Hoe u een externe verbinding met de server instelt. Maak verbinding met een extern bureaublad met behulp van de ingebouwde Windows RDP-client

Alle edities van Windows OS vanaf XP hebben een standaard RDP-client die wordt gebruikt om verbinding te maken met de Remote Desktop Service. In dit artikel wil ik de mogelijkheden van dit programma in detail beschrijven.

Een RDP-client wordt gebruikt om verbinding te maken met een terminalserver via het Remote Desktop Protocol, of via een extern bureaublad. Op deze website kunt u ook lezen over het installeren van een server met behulp van een terminal.

U kunt het programma "" starten vanuit het menu " Begin» — « Alle programma's» — « Standaard» — « Bureaubladverbinding op afstand", of door de opdracht uit te voeren mstsc.exe(hiervoor moet u op de toetsencombinatie drukken WIN+R en voer de naam van de opdracht in het venster dat verschijnt " Uitvoeren"). Dienovereenkomstig, het uitvoerbare bestand zelf mstsc.exe bevindt zich in de map C:\Windows\Systeem32. Voor het gemak kunt u een snelkoppeling op de werknemer plaatsen met de opgegeven instellingen.

In het venster dat verschijnt, moet u het IP-adres of de naam invoeren van de server waarmee u verbinding wilt maken.

Wanneer u verbinding maakt, wordt u gevraagd uw inloggegevens in te voeren. Eenmaal ingevoerd, wordt u naar uw serverbureaublad geleid.

Om parameters te wijzigen, moet u op de link klikken " Toon opties" in het hoofdprogrammavenster.

In het menu dat verschijnt, kunt u de parameters configureren die u moet gebruiken bij het verbinden.

Op het tweede tabblad " Scherm» past de grootte van het aangesloten externe bureaublad en de kleurdiepte voor de externe sessie aan. Je kunt het aansluitpaneel dat geheel van bovenaf uitsteekt ook verwijderen, maar dit raad ik je af, aangezien je dan de aansluiting afsluit via Alt+F4 Het werkt niet als de instellingen het gebruik van de sneltoets “ op een externe computer", en u kunt de verbinding alleen via "Taakbeheer" verbreken.

Op de " Lokale hulpbronnen» audiotransmissie is geconfigureerd - opnemen en afspelen. Om te configureren, moet u op de knop " Opties».

Ook hier geconfigureerd is “ Sneltoetsen gebruiken", waar ik hierboven over schreef.

Op dit tabblad kunt u configureren of u “Printers” en “Klembord”, die zullen worden gebruikt tijdens een sessie op afstand, wilt in- of uitschakelen door de vlag van de benodigde parameters uit te schakelen of, omgekeerd, in te stellen.

En als je op de knop klikt Meer details“, dan kunt u “Smartcards” aansluiten, als u natuurlijk een Smartcard met inloggegevens heeft, kunt u ook elke schijf of dvd en cd-rom aansluiten van de lokale computer waarvandaan de verbinding wordt gemaakt.

Op de " Programma's"Je kunt het starten van een programma configureren dat automatisch wordt gestart wanneer de gebruiker zich aanmeldt op het externe bureaublad. Hier wordt ook de werkmap van de gebruiker geconfigureerd.

Op het volgende tabblad " Interactie", kunt u de verbindingssnelheid met de terminalserver opgeven en de parameters opgeven die wel of niet nodig zijn om de prestaties te verbeteren. Hoewel deze instellingen in onze tijd van supersnel internet niet langer relevant zijn, kun je de automatische detectie gerust verlaten.

Op de " Aanvullend» configureert serverauthenticatie.

U kunt ook een verbinding configureren via de Remote Desktop Gateway door op de knop " Opties».

Om alle instellingen op te slaan, moet je naar het tabblad " Komen vaak voor"en sla de instellingen op als een snelkoppeling om verbinding te maken via RDP op elke plaats die voor u geschikt is en onder elke naam.

Via de op deze manier verkregen snelkoppeling maakt u verbinding met het externe bureaublad met de eerder gemaakte en opgeslagen instellingen.

Heeft dit artikel je geholpen?

Extern bureaublad is een waarmee u een externe computer in realtime kunt beheren, waarbij u een lokaal netwerk of internet als medium voor gegevensoverdracht gebruikt. Er is een grote verscheidenheid aan implementaties op afstand, afhankelijk van het protocol of besturingssysteem. De meest voorkomende oplossing in het Windows-besturingssysteem is Remote Desktop Protocol (RDP) en in systemen gebaseerd op de Linux-kernel - VNC en X11.

