรายการ "แสดงพารามิเตอร์" ที่นี่คุณสามารถเลือกคอมพิวเตอร์ระยะไกล กำหนดค่าทรัพยากรในเครื่อง ตลอดจนพารามิเตอร์หน้าจอได้ทันที แต่ฉันคิดว่ามันจะดีกว่าที่จะกำจัดทุกอย่างสำหรับ zamovchuvannyam และเริ่ม keruvati otdalenim PC

ไคลเอนต์ RDP - ข้อดีและข้อเสีย

พูดตามตรง ฉันไม่ค่อยชนะลูกค้า RDP แต่บางครั้งก็จำเป็น สำหรับตัวฉันเอง ฉันได้ระบุข้อดีดังต่อไปนี้:

• ในการเชื่อมต่อกับพีซีระยะไกล คุณไม่จำเป็นต้องค้นหาและติดตั้งโปรแกรมใดๆ ทุกอย่างถูกจัดเตรียมโดยผู้ค้าปลีกของ Microsoft และขอขอบคุณสำหรับการป้อนข้อมูลจาก ระบบปฏิบัติการ;
• คุณสามารถนำการเข้าถึงคอมพิวเตอร์กลับคืนมาได้โดยใช้เดสก์ท็อประยะไกล อะไรที่ช่วยให้คุณ vikonuvat กับอันใหม่ be-yakіdії;
• เว้นแต่คุณจะสามารถเข้าถึงคอมพิวเตอร์ที่อยู่ห่างไกลได้

เมื่อข้อดีสิ้นสุดลง ให้ไปที่ minuses ของยูทิลิตี้นี้:

• โปรแกรมทำงานอย่างถูกต้องเฉพาะในพื้นที่เท่านั้นเพื่อตั้งค่าการเชื่อมต่อผ่านอินเทอร์เน็ตจำเป็นต้องไปที่การตั้งค่าเราเตอร์เพื่อถ่ายโอนไปยังพอร์ตซึ่งเป็นปัญหาสำหรับคอริสตูวาชิฟที่ร่ำรวย
• หากคุณกำลังใช้ VPN ในการเชื่อมต่อกับคอมพิวเตอร์ระยะไกล จำเป็นต้องมีไคลเอนต์ RDP garna shvidkistอินเทอร์เน็ต มิฉะนั้น คุณจะเห็นสไลด์โชว์
• โปรแกรมอาจมีชุดฟังก์ชั่นขั้นต่ำและอาจไม่แนะนำ ตัวจัดการไฟล์ไม่สามารถถ่ายโอนไฟล์ได้อย่างง่ายดาย

มาเอากระเป๋ากัน

วันนี้เรามาดูไคลเอนต์ RDP สำหรับ Windows เดนมาร์กzasіbสำหรับการเชื่อมต่อระยะไกลกับคอมพิวเตอร์สามารถดูเป็นทางเลือกได้ โปรแกรมบุคคลที่สามเช่น แต่ไม่น่าเป็นไปได้ที่ RDP จะสามารถแทนที่ได้ในทางใดทางหนึ่ง ดังนั้น ตามกฎแล้ว ไม่สามารถสร้างชุดฟังก์ชันที่จำเป็นทั้งหมดได้ เนื่องจากเป็นพลังของโปรแกรมในการเข้าถึงระยะไกล Shvidkіst roboti zashivati ​​​​bazhati kraschogo, ale vіdmіnno pіdіyde ใน tіh vypadkakh, ในเวลาที่ shukati ไม่ได้ติดตั้งโปรแกรมіnshіซึ่งจำเป็นต้องยุติการเข้าถึงพีซีใน otrimati

อย่างไพเราะคนที่ร่ำรวยจากคุณแล้ว chuv i bachiv tsyu ตัวย่อ - ขยับออกอย่างแท้จริงจามรี โปรโตคอลเดสก์ท็อประยะไกล (ระยะไกลเดสก์ทอปมาตรการ). หากคุณต้องการอ่านรายละเอียดทางเทคนิคของโปรโตคอลของระดับที่ใช้ คุณสามารถอ่านวรรณกรรมโดยเริ่มจาก Wikipedia นี้เอง มาดูด้านการปฏิบัติกัน และหนึ่งเดียวที่โปรโตคอลนี้อนุญาตให้คุณเชื่อมต่อกับคอมพิวเตอร์จากระยะไกล pid keruvannyam Windowsเครื่องมือแบรนด์ Windows รุ่นต่างๆ "เชื่อมต่อกับเดสก์ท็อประยะไกล"

ข้อดีและข้อเสียของการใช้โปรโตคอล RDP คืออะไร

ด้วยเหตุผลที่ดี - ข้อดี นอกจากนี้ยังขึ้นอยู่กับเครื่องมือใดที่จะตั้งชื่อได้ถูกต้องมากกว่า ลูกค้าRDPใช้ได้กับทุกคน koristuvachevі Windowsเหมือนคอมพิวเตอร์ การเข้าถึงระยะไกล vіdkriti

ด้วยการเชื่อมต่อกับโต๊ะทำงานระยะไกล คุณไม่เพียงแต่สามารถเข้าถึงโต๊ะทำงานระยะไกลและใช้ทรัพยากรของคอมพิวเตอร์ระยะไกลได้เท่านั้น แต่ยังเชื่อมต่อกับโต๊ะใหม่ได้อีกด้วย ไดรฟ์ท้องถิ่น, เครื่องพิมพ์ สมาร์ทการ์ด ฯลฯ แน่นอนถ้าคุณต้องการดูวิดีโอหรือฟังเพลงผ่าน RDP ไม่น่าเป็นไปได้ที่กระบวนการนี้จะทำให้คุณพึงพอใจเพราะ มีมุมมองมากขึ้นและเล่นสไลด์โชว์ และเสียงจะดีขึ้นสำหรับทุกสิ่ง Ale ไม่ pіdqі zavdannya rozroblyalis บริการ RDP

ข้อดีอีกอย่างที่ไม่สิ้นสุดอีกอย่างหนึ่งก็คือการเชื่อมต่อเข้ากับคอมพิวเตอร์สามารถทำได้โดยไม่ต้องมีโปรแกรมเพิ่มเติมใดๆ เช่น การจ่ายเงินส่วนใหญ่ของคุณ ต้องการและโชคของคุณเอง หนึ่งชั่วโมงในการเข้าถึงเซิร์ฟเวอร์ RDP (ซึ่งเป็นคอมพิวเตอร์ระยะไกลของคุณ) นั้นจำกัดเฉพาะความต้องการของคุณ

น้อยกว่าสอง minuses หนึ่ง suttviy อื่น - ไม่มาก สิ่งแรกและสำคัญที่สุด - สำหรับงาน RDP คอมพิวเตอร์จนกว่าจะมีการเชื่อมต่อการเชื่อมต่อคือการตำหนิสำหรับ IP สีขาว (ภายนอก) ของแม่ แต่สำหรับคอมพิวเตอร์ทั้งเครื่องจะต้องตำหนิความสามารถในการ "โยน" พอร์ตจากเราเตอร์ ซึ่งเป็นความผิดของ IP เก่าของแม่ ไวน์แบบคงที่จะเป็นไดนามิก - ความหมายไม่สามารถเป็นได้ แต่ไวน์สามารถเป็นได้

ลบอีก - ไม่ใช่ sutt - รุ่นอื่นๆลูกค้าหยุดสนับสนุน 16 สี โทนสี. ขั้นต่ำ - 15 บิต มันช่วยปรับปรุงการทำงานบน RDP ได้อย่างมาก หากคุณเชื่อมต่อผ่านอินเทอร์เน็ตที่ไร้ค่าด้วยความเร็วที่ไม่เกิน 64 กิโลบิตต่อวินาที

ทำไมคุณถึงชนะการเข้าถึงระยะไกลผ่าน RDP ได้?

องค์กรมักจะชนะเซิร์ฟเวอร์ RDP สำหรับ หุ่นยนต์นอนหลับที่โปรแกรม 1C และdeyakіnavіtปรับใช้งานของkoristuvachіvกับพวกเขา ในอันดับนี้ koristuvach โดยเฉพาะอย่างยิ่งในฐานะหุ่นยนต์กุหลาบตัวใหม่ คุณสามารถเชื่อมต่อกับ 3G Internet หรือ Wi-Fi ในโรงแรม/คาเฟ่ เชื่อมต่อกับพื้นที่ทำงานของคุณและปิดไฟทั้งหมด

ในบางกรณี koristuvachs ที่บ้านสามารถเป็นตัวแทนในการเข้าถึง คอมพิวเตอร์ที่บ้าน, เพื่อนำข้อมูลจากแหล่งข้อมูลที่บ้าน โดยหลักการแล้ว การให้บริการโต๊ะทำงานทางไกลช่วยให้คุณทำงานกับข้อความ วิศวกรรม และ . ได้อย่างเต็มที่ โปรแกรมกราฟิก. ด้วยวิดีโอและเหตุผลอันศักดิ์สิทธิ์ - อย่าพยายามดู แต่ทุกอย่างเหมือนเดิม - เป็นข้อดี และคุณยังสามารถดูทรัพยากรที่ปิดตามนโยบายของบริษัทเกี่ยวกับหุ่นยนต์ การเชื่อมต่อกับคอมพิวเตอร์ที่บ้านของคุณโดยไม่มีผู้ไม่ระบุชื่อ VPN และสิ่งที่ไม่สะอาดอื่นๆ

โกทูเอโม อินเทอร์เน็ต

ที่ด้านหน้าของแผนก เราได้พูดคุยกันถึงสิ่งเหล่านั้น เพื่อให้แน่ใจว่าการเข้าถึงระยะไกลที่อยู่เบื้องหลังโปรโตคอล RDP เราจำเป็นต้องมีที่อยู่ IP สำหรับการโทร บริการนี้สามารถรักษาความปลอดภัยโดยผู้ให้บริการ เราสามารถเขียนไปยังโทรศัพท์เครื่องนั้นหรือไปที่ สำนักงานพิเศษ organіzovuєmoที่ให้ที่อยู่tsієї ตามหลักการแล้ว ไวน์สามารถคงที่ได้ แต่โดยหลักการแล้ว คุณสามารถมีชีวิตอยู่ได้

ถ้าใครไม่เข้าใจคำศัพท์แล้ว ที่อยู่คงที่- tse nezminny และไดนามิก - เปลี่ยนแปลงไม่ได้ เพื่อที่จะทำงานร่วมกับที่อยู่ IP ไดนามิกได้อย่างเต็มที่ บริการเหล่านี้จึงมาพร้อมกับบริการต่างๆ ซึ่งช่วยให้แน่ใจถึงการเชื่อมโยงโดเมนไดนามิก อะไรและอย่างไรจะไม่ยากที่จะเขียนบทความในหัวข้อนี้

เราเตอร์ Gotuemo

เนื่องจากคอมพิวเตอร์ของคุณไม่ได้เชื่อมต่อกับอินเทอร์เน็ตผ่านสายของผู้ให้บริการโดยตรง แต่ผ่านทางเราเตอร์ ด้วยส่วนเสริมนี้ เราจึงจะสามารถดำเนินการเปลี่ยนแปลงได้ และตัวฉันเอง - ส่งต่อพอร์ตไปยังบริการ - 3389. ในอีกทางหนึ่ง NAT ของเราเตอร์ของคุณไม่ยอมให้คุณเข้าไปข้างใน วัดบ้าน. อาจจำเป็นต้องตั้งค่าเซิร์ฟเวอร์ RDP ในองค์กร หากคุณไม่ทราบวิธีส่งต่อพอร์ต - อ่านบทความเกี่ยวกับการส่งต่อพอร์ตบนเราเตอร์ (อ่านในแท็บใหม่) แล้วหันหลังกลับ

คอมพิวเตอร์พร้อม

ในการสร้างความเป็นไปได้ของการเชื่อมต่อระยะไกลกับคอมพิวเตอร์ จำเป็นต้องสร้างคำสองคำ:

อนุญาตการเชื่อมต่อกับเจ้าหน้าที่ระบบ
- ตั้งรหัสผ่านสำหรับสตรีมมิ่ง koristuvach (เช่น คุณไม่มีรหัสผ่าน) หรือสร้าง koristuvach ใหม่ด้วยรหัสผ่านเฉพาะสำหรับการเชื่อมต่อผ่าน RDP

วิธีแก้ไขด้วย coristuvach - เขียนด้วยตัวเอง อย่างไรก็ตาม โปรดทราบว่าโดยปกติระบบปฏิบัติการที่ไม่ใช่เซิร์ฟเวอร์ไม่รองรับการเข้าสู่ระบบหลายครั้ง ทูบโต หากคุณเข้าสู่ระบบในเครื่อง (คอนโซล) จากนั้นคุณจะเข้าสู่ระบบด้วย coristuvachy เดียวกันจากระยะไกล - หน้าจอในเครื่องจะถูกบล็อกและเซสชันในที่เดียวกันจะเปิดขึ้นที่หน้าต่างเชื่อมต่อกับโต๊ะทำงานระยะไกล ป้อนรหัสผ่านในเครื่อง ไม่ใช่ผ่าน RDP - คุณจะออกจากระบบจากการเข้าถึงระยะไกล และคุณจะเห็นหน้าจอการสตรีมบนจอภาพในเครื่องของคุณ คุณตรวจสอบตัวเองดังนั้นคุณจะเข้าสู่คอนโซลภายใต้ชอร์ตตี้หนึ่งและไกลออกไปคุณจะพยายามเข้าสู่อีกอันหนึ่ง І ที่นี่ระบบจะแจ้งให้คุณสิ้นสุดเซสชัน koristuvach ท้องถิ่น scho not zavzhdi มีประโยชน์

ป่ะ ไปกันเถอะ เริ่ม, คลิกขวาที่เมนู คอมพิวเตอร์ที่จู่โจม พลัง.

อยู่ในอำนาจ ระบบของสะสม พารามิเตอร์เพิ่มเติมระบบ

ที่หน้าต่าง ไปที่แท็บ การเข้าถึงระยะไกล…

… ดัน โดดัทโคโว…

ฉันใส่เครื่องหมายถูกที่ด้านซ้าย

เซ "บ้าน" เวอร์ชั่น Windows 7 - ใครมี Pro และสูงกว่าจะมี paraportions มากขึ้นและเป็นไปได้ที่จะขยายการเข้าถึง

การโจมตี ตกลงถู.

ตอนนี้คุณสามารถไปที่ เชื่อมต่อกับเดสก์ท็อประยะไกล (เริ่ม>โปรแกรมทั้งหมด>อุปกรณ์เสริม) ป้อนที่อยู่ IP ของคอมพิวเตอร์ที่นั่น หรือคุณต้องการเชื่อมต่อกับเครือข่ายในบ้านใหม่ของคุณและใช้ทรัพยากรทั้งหมด

แกนดังนั้น โดยหลักการแล้วทุกอย่างเรียบง่าย แร็ปจะเหมือนอาหารแค่ไหนถ้าคุณไม่มีเหตุผล - เราขอความคิดเห็น

บริการเดสก์ท็อประยะไกล (RDS) ใน Windows Server 2008 R2 อาจเป็นชื่อใหม่ที่ใหญ่กว่าและต่ำกว่า คุณจะไม่เบื่อกับบริการเทอร์มินัล ขอบคุณส่วนประกอบใหม่ (บางส่วนถูกนำมาใช้ใน Windows Server 2008) เช่น RemoteApp, RD Gateway และ RD Virtualization Host บทบาทของเซิร์ฟเวอร์ Windows ในขณะนี้ช่วยให้คุณมีความยืดหยุ่นในการติดตั้ง 8 โปรแกรมหรือบนเครื่องใหม่เพื่อขอความช่วยเหลือจาก RDS หรือโซลูชัน VDI - ในตัวเลือกด้านอื่น ๆ โดยไม่ต้องใช้ Citrix หรือโมดูลเสริมอื่น ๆ ของคอมไพเลอร์บุคคลที่สาม

เอลจามรี schodo bezpeki? จุดเสริมของการพับทั้งหมดจะแสดงในช่วงเวลาความปลอดภัยเพิ่มเติม ในสถิติเหล่านี้ เราจะเห็นกลไกความปลอดภัยที่นำมาใช้ใน RDS วิธีปรับแต่งพารามิเตอร์การกำหนดค่า นโยบายกลุ่มเพื่อปรับปรุงความปลอดภัย ตลอดจนคำแนะนำในการติดตั้งความปลอดภัย RDS

มีอะไรใหม่ใน R2

หากคุณเริ่มทำงานกับ RDS หลังจากทำงานกับ Windows Server 2008 Terminal Services คุณจะไม่ได้ทำการเปลี่ยนแปลงที่สำคัญมากมายที่นั่น เช่น เมื่อโยกย้ายจาก Windows Server 2003 เบราว์เซอร์ TS Gateway สำหรับเจ้าหน้าที่ชันสูตรที่เชื่อมต่อผ่านอินเทอร์เน็ต RemoteApp สำหรับการส่งมากถึงสิบ โปรแกรมไปยังเจ้าหน้าที่ชันสูตรศพผ่านทางโปรโตคอล Remote Desktop Protocol (RDP) และ Session Broker ซึ่งรวมถึงคุณลักษณะของการสร้างสมดุลของการรับส่งข้อมูล

• การจำลองเสมือนเดสก์ท็อประยะไกลสำหรับโซลูชัน VDI
• ผู้ให้บริการ RDS สำหรับ PowerShell เพื่อให้ผู้ดูแลระบบสามารถเปลี่ยนการกำหนดค่าและเปลี่ยนการตั้งค่าในล่ามคำสั่งและสคริปต์เพิ่มเติม
• Remote Desktop IP Virtualization ซึ่งช่วยให้คุณกำหนดที่อยู่ IP ให้กับผู้ติดต่อสำหรับเซสชันที่เปิดใช้งานสกินหรือโปรแกรม
• เวอร์ชันใหม่ของไคลเอ็นต์ RDP และ Remote Desktop Connection (RDC) เวอร์ชัน 7.0
• Fair Share CPU กำหนดตารางเวลาการกระจายแบบไดนามิกของเวลาการประมวลผลระหว่างเซสชันตามจำนวนเซสชันที่ใช้งานอยู่
• Sumіsnіst z Windows Installer เพื่อให้การติดตั้งโปรแกรมง่ายขึ้นโดยyakіต้องการnаshtuvannya pіdokremіh koristuvachіv
• Diyasna pіdtrimka kіlkoh monitorіv (มากถึง 16 ชิ้น), zavdyaki เช่นโปรแกรมทำงานเหมือนกับกลิ่นเหม็นที่ทำงานบนเครื่องไคลเอนต์

นอกจากนี้ การตัดต่อเสียง/วิดีโอ รองรับ Windows Aero ในเซสชัน RD (โปรดทราบว่า Desktop Composition ซึ่งรับประกันการทำงานของ Aero ไม่ได้รับการสนับสนุนโดยเซสชันที่มีหลายจอภาพ)

ด้านและกลไกการรักษาความปลอดภัย

เห็นได้ชัดว่ามีปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นได้ขึ้นอยู่กับวิธีติดตั้ง RDS Yakshcho คุณมี Bilsh กำลังพับ candygurasi ใน yaki coristuvachi คุณจะผ่านเบราว์เซอร์ izhternet ta/abo คุณจะมีแง่มุมที่ไร้สาระมากขึ้น yaki เป็น vicoristan ใน vicoristan ใน Yaki Koristuvachi

RDS มีกลไกความปลอดภัยต่ำ ซึ่งจะช่วยเพิ่มความปลอดภัยของ RD

การตรวจสอบความถูกต้องที่ระดับชายแดน (Network Level Authentication)

สำหรับระดับความปลอดภัยสูงสุด ขั้นตอนต่อไปคือการเปิดใช้งานการรับรองความถูกต้องที่ระดับขอบ (Network Level Authentication - NLA) สำหรับการเชื่อมต่อทั้งหมด การตรวจสอบ NLA เพื่อรับรองความถูกต้องบนเซิร์ฟเวอร์โฮสต์ของเซสชัน RD เซสชันแรกจะถูกสร้างขึ้น Tse ช่วยป้องกัน คอมพิวเตอร์ระยะไกลในรูปแบบของ koristuvachiv และ shkidlivy PZ ที่เป็นอันตราย เพื่อที่จะชนะ NLA คอมพิวเตอร์ไคลเอนต์จะต้องตำหนิระบบปฏิบัติการ เนื่องจากสนับสนุนโปรโตคอล Credential Security Support Provider (CredSSP) เช่น Windows XP SP3 และอื่นๆ และแม่ RDC 6.0 ของไคลเอ็นต์ขึ้นไป

NLA ได้รับการติดตั้งบนเซิร์ฟเวอร์โฮสต์ของเซสชัน RD ในการแจกจ่ายครั้งถัดไป: Administrative Tools | บริการเดสก์ท็อประยะไกล | การตั้งค่าโฮสต์เซสชันในเดสก์ท็อประยะไกล (การกำหนดค่าโฮสต์เซสชันเดสก์ท็อป) ในการตั้งค่าการเชื่อมต่อกับ NLA ให้ทำตามขั้นตอนเหล่านี้:

1. คลิกขวาที่เชื่อมต่อ (การเชื่อมต่อ)
2. เลือกพลัง
3. ไปที่คั่นหน้า Zagalni (ทั่วไป)
4. ตั้งค่าสถานะเป็นตัวเลือก "อนุญาตการเชื่อมต่อจากคอมพิวเตอร์ที่ทำงานเท่านั้น"
5. กดปุ่ม ตกลง

มายูนก 1

โปรโตคอล Transport Layer Security (TLS)

เซสชัน RDS สามารถชนะหนึ่งในสามของการรักษาความปลอดภัยที่เท่าเทียมกันสำหรับการเชื่อมต่อระหว่างไคลเอนต์และเซิร์ฟเวอร์โฮสต์ของเซสชัน RDS:

• ริบบอนการรักษาความปลอดภัย RDP เซิร์ฟเวอร์โฮสต์ของเซสชัน RD ไม่ได้รับการพิสูจน์ตัวตน
• การเข้ารหัสการเจรจาต่อรอง TLS 1.0 (SSL) จะได้รับการเข้ารหัสตามที่ไคลเอ็นต์สนับสนุน ไม่ เซสชันจะกลับไปที่การรักษาความปลอดภัย RDP
• การเข้ารหัส SSL "TLS 1.0 จะใช้เพื่อตรวจสอบความถูกต้องของเซิร์ฟเวอร์และการเข้ารหัสข้อมูลที่ส่งระหว่างไคลเอนต์และเซิร์ฟเวอร์โฮสต์ของเซสชัน นี่คือตัวเลือกที่ปลอดภัยที่สุด

ไครเมียเพื่อเลือกระดับความปลอดภัย คุณยังสามารถเลือกระดับการเข้ารหัสของการเชื่อมต่อ นี่คือตัวเลือก:

• การเข้ารหัส 56 บิตต่ำ (ต่ำ) สำหรับข้อมูลที่ส่งจากไคลเอนต์ไปยังเซิร์ฟเวอร์ อย่าเข้ารหัสข้อมูลที่ส่งจากเซิร์ฟเวอร์ไปยังไคลเอนต์
• สรุปกับไคลเอนต์ (รองรับไคลเอนต์) - นี่คือตัวเลือกสำหรับการล็อค มันเข้ารหัสข้อมูลที่ส่งระหว่างไคลเอนต์และเซิร์ฟเวอร์ด้วยคีย์ที่ดีที่สุดซึ่งไคลเอนต์รองรับ
• ตัวเลือกสูง (สูง) เพื่อเข้ารหัสข้อมูลในทั้งสองทิศทางระหว่างไคลเอนต์และเซิร์ฟเวอร์สำหรับความช่วยเหลือในการเข้ารหัส 128 บิต
• ผลรวม FIPS (ตามมาตรฐาน FIPS) "ตัวเลือกนี้เข้ารหัสข้อมูลที่ส่งในทั้งสองทิศทางระหว่างไคลเอนต์และเซิร์ฟเวอร์โดยใช้อัลกอริธึมการเข้ารหัสที่ตรวจสอบความถูกต้อง FIPS 140-1

โปรดทราบว่าหากคุณเลือกตัวเลือก "สูง" หรือ "สมาร์ท FIPS" ไม่ว่าจะเป็นไคลเอนต์ หากพวกเขาไม่สนับสนุนการเข้ารหัสที่เท่าเทียมกัน พวกเขาจะไม่สามารถเชื่อมต่อได้

Axis, วิธีการตั้งค่าพารามิเตอร์ของการรับรองความถูกต้องและการเข้ารหัสของเซิร์ฟเวอร์:

1. บนเซิร์ฟเวอร์โฮสต์ของเซสชัน RD ให้เปิดการกำหนดค่าการกำหนดค่าโฮสต์เซสชันเดสก์ท็อประยะไกล จากนั้นเชื่อมต่อแหล่งจ่ายไฟตามที่กล่าวไว้ข้างต้น
2. ที่บุ๊กมาร์ก Zagalni เลือก riven ความปลอดภัยและการเข้ารหัสที่สำคัญที่สุดจากรายการซึ่งถูกเปิดเผยดังแสดงใน 2 ขนาดเล็ก
3. กดปุ่ม ตกลง

มายูนก2

นอกจากนี้คุณยังสามารถเร่งความเร็ว นโยบายกลุ่มสำหรับการเข้ารหัสด้วยพารามิเตอร์การเข้ารหัสและการตรวจสอบสิทธิ์ ตลอดจนการตั้งค่า RDS อื่นๆ

นโยบายกลุ่ม

ใช้การตั้งค่านโยบายกลุ่มจำนวนหนึ่งสำหรับ RDS ใน Windows Server 2008 R2 กลิ่นเหม็นของrozdshovanіในการกำหนดค่าคอมพิวเตอร์rozdelі (การกำหนดค่าคอมพิวเตอร์) \ นโยบาย (นโยบาย) \ เทมเพลตการดูแลระบบ (เทมเพลตการดูแลระบบ) ส่วนประกอบของ Windows(Windows Components)\ Remote Desktop Services ในคอนโซลการจัดการนโยบายกลุ่มของโดเมนของคุณ ดังแสดงในรูปที่ 3

อย่างที่คุณเห็น นี่คือนโยบายสำหรับการอนุญาตให้ใช้สิทธิ์ไคลเอ็นต์ RDC และเซิร์ฟเวอร์โฮสต์ของเซสชัน RD นโยบายความปลอดภัยสำหรับเซิร์ฟเวอร์โฮสต์ของเซสชัน RD ประกอบด้วย:

• แม่แบบใบรับรองการตรวจสอบเซิร์ฟเวอร์:เลือกนโยบายนี้เพื่อระบุชื่อของเทมเพลตใบรับรอง ซึ่งคุณกำหนด ใบรับรองใดจะถูกเลือกโดยอัตโนมัติเพื่อตรวจสอบความถูกต้องของเซิร์ฟเวอร์โฮสต์ของเซสชัน RD หากคุณเปลี่ยนนโยบายนี้ หากคุณไม่ได้ใช้ใบรับรองที่สร้างนอกเหนือจากเทมเพลตที่ระบุ คุณจะได้รับการป้องกันเมื่อเลือกใบรับรองเพื่อตรวจสอบสิทธิ์เซิร์ฟเวอร์โฮสต์ของเซสชัน RD
• ตั้งค่าระดับการเข้ารหัสการเชื่อมต่อไคลเอ็นต์:นโยบายนี้ได้รับชัยชนะในการควบคุมผู้ที่ต้องการการเข้ารหัสในระดับเดียวกัน หากคุณเปิดใช้นโยบายนี้ ถือเป็นความผิดของคุณทั้งหมดที่จะชนะการเข้ารหัส สำหรับ zamovchuvannyam rіvenการเข้ารหัสєrіvenสูง
• พร้อมท์ให้ใส่รหัสผ่านเสมอเมื่อเชื่อมต่อ:คุณสามารถเปลี่ยนนโยบายเพื่อตั้งค่า RDS และขอรหัสผ่านของตัวเปลี่ยนเมื่อคุณเข้าสู่เซสชัน RD รวมทั้งป้อนรหัสผ่านสำหรับเข้าสู่ RDC ของไคลเอ็นต์ สำหรับโปรโมชั่น พนักงานสามารถเข้าสู่ระบบโดยอัตโนมัติ ตราบใดที่มีการป้อนรหัสผ่านบนไคลเอนต์ RDC
• การป้องกัน Wimagati RPC (ต้องมีการสื่อสาร RPC ที่ปลอดภัย):นโยบายการเปิดใช้งานหมายความว่าจะอนุญาตเฉพาะคำขอที่เข้ารหัสจากไคลเอนต์ที่ผ่านการตรวจสอบสิทธิ์แล้วเท่านั้น ไม่อนุญาตให้พบปะกับลูกค้าที่ไม่น่าเชื่อถือ
• ตรวจสอบให้แน่ใจว่าได้เปลี่ยนระดับความปลอดภัยแรกสำหรับการเชื่อมต่อ RDP (ต้องใช้การเชื่อมต่อเฉพาะชั้นความปลอดภัยสำหรับการเชื่อมต่อระยะไกล (RDP)): หากคุณเปิดใช้งานนโยบายนี้ การเชื่อมต่อทั้งหมดระหว่างไคลเอนต์และเซิร์ฟเวอร์โฮสต์ของเซสชันจะต้องเปลี่ยนระดับความปลอดภัย แล้วแต่ว่าคุณระบุที่นี่ (RDP, Negotiate หรือ SSL/TLS)
• ไม่อนุญาตให้ผู้ดูแลระบบภายในปรับแต่งการอนุญาต:นโยบายนี้รวมถึงสิทธิ์ของผู้ดูแลระบบในการเปลี่ยนสิทธิ์ด้านความปลอดภัยในเครื่องมือการกำหนดค่าโฮสต์เซสชัน RD ซึ่งไม่อนุญาตให้ผู้ดูแลระบบท้องถิ่นเปลี่ยนกลุ่มสิทธิ์ในแท็บสิทธิ์ในเครื่องมือกำหนดค่า
• Vymagatiu koristuvachka authentifikatsiyu สำหรับการเชื่อมต่อระยะไกลโดยวิธีการตรวจสอบความถูกต้องอีกครั้งบนขอบที่เท่ากัน: สำหรับนโยบายเพิ่มเติม คุณสามารถเปิดใช้งาน NLA สำหรับการเชื่อมต่อระยะไกลทั้งหมดไปยังเซิร์ฟเวอร์โฮสต์ของเซสชัน RD เฉพาะลูกค้าที่ได้รับการสนับสนุนจาก NLA เท่านั้นที่สามารถเข้าร่วมได้

บันทึก:แกน วิธีการจดจำ ซึ่งสนับสนุนการตรวจสอบคอมพิวเตอร์ไคลเอนต์บนเส้นขอบ: เปิดไคลเอนต์ RDC และกดไอคอนที่มุมบนซ้าย จากนั้นเลือก " เกี่ยวกับโปรแกรม (ประมาณ)หากรองรับ NLA คุณควรตรวจสอบแถว "รองรับการตรวจสอบสิทธิ์ระดับเครือข่าย"

พารามิเตอร์อื่นๆ ของนโยบายกลุ่ม เกี่ยวกับสิ่งต่อไปที่จะคาดเดา ถูกตั้งค่าในการกระจายของพื้นที่ไคลเอนต์ RD Connection Client กลิ่นเหม็น ได้แก่ :

• ไม่อนุญาตให้บันทึกรหัสผ่าน:เปิดใช้งานตัวเลือกในการบันทึกรหัสผ่านในกล่องโต้ตอบไคลเอ็นต์ RDC ทันทีที่คุณเปิดไฟล์ RDP และบันทึกการตั้งค่าของคุณ รหัสผ่านจะถูกลบก่อนหน้านี้ Tse zmushuє koristuvach ป้อนรหัสผ่านที่ทางเข้าสกิน
• ระบุรหัสประจำตัว SHA1 ของใบรับรองที่แสดงถึง trusted ผู้เผยแพร่ rdp):สำหรับความช่วยเหลือของพารามิเตอร์นี้ คุณสามารถระบุรายการใบรับรอง SHA1 และด้วยเหตุนี้ ใบรับรองในรายการจึงสามารถเชื่อถือได้
• พร้อมท์สำหรับข้อมูลประจำตัวบนคอมพิวเตอร์ไคลเอนต์: นโยบายนี้รวมถึงการขอข้อมูลเงินสดใน คอมพิวเตอร์ไคลเอนต์ไม่ใช่บนเซิร์ฟเวอร์โฮสต์ของเซสชัน RD
• กำหนดค่าการตรวจสอบเซิร์ฟเวอร์สำหรับไคลเอนต์: ด้วยความช่วยเหลือของพารามิเตอร์นี้ คุณสามารถระบุได้ว่าไคลเอนต์ใดสามารถเชื่อมต่อกับเซิร์ฟเวอร์โฮสต์ของเซสชัน RD ได้ หากไม่สามารถตรวจสอบสิทธิ์ของเซิร์ฟเวอร์โฮสต์ของเซสชัน RD ได้ การตั้งค่าที่ปลอดภัยที่สุดคือตัวเลือก "อย่าเชื่อมต่อหากการตรวจสอบสิทธิ์ล้มเหลว"

คุณยังสามารถชนะนโยบายกลุ่มเพื่อบังคับใช้การรักษาความปลอดภัย FIPS ได้ แต่คุณไม่รู้จักนโยบายนี้ที่นี่กับนโยบายความปลอดภัย RDS อื่นๆ ได้รับการตั้งค่าในส่วนถัดไป: Computer Configuration \ Windows Settings \ Security Settings \ Local Policies \ Security Options ในบานหน้าต่างด้านขวา ให้ไปที่: การเข้ารหัสระบบ: ใช้อัลกอริธึมที่สอดคล้องกับ FIPS สำหรับการเข้ารหัส การแฮช และการเซ็นชื่อ เมื่อเปิดใช้งานนโยบาย อัลกอริทึมการเข้ารหัส Triple DES (3DES) จะไม่ได้รับการสนับสนุนอีกต่อไป

RD Web Access

บนคอมพิวเตอร์ที่ไม่มีไคลเอ็นต์ RDC ติดตั้งอยู่ พวกเขาอาจสามารถเข้าถึงโปรแกรมที่เผยแพร่ซึ่งสามารถเข้าถึงได้จากเว็บเบราว์เซอร์ Koristuvach ไปที่ URL สำหรับทรัพยากร RDS ที่เผยแพร่ เซิร์ฟเวอร์การเข้าถึงเว็บ RD เรียกว่าเซิร์ฟเวอร์โฮสต์ของเซสชัน RD คุณระบุเซิร์ฟเวอร์ RD Web Access ที่สามารถเชื่อมต่อกับเซิร์ฟเวอร์โฮสต์ของเซสชัน RD

เว็บอินเตอร์เฟสมีความปลอดภัยด้วย SSL และผู้ใช้มีหน้าที่ตรวจสอบสิทธิ์เพื่อช่วยข้อมูลบนคลาวด์ของเขา Koristuvach ซึ่งเป็นพร็อกซีสำหรับการตรวจสอบสิทธิ์ คุณสามารถใช้ได้เฉพาะโปรแกรม RemoteApp เหล่านั้น ซึ่งอนุญาตให้ใช้สำหรับโปรแกรมใหม่ บันทึก oblіkovogoชาร์ดและโปรแกรมที่เผยแพร่จะถูก "urized" สำหรับรายการเข้าถึงเพิ่มเติม (ACL)

เซิร์ฟเวอร์ Web Access พร้อมใบรับรอง X.509 สำหรับการเข้ารหัสที่ปลอดภัย สำหรับใบรับรอง zamovchuvannyam vikoristovuetsya การลงทะเบียนด้วยตนเองของ scho เพื่อความปลอดภัยที่มากขึ้น ให้ใช้ใบรับรองจากศูนย์รับรองสาธารณะหรือ PKI ของบริษัทของคุณ

RD Gateway

RD Gateway (RDG) ได้รับการออกแบบมาเพื่อให้เข้าถึงทรัพยากร RD ได้ง่ายผ่านทางอินเทอร์เน็ต เซิร์ฟเวอร์ไปยังเกตเวย์เกตเวย์สำหรับการกระจายแบบวงล้อม และ vin กรองคำขออินพุต RDS ไปยังเซิร์ฟเวอร์นโยบายเครือข่าย (NPS) NPS ได้รับชัยชนะ 2 นโยบาย: Connection Authorization Policy (CAP) ซึ่งระบุไว้ วิธีที่ Coristuvach สามารถเข้าถึง RDG และ Resource Authorization Policy (RAP) ซึ่งระบุไว้ ซึ่งเอกสารแนบ CAP coristuvach สามารถเชื่อมต่อผ่าน R.D.G.

วิสโนวอค

บริการเดสก์ท็อประยะไกลใน Windows Server 2008 R2 ได้ขยายฟังก์ชันการทำงานของบริการเทอร์มินัลที่สืบทอดมาอย่างมาก แต่ยังแสดงถึงแง่มุมใหม่ของการรักษาความปลอดภัย เช่น การป้องกัน Дотримуючись рекомендацій щодо забезпечення максимальної безпеки при налаштуванні компонентів RDS конфігурації Server, RD Gateway та клієнт, а також використовуючи групову політику для керування конфігурацією, ви зможете отримати безпечне середовище та скористатися перевагами RDS доставки додатків та забезпечити своїм користувачам відчуття роботи на повноцінних комп'ютерах.