Jinsi ya kusanidi unganisho la mbali kwa seva. Unganisha kwenye eneo-kazi la mbali kwa kutumia kiteja cha Windows RDP kilichojengewa ndani

Matoleo yote ya Mfumo wa Uendeshaji wa Windows kuanzia XP yana kiteja cha kawaida cha RDP ambacho kinatumika kuunganisha kwenye Huduma ya Eneo-kazi la Mbali. Katika makala hii nataka kuelezea kwa undani uwezo wa programu hii.

Kiteja cha RDP kinatumika kuunganisha kwenye seva ya terminal kwa kutumia Itifaki ya Eneo-kazi la Mbali, au kupitia kompyuta ya mezani ya mbali. Unaweza pia kusoma juu ya kusanikisha seva kwa kutumia terminal kwenye wavuti hii.

Unaweza kuzindua programu "" kutoka kwa menyu " Anza» — « Mipango yote» — « Kawaida» — « Muunganisho wa Kompyuta ya Mbali", au kwa kutekeleza amri mstsc.exe(ili kufanya hivyo unahitaji kushinikiza mchanganyiko muhimu WIN+R na ingiza jina la amri kwenye dirisha inayoonekana " Tekeleza"). Ipasavyo, faili inayoweza kutekelezwa yenyewe mstsc.exe iko kwenye saraka C:\Windows\System32. Kwa urahisi, unaweza kuweka njia ya mkato kwa mfanyakazi na mipangilio maalum.

Katika dirisha inayoonekana, unahitaji kuingiza anwani ya IP au jina la seva ambayo unataka kuunganisha.

Wakati wa kuunganisha, utaulizwa kuingiza kitambulisho chako. Mara baada ya kuingia, utachukuliwa kwenye eneo-kazi la seva yako.

Ili kubadilisha vigezo, lazima ubofye kiungo " Onyesha chaguo" kwenye dirisha kuu la programu.

Katika orodha inayoonekana, unaweza kusanidi vigezo unahitaji kutumia wakati wa kuunganisha.

Kwenye kichupo cha pili " Skrini» hurekebisha ukubwa wa kompyuta ya mezani iliyounganishwa ya mbali na kina cha rangi kwa kipindi cha mbali. Unaweza pia kuondoa jopo la uunganisho ambalo linaenea kabisa kutoka juu, lakini sikushauri kufanya hivyo, kwa kuwa utafunga unganisho kupitia. Alt+F4 Haitafanya kazi ikiwa mipangilio inajumuisha kutumia njia ya mkato ya kibodi " kwenye kompyuta ya mbali", na unaweza kufunga uunganisho tu kupitia "Meneja wa Task".

Juu ya " Rasilimali za mitaa» Usambazaji wa sauti umesanidiwa - kurekodi na kucheza tena. Ili kusanidi, unahitaji kubonyeza kitufe " Chaguo».

Pia imesanidiwa hapa ni " Kwa kutumia mikato ya kibodi", ambayo niliandika juu yake hapo juu.

Kwenye kichupo hiki, unaweza kusanidi ikiwa utawezesha au kuzima "Printers" na "Clipboard", ambayo itatumika wakati wa kikao cha mbali, kwa kufuta au, kinyume chake, kuweka bendera ya vigezo unavyohitaji.

Na ukibonyeza kitufe Maelezo zaidi", basi unaweza kuunganisha "Smart kadi", ikiwa, bila shaka, una kadi ya Smart na sifa, unaweza pia kuunganisha diski yoyote au DVD na CD-ROM ya kompyuta ya ndani ambayo uunganisho unafanywa.

Juu ya " Mipango"Unaweza kusanidi uzinduzi wa programu ambayo itazinduliwa kiotomatiki mtumiaji anapoingia kwenye kompyuta ya mbali. Saraka ya kazi ya mtumiaji pia imesanidiwa hapa.

Kwenye kichupo kifuatacho " Mwingiliano", unaweza kutaja kasi ya uunganisho na seva ya terminal na kutaja vigezo ambavyo vinahitajika au hazihitajiki ili kuboresha utendaji. Ingawa katika wakati wetu wa mtandao wa kasi ya juu, mipangilio hii haifai tena, kwa hivyo unaweza kuondoka kwa usalama wa utambuzi wa kiotomatiki.

Juu ya " Zaidi ya hayo»inasanidi uthibitishaji wa seva.

Unaweza pia kusanidi muunganisho kupitia Lango la Kompyuta ya Mbali kwa kubofya " Chaguo».

Ili kuhifadhi mipangilio yote unahitaji kwenda kwenye kichupo " Ni kawaida"na uhifadhi mipangilio kama njia ya mkato ya kuunganisha kupitia RDP katika sehemu yoyote inayofaa kwako na kwa jina lolote.

Kupitia njia ya mkato iliyopatikana kwa njia hii, utaunganisha kwenye desktop ya mbali na mipangilio iliyofanywa hapo awali na iliyohifadhiwa.

Je, makala hii ilikusaidia?