Hoe u de functionaliteit voor extern bureaublad kunt inschakelen

Standaard is de mogelijkheid om een ​​RDP-sessieserver te worden uitgeschakeld op een Windows-werkstation.

Klik met de rechtermuisknop op het pictogram "Deze computer" en selecteer "Eigenschappen" in het contextmenu.

Selecteer in het linkermenu het item “Toegang op afstand instellen”. Hiervoor zijn beheerdersrechten vereist.

Het venster "Systeemeigenschappen" wordt geopend, waarin u op het tabblad "Toegang op afstand" de toegangsrechten tot deze computer moet instellen zoals gedaan in de onderstaande schermafbeelding.

Indien nodig kunt u gebruikers selecteren waaronder u kunt inloggen op het systeem.

Als u bovendien een netwerkfilter (Firewall) hebt geïnstalleerd, moet u een toestemmingsregel maken om verbinding te maken met deze computer in de eigenschappen van de netwerkadapter of in de Windows Firewall-applet in het Configuratiescherm.

Hoe verbinding te maken met een extern bureaublad

Er zijn verschillende manieren om verbinding te maken met een extern bureaublad. Ga naar het hoofdmenu van het systeem “Start – Alle programma’s – Accessoires – Remote Desktop Connection”

Of voer de opdracht uit via de Windows-opdrachtprompt (of window Uitvoeren»)

Beide methoden zijn gelijkwaardig en starten hetzelfde programma: de Remote Desktop Connection Wizard.

In het wizardvenster kunt u de naam of het IP-adres opgeven van de computer waarmee u verbinding wilt maken, en speciale parameters opgeven, zoals schermresolutie, overdracht van lokale (klembord, lokale schijven) of externe (geluiden) bronnen .

Voer het IP-adres van het externe knooppunt in en druk op de knop “ Inpluggen».

Hoogstwaarschijnlijk zullen we een waarschuwing zien over problemen bij het authenticeren van de externe computer. Als we er zeker van zijn dat we geen fout hebben gemaakt bij het spellen van het adres of de naam, kunnen we op “Ja” klikken, waarna de verbinding met het knooppunt wordt geïnitialiseerd.

U moet ook de inloggegevens van de externe gebruiker invoeren.

Als we nergens een fout hebben gemaakt, zien we na enige tijd het bureaublad van de externe computer, waar we bepaalde acties kunnen uitvoeren. Bedien de muisaanwijzer, voer tekens in via het toetsenbord, enzovoort.

Zoals eerder vermeld, kunnen we voor het gemak van het systeembeheer lokale bronnen, zoals printers, logische schijven of het klembord, overbrengen naar een externe machine.

Om dit te doen, gaat u in het venster Wizard Extern bureaublad-verbinding naar het tabblad “Lokale bronnen” en klikt u op de knop “Meer details...”.

En selecteer in het geopende venster bijvoorbeeld Lokale schijf (C:).

Wanneer we nu verbinding maken met een extern bureaublad, zien we onze lokale schijf (C:) van de computer waarvandaan de verbinding is gemaakt.

Hoe u de beveiliging van extern bureaublad kunt vergroten

Het is geen geheim dat het onveilig is om een ​​computer achter te laten waarop Remote Desktop is geactiveerd en verbonden is met internet. Feit is dat verschillende soorten aanvallers voortdurend netwerkadresbereiken scannen op zoek naar actieve netwerkdiensten (inclusief extern bureaublad) met als doel deze verder te hacken.

Een van de manieren waarop het voor een aanvaller moeilijker kan worden om een ​​actieve Terminal Services (RDP)-service te vinden, is door het standaardpoortnummer in een andere waarde te wijzigen. Standaard luistert de RDP-service op netwerkpoort 3389/TCP, wachtend op een inkomende verbinding. Het is deze poort waarmee aanvallers als eerste verbinding proberen te maken. We kunnen met bijna 100% zekerheid zeggen dat als een poort met dit nummer open is op een computer, er een Windows-systeem op draait met toegestane externe toegang.

Aandacht! Verdere acties met het systeemregister moeten zeer zorgvuldig worden uitgevoerd. Als u bepaalde instellingen wijzigt, kan het besturingssysteem mogelijk onbruikbaar worden.

Om het poortnummer van het externe bureaublad te wijzigen, moet u de register-editor openen en de sectie openen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Vind dan REG_DWORD de parameter PortNumber en wijzig de waarde ervan in het decimale systeem in een willekeurig getal (van 1024 tot 65535).

Nadat de waarde is gewijzigd, moet de computer opnieuw worden opgestart. Om toegang te krijgen tot het externe bureaublad, moet u nu bovendien onze poort opgeven via een dubbele punt. In deze situatie moet u de computernaam opgeven 10.0.0.119:33321

Welnu, aanvallers zullen, nadat ze de standaardpoort hebben geprobeerd, waarschijnlijk concluderen dat externe toegang via het RDP-protocol op deze computer niet is toegestaan. Natuurlijk zal deze methode je niet behoeden voor gerichte aanvallen, wanneer elke netwerkpoort zorgvuldig wordt gecontroleerd op zoek naar een maas in de wet, maar het zal je wel beschermen tegen massale sjabloonaanvallen.

Bovendien moet u een vrij complex en lang wachtwoord gebruiken voor de accounts die toegang krijgen via een extern bureaublad.

Met Remote Desktop Protocol of kortweg RDP kan de gebruiker toegang krijgen tot een externe computer zonder er direct contact mee te hebben. Dit betekent dat iedereen alle bestanden op het bureaublad kan zien, uitvoeren en ermee kan werken alsof ze achter de computer zitten. Het enige voorbehoud is dat werken via dit protocol altijd beperkt zal zijn door de internetsnelheid. Voordat u met deze technologie gaat werken, moet u deze eerst activeren op het apparaat waarmee u toegang krijgt tot de externe laptop.

Toegang tot extern bureaublad instellen

Hoe RDP voor Windows 7 configureren? Niets is eenvoudiger! Ga naar het menu “Start” – “Configuratiescherm”. Selecteer vervolgens “Systeem en beveiliging” - “Systeem”. Hierna ziet u het item "Externe toegang instellen", klik erop. Er verschijnt dan een venster waarin u het vakje naast 'Verbindingen toestaan ​​vanaf computers met elke versie van Remote Desktop' moet aanvinken. Voor het gemak van uw werk op de computer, vergeet niet om het eerst correct te doen.

Een client instellen voor het RDP-protocol

Laten we eerst begrijpen wat een klant is. Een client is een systeemcomponent die verzoeken naar de server verzendt. Ik merk op dat clients voor RPD in bijna elk besturingssysteem bestaan, uiteraard ook in Windows 7. Dit besturingssysteem gebruikt overigens de ingebouwde applicatie MsTsc.exe.

Om de client in te stellen, volgen we dus deze eenvoudige stappen. We gaan naar "Start" - "Uitvoeren", er verschijnt een venster waarin we mstsc invoeren en op "Volgende" klikken. Om reguliere toegang in te stellen zonder gespecificeerde instellingen, voert u in het daarvoor bestemde veld het IP-adres in van de computer waartoe u toegang nodig heeft. Vervolgens zie je instellingen waar je verschillende parameters, zoals geluid, kunt wijzigen. Druk op “Enter”, en dat is alles, de installatie is voltooid!

Extra opties

Deze omvatten de mogelijkheid om het scherm aan te passen, externe geluiden, de verbinding te configureren, enz. Schermmogelijkheden worden bijvoorbeeld bewerkt op het tabblad “Beeldscherminstellingen”. Daar kunt u ook de resolutie van het externe bureaublad, de achtergrond en de kleurdiepte selecteren. Hieronder wordt beschreven hoe u de schermhelderheid rechtstreeks op de computer waarop u werkt kunt aanpassen

Dit artikel begint een reeks artikelen gewijd aan het ontwerp en de beveiliging van het RDP-protocol. Het eerste artikel in deze serie analyseert het ontwerp, het gebruik en de belangrijkste technologieën die in dit protocol zijn ingebed.

Dit artikel begint een reeks artikelen gewijd aan het ontwerp en de beveiliging van het RDP-protocol. Het eerste artikel in deze serie analyseert het ontwerp, het gebruik en de belangrijkste technologieën die in dit protocol zijn ingebed.

In de volgende artikelen worden de volgende kwesties gedetailleerd besproken:

  • Werking van het Remote Desktop-beveiligingssubsysteem
  • Uitwisselingsformaat voor service-informatie in RDP
  • Kwetsbaarheden in Terminal Server en manieren om deze te elimineren
  • Selectie van gebruikersaccounts met behulp van het RDP-protocol (ontwikkeld door Positive Technologies op dit gebied)

De geschiedenis van RDP

Het Remote Desktop-protocol is door Microsoft gemaakt om externe toegang tot Windows-servers en -werkstations te bieden. Het RDP-protocol is ontworpen om de bronnen van een krachtige terminalserver te delen met veel minder krachtige werkstations. De eerste terminalserver (versie 4.0) verscheen in 1998 als onderdeel van Windows NT 4.0 Terminal Server; op het moment van schrijven (januari 2009) is de nieuwste versie van de terminalserver versie 6.1, opgenomen in de Windows 2008 Server en Windows Vista SP1-distributies. Momenteel is RDP het belangrijkste protocol voor externe toegang voor Windows-familiesystemen, en er bestaan ​​clienttoepassingen voor zowel Microsoft OS als Linux, FreeBSD, MAC OS X, enz.

Als we het hebben over de geschiedenis van RDP, kunnen we niet anders dan Citrix noemen. Citrix Systems specialiseerde zich in de jaren negentig in systemen voor meerdere gebruikers en technologieën voor externe toegang. Na het verwerven van de broncodelicentie voor Windows NT 3.51 in 1995, bracht het bedrijf een multi-user versie van Windows NT uit, bekend als WinFrame. In 1997 sloten Citrix Systems en Microsoft een overeenkomst waarbij de Windows NT 4.0-omgeving voor meerdere gebruikers gebaseerd was op de technologische ontwikkelingen van Citrix. Citrix Systems weigerde op zijn beurt een volwaardig besturingssysteem te distribueren en kreeg het recht om extensies voor Microsoft-producten te ontwikkelen en te implementeren. Deze extensies heetten oorspronkelijk MetaFrame. De rechten op ICA (Independent Computing Architecture), het applicatieprotocol voor interactie tussen thin clients en de Citrix-applicatieserver, bleven bij Citrix Systems en het Microsoft RDP-protocol was gebaseerd op ITU T.120.

Momenteel ligt de belangrijkste concurrentie tussen Citrix en Microsoft op het gebied van applicatieservers voor kleine en middelgrote bedrijven. Traditioneel winnen oplossingen op basis van Terminal Services bij systemen met een niet heel groot aantal servers van hetzelfde type en vergelijkbare configuraties, terwijl Citrix Systems stevig verankerd is in de markt van complexe en krachtige systemen. De concurrentie wordt aangewakkerd door de introductie van lichtgewicht oplossingen voor kleine systemen door Citrix en de voortdurende uitbreiding van de Terminal Services-functionaliteit door Microsoft.

Laten we eens kijken naar de voordelen van deze oplossingen.

Sterke punten van terminaldiensten:

  • Eenvoudige installatie van applicaties voor de clientzijde van de applicatieserver
  • Gecentraliseerd onderhoud van gebruikerssessies
  • Vereist alleen een licentie voor Terminal Services

Sterke punten van Citrix-oplossingen:

  • Gemakkelijk te schalen
  • Gemak van beheer en monitoring
  • Toegangscontrolebeleid
  • Ondersteuning voor bedrijfsproducten van derden (IBM WebSphere, BEA WebLogic)

Netwerkontwerp met behulp van Terminal Services

Microsoft stelt twee manieren voor om het RDP-protocol te gebruiken:

  • voor beheer (modus voor beheer op afstand)
  • om toegang te krijgen tot de applicatieserver (Terminal Server-modus)

RDP in beheermodus

Dit type verbinding wordt gebruikt door alle moderne Microsoft-besturingssystemen. Serverversies van Windows ondersteunen tegelijkertijd twee externe verbindingen en één lokale login, terwijl clientversies slechts één login ondersteunen (lokaal of extern). Om externe verbindingen toe te staan, moet u externe bureaubladtoegang inschakelen in de werkstationeigenschappen.

RDP in terminalservertoegangsmodus

Deze modus is alleen beschikbaar in serverversies van Windows. Het aantal externe verbindingen is in dit geval niet beperkt, maar configuratie van de licentieserver en de daaropvolgende activering ervan zijn vereist. De licentieserver kan op een terminalserver of op een afzonderlijk netwerkknooppunt worden geïnstalleerd. De mogelijkheid om op afstand toegang te krijgen tot de terminalserver is alleen beschikbaar nadat de juiste licenties op de licentieserver zijn geïnstalleerd.

Bij gebruik van een terminalservercluster en taakverdeling is de installatie van een gespecialiseerde verbindingsserver (Session Directory Service) vereist. Deze server indexeert gebruikerssessies, waardoor u zich kunt aanmelden en opnieuw kunt aanmelden bij terminalservers die in een gedistribueerde omgeving werken.

Hoe RDP werkt

Remote Desktop is een applicatieprotocol gebaseerd op TCP. Nadat een verbinding tot stand is gebracht, wordt een RDP-sessie geïnitialiseerd op de transportlaag, waarbinnen verschillende parameters voor gegevensoverdracht worden onderhandeld. Nadat de initialisatiefase met succes is voltooid, begint de terminalserver grafische uitvoer naar de client te verzenden en wacht hij op toetsenbord- en muisinvoer. De grafische uitvoer kan een exacte kopie zijn van het grafische scherm, waarbij zowel een afbeelding als opdrachten voor het tekenen van grafische primitieven (rechthoek, lijn, ellips, tekst, enz.) worden verzonden. Het verzenden van uitvoer met behulp van primitieven is een prioriteit voor het RDP-protocol, omdat het aanzienlijk verkeer bespaart; en het beeld wordt alleen verzonden als het om de een of andere reden anders onmogelijk is (het was niet mogelijk om overeenstemming te bereiken over de parameters voor het verzenden van primitieven bij het opzetten van een RDP-sessie). De RDP-client verwerkt ontvangen opdrachten en geeft afbeeldingen weer met behulp van het grafische subsysteem. Standaard wordt gebruikersinvoer verzonden met behulp van toetsenbordscancodes. Het signaal voor het indrukken en loslaten van een toets wordt afzonderlijk verzonden met behulp van een speciale vlag.

RDP ondersteunt meerdere virtuele kanalen binnen één enkele verbinding, die kunnen worden gebruikt om extra functionaliteit te bieden:

  • via een printer of seriële poort
  • omleiding van het bestandssysteem
  • Ondersteuning voor klembord
  • met behulp van het audiosubsysteem

Over de kenmerken van de virtuele kanalen wordt onderhandeld tijdens de fase van het opzetten van de verbinding.

Zorgen voor veiligheid bij het gebruik van RDP

De RDP-protocolspecificatie vraagt ​​om een ​​van de volgende twee beveiligingsbenaderingen:

  • Standaard RDP-beveiliging (ingebouwd beveiligingssubsysteem)
  • Verbeterde RDP-beveiliging (extern beveiligingssubsysteem)

Standaard RDP-beveiliging

Met deze aanpak worden authenticatie, encryptie en integriteitsborging geïmplementeerd met behulp van de middelen die in het RDP-protocol zijn ingebouwd.

Authenticatie

Serverauthenticatie wordt als volgt uitgevoerd:

  1. Wanneer het systeem opstart, wordt er een paar RSA-sleutels gegenereerd
  2. Er wordt een eigen certificaat met openbare sleutel gemaakt
  3. Het certificaat is ondertekend met een RSA-sleutel die hardgecodeerd is in het besturingssysteem (elke RDP-client bevat de openbare sleutel van deze ingebouwde RSA-sleutel).
  4. De client maakt verbinding met de terminalserver en ontvangt een eigen certificaat
  5. De client verifieert het certificaat en ontvangt de openbare sleutel van de server (deze sleutel wordt later gebruikt om over encryptieparameters te onderhandelen)

Clientauthenticatie wordt uitgevoerd door het invoeren van een gebruikersnaam en wachtwoord.

Encryptie

Als versleutelingsalgoritme werd het RC4-stroomcijfer gekozen. Afhankelijk van de versie van het besturingssysteem zijn er verschillende sleutellengtes beschikbaar van 40 tot 168 bits.

Maximale sleutellengte voor Winodws-besturingssystemen:

  • Windows 2000 Server - 56-bits
  • Windows XP, Windows 2003 Server – 128-bits
  • Windows Vista, Windows 2008 Server – 168-bits

Wanneer een verbinding tot stand wordt gebracht, worden er, na overeenstemming over de lengte, twee verschillende sleutels gegenereerd: om gegevens van de client en van de server te versleutelen.

Integriteit

Berichtintegriteit wordt bereikt door gebruik te maken van een MAC-generatiealgoritme (Message Authentication Code), gebaseerd op de MD5- en SHA1-algoritmen.

Vanaf Windows 2003 Server kan FIPS (Federal Information Processing Standard) 140-1-compatibiliteit worden bereikt door 3DES te gebruiken voor berichtversleuteling en een MAC-generatie-algoritme dat alleen SHA1 bevat om de integriteit te garanderen.

Verbeterde RDP-beveiliging

Deze aanpak maakt gebruik van externe beveiligingsmodules:

  • TLS 1.0
  • CredSSP

TLS kan worden gebruikt vanaf Windows 2003 Server, maar alleen als de RDP-client dit ondersteunt. TLS-ondersteuning is toegevoegd sinds RDP-clientversie 6.0.

Bij gebruik van TLS kan het servercertificaat worden gegenereerd met Terminal Servives of u kunt een bestaand certificaat uit de Windows store selecteren.

Het CredSSP-protocol is een combinatie van de functionaliteit van TLS, Kerberos en NTLM.

Laten we eens kijken naar de belangrijkste voordelen van het CredSSP-protocol:

  • Controle van de toestemming om in te loggen op een extern systeem voordat een volledige RDP-verbinding tot stand wordt gebracht, waardoor u terminalserverbronnen kunt besparen als er een groot aantal verbindingen is
  • Sterke authenticatie en encryptie via TLS-protocol
  • Single Sign-On gebruiken met Kerberos of NTLM

CredSSP-functies kunnen alleen worden gebruikt op de besturingssystemen Windows Vista en Windows 2008 Server. Dit protocol wordt ingeschakeld door de vlag Gebruik netwerkniveauverificatie in de terminalserverinstellingen (Windows 2008 Server) of in de instellingen voor externe toegang (Windows Vista).

Terminal Services-licentieschema

Bij gebruik van RDP is voor toegang tot applicaties in de thin client-modus het opzetten van een gespecialiseerde licentieserver vereist.

Permanente clientlicenties kunnen alleen op de server worden geïnstalleerd nadat de activeringsprocedure is voltooid; vóór deze procedure kunnen tijdelijke licenties met een beperkte geldigheidsduur worden uitgegeven. Na activering wordt de licentieserver voorzien van een digitaal certificaat dat het eigendom en de authenticiteit ervan bevestigt. Met behulp van dit certificaat kan de licentieserver vervolgtransacties uitvoeren met de Microsoft Clearinghouse-database en permanente CAL's voor de terminalserver accepteren.

Soorten clientlicenties:

  • tijdelijke licentie (Temporary Terminal Server CAL)
  • apparaatlicentie (Device Terminal Server CAL)
  • gebruikerslicentie (User Terminal Server CAL)
  • licentie voor externe gebruikers (External Terminal Server Connector)

Tijdelijke licentie

Dit type licentie wordt aan de client verstrekt bij de eerste verbinding met de terminalserver; de licentie is 90 dagen geldig. Na succesvol inloggen blijft de client werken met een tijdelijke licentie en de volgende keer dat de terminalserver verbinding maakt, probeert hij de tijdelijke licentie te vervangen door een permanente licentie, als deze beschikbaar is in de opslag.

Apparaatlicentie

Deze licentie wordt afgegeven voor elk fysiek apparaat dat verbinding maakt met de applicatieserver. De geldigheidsduur van de licentie wordt willekeurig ingesteld tussen 52 en 89 dagen. Zeven dagen vóór de vervaldatum probeert de terminalserver de licentie van de licentieserver te vernieuwen telkens wanneer een client opnieuw verbinding maakt.

Gebruikerslicentie

Licenties per gebruiker bieden extra flexibiliteit doordat gebruikers verbinding kunnen maken vanaf verschillende apparaten. De huidige implementatie van Terminal Services heeft geen controle over het gebruik van gebruikerslicenties, d.w.z. Het aantal beschikbare licenties op de licentieserver neemt niet af wanneer nieuwe gebruikers verbinding maken. Het gebruik van onvoldoende licenties voor clientverbindingen is in strijd met de licentieovereenkomst van Microsoft. Om zowel apparaat- als gebruikers-CAL's op dezelfde terminalserver te gebruiken, moet de server worden geconfigureerd om te werken in de licentiemodus per gebruiker.

Licentie voor externe gebruikers

Dit is een speciaal type licentie dat is ontworpen om externe gebruikers te verbinden met een bedrijfsterminalserver. Deze licentie legt geen beperkingen op aan het aantal verbindingen, maar volgens de gebruikersovereenkomst (EULA) moet de terminalserver voor externe verbindingen toegewezen zijn, waardoor deze niet kan worden gebruikt voor sessies van zakelijke gebruikers. Vanwege de hoge prijs wordt dit type licentie niet veel gebruikt.

De licentieserver kan een van de volgende twee rollen hebben:

  • Domein- of werkgroeplicentieserver
  • Volledige Enterprise-licentieserver

De rollen verschillen in de manier waarop ze de licentieserver ontdekken: bij gebruik van de Enterprise-rol zoekt de terminalserver in ActiveDirectory naar de licentieserver, anders wordt de zoekopdracht uitgevoerd met behulp van een NetBIOS-broadcastverzoek. Elke gevonden server wordt gecontroleerd op juistheid met behulp van een RPC-verzoek.

Veelbelovende technologieën Terminal Services

Oplossingen voor applicatieservers worden actief gepromoot door Microsoft, de functionaliteit wordt uitgebreid en er worden extra modules geïntroduceerd. De grootste ontwikkeling is bereikt door technologieën die de installatie vereenvoudigen van applicaties en componenten die verantwoordelijk zijn voor de werking van terminalservers in mondiale netwerken.

De volgende functies zijn geïntroduceerd in Terminal Services voor Windows 2008 Server.

Er is een mening dat verbinding maken via Windows Remote Desktop (RDP) erg onveilig is in vergelijking met analogen (VNC, TeamViewer, enz.). Als gevolg hiervan is het openen van toegang van buitenaf tot elke computer of lokale netwerkserver een zeer roekeloze beslissing - deze zal zeker worden gehackt. Het tweede argument tegen RDP klinkt meestal als volgt: “het vreet verkeer op, geen optie voor een langzaam internet.” Meestal zijn deze argumenten niet onderbouwd.

Het RDP-protocol bestaat al heel lang; het debuteerde ruim twintig jaar geleden op Windows NT 4.0 en sindsdien is er veel water onder de brug doorgegaan. Momenteel is RDP niet minder veilig dan welke andere oplossing voor externe toegang dan ook. Wat de vereiste bandbreedte betreft, zijn er in dit opzicht een aantal instellingen die kunnen worden gebruikt om uitstekende responsiviteit en bandbreedtebesparingen te bereiken.

Kortom, als je weet wat, hoe en waar je moet configureren, dan zal RDP een zeer goed hulpmiddel voor externe toegang zijn. De vraag is: hoeveel beheerders hebben geprobeerd zich te verdiepen in de instellingen die iets dieper verborgen zijn dan aan de oppervlakte?

Nu zal ik je vertellen hoe je RDP kunt beschermen en configureren voor optimale prestaties.

Ten eerste zijn er veel versies van het RDP-protocol. Alle verdere beschrijvingen zijn van toepassing op RDP 7.0 en hoger. Dit betekent dat je minimaal Windows Vista SP1 hebt. Voor retroliefhebbers is er een speciale update voor Windows XP SP3 KB969084 die RDP 7.0 aan dit besturingssysteem toevoegt.

Instelling nr. 1 - codering

Open gpedit.msc op de computer waarmee u verbinding gaat maken. Ga naar Computerconfiguratie - Beheersjablonen - Windows-componenten - Remote Desktop Services - Beveiliging

Stel de parameter “Vereist het gebruik van een speciaal beveiligingsniveau voor externe verbindingen met behulp van de RDP-methode” in op “Ingeschakeld” en het beveiligingsniveau op “SSL TLS 1.0”

Met deze instelling hebben we encryptie als zodanig ingeschakeld. Nu moeten we ervoor zorgen dat alleen sterke encryptie-algoritmen worden gebruikt, en niet een of andere DES 56-bit of RC2.

Open daarom in dezelfde thread de optie “Stel encryptieniveau in voor clientverbindingen.” Schakel het in en selecteer het niveau "Hoog". Dit geeft ons 128-bit encryptie.

Maar dit is niet de limiet. Het hoogste coderingsniveau wordt geleverd door de FIPS 140-1-standaard. In dit geval gaan alle RC2/RC4 automatisch door het bos.

Om het gebruik van FIPS 140-1 in te schakelen, moet u in dezelfde module naar Computerconfiguratie - Windows-configuratie - Beveiligingsinstellingen - Lokaal beleid - Beveiligingsinstellingen gaan.

We zoeken naar de optie “Systeemcryptografie: gebruik FIPS-compatibele algoritmen voor versleuteling, hashen en ondertekenen” en schakelen deze in.

En tot slot: zorg ervoor dat u de optie “Een veilige RPC-verbinding vereisen” inschakelt langs het pad Computerconfiguratie - Beheersjablonen - Windows-componenten - Remote Desktop Services - Beveiliging.

Deze instelling vereist dat verbindende clients codering vereisen volgens de instellingen die we hierboven hebben geconfigureerd.

Nu de codering volledig in orde is, kunt u verder gaan.

Instelling nr. 2 - wijzig de poort

Standaard hangt het RDP-protocol op TCP-poort 3389. Voor de variatie kan dit worden gewijzigd; hiervoor moet u de PortNumber-sleutel in het register wijzigen op het adres

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Instelling #3 - Netwerkauthenticatie (NLA)

Standaard kunt u verbinding maken via RDP zonder uw gebruikersnaam en wachtwoord in te voeren en ziet u het welkomstscherm van het externe bureaublad, waar u wordt gevraagd in te loggen. Dit is gewoon helemaal niet veilig in de zin dat zo'n externe computer gemakkelijk DDoSed kan worden.

Daarom schakelen we in dezelfde thread de optie "Gebruikersauthenticatie vereisen voor externe verbindingen met behulp van authenticatie op netwerkniveau" in.

Instelling nr. 4 - wat u nog meer moet controleren

Zorg er eerst voor dat de instelling 'Accounts: alleen lege wachtwoorden toestaan ​​tijdens inloggen op de console' is ingeschakeld. De instelling kunt u vinden in Computerconfiguratie - Beheersjablonen - Windows-componenten - Extern bureaublad-services - Beveiliging.

Ten tweede: vergeet niet de lijst met gebruikers te bekijken die verbinding kunnen maken via RDP

Instelling nr. 5 - snelheidsoptimalisatie

Ga naar de sectie Computerconfiguratie - Beheersjablonen - Windows-componenten - Extern bureaublad-services - Externe sessieomgeving.

Hier kunt en moet u verschillende parameters aanpassen:

  • De hoogste kleurdiepte - je kunt jezelf beperken tot 16 bits. Dit bespaart verkeer ruim twee keer vergeleken met 32-bits diepte.
  • Geforceerde annulering van de externe bureaubladachtergrond - deze is niet nodig voor het werk.
  • Het RDP-compressie-algoritme instellen - het is beter om de waarde in te stellen op Optimaliseer het bandbreedtegebruik. In dit geval zal RDP iets meer geheugen verbruiken, maar efficiënter comprimeren.
  • Optimaliseer visuele effecten voor Remote Desktop Services-sessies - stel de waarde in op "Tekst". Wat je nodig hebt voor de baan.

Anders kunt u, wanneer u vanaf de clientzijde verbinding maakt met een externe computer, bovendien het volgende uitschakelen:

  • Lettertype vloeiend maken. Dit zal de responstijd aanzienlijk verkorten. (Als u een volwaardige terminalserver heeft, kan deze parameter ook aan de serverzijde worden ingesteld)
  • Desktopsamenstelling - verantwoordelijk voor Aero, etc.
  • Venster weergeven tijdens slepen
  • Visuele effecten
  • Ontwerpstijlen - als je hardcore wilt

We hebben de overige parameters, zoals bureaubladachtergrond en kleurdiepte, al vooraf gedefinieerd aan de serverzijde.

Bovendien kunt u aan de clientzijde de grootte van de afbeeldingscache vergroten; dit gebeurt in het register. Op het adres HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\ moet u twee sleutels van het type DWORD 32 BitmapPersistCacheSize en BitmapCacheSize aanmaken

  • BitmapPersistCacheSize kan worden ingesteld op 10000 (10 MB). Standaard is deze parameter ingesteld op 10, wat overeenkomt met 10 KB.
  • BitmapCacheSize kan ook worden ingesteld op 10000 (10 MB). U zult het nauwelijks merken als de RDP-verbinding 10 MB extra RAM-geheugen opslokt

Ik zal niets zeggen over het doorsturen van printers, enz. Wie wat nodig heeft, stuurt het door.

Hiermee is het grootste deel van de installatie afgerond. In de volgende reviews vertel ik je hoe je RDP verder kunt verbeteren en beveiligen. Gebruik RDP correct, zorg voor een stabiele verbinding allemaal! Bekijk hoe u een RDP-terminalserver maakt op elke versie van Windows.



GERELATEERDE ARTIKELEN