Як настроїти віддалене підключення до сервера. Підключення до віддаленого робочого стола за допомогою вбудованого в Windows RDP-клієнта

У всіх редакціях ОС Windows, починаючи з XP, є стандартний RDP – клієнт, який використовується для підключення до служби віддалених робочих столів. У цій статті я хочу докладно описати можливості даної програми.

RDP-клієнт використовується для підключення до сервера терміналів за протоколом Remote Desktop Protocol або через віддалений робочий стіл. Про встановлення сервера терміналом можна також прочитати на цьому сайті.

Запустити програму «» можна з меню « Пуск» — « Усі програми» — « Стандартні» — « Підключення до віддаленого робочого столу», або ж виконавши команду mstsc.exe(Для цього необхідно натиснути комбінацію клавіш WIN+Rі вписати ім'я команди у вікні « Виконати»). Відповідно, сам виконуючий файл mstsc.exeзнаходиться в директорії C:\Windows\System32. Для зручності можна винести ярлик на робочий із заданими налаштуваннями.

У вікні потрібно ввести ip-адресу або ім'я того сервера, до якого ви хочете підключитися.

При підключенні вам буде запропоновано ввести облікові дані. Після введення ви потрапите на робочий стіл сервера.

Для зміни параметрів необхідно натиснути на посилання « Показати параметри» у головному вікні програми.

У меню можна налаштувати необхідні вам параметрами, які будуть використовуватися при підключенні.

На другій вкладці « Екран» налаштовується розмір віддаленого робочого стола, що підключається, і глибина кольору для віддаленого сеансу. Так само можна прибрати панель підключення, що зовсім виїжджає зверху, але я вам не раджу цього робити, так як закрити підключення через Alt+F4не вийти, якщо в налаштуваннях стоїть використання клавіш « на віддаленому комп'ютері», а закрити з'єднання можна буде лише через «Диспетчер завдань».

На вкладці « Локальні ресурси» налаштовуються передача звуку - запис та відтворення. Для налаштування необхідно натиснути кнопку « Параметри».

Також тут налаштовується Використання клавіш.», Про які я писав вище.

На цій вкладці можна настроїти включення або вимкнення «Принтерів» та «Буфер обміну», які будуть використовуватися під час віддаленого сеансу, шляхом зняття або, навпаки, встановлення прапора тих параметрів, які вам потрібні.

А якщо натиснути на кнопку « Детальніше», то можна буде поставити підключення «Смарт карт», якщо, звичайно, у вас є Смарт карта з обліковими даними, також можна підключити будь-який диск або DVD-диск і CD-ROM локального комп'ютера з якого відбувається підключення.

На вкладці « Програми» можна настроїти запуск тієї програми, яка автоматично запускатиметься при вході користувача на віддалений робочий стіл. Тут налаштовується робочий каталог користувача.

На наступній вкладці « Взаємодія», можна вказати швидкість з'єднання з термінальним сервером та вказати ті параметри, які потрібні чи не потрібні для підвищення продуктивності. Хоча в наш час високошвидкісного інтернету ці налаштування вже не актуальні, тому можна сміливо залишити автовизначення.

На вкладці « Додатково» настроюється автентифікація сервера.

Також можна налаштувати підключення через шлюз віддалених робочих столів, натиснувши кнопку « Параметри».

Щоб зберегти всі виставлені параметри, потрібно перейти на вкладку « Загальні» та зберегти налаштування у вигляді ярлика підключення по RDP у будь-якому зручному для вас місці та з будь-якою назвою.

Через отриманий таким чином ярлик ви підключатиметеся до віддаленого робочого столу з раніше зробленими і збереженими налаштуваннями.

Чи допомогла Вам ця стаття?

Віддалений робочий стіл – це функціонал операційної системи, що дозволяє виконувати адміністрування віддаленого комп'ютера в реальному часі, використовуючи локальну мережу або Інтернет як середовище передачі даних. Реалізацій віддаленого робочого столу є безліч залежно від протоколу або операційної системи. Найбільш поширеним рішенням в операційній системі сімейства Windows є Remote Desktop Protocol (RDP), а в системах на ядрі Linux – VNC та X11.

Як увімкнути можливість віддаленого робочого столу

За промовчанням на робочій станції під керуванням Windows вимкнено можливість стати сервером сеансу RDP.

На піктограмі «Мій комп'ютер» натискаємо правою кнопкою миші, вибираємо в контекстному меню пункт «Властивості».

Вибираємо пункт «Налаштування віддаленого доступу» у лівому меню. При цьому будуть потрібні привілеї адміністратора.

Відкриється вікно «Властивості системи», в якому на вкладці «Віддалений доступ» потрібно виставити дозвіл доступу до цього комп'ютера, як це зроблено на скріншоті нижче.

При необхідності можна вибрати користувачів, під якими можна