Kompyuta ya mbali ni utendaji wa mfumo wa uendeshaji unaokuruhusu kudhibiti kompyuta ya mbali kwa wakati halisi, kwa kutumia mtandao wa ndani au Mtandao kama njia ya kusambaza data. Kuna aina nyingi za utekelezaji wa eneo-kazi la mbali kulingana na itifaki au mfumo wa uendeshaji. Suluhisho la kawaida katika mfumo wa uendeshaji wa Windows ni Itifaki ya Desktop ya Mbali (RDP), na katika mifumo ya msingi ya Linux kernel - VNC na X11.

Jinsi ya kuwezesha utendakazi wa eneo-kazi la mbali

Kwa chaguo-msingi, uwezo wa kuwa seva ya kipindi cha RDP umezimwa kwenye kituo cha kazi cha Windows.

Bonyeza kulia kwenye ikoni ya "Kompyuta yangu" na uchague "Mali" kutoka kwa menyu ya muktadha.

Chagua kipengee "Weka ufikiaji wa mbali" kwenye menyu ya kushoto. Hii itahitaji haki za msimamizi.

Dirisha la "Sifa za Mfumo" litafungua, ambalo, kwenye kichupo cha "Ufikiaji wa Mbali", unahitaji kuweka ruhusa ya ufikiaji kwenye kompyuta hii kama inavyofanyika kwenye picha ya skrini iliyo hapa chini.

Ikiwa ni lazima, unaweza kuchagua watumiaji ambao unaweza kuingia kwenye mfumo.

Kwa kuongeza, ikiwa una chujio cha mtandao (Firewall) imewekwa, utahitaji kuunda sheria ya kuruhusu kuunganisha kwenye kompyuta hii katika mali ya adapta ya mtandao au kwenye applet ya Windows Firewall kwenye Jopo la Kudhibiti.

Jinsi ya kuunganisha kwenye desktop ya mbali

Kuna njia kadhaa za kuunganisha kwenye desktop ya mbali. Nenda kwenye menyu kuu ya mfumo "Anza - Programu Zote - Vifaa - Uunganisho wa Kompyuta ya Mbali"

Au endesha amri katika haraka ya amri ya Windows (au dirisha Tekeleza»)

Njia hizi zote mbili ni sawa na zinazindua programu sawa - Mchawi wa Uunganisho wa Kompyuta ya Mbali.

Katika dirisha la mchawi, unaweza kutaja jina au anwani ya IP ya kompyuta ambayo unataka kuunganisha, na pia kutaja vigezo maalum, kama vile azimio la skrini, uhamisho wa ndani (ubao wa kunakili, diski za ndani) au rasilimali za mbali (sauti) .

Ingiza anwani ya IP ya nodi ya mbali na ubonyeze kitufe " Ili kuziba».

Uwezekano mkubwa zaidi tutaona onyo kuhusu matatizo ya kuthibitisha kompyuta ya mbali. Ikiwa tuna hakika kwamba hatujafanya makosa katika kuandika anwani au jina, basi tunaweza kubofya "Ndiyo", baada ya hapo uunganisho wa nodi utaanzishwa.

Utahitaji pia kuingiza kitambulisho cha mtumiaji wa mbali.

Ikiwa hatujafanya makosa popote, basi baada ya muda fulani tutaona desktop ya kompyuta ya mbali, ambapo tunaweza kufanya vitendo fulani. Dhibiti pointer ya panya, ingiza herufi kutoka kwa kibodi, na kadhalika.

Kama ilivyoelezwa hapo awali, kwa urahisi wa usimamizi wa mfumo, tunaweza kuhamisha rasilimali za ndani kama vile vichapishaji, viendeshi vya mantiki au ubao wa kunakili hadi kwenye mashine ya mbali.

Ili kufanya hivyo, katika dirisha la Mchawi wa Uunganisho wa Desktop ya Mbali, nenda kwenye kichupo cha "Rasilimali za Mitaa", bofya kitufe cha "Maelezo zaidi ...".

Na katika dirisha linalofungua, chagua, kwa mfano, diski ya Mitaa (C :).

Sasa, wakati wa kuunganisha desktop ya mbali, tutaona gari letu la ndani (C :) la kompyuta ambayo uunganisho unafanywa.

Jinsi ya Kuongeza Usalama wa Kompyuta ya Mbali

Sio siri kuwa kuacha kompyuta iliyo na Kompyuta ya Mbali ikiwa imewashwa na kuunganishwa kwenye Mtandao sio salama. Ukweli ni kwamba aina mbalimbali za washambuliaji wanakagua mara kwa mara safu za anwani za mtandao katika kutafuta huduma za mtandao zinazoendesha (ikiwa ni pamoja na eneo-kazi la mbali) kwa lengo la kuwadukua zaidi.

Mojawapo ya njia ambazo zinaweza kufanya iwe vigumu zaidi kwa mshambulizi kupata huduma ya Huduma za Terminal (RDP) inayoendesha ni kubadilisha nambari ya bandari ya kawaida hadi thamani tofauti. Kwa chaguo-msingi, huduma ya RDP husikiliza kwenye bandari ya mtandao 3389/TCP ikisubiri muunganisho unaoingia. Ni bandari hii ambayo washambuliaji hujaribu kuunganisha kwanza. Tunaweza kusema kwa uhakika wa karibu 100% kwamba ikiwa bandari iliyo na nambari hii imefunguliwa kwenye kompyuta, basi inaendesha mfumo wa Windows na ufikiaji wa mbali unaoruhusiwa.

Makini! Vitendo zaidi na Usajili wa mfumo lazima ufanyike kwa uangalifu sana. Kubadilisha mipangilio fulani kunaweza kufanya mfumo wa uendeshaji usifanye kazi.

Ili kubadilisha nambari ya bandari ya desktop ya mbali, unahitaji kufungua hariri ya Usajili na ufungue sehemu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\terminal Server\WinStations\RDP-Tcp

Kisha kupata REG_DWORD parameter ya PortNumber na kubadilisha thamani yake katika mfumo wa decimal hadi nambari ya kiholela (kutoka 1024 hadi 65535).

Baada ya thamani kubadilishwa, kompyuta inapaswa kuanza tena. Sasa, ili kufikia eneo-kazi la mbali, unahitaji kutaja zaidi bandari yetu kupitia koloni. Katika hali hii, unahitaji kutaja kama jina la kompyuta 10.0.0.119:33321

Kweli, washambuliaji, baada ya kujaribu bandari ya kawaida, labda watahitimisha kuwa ufikiaji wa mbali kupitia itifaki ya RDP hairuhusiwi kwenye kompyuta hii. Bila shaka, njia hii haitakuokoa kutokana na mashambulizi yaliyolengwa, wakati kila bandari ya mtandao inakaguliwa kwa uangalifu katika kutafuta mwanya, lakini itakulinda kutokana na mashambulizi makubwa ya template.

Kwa kuongeza, unahitaji kutumia nenosiri ngumu na ndefu kwa akaunti hizo ambazo zinaruhusiwa kufikia kupitia kompyuta ya mbali.

Itifaki ya Eneo-kazi la Mbali au RDP tu inaruhusu mtumiaji kufikia kompyuta ya mbali bila kuwasiliana nayo moja kwa moja. Hii ina maana kwamba mtu yeyote anaweza kuona faili zote kwenye eneo-kazi, kuziendesha, na kufanya kazi nazo kana kwamba ameketi moja kwa moja kwenye kompyuta. Tahadhari pekee ni kwamba kazi kupitia itifaki hii daima itazuiliwa na kasi ya mtandao. Kabla ya kufanya kazi na teknolojia hii, lazima kwanza uifanye kwenye kifaa ambacho utafikia kompyuta ya mbali.

Inaweka ufikiaji wa kompyuta ya mbali

Jinsi ya kusanidi rdp kwa windows 7? Hakuna inaweza kuwa rahisi! Nenda kwenye menyu ya "Anza" - "Jopo la Kudhibiti". Ifuatayo, chagua "Mfumo na Usalama" - "Mfumo". Baada ya hayo, utaona kipengee "Kuweka upatikanaji wa kijijini", bofya juu yake. Kisha dirisha litaonekana ambalo utahitaji kuteua kisanduku karibu na "Ruhusu miunganisho kutoka kwa kompyuta na toleo lolote la Kompyuta ya Mbali." Kwa urahisi wa kazi yako kwenye kompyuta, usisahau kuifanya kwa usahihi kwanza.

Kuanzisha mteja kwa itifaki ya RDP

Kwanza kabisa, hebu tuelewe mteja ni nini. Mteja ni sehemu ya mfumo ambayo hutuma maombi kwa seva. Ninaona kuwa wateja wa RPD wapo karibu kila OS, bila shaka, katika Windows 7 pia. Kwa njia, mfumo huu wa uendeshaji hutumia programu iliyojengwa ya MsTsc.exe.

Kwa hiyo, ili kuanzisha mteja, tunafuata hatua hizi rahisi. Tunaenda kwa "Anza" - "Run", dirisha linaonekana ambalo tunaingia mstsc na bonyeza "Next". Ili kuanzisha upatikanaji wa kawaida bila mipangilio maalum, ingiza IP ya kompyuta ambayo unahitaji kufikia kwenye uwanja unaofaa. Ifuatayo, utaona mipangilio ambapo unaweza kubadilisha vigezo mbalimbali, kama vile sauti. Bonyeza "Ingiza", na ndivyo ilivyo, usanidi umekamilika!

Chaguzi za ziada

Hizi ni pamoja na uwezo wa kubinafsisha skrini, sauti za mbali, kusanidi muunganisho, nk. Kwa mfano, uwezo wa skrini huhaririwa kwenye kichupo cha "Mipangilio ya Onyesho". Huko unaweza pia kuchagua azimio la eneo-kazi la mbali, usuli wake, na kina cha rangi. Jinsi ya kurekebisha mwangaza wa skrini moja kwa moja kwenye kompyuta unayofanya kazi sasa imeelezwa katika hili

Makala haya yanaanza mfululizo wa vifungu vinavyohusu muundo na usalama wa itifaki ya RDP. Makala ya kwanza katika mfululizo huu inachambua muundo, matumizi na teknolojia kuu zilizowekwa katika itifaki hii.

Makala haya yanaanza mfululizo wa vifungu vinavyohusu muundo na usalama wa itifaki ya RDP. Makala ya kwanza katika mfululizo huu inachambua muundo, matumizi na teknolojia kuu zilizowekwa katika itifaki hii.

Makala zifuatazo zitajadili masuala yafuatayo kwa undani:

  • Uendeshaji wa mfumo mdogo wa usalama wa Eneo-kazi la Mbali
  • Umbizo la kubadilishana taarifa za huduma katika RDP
  • Athari za Seva ya terminal na njia za kuziondoa
  • Uteuzi wa akaunti za watumiaji kwa kutumia itifaki ya RDP (iliyotengenezwa na Positive Technologies katika eneo hili)

Historia ya RDP

Itifaki ya Eneo-kazi la Mbali iliundwa na Microsoft ili kutoa ufikiaji wa mbali kwa seva za Windows na vituo vya kazi. Itifaki ya RDP imeundwa ili kushiriki rasilimali za seva ya utendakazi wa hali ya juu na vituo vingi vya kazi visivyo na nguvu. Seva ya terminal ya kwanza (toleo la 4.0) ilionekana mnamo 1998 kama sehemu ya Windows NT 4.0 Terminal Server; wakati wa kuandika (Januari 2009), toleo la hivi karibuni la seva ya terminal ni toleo la 6.1, lililojumuishwa kwenye Windows 2008 Server na Windows Vista. Mgawanyiko wa SP1. Hivi sasa, RDP ndiyo itifaki kuu ya ufikiaji wa mbali kwa mifumo ya familia ya Windows, na maombi ya mteja yanapatikana kwa Microsoft OS na Linux, FreeBSD, MAC OS X, nk.

Wakati wa kuzungumza juu ya historia ya RDP, mtu hawezi kushindwa kutaja Citrix. Mifumo ya Citrix iliyobobea katika mifumo ya watumiaji wengi na teknolojia ya ufikiaji wa mbali katika miaka ya 1990. Baada ya kupata leseni ya msimbo wa chanzo cha Windows NT 3.51 mnamo 1995, kampuni ilitoa toleo la watumiaji wengi la Windows NT linalojulikana kama WinFrame. Mnamo 1997, Citrix Systems na Microsoft waliingia katika makubaliano ambayo mazingira ya watumiaji wengi ya Windows NT 4.0 yalitokana na maendeleo ya teknolojia ya Citrix. Kwa upande wake, Citrix Systems ilikataa kusambaza mfumo kamili wa uendeshaji na ikapokea haki ya kuendeleza na kutekeleza upanuzi wa bidhaa za Microsoft. Viendelezi hivi awali viliitwa MetaFrame. Haki kwa ICA ( Usanifu Huru wa Kompyuta), itifaki ya maombi ya mwingiliano kati ya wateja wembamba na seva ya programu ya Citrix, ilisalia kwenye Mifumo ya Citrix, na itifaki ya Microsoft RDP ilitokana na ITU T.120.

Hivi sasa, ushindani kuu kati ya Citrix na Microsoft ni katika uwanja wa seva za maombi kwa biashara ndogo na za kati. Kijadi, suluhu zinazotokana na Huduma za Vituo hushinda katika mifumo isiyo na idadi kubwa sana ya aina sawa ya seva na usanidi sawa, huku Mifumo ya Citrix imeanzishwa kwa uthabiti katika soko la mifumo changamano na yenye utendakazi wa hali ya juu. Ushindani huchochewa na kutolewa kwa suluhu nyepesi kwa mifumo midogo na Citrix na upanuzi wa mara kwa mara wa utendaji wa Huduma za Kituo na Microsoft.

Wacha tuangalie faida za suluhisho hizi.

Nguvu za Huduma za Kituo:

  • Ufungaji rahisi wa programu kwa upande wa mteja wa seva ya programu
  • Utunzaji wa kati wa vikao vya watumiaji
  • Inahitaji leseni kwa Huduma za Kituo pekee

Nguvu za suluhisho la Citrix:

  • Rahisi kupima
  • Urahisi wa utawala na ufuatiliaji
  • Sera ya udhibiti wa ufikiaji
  • Usaidizi kwa bidhaa za biashara za watu wengine (IBM WebSphere, BEA WebLogic)

Muundo wa mtandao kwa kutumia Huduma za Kituo

Microsoft inapendekeza njia mbili za kutumia itifaki ya RDP:

  • kwa utawala (Njia ya utawala wa mbali)
  • kufikia seva ya programu (Njia ya Seva ya terminal)

RDP katika hali ya utawala

Aina hii ya uunganisho hutumiwa na mifumo yote ya kisasa ya uendeshaji ya Microsoft. Matoleo ya seva ya Windows yanaauni miunganisho miwili ya mbali na moja ya kuingia ndani kwa wakati mmoja, wakati matoleo ya mteja yanaauni moja tu ya kuingia (ya ndani au ya mbali). Ili kuruhusu miunganisho ya mbali, lazima uwashe ufikiaji wa eneo-kazi la mbali katika sifa za kituo cha kazi.

RDP katika hali ya ufikiaji wa seva ya terminal

Hali hii inapatikana tu katika matoleo ya seva ya Windows. Idadi ya viunganisho vya mbali katika kesi hii sio mdogo, lakini usanidi wa seva ya Leseni na uanzishaji wake unaofuata unahitajika. Seva ya leseni inaweza kusakinishwa ama kwenye seva ya terminal au kwenye nodi tofauti ya mtandao. Uwezo wa kufikia seva ya terminal ukiwa mbali unapatikana tu baada ya kusakinisha leseni zinazofaa kwenye seva ya Leseni.

Unapotumia nguzo ya seva ya terminal na kusawazisha mzigo, usakinishaji wa seva maalum ya uunganisho (Huduma ya Saraka ya Kikao) inahitajika. Seva hii inaashiria vipindi vya watumiaji, ambayo inakuwezesha kuingia, na pia kuingia tena kwenye seva za terminal zinazofanya kazi katika mazingira yaliyosambazwa.

Jinsi RDP inavyofanya kazi

Eneo-kazi la Mbali ni itifaki ya programu kulingana na TCP. Baada ya muunganisho kuanzishwa, kikao cha RDP kinaanzishwa kwenye safu ya usafiri, ambayo vigezo mbalimbali vya uhamisho wa data vinajadiliwa. Baada ya awamu ya uanzishaji kukamilika kwa ufanisi, seva ya terminal huanza kutuma matokeo ya picha kwa mteja na kusubiri uingizaji wa kibodi na kipanya. Toleo la mchoro linaweza kuwa nakala halisi ya skrini ya mchoro, ikituma picha na amri za kuchora picha za asili (mstatili, mstari, duaradufu, maandishi, n.k.). Kusambaza pato kwa kutumia primitives ni kipaumbele kwa itifaki ya RDP, kwani inaokoa trafiki kwa kiasi kikubwa; na picha hupitishwa tu ikiwa vinginevyo haiwezekani kwa sababu fulani (haikuwezekana kukubaliana juu ya vigezo vya kupitisha primitives wakati wa kuanzisha kikao cha RDP). Mteja wa RDP huchakata kupokea amri na kuonyesha picha kwa kutumia mfumo wake mdogo wa michoro. Kwa chaguo-msingi, ingizo la mtumiaji hupitishwa kwa kutumia misimbo ya kuchanganua kibodi. Ishara ya kubonyeza na kuachilia kitufe hupitishwa kando kwa kutumia bendera maalum.

RDP inasaidia chaneli nyingi pepe ndani ya muunganisho mmoja, ambazo zinaweza kutumika kutoa utendakazi zaidi:

  • kwa kutumia kichapishi au bandari ya serial
  • uelekezaji upya wa mfumo wa faili
  • Usaidizi wa Ubao wa kunakili
  • kwa kutumia mfumo mdogo wa sauti

Sifa za chaneli pepe hujadiliwa wakati wa awamu ya usanidi wa muunganisho.

Kuhakikisha usalama wakati wa kutumia RDP

Vipimo vya itifaki ya RDP vinahitaji mojawapo ya mbinu mbili za usalama:

  • Usalama wa Kawaida wa RDP (mfumo mdogo wa usalama uliojengwa ndani)
  • Usalama wa RDP ulioimarishwa (mfumo mdogo wa usalama wa nje)

Usalama wa kawaida wa RDP

Kwa mbinu hii, uthibitishaji, usimbaji fiche na uhakikisho wa uadilifu hutekelezwa kwa kutumia njia zilizojumuishwa katika itifaki ya RDP.

Uthibitisho

Uthibitishaji wa seva unafanywa kama ifuatavyo:

  1. Wakati mfumo unapoanza, jozi ya funguo za RSA hutolewa
  2. Cheti cha Umiliki cha ufunguo wa umma kinaundwa
  3. Cheti kimetiwa saini kwa ufunguo wa RSA uliowekwa misimbo ngumu katika mfumo wa uendeshaji (teja yoyote ya RDP ina ufunguo wa umma wa ufunguo huu wa RSA uliojumuishwa).
  4. Mteja huunganisha kwenye seva ya mwisho na anapokea Cheti cha Umiliki
  5. Mteja huthibitisha cheti na kupokea ufunguo wa umma wa seva (ufunguo huu unatumiwa baadaye kujadili vigezo vya usimbaji fiche)

Uthibitishaji wa mteja unafanywa kwa kuingiza jina la mtumiaji na nenosiri.

Usimbaji fiche

Sifa ya mtiririko wa RC4 ilichaguliwa kama kanuni ya usimbaji fiche. Kulingana na toleo la mfumo wa uendeshaji, urefu tofauti wa ufunguo unapatikana kutoka kwa bits 40 hadi 168.

Upeo wa urefu wa vitufe kwa mifumo ya uendeshaji ya Winodws:

  • Seva ya Windows 2000 - 56 bit
  • Windows XP, Seva ya Windows 2003 - 128 bit
  • Windows Vista, Seva ya Windows 2008 - 168 bit

Wakati uunganisho unapoanzishwa, baada ya kukubaliana kwa urefu, funguo mbili tofauti zinazalishwa: kusimba data kutoka kwa mteja na kutoka kwa seva.

Uadilifu

Uadilifu wa ujumbe hupatikana kwa kutumia algoriti ya kuzalisha MAC (Msimbo wa Uthibitishaji wa Ujumbe) kulingana na algoriti za MD5 na SHA1.

Kuanzia na Seva ya Windows 2003, utiifu wa FIPS (Kiwango cha Kuchakata Taarifa za Shirikisho) 140-1 unaweza kupatikana kwa kutumia 3DES kwa usimbaji wa ujumbe na algoriti ya kizazi cha SHA1-pekee ya MAC ili kuhakikisha uadilifu.

Usalama wa RDP ulioimarishwa

Mbinu hii hutumia moduli za usalama za nje:

  • TLS 1.0
  • CredSSP

TLS inaweza kutumika kwa kuanzia na Seva ya Windows 2003, lakini tu ikiwa mteja wa RDP anaikubali. Usaidizi wa TLS umeongezwa tangu toleo la mteja la RDP 6.0.

Unapotumia TLS, cheti cha seva kinaweza kuzalishwa kwa kutumia Huduma za Kituo au unaweza kuchagua cheti kilichopo kutoka kwa duka la Windows.

Itifaki ya CredSSP ni mchanganyiko wa utendakazi wa TLS, Kerberos na NTLM.

Wacha tuangalie faida kuu za itifaki ya CredSSP:

  • Kuangalia ruhusa ya kuingia kwenye mfumo wa mbali kabla ya kuanzisha muunganisho kamili wa RDP, ambayo hukuruhusu kuokoa rasilimali za seva ya wastaafu wakati kuna idadi kubwa ya viunganisho.
  • Uthibitishaji thabiti na usimbaji fiche kupitia itifaki ya TLS
  • Kwa Kutumia Kuingia Mara Moja kwa Kerberos au NTLM

Vipengele vya CredSSP vinaweza kutumika tu kwenye mifumo ya uendeshaji ya Seva ya Windows Vista na Windows 2008. Itifaki hii imewezeshwa na bendera ya Uthibitishaji wa Kiwango cha Mtandao cha Tumia katika mipangilio ya seva ya terminal (Seva ya Windows 2008) au katika mipangilio ya ufikiaji wa mbali (Windows Vista).

Mpango wa leseni ya Huduma za Kituo

Unapotumia RDP, kufikia programu katika hali nyembamba ya mteja kunahitaji kusanidi seva maalum ya leseni.

Leseni za kudumu za mteja zinaweza kusakinishwa kwenye seva tu baada ya kukamilisha utaratibu wa kuwezesha; kabla ya utaratibu huu, leseni za muda zilizopunguzwa katika muda wa uhalali zinaweza kutolewa. Baada ya kuwezesha, seva ya leseni hutolewa cheti cha dijiti kinachothibitisha umiliki na uhalisi wake. Kwa kutumia cheti hiki, seva ya leseni inaweza kufanya miamala ifuatayo na hifadhidata ya Microsoft Clearinghouse na kukubali CAL za kudumu za seva ya terminal.

Aina za leseni za mteja:

  • leseni ya muda (Seva ya Kituo cha Muda CAL)
  • leseni ya kifaa (Seva ya Kituo cha Kifaa CAL)
  • leseni ya mtumiaji (Seva ya Kituo cha Mtumiaji CAL)
  • leseni kwa watumiaji wa nje (Kiunganishi cha Seva ya Kituo cha Nje)

Leseni ya muda

Aina hii ya leseni hutolewa kwa mteja mara ya kwanza kuunganishwa kwenye seva ya wastaafu; leseni ni halali kwa siku 90. Baada ya kuingia kwa mafanikio, mteja anaendelea kufanya kazi na leseni ya muda, na wakati ujao seva ya terminal inapounganisha, inajaribu kuchukua nafasi ya leseni ya muda na ya kudumu, ikiwa inapatikana kwenye hifadhi.

Leseni ya kifaa

Leseni hii inatolewa kwa kila kifaa halisi kinachounganishwa kwenye seva ya programu. Muda wa uhalali wa leseni umewekwa nasibu kati ya siku 52 na 89. Siku 7 kabla ya tarehe ya mwisho wa matumizi, seva ya terminal inajaribu kuweka upya leseni kutoka kwa seva ya leseni kila wakati mteja anaunganisha tena.

Leseni ya mtumiaji

Utoaji leseni kwa kila mtumiaji hutoa unyumbulifu zaidi kwa kuruhusu watumiaji kuunganishwa kutoka kwa vifaa mbalimbali. Utekelezaji wa sasa wa Huduma za Kituo hauna udhibiti wa matumizi ya leseni za watumiaji, i.e. Idadi ya leseni zinazopatikana kwenye seva ya leseni haipungui watumiaji wapya wanapounganisha. Kutumia leseni zisizotosha kwa miunganisho ya mteja kunakiuka makubaliano ya leseni ya Microsoft. Ili kutumia CAL za kifaa na mtumiaji kwenye seva ya terminal sawa, seva lazima isanidiwe kufanya kazi katika hali ya leseni ya kila mtumiaji.

Leseni kwa watumiaji wa nje

Hii ni aina maalum ya leseni iliyoundwa kuunganisha watumiaji wa nje kwa seva ya terminal ya shirika. Leseni hii haitoi vikwazo kwa idadi ya viunganisho, hata hivyo, kwa mujibu wa makubaliano ya mtumiaji (EULA), seva ya mwisho ya miunganisho ya nje lazima iwekwe wakfu, ambayo hairuhusu matumizi yake kutumikia vikao kutoka kwa watumiaji wa kampuni. Kwa sababu ya bei ya juu, aina hii ya leseni haitumiwi sana.

Seva ya leseni inaweza kuwa na mojawapo ya majukumu mawili:

  • Seva ya Leseni ya Kikoa au Kikundi cha Kazi
  • Seva Nzima ya Leseni ya Biashara

Majukumu yanatofautiana katika jinsi wanavyogundua seva ya leseni: wakati wa kutumia jukumu la Biashara, seva ya terminal hutafuta ActiveDirectory kwa seva ya leseni, vinginevyo utafutaji unafanywa kwa kutumia ombi la utangazaji la NetBIOS. Kila seva inayopatikana huangaliwa kwa usahihi kwa kutumia ombi la RPC.

Huduma za terminal za teknolojia zinazoahidi

Suluhu za seva za programu zinakuzwa kikamilifu na Microsoft, utendakazi unapanuliwa, na moduli za ziada zinaletwa. Maendeleo makubwa zaidi yamepatikana na teknolojia zinazorahisisha usakinishaji wa programu na vifaa vinavyohusika na utendakazi wa seva za wastaafu katika mitandao ya kimataifa.

Vipengele vifuatavyo vimeanzishwa katika Huduma za Kituo cha Seva ya Windows 2008.

Kuna maoni kwamba kuunganisha kupitia Windows Remote Desktop (RDP) sio salama sana kwa kulinganisha na analogues (VNC, TeamViewer, nk). Kama matokeo, kufungua ufikiaji kutoka kwa nje hadi kwa kompyuta yoyote au seva ya mtandao wa ndani ni uamuzi wa kutojali sana - hakika utadukuliwa. Hoja ya pili dhidi ya RDP kawaida husikika kama hii: "inakula trafiki, sio chaguo la Mtandao polepole." Mara nyingi, hoja hizi hazijathibitishwa.

Itifaki ya RDP imekuwepo kwa muda mrefu; mwanzo wake ulifanyika kwenye Windows NT 4.0 zaidi ya miaka 20 iliyopita, na maji mengi yamepita chini ya daraja tangu wakati huo. Kwa sasa, RDP sio salama kidogo kuliko suluhisho lingine lolote la ufikiaji wa mbali. Kuhusu kipimo data kinachohitajika, kuna rundo la mipangilio katika suala hili ambayo inaweza kutumika kufikia mwitikio bora na uokoaji wa bandwidth.

Kwa kifupi, ikiwa unajua nini, jinsi gani na wapi kusanidi, basi RDP itakuwa chombo kizuri sana cha kufikia kijijini. Swali ni je, ni wasimamizi wangapi wamejaribu kuzama kwenye mipangilio ambayo imefichwa kwa kina kidogo kuliko juu ya uso?

Sasa nitakuambia jinsi ya kulinda RDP na kuisanidi kwa utendaji bora.

Kwanza, kuna matoleo mengi ya itifaki ya RDP. Maelezo yote zaidi yatatumika kwa RDP 7.0 na matoleo mapya zaidi. Hii ina maana kwamba una angalau Windows Vista SP1. Kwa wapenzi wa retro kuna sasisho maalum kwa Windows XP SP3 KB 969084 ambayo inaongeza RDP 7.0 kwenye mfumo huu wa uendeshaji.

Kuweka Nambari 1 - encryption

Kwenye kompyuta ambayo utaunganisha, fungua gpedit.msc Nenda kwenye Usanidi wa Kompyuta - Violezo vya Utawala - Vipengele vya Windows - Huduma za Kompyuta ya Mbali - Usalama.

Weka kigezo "Inahitaji matumizi ya kiwango maalum cha usalama kwa miunganisho ya mbali kwa kutumia njia ya RDP" hadi "Imewezeshwa" na kiwango cha Usalama hadi "SSL TLS 1.0"

Kwa mpangilio huu tuliwezesha usimbaji fiche kama hivyo. Sasa tunahitaji kuhakikisha kuwa ni algoriti dhabiti za usimbaji fiche ndizo zinazotumika, na si baadhi ya DES 56-bit au RC2.

Kwa hivyo, katika uzi huo huo, fungua chaguo "Weka kiwango cha usimbaji fiche kwa miunganisho ya mteja." Washa na uchague kiwango cha "Juu". Hii itatupa usimbaji fiche wa 128-bit.

Lakini hii sio kikomo. Kiwango cha juu zaidi cha usimbaji fiche hutolewa na kiwango cha FIPS 140-1. Katika hali hii, RC2/RC4 zote hupitia msitu kiotomatiki.

Ili kuwezesha matumizi ya FIPS 140-1, unahitaji kwenda kwa Usanidi wa Kompyuta - Usanidi wa Windows - Mipangilio ya Usalama - Sera za Mitaa - Mipangilio ya Usalama katika snap-in sawa.

Tunatafuta chaguo la "Kielelezo cha mfumo: tumia algoriti zinazotii FIPS kwa usimbaji fiche, hashing na kutia sahihi" na uiwashe.

Na hatimaye, hakikisha kuwezesha chaguo "Inahitaji muunganisho salama wa RPC" kwenye njia ya Usanidi wa Kompyuta - Violezo vya Utawala - Vipengele vya Windows - Huduma za Desktop ya Mbali - Usalama.

Mpangilio huu unahitaji kuunganisha wateja ili kuhitaji usimbaji fiche kulingana na mipangilio tuliyosanidi hapo juu.

Sasa usimbaji fiche uko katika mpangilio kamili, unaweza kuendelea.

Kuweka Nambari 2 - kubadilisha bandari

Kwa chaguo-msingi, itifaki ya RDP hutegemea bandari ya TCP 3389. Kwa aina mbalimbali, inaweza kubadilishwa; ili kufanya hivyo, unahitaji kubadilisha ufunguo wa PortNumber kwenye Usajili kwenye anwani.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\terminal Server\WinStations\RDP-Tcp

Mpangilio #3 - Uthibitishaji wa Mtandao (NLA)

Kwa chaguo-msingi, unaweza kuunganisha kupitia RDP bila kuingiza jina lako la mtumiaji na nenosiri na kuona skrini ya Karibu ya eneo-kazi la mbali, ambapo utaombwa kuingia. Hii sio salama kabisa kwa maana kwamba kompyuta ya mbali kama hiyo inaweza kuwa DDoSed kwa urahisi.

Kwa hivyo, katika uzi huo huo tunawezesha chaguo "Inahitaji uthibitishaji wa mtumiaji kwa miunganisho ya mbali kwa kutumia uthibitishaji wa kiwango cha mtandao"

Kuweka Nambari 4 - ni nini kingine cha kuangalia

Kwanza, hakikisha kwamba mipangilio ya "Akaunti: Ruhusu manenosiri tupu wakati wa nembo ya kiweko" imewezeshwa. Mpangilio unaweza kupatikana katika Usanidi wa Kompyuta - Violezo vya Utawala - Vipengele vya Windows - Huduma za Kompyuta ya Mbali - Usalama.

Pili, usisahau kuangalia orodha ya watumiaji ambao wanaweza kuunganishwa kupitia RDP

Kuweka Nambari 5 - uboreshaji wa kasi

Nenda kwenye sehemu ya Usanidi wa Kompyuta - Violezo vya Utawala - Vipengele vya Windows - Huduma za Desktop ya Mbali - Mazingira ya Kipindi cha Mbali.

Hapa unaweza na unapaswa kurekebisha vigezo kadhaa:

  • Kina cha juu zaidi cha rangi - unaweza kujizuia hadi bits 16. Hii itaokoa trafiki kwa zaidi ya mara 2 ikilinganishwa na kina cha 32-bit.
  • Kughairi kulazimishwa kwa Ukuta wa eneo-kazi la mbali - haihitajiki kwa kazi.
  • Kuweka algorithm ya ukandamizaji wa RDP - ni bora kuweka thamani ili Kuboresha matumizi ya kipimo data. Katika kesi hii, RDP itatumia kumbukumbu kidogo zaidi, lakini itapunguza kwa ufanisi zaidi.
  • Boresha madoido ya kuona kwa vipindi vya Huduma za Kompyuta ya Mbali - weka thamani kuwa "Maandishi". Unachohitaji kwa kazi hiyo.

Vinginevyo, unapounganisha kwenye kompyuta ya mbali kutoka kwa upande wa mteja, unaweza pia kuzima:

  • Kulainisha herufi. Hii itapunguza sana muda wa majibu. (Ikiwa unayo seva kamili ya terminal, basi parameta hii inaweza pia kuwekwa kwa upande wa seva)
  • Utungaji wa Desktop - wajibu wa Aero, nk.
  • Onyesha dirisha wakati wa kuburuta
  • Athari za kuona
  • Mitindo ya kubuni - ikiwa unataka hardcore

Tayari tumefafanua awali vigezo vilivyosalia kama vile mandharinyuma ya eneo-kazi na kina cha rangi kwenye upande wa seva.

Kwa kuongeza, kwa upande wa mteja, unaweza kuongeza saizi ya kashe ya picha; hii inafanywa kwenye Usajili. Katika anwani HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\ unahitaji kuunda funguo mbili za aina ya DWORD 32 BitmapPersistCacheSize na BitmapCacheSize.

  • BitmapPersistCacheSize inaweza kuwekwa kuwa 10000 (MB 10). Kwa chaguo-msingi, kigezo hiki kimewekwa hadi 10, ambacho kinalingana na KB 10.
  • BitmapCacheSize pia inaweza kuwekwa kuwa 10000 (MB 10). Hutatambua kama muunganisho wa RDP unatumia MB 10 za ziada za RAM yako

Sitasema chochote kuhusu kusambaza vichapishaji vyovyote, nk. Yeyote anayehitaji nini, anapeleka mbele.

Hii inahitimisha sehemu kuu ya usanidi. Katika hakiki zifuatazo nitakuambia jinsi unaweza kuboresha zaidi na kulinda RDP. Tumia RDP kwa usahihi, uwe na muunganisho thabiti kila mtu! Tazama jinsi ya kutengeneza seva ya terminal ya RDP kwenye toleo lolote la Windows.



MAKALA INAYOHUSIANA