Windows RDP istemcisi. Bilgisayara uzaktan bağlantıda Vikonuemo! RDP bağlantı noktası: varsayılan değeri ve ayarın ana aşamalarını değiştirin rdp'de şifreleme algoritmaları nasıl değiştirilir

Uzak Masaüstü Hizmetleri (RDS) Windows Server 2008 R2, yalnızca halefi Terminal Hizmetlerinin yeniden markalaşması değildir. RemoteApp, RD Ağ Geçidi ve RD Sanallaştırma Ana Bilgisayarı gibi bazıları Windows Server 2008'de ortaya çıkan yeni özellikler, bu işlevin açılmasını manuel olarak güvenli hale getirmenin yanı sıra corystuvac dodatkіv, bu nedenle RDS ve VDI çözümlerindeki çalışma tablolarının sayısı, ayrıca antrohi'nin işlevselliği ve sağlamlığı daha yüksek değil, Citrix çözümü veya diğer satıcıların kompleksi o kadar düşük.

Uzak Masaüstü Hizmetlerinin güvenliğini nasıl sağlarsınız? Microsoft, hizmetin güvenliğini güncelleştirdi ve iyileştirdi. Bu yazıda RDS'nin güvenlik mekanizmalarından, grup politikaları aracılığıyla terminal hizmetlerinin güvenliğinden ve RDS çözümünün güvenliğinin pratik yönlerinden bahsedeceğiz.

R2'deki yenilikler

Daha önce Terminal Hizmetlerinin Windows Server 2003 ve Windows Server 2008 sürümleriyle çalıştıysanız, Windows 2008'in (tarayıcı bağlantısı), (terminal hizmetlerine İnternet üzerinden erişim), (Yayın) gibi birkaç yeni özelliği olduğunu unutmamalısınız. RDP protokolü için okremikh dodatkіv) ve hizmet (dengeleme güvenliği).

Windows Server 2008 R2 ortaya çıktı yaklaşan işlevler:

• VDI Çözümleri için Uzak Masaüstü Sanallaştırma
• PowerShell için RDS Sağlayıcısı (Artık yönetici RDS'yi yapılandırabilir ve yapılandırabilir Komut satırı ancak komut dosyalarının yardımı için)
• Oturum ayarlarına veya çalışmakta olan programlara dayalı olarak bağlantılara IP adresleri atamanıza izin veren Uzak Masaüstü IP Sanallaştırma
• RDP protokolünün yeni sürümü ve Uzak Masaüstü Bağlantısı (RDC) istemcisi – v. 7.0
• Etkin oturum sayısına göre CPU kaynaklarının dinamik görünümü için CPU kaynak yönetimi
• Sumіst z Windows Yükleyici, programın parametrelerini kutunun yan tarafında ayarlama imkanı ile programları kurmanıza izin verir.
• İstemci tarafında destek - 16 monitöre kadar.

Buna ek olarak, robotik işlevleri video ve ses ile desteklendi ve bu tam teknoloji desteği Windows Aero(Önemli bir şekilde, Aero ek çoklu monitör modu çalışması için desteklenmez).

Açıkçası, RDS hizmetinin güvenliği eski özel çözüm. Örneğin, internet üzerinden veya bir tarayıcı yardımıyla bağlanan kısa listedeki kişiler için bir çalışma stili yayınlamak istiyorsanız, istemcinin yardımı için bağlanırsa, güvenlik gücü standart çözümle daha zengin, daha düşük olacaktır. RDC istemcisi yerel hatlar lan.

Ağ Düzeyinde Kimlik Doğrulama

Tüm bağlantılarda daha fazla güvenlik sağlamak için Ağ Düzeyinde Kimlik Doğrulama (NLA) kimlik doğrulama mekanizmasını kazanmak gerekir. NLA, oturum oluşturulmadan önce bile RD Oturum Ana Bilgisayarı sunucusunda oturum açmanızı gerektirir. Bu mekanizma, kötü niyetli kişiler veya bot programları tarafından oluşturulabilen oturum açmış oturumların dosyalarından sunucuyu çalmanıza olanak tanır. NLA'yı hızlandırmak için, istemci işletim sistemi, Windows XP SP3 () ve daha fazlasını ile RDP 6.0 istemcisini veya daha fazlasını ileten Kimlik Bilgisi Güvenliği Destek Sağlayıcısı (CredSSP) protokolünü desteklemekten sorumludur.

Yönetimsel Araçlar -> Uzak Masaüstü Hizmetleri -> Masaüstü Oturumu Ana Bilgisayarı Yapılandırma konsolunu açarak RD Oturumu sunucusunda NLA'yı yapılandırabilirsiniz.

1. Bağlantıda fareye sağ tıklayın
2. Özellikleri Seçin
3. Genel sekmesine git
4. “Yalnızca Ağ Düzeyinde Kimlik Doğrulama ile Uzak Masaüstü çalıştıran bilgisayarlardan bağlantılara izin ver” seçeneğini ayarlayın.
5. Tamam tuşuna basın.

Aktarım Katmanı Güvenliği (TLS)

Bir RDS oturumu, istemciler ve RDS Oturum Ana Bilgisayarı sunucusu arasındaki verileri korumanıza izin veren üç güvenlik mekanizmasından birine sahip olabilir:

• RDP güvenlik katmanı– daha az güvenli olan RDP şifreleme protokolünü hacklemek.
• pazarlık yap– Şifreleme TLS 1.0 (SSL) istemci tarafından farklı zamanlarda şifrelenmelidir, istemci bunu desteklemiyorsa en yüksek düzeyde RDP güvenliği gerekir.
• SSL- Şifreleme TLS 1. sunucu kimlik doğrulaması ve istemci ile sunucu arasındaki veri iletiminin şifrelenmesi için galip gelecektir. En güvenli mod.

Üst düzey güvenlik için SSL/TLS şifrelemesi kullanılması gerekmektedir. Kimler için dijital sertifikaya ihtiyacınız varsa, kendinden imzalı olabilir veya CA sertifika yetkilisi tarafından görülebilir (daha kısa).

Güvenlik düzeyine ek olarak, verilerin şifreleme düzeyini de seçebilirsiniz. Aşağıdaki şifreleme türleri mevcuttur:

• düşük- İstemciden sunucuya gönderilen verilerin 56 bit şifrelemesi. Sunucudan istemciye iletilen veriler şifrelenmez.
• İstemci Uyumlu – Danimarka görünümü kilitleme için vikoristovuєtsya şifreleme. Bu şekilde, istemci ile sunucu arasındaki tüm trafik, maksimum anahtar uzunluğu ile şifrelenir ve bu şekilde istemci desteklenir.
• yüksek- istemci ve sunucu arasında iletilen tüm veriler her iki tarafta 128 bitlik bir anahtarla şifrelenir
• FIPS Uyumlu– diğer taraftaki istemci ve sunucu arasında iletilen tüm veriler FIPS 140-1 yöntemi kullanılarak şifrelenir.

Yüksek veya FIPS Uyumlu şifrelemenin kullanıldığını belirtmek için, bu tür şifrelemeyi desteklemeyen tüm istemciler sunucuya bağlanamaz.

Sunucu kimlik doğrulama türünü ve şifreleme oranını aşağıdaki gibi ayarlayabilirsiniz:

1. RD Oturum Ana Bilgisayarı sunucusunda, Uzak Masaüstü Oturum Ana Bilgisayarı yapılandırma penceresini açın ve yetki penceresine gidin.
2. Genel sekmesindeki açılır menülerden gerekli güvenlik düzeyini ve şifreleme türünü seçin.
3. Tamam tuşuna basın.

Grup İlkeleri

Windows Server 2008 R2'de RDS ayarlarını yapılandırmak için grup ilkesi seçeneği düşüktür. Tüm kokular, Bilgisayar Yapılandırması\İlkeler\Yönetim Şablonları\Windows Bileşenleri\Uzak Masaüstü Hizmetleri'nde listelenir (Grup İlkesi Yönetim Konsolu'nun ekran görüntüsü küçük bir resim olarak gösterilir).

Burada görebileceğiniz gibi, lisanslama yönetimi ilkeleri, RDC istemcisini ve RD Oturum Ana Bilgisayarı sunucusunu ayarlama ilkeleridir. RD Oturum Ana Bilgisayarının güvenlik politikasından önce şunlar görülebilir:

• İstemci Bağlantı Şifreleme Düzeyini Ayarlayın: ilke, eşit şifreleme yönetimini kazanır. Etkinleştirmek için, tüm za'dnannya, talimatların şifrelenmesinden sorumludur (kilitleme için - Yüksek).
• Her zamanKomut istemiiçinParolaüzerinebağ: Bu politika başarılıdır, bu nedenle RD oturumuna bağlanıldığında koristuvach şifresini girmek gerekir; Kilitleme için, koristuvach'lar, RDC istemcisine bir parola vermiş gibi otomatik olarak oturumda oturum açabilir.
• GerekmekgüvenliRPCiletişim: - ilke etkinleştirildiğinde, istemciler için yalnızca kimlik doğrulama ve şifrelemeye izin verilir.
• Gerekmekkullanmakile ilgiliÖzelgüvenlikkatmaniçinUzak (RDP) Bağlantılar: politika etkinleştirildiğinde, güvenlik seviyesi için istemci ve terminal sunucusu arasındaki tüm iletişim sorumlu olacaktır, buradaki göstergeler (RDP, Negotiate veya SSL/TLS)
• YapmakDeğilizin vermekYerelYöneticilerileÖzelleştirmeizinler: İlke, yöneticilerin RD Oturum Ana Bilgisayarının güvenlik ayarlarını düzenleme becerisini içerir.
• Ağ Düzeyinde Kimlik Doğrulama ile ilgili yardım için Uzak Bağlantılar için Kullanıcı Kimlik Doğrulaması Gerektir: Politika, terminal sunucusundan gelen tüm bağlantılar için NLA'yı etkinleştirir (NLA desteği olmayan istemciler bağlanamaz).

RDC istemcisini kurmak için parametreler güncellemede bulunabilir. Uzakmasaüstübağmüşteri:

• Yapmakolumsuzlukizin vermekşifreleriletrkaydedildi: RDC istemcisinde parolaları kaydet ilkesi, "Parolayı kaydet" seçeneği kullanılamaz hale gelir, daha önce kaydedilen tüm parolalar silinir.
• belirtmekSHA1 parmak izleriile ilgilisertifikalartemsil edengüvenilir.rdpyayıncılar: Bu politika, geçerli SHA1 sertifikalarının bir listesini oluşturmanıza olanak tanır ve bir sertifika bu listeyle eşleşirse ona güvenmeniz gerekir.
• Komut istemiiçinkimlik bilgileriüzerindeenmüşteribilgisayar: Politika, RD Oturumu sunucusunda değil, istemci bilgisayarda rapor edenin verileri için talebi etkinleştiriyor.

RD Web Erişimi

RDC istemcisi kurulu olmayan ilgili bilgisayarlar, bir web tarayıcısının yardımıyla yayınlanan programlara erişebilir. Hangi koristuvach'ın suçlanacağı için tarayıcı, yayınlanan RDS kaynağının URL'sini açmalıdır. RD Web Erişimi sunucusu - RD sunucusunun rolünü kullanın, görülen sunucuda barındırılan vin'i arayın.

SSL ve corystants tabanlı RD Web Erişimi sunucusunun web arayüzü, bulut verilerine yardımcı olmak için oturum açabilir. Kimliği doğrulanmış koristuvachi bachat, pis kokunun erişebileceği sessiz yayınlanmış programların (RemoteApp) bir listesidir.

Muzaffer bir X.509 sertifikasını şifrelemek için Web Erişimi sunucusu. Kilitleme için bir sertifika verilir.

Herkese merhaba, konuyla ilgili incelemeye devam edelim. Bugün size uzak bir bilgisayara bağlanmanıza izin veren Windows'un ardından bakacağız. Hedefe RDP (Uzak Masaüstü Protokolü) istemcisi denir, böylece bir uzak masaüstü protokolü olan Rusça'ya çevrilebilir. Bu protokol, terminal bağlantılarına hizmet vermeye başlayan uzak bir bilgisayar tarafından izlenebilir. RDP istemcisi Windows XP'de görünür ve işletim sisteminin yeni sürümlerinde desteklenir. Her şeyin hayırlısı, sizden zengin biri, ne olduğunu bilmiyorsunuz, bu yardım sayesinde bile, uzaktaki bir bilgisayara kolayca bağlanıp onu besleyebilirsiniz. Makalede, yerel bir alanda bir uzak çalışma masasına nasıl bağlanılacağını anlatacağım. Bu yüzden metni tekrar okuyun.

RDP istemcisinin meydan okumasına hazırlanıyor.

Aynı yerel alanda çalışırken RDP istemcilerinin çoğu kazanır. Örneğin, evde bir bilgisayar diğerine bağlıysa, kokunun bir yönlendiriciye bağlı olması gerekir. İnternet üzerinden uzaktaki bir bilgisayara bağlanmak da mümkün, ancak kurulumun katlanabilir bir yolu da var, bence mümkün qiu konusu okremіy statti'de.

Öncelikle, Uzak Masaüstü Protokolü aracılığıyla bağlanmak için uzak bilgisayarın IP adresini bilmeniz gerekir. Kural olarak, kural olarak Merezheve bağlantısı otomatik olarak bilgisayarlarınızda, ardından işletim sistemi yeniden başlatıldığında, IP adresleri değişecektir. Bunun için öncelikle bölgenizdeki tüm müştemilatlar için statik adresler koyuyoruz. Ale koçan için bilgisayarın otomatik olarak alacağı adreslere bakmak gerekir. Kimin için. "ipconfig" komutunu yazıyoruz ve bachimo, yakі: maske birleştirme, maske pіdmerezhі o ağ geçidi otrimuє merezheva kartı otomatik ayarlamalar ile.

Saygı duyun! Kural olarak, kilidin arkasındaki tüm yönlendiricilerde, sınırın maskesi görülebilir (192.168.0 veya 192.168.1) açıktır, ekran görüntüsünde gösterildiği gibi tüm satırları yazıp değişikliği seçmek mümkündür.

Hepsi bu kadar, şimdi RDP istemcisini kolayca ayarlayabilmemiz için bilgisayarımız için statik bir IP adresi belirledik.

Gördüğünüz gibi uzak bir çalışma masasına bağlanmama izin verdi.

Sizinle bilgisayarların adreslerini çözdüysek. Uzak Masaüstü Protokolü işlevinin geliştirilmesine geçelim. Bağlanmak istediğinize bilgisayarda vykonuvati kaydırdı. Sob bıyık zapratsyuvalo, vikonuemo kroki:

RDP istemcisinin bizimle çalışabilmesi için tüm hazırlıkları sizin için yaptık. Şimdi bağlantı sürecine bakana kadar ara vermeden devam edelim.

Uzak bir RDP bilgisayarına bağlanabiliriz.

Daha önceki noktalarda, uzak çalışma masasının protokolüyle çalışmak için viconate yapmak gerektiğinden, ayarlamaları sizinle birlikte çözdük. Şimdi nasıl bağlantı kuracağımıza bakalım.

Saygı duyun! Standart Windows zasibini yeneceğiz. Açıkçası, üçüncü taraf hizmetlerinden yararlanamayacağız, ihtiyacımız olan her şey parmaklarımızın ucunda olacak.

"Uzak Masaüstüne Bağlan" komutunu çalıştırmak için "Başlat" menüsünü - "Tüm Programlar" - "Aksesuarlar - Windows"u açın. Görünen menü öğesinde RDP istemcisini başlatıyoruz ve "Bilgisayar" adlı bir alanımız var. Yenisinden önce, uzak bilgisayarın adresini girmek gerekir, tobto. statik bir IP adresi koyduğumuz adres. Bağlan düğmesine tıkladıktan sonra, program uzaktaki bilgisayara bağlanmak için "Giriş ve şifre" girmenizi isteyecektir.

Ayrıca oy verebilirsiniz dodatkovі nalashtuvannya, bunun için "Parametreleri göster" öğesini seçin. Burada uzak bir bilgisayar belirleyebilir, yerel kaynakları ve ekran parametrelerini ayarlayabilirsiniz. Ancak kilitlerden kurtulmanın ve uzaktaki bilgisayarı yönetmeye başlamanın daha iyi olduğunu düşünüyorum.

RDP istemcisi - artıları ve eksileri.

Dürüst olacağım, çoğu zaman RDP istemcisi kazanmıyorum, ancak bazen bu sadece gerekli. Kendim için aşağıdaki artıları belirledim:

• Uzak bir bilgisayara bağlanmak için herhangi bir program aramanız ve yüklemeniz gerekmez. Her şey Microsoft perakendecileri tarafından sağlanmaktadır ve işletim sistemi;
• Uzak bir masaüstünün yardımıyla bilgisayara erişimi geri alabilirsiniz. Yenisinde vikonuvat yapmanıza izin veren şey, be-yakі dії;
• Uzak bir bilgisayara erişiminiz yoksa.

Artıların bittiği yerde, bu yardımcı programın eksilerine geçelim:

• Program sadece yerel alanda düzgün çalışıyor, İnternet üzerinden bağlantı kurmak için, zengin coristuvachiv için bir sorun olan bağlantı noktasından geçmek için yönlendirici kurulumuna gitmek gerekiyor;
• Bir VPN kullanıyorsanız, uzak bir bilgisayara bağlanmak için bağlanmak üzere bir RDP istemcisine ihtiyacınız vardır. garna shvidkistİnternet, aksi takdirde slayt gösterisini görebilirsiniz;
• Programın minimum bir dizi işlevi olabilir ve ayrıca tanıtılmamış olabilir. dosya yöneticisi dosyaları kolayca aktarmak mümkün değildir;

Çantaları getirelim.

Bugün Windows için RDP istemcisine baktık. Danimarka zasіb bilgisayara uzaktan bağlantı için alternatif olarak görülebilir üçüncü taraf programları gibi, ancak RDP'nin bunları bir şekilde değiştirmesi pek olası değildir. Oscilki vbudovaniy zasib, uzaktan erişimdeki programların gücü gibi gerekli tüm işlevler kümesinde gezinemez. Shvidkіst roboti zashivati ​​​​bazhati kraschogo, ale hiçbir şey değil, bir saat içinde değil, shukati іnshі programları yüklemek ve іddistant pc'ye otrimati erişimi zorunlu olarak.

Chantly, sizden zengin biri zaten chuv i bachiv tsyu kısaltma - kelimenin tam anlamıyla değişiyor, yak Uzak masaüstü protokolü (Uzakmasaüstüprotokol). Uygulanan seviyenin protokolünün teknik detaylarını okumak isterseniz, bu Wikipedia'dan başlayarak literatürü okuyabilirsiniz. Pratik yönlere bir göz atalım. Ve bu protokolün bilgisayarlara uzaktan bağlanmanıza izin verdiği şey, pid keruvannyam Windows Windows'ta "Uzak Masaüstüne Bağlan" aracına sunulan sürümün farklı sürümleri.

RDP protokolünü kullanmanın artıları ve eksileri nelerdir?

İyi bir sebep için - bir artı. Ayrıca, hangi araca, hangisinin adlandırılması daha doğru olduğuna bağlıdır MüşteriRDP herkese açık koristuvachevі Windows bilgisayar gibi uzaktan erişim vіdkriti.

Uzak çalışma masasına bağlantı sayesinde sadece uzak çalışma masasına erişmek ve uzak bilgisayarın kaynaklarını kullanmak değil, aynı zamanda yenisine bağlanmak da mümkündür. yerel sürücüler, yazıcılar, akıllı kartlar vb. Açıkçası, RDP aracılığıyla video izlemek veya müzik dinlemek istiyorsanız - bu işlemin sizi tatmin etmesi pek olası değildir, çünkü. daha fazla vipadkіv'de bir slayt gösterisi yapacaksınız ve ses her şey için daha iyi olacak. Prote, RDP hizmeti genişletildi.

Tükenmeyen bir başka artısı da, ücretinizin çoğunda olduğu gibi, isteme ve kendi şansınızı yaratma gibi herhangi bir ek program olmadan bilgisayara bağlantının mümkün olmasıdır. RDP sunucusuna (uzak bilgisayarınız olan) bir saatlik erişim ihtiyaçlarınız ile sınırlıdır.

İki eksiden az. Biri suttviy, diğeri - daha fazlası değil. Her şeyden önce - bağlantı kurulmadan önce bir RDP bilgisayarı olan robotlar için, anne annenin (harici) IP'sinden sorumludur, ancak tüm bilgisayarda bağlantı noktasını yönlendiriciden "atmak" mümkün olabilir. hala harici IP'nin annesinin hatası. Statik şarap dinamik olacaktır - anlamı olamaz, ancak şarap buti olabilir.

Başka bir eksi - böyle bir sutt değil - diğer versiyonlar istemci 16 rengi desteklemeyi bıraktı renk uyumu. Minimum - 15bit. Saniyede 64 kilobit'i aşmayan bir hıza sahip soğuk bir İnternet üzerinden bağlanırsanız, RDP üzerindeki çalışmayı büyük ölçüde geliştirir.

Neden uzaktan RDP erişimi kazanabilirsiniz?

Kuruluşlar, aşağıdakiler için RDP sunucusu kazanma eğilimindedir: uyuma odası 1C programında. Ve deyakі navі onlara koristuvachіv çalışmalarını dağıtır. Bu sayede koristuvach, özellikle yeni bir gül robotu olarak, 3G İnternet veya otel/cafe Wi-Fi varlığı için, çalışma alanınıza uzaktan bağlanabilir ve tüm gücü elde edebilirsiniz.

Bazı durumlarda, ev koristuvach'ları, evlerine uzaktan erişimde vekalet edebilirler. ev bilgisayarı, ev kaynaklarından veri almak için. Prensip olarak, uzaktan çalışma masasının hizmeti, metin, mühendislik ve grafik programları. Bir video ve ilahi sebeplerin sesiyle - görmeye çalışmayın, ama her şey aynı - bu bir artı. Ve ayrıca herhangi bir anonimleştirici, vpn ve diğer kirli olmadan ev bilgisayarınıza bağlanan robotla ilgili şirketin politikası tarafından kapatılan kaynaklara da bakabilirsiniz.

İnternet hazırlanıyor

Bölümün önünde, RDP protokolünün arkasına uzaktan erişim olasılığını sağlamak için bir çağrı IP adresine ihtiyacımız olanlardan bahsettik. Bu hizmet bir sağlayıcı tarafından güvence altına alınabilir, ya o telefona yazabiliriz ya da şu adrese gidebiliriz: özel ofis bu organіzovuєmo tsієї adresleri verdi. İdeal olarak, şarap suçlanır, ancak statik, ancak dinamik, prensipte yaşayabilirsiniz.

Birisi terminolojiyi anlamadıysa, o zaman statik adres- nezminny ve dinamik - değişmez. Dinamik IP adresleriyle tam olarak çalışmak için, dinamik bir etki alanının bağlanmasını sağlamak için farklı hizmetler vardı. Ne ve nasıl, bu konuda bir makale yazmak zor olmayacak.

Yönlendiriciyi hazırlayın

Bilgisayarınız doğrudan sağlayıcının İnternet bağlantısına değil, bir yönlendirici aracılığıyla bağlı olduğundan - bu eklenti ile manipülasyonlar da yapabileceğiz. Ve kendim - limanı servise ilet - 3389. Başka bir şekilde, yönlendiricinizin NAT'ı içeri girmenize izin vermiyor ev ölçüsü. Kuruluşta bir RDP sunucusu kurmak gerekli olabilir. Bir bağlantı noktasını nasıl ileteceğinizi bilmiyorsanız - yönlendiricide bir bağlantı noktasının nasıl iletileceği hakkındaki makaleyi okuyun (yeni sekmede okuyun), ardından geri dönün.

Bilgisayarı hazırlayın

Bir bilgisayara uzak bağlantı imkanı yaratmak için iki kelime yapmak gerekir:

Sistem Yetkililerine bağlantıya izin ver;
- koristuvach akışı için bir şifre belirleyin (örneğin, bir şifreniz yok) veya özellikle RDP üzerinden bağlanmak için bir şifre ile yeni bir koristuvach oluşturun.

Bir coristuvach ile nasıl düzeltilir - kendiniz yazın. Ancak, sunucu olmayan işletim sistemlerinin birden çok oturum açmayı desteklemediğine dikkat edin. Tobto. Yerel olarak (konsol) oturum açtıysanız ve daha sonra aynı coristuvacy ile uzaktan oturum açacaksınız - yerel ekran engellenecek ve aynı yerdeki oturum Uzak çalışma masasına bağlı penceresinde açılacaktır. Parolayı RDP aracılığıyla değil yerel olarak girin - uzaktan erişim için oturum açacaksınız ve akış ekranını yerel monitörünüzde görüntüleyebilirsiniz. Kendinizi kontrol edersiniz, böylece konsola bir shorty altından girersiniz ve uzaktan bir başkasının altına girmeye çalışırsınız. Hangi noktada sistem oturumu bitirmenizi ister? yerel koristuvach scho değil zavzhdi kullanışlı olabilir.

Ah, hadi gidelim Başlangıç, menüye sağ tıklayın Bilgisayar bu saldırı güç.

İktidarda sistemler tahsil edilebilir Ek parametreler sistemler

Vіknі'da, scho vіdkrylos, sekmeye git Uzaktan erişim…

… iterek Dodatkovo…

Sol tarafa tek bir onay işareti koydum.

Bu "ev" Windows sürümü 7 - Kimler Pro ve daha fazlasını yapabilir, daha fazla temsilci olacak ve erişim ayrımını artırmak mümkün.

hücum TAMAM Kazımak.

Şimdi, Uzak masaüstüne bağlan (Başlat>Tüm Programlar>Aksesuarlar) seçeneğine gidebilir, oraya bilgisayarın IP adresini girebilir veya yoksa yeni ev ağınıza bağlanmak ve tüm kaynakları kullanabilirsiniz.

Eksen yani. Prensip olarak, her şey basittir. Like raptom yemek gibi olacak ya da aklınız gittiyse yorumlarınızı rica ederiz.

Windows Server 2008 R2'deki Uzak Masaüstü Hizmetleri (RDS) daha büyük olabilir, yeni adı daha düşük olabilir; Terminal hizmetinden bıkmadınız. RemoteApp, RD Ağ Geçidi ve RD Sanallaştırma Ana Bilgisayarı gibi yeni bileşenler (Windows Server 2008'de tanıtıldılar) sayesinde, Windows sunucusunun rolü artık size RDS veya VDI çözümleri - Citrix veya üçüncü taraf derleyicilerin diğer eklenti modüllerini kullanmaya gerek kalmadan zengin seçeneklerde.

Ale yak schodo bezpeki? Tüm katlama noktaları, ek güvenlik anlarında belirtilir. Bu istatistiklerde, RDS'de tanıtılan güvenlik mekanizmalarını, yapılandırma parametrelerinin nasıl değiştirileceğini görebiliriz. Grup ilkesi güvenlik düzeyinin yanı sıra RDS kurulumunun güvenliğine ilişkin önerileri iyileştirmek için.

R2'deki yenilikler

Windows Server 2008 Terminal Hizmetleri ile çalıştıktan sonra RDS ile çalışmaya başlarsanız, Windows Server 2003'ten geçiş yaparken olduğu gibi burada çok fazla önemli değişiklik yapmazsınız. tarayıcı, İnternet üzerinden bağlanan kısa listeler için TS Ağ Geçidi, dört adede kadar teslim için RemoteApp programları, trafiği dengeleme özelliğini içeren Uzak Masaüstü Protokolü (RDP) protokolü ve Session Broker aracılığıyla kısa listeye alır.

• VDI Çözümü için Uzak Masaüstü Sanallaştırma
• PowerShell için RDS Sağlayıcısı, böylece yöneticilerin komut yorumlayıcıdaki ve ek komut dosyalarındaki yapılandırmayı ve ayarları değiştirebilmesi
• Dış görünüm etkin bir oturum veya program için kişilere IP adresleri atamanıza izin veren Uzak Masaüstü IP Sanallaştırma
• RDP ve Uzak Masaüstü Bağlantısı (RDC) istemcisinin yeni sürümü, sürüm 7.0
• Fair Share CPU, etkin oturumların sayısına dayalı olarak oturumlar arasında dinamik bir işlem süresi dağılımı planlar.
• Okremy koristuvachіv kurulumunu gerektiren programların kurulumunu basitleştirmek için Windows Installer'ın özeti.
• Diyasna pіdtrimka kіlkoh monitorіv (16 parçaya kadar), zavdyaki benzeri programlar, istemci makinelerde pis koku çalışması gibi çalışır.

Ayrıca, ses/video düzenleme Windows desteği RD oturumlarında Aero (lütfen Aero'nun çalışmasını sağlayan Masaüstü Kompozisyonunun birden çok monitörlü oturumlarda desteklenmediğini unutmayın).

Yönler ve güvenlik mekanizmaları

Açıkçası, RDS'nin nasıl kurulduğuna bağlı olarak potansiyel güvenlik sorunları vardır. Yakshcho'nuz Bilsh şeker katlıyor, yaki coristuvachi'de izhternet ta/abo tarayıcısından geçeceksiniz, daha fazla veçheye sahip olacaksınız, yaki, nyzhovati, uç.

RDS, RD güvenliğini artırmaya yardımcı olacak düşük güvenlik mekanizmalarını içerir.

Sınır düzeyinde özgünlük incelemesi (Ağ Düzeyinde Kimlik Doğrulama)

Maksimum güvenlik düzeyi için sonraki adım, tüm bağlantılar için uç düzeyinde (Ağ Düzeyinde Kimlik Doğrulama - NLA) kimlik doğrulamayı etkinleştirmektir. NLA, RD Oturum Ana Bilgisayarı sunucusunda kimlik doğrulamasını kontrol eder, ilk oturum oluşturulur. Korumak için yardım uzak bilgisayarlar kötü niyetli koristuvachiv ve shkidlivy PZ şeklinde. NLA'yı kazanmak için istemci bilgisayar, Kimlik Bilgisi Güvenliği Destek Sağlayıcısı (CredSSP) protokollerini desteklediğinden işletim sistemini suçlamalıdır, bu nedenle Windows XP SP3 daha iyidir ve RDC 6.0 istemcisinin anası da öyledir.

NLA, bir sonraki şubede RD Oturum Ana Bilgisayarı sunucusunda yapılandırılır: Yönetimsel Araçlar | Uzak Masaüstü Hizmetleri | Uzak Masaüstü Oturum Ana Bilgisayarı Yapılandırması. NLA ile bağlantı kurmak için şu adımları izleyin:

1. Bağlan'a sağ tıklayın (Bağlantı)
2. Güç seçin
3. Yer işaretine git Zagalni (Genel)
4. Bayrağı, küçük resim 1'de gösterildiği gibi "Yalnızca çalışan bilgisayarlardan bağlantılara izin ver)" seçeneğine ayarlayın.
5. Tamam tuşuna basın.

1

Aktarım Katmanı Güvenliği (TLS) protokolü

Bir RDS oturumu, istemciler ile RDS Oturum Ana Bilgisayarı sunucusu arasında bağlantı kurmak için üç eşit güvenlikten birini kazanabilir:

• RDP Güvenlik Şeridi "Bu muzaffer RDP şifrelemesi en az güvenlidir. RD Oturum Ana Bilgisayarı sunucusu, doğruluğu kontrol etmez.
• Negotiate TLS 1.0 (SSL) şifrelemesi, istemci desteklediği için şifrelenecektir. Hayır, oturum RDP güvenliğine geri dönüyor.
• Sunucunun gerçekliğini ve istemci ile Oturum Ana Bilgisayarı sunucusu arasında iletilen verilerin şifrelenmesini doğrulamak için SSL "TLS 1.0 şifrelemesi kullanılacaktır. Bu en güvenli seçenektir.

Güvenlik düzeyini seçmek için Kırım, ayrıca bağlantının şifreleme düzeyini de seçebilirsiniz. İşte seçenekler:

• İstemciden sunucuya gönderilen veriler için Düşük (Düşük)" 56 bit şifreleme. Sunucudan istemciye gönderilen verileri şifrelemeyin.
• Bir müşteriyle özetleme (Müşteri Uyumlu) - bu, kilitleme için bir seçenektir. İstemci ile sunucu arasında iletilen verileri, istemcinin desteklediği en iyi anahtarla şifreler.
• 128 bit şifreleme yardımı için istemci ve sunucu arasında verileri her iki yönde şifrelemek için Yüksek (Yüksek) seçeneği.
• FIPS toplamı (FIPS Uyumlu) "Bu seçenek, FIPS 140-1 doğrulanmış şifreleme algoritmasını kullanarak istemci ve sunucu arasında her iki yönde iletilen verileri şifreler.

İstemciler olsun, "Yüksek" veya "FIPS akıllı" seçeneğini seçerseniz, bu tür eşit şifrelemeyi desteklemiyorlarsa bağlanamayacaklarını lütfen unutmayın.

Eksen, sunucunun kimlik doğrulama ve şifreleme parametrelerinin nasıl ayarlanacağı:

1. RD Oturum Ana Bilgisayarı sunucusunda, Uzak Masaüstü Oturum Ana Bilgisayarı Yapılandırması yapılandırmasını açın ve ardından yukarıda belirtildiği gibi gücü bağlayın.
2. Zagalni yer iminde, küçük 2'de gösterildiği gibi ortaya çıkan listeden en önemli güvenlik ve şifrelemeyi seçin.
3. Tamam tuşuna basın.

malyunok 2

Ayrıca hızlandırabilirsiniz Grup ilkesişifreleme ve kimlik doğrulama parametrelerinin yanı sıra diğer RDS ayarlarıyla şifreleme için.

Grup ilkesi

Windows Server 2008 R2'de RDS için bir dizi grup ilkesi ayarı kullanın. rozdelі Bilgisayar Yapılandırması (Bilgisayar Yapılandırması) \ İlkeler (İlkeler) \ Yönetim Şablonları (Yönetim Şablonları) içinde rozdashovanі kokusu Windows Bileşenleri(Windows Bileşenleri)\ Uzak Masaüstü Hizmetleri, Şekil 3'te gösterildiği gibi etki alanınız için Grup İlkesi Yönetim Konsolu'nda.

Gördüğünüz gibi, burada RDC istemcilerini ve RD Oturum Ana Bilgisayarı sunucusunu lisanslama ilkeleri yer almaktadır. RD Oturum Ana Bilgisayarı sunucusu için güvenlik ilkeleri şunları içerir:

• Sunucu Kimlik Doğrulama Sertifikası Şablonu: RD Oturum Ana Bilgisayarı sunucusunun orijinalliğini doğrulamak için hangi sertifikanın otomatik olarak seçileceğini, hangisini belirlediğinizi sertifika şablonunun adını belirtmek için bu ilkeyi seçin. Bu ilkeyi girerseniz, RD Oturum Ana Bilgisayarı sunucusu kimlik doğrulaması için bir sertifika seçerken, belirtilen şablonun ötesinde oluşturulan tüm sertifikalar korunacaktır.
• İstemci Bağlantı Şifreleme Düzeyini Ayarlayın: Bu politika, aynı düzeyde şifrelemeye ihtiyaç duyanları kontrol etmek için muzafferdir. Bu politikayı açarsanız, bu şifreleme düzeyini kazanmak tamamen sizin hatanız olur. Zamovchuvannyam için şifreleme yüksek düzeydedir.
• Bağlantıda Her Zaman Şifre İste: RDS parolasını ayarlamak için politikayı değiştirebilir, RD oturumuna girerken parolanın parolasını girebilir ve ayrıca RDC istemcisindeki girişlerin parolasını yazabilirsiniz. Kilitlemeden sonra, şifre RDC istemcisine girildiği sürece muhabirler otomatik olarak giriş yapabilir.
• Wimagati RPC koruması (Güvenli RPC İletişimi Gerektir): Etkin politika, yalnızca doğrulama denetimini geçen istemcilerden gelen şifreli isteklere izin verileceği anlamına gelir. Güvenilmeyen müşterilerle görüşmeye izin verilmeyecektir.
• RDP bağlantıları için ilk güvenlik düzeyini değiştirmek önemlidir (Uzak (RDP) Bağlantılar için Özel Güvenlik Katmanının Kullanılmasını Gerektirir): Bu ilkeyi etkinleştirirseniz, istemciler ve Oturum Ana Bilgisayarı sunucuları arasındaki tüm bağlantılar, hangisini belirtirseniz seçin, güvenlik düzeyini değiştirmelidir. burada (RDP, Pazarlık veya SSL/TLS)
• Yerel Yöneticilerin İzinleri Özelleştirmesine İzin Vermeyin: Bu politika, yerel yöneticilerin yapılandırma aracındaki İzinler sekmesinde ana bilgisayar grubunu değiştirmesine izin vermeyen, RD Oturumu Ana Bilgisayar Yapılandırması kurulum araçlarında yöneticilerin güvenlik izinlerini değiştirme haklarını içerir.
• Lütfen, orijinalliği eşit temelde kontrol ederek uzak bağlantılar için coristuvach'ın orijinalliğini kontrol edin: ek politika için, RD Oturum Ana Bilgisayarı sunucusuna yapılan tüm uzak bağlantılar için NLA'yı değiştirebilirsiniz. Yalnızca NLA desteğine sahip müşteriler katılabilir.

Not: eksen, nasıl tanınır, sınırda istemci bilgisayar kimlik doğrulamasını destekler: RDC istemcisini açın ve sol üst köşedeki simgeye basın, ardından " Program hakkında (hakkında) NLA destekleniyorsa, "Ağ Düzeyi Kimlik Doğrulaması Desteklenir" satırını kontrol etmelisiniz.

Grup ilkesinin, tahmin edilecek bir sonraki şeyle ilgili diğer parametreleri, RD Bağlantı İstemcisi istemci alanlarının dağılımında ayarlanır. Kokular şunları içerir:

• Şifrelerin kaydedilmesine izin verme: RDC istemci iletişim kutusunda parolaları kaydetme seçeneğini etkinleştirme. RDP dosyasını açıp ayarlarınızı kaydettiğiniz anda, şifreler daha önce silinecektir. Tse zmushuє koristuvach cilt girişinde şifreyi girin.
• Güvenileni temsil eden sertifikaların SHA1 parmak izlerini belirtin. rdp yayıncıları): Bu parametre yardımı için geçerli SHA1 sertifikalarının bir listesini belirtebilirsiniz ve sertifika listedeki geçerli bitlerle eşleşirse size güvenilir.
• İstemci bilgisayarda kimlik bilgilerini sor: Bu politika, aşağıdakilerle ilgili nakit veri talebini içerir: istemci bilgisayarlar RD Oturum Ana Bilgisayarı sunucusunda değil.
• İstemci için sunucu kimlik doğrulamasını yapılandırın: bu parametre yardımıyla, RD Oturum Ana Bilgisayarı sunucusunun yetkisini kontrol edemiyorsa, hangi istemcinin RD Oturum Ana Bilgisayarı sunucusuna bağlanabileceğini belirleyebilirsiniz. En güvenli ayar, "Kimlik doğrulama başarısız olursa bağlanma" seçeneği olacaktır.

FIPS güvenliğini zorlamak için bir grup ilkesi de kazanabilirsiniz, ancak bu ilkeyi burada diğer RDS güvenlik ilkeleriyle bilemezsiniz. Bir sonraki bölümde roztashovana kazandı: Bilgisayar Yapılandırması \ Windows Ayarları \ Güvenlik Ayarları \ Yerel İlkeler \ Güvenlik Seçenekleri. Sağ bölmede şuraya gidin: Sistem Şifreleme: şifreleme, karma oluşturma ve imzalama için FIPS uyumlu algoritmaları kullanın. Politika etkinleştirildiğinde, RDS çağrıları için Üçlü DES (3DES) şifreleme algoritmasını artık desteklemeyecektir.

RD Web Erişimi

Yüklü bir RDC istemcisi olmayan bilgisayarlarda, bir web tarayıcısından erişilebilen yayınlanmış programlara erişebilirler. Koristuvach, yayınlanan herhangi bir RDS kaynağı için URL'ye gidin. RD Web Erişim Sunucusu, RD Oturum Ana Bilgisayarı sunucusu olarak adlandırılır. Hangi RD Web Erişimi sunucularının hangi RD Oturum Ana Bilgisayarı sunucularına bağlanabileceğini siz belirlersiniz.

Web arayüzü SSL ile güvence altına alınmıştır ve kullanıcı, bulut verilerine yardımcı olmak için kimlik doğrulamasından sorumludur. Koristuvach, bir tür doğruluğun doğrulanması, yalnızca yenisine izin verilen RemoteApp programlarını kullanabilirsiniz. oblіkovogo kaydı, parçalar ve yayınlanan programlar ek bir erişim listesi (ACL) için "urized" edilir.

Güvenli şifreleme için X.509 sertifikasına sahip Web Erişimi sunucusu. Zamovchuvannyam vikoristovuetsya sertifikası için, scho kendi kendine kayıt. Daha fazla güvenlik için, halka açık bir sertifika merkezinden veya şirketinizin PKI'sinden bir sertifika alın.

RD Ağ Geçidi

RD Ağ Geçidi (RDG), İnternet üzerinden RD kaynaklarına kolay erişim sağlamak için tasarlanmıştır. Kordon dağıtımı için Ağ Geçidi ağ geçidine sunucu ve Ağ İlkesi Sunucusuna (NPS) vin filtreleme RDS giriş istekleri. NPS iki ilke kazanır: Bağlantı Yetkilendirme Politikası (CAP), bu durumda RDG ve Kaynak Yetkilendirme Politikası'na (RAP) erişip erişemeyeceğinizi, Koristuvach'ın RDG aracılığıyla hangi CAP cihazlarına bağlanabileceğini belirleyebilirsiniz.

Visnovok

Служби віддаленого робочого столу в Windows Server 2008 R2 значно розширюють функціонал свого попередника, служби терміналів " але вони також представляють деякі нові аспекти безпеки, які слід враховувати. Дотримуючись рекомендацій щодо забезпечення максимальної безпеки при налаштуванні компонентів конфігурації RDS " RD Session Host, RD Web Access Sunucu, RD Ağ Geçidi ve istemcinin yanı sıra yapılandırmayı yapılandırmak için grup ilkesi, ortayı güvenle halledebilir ve eklentilerin RDS dağıtımını hızlandırabilir ve kendi temel bilgisayarlarınızı güvence altına alabilirsiniz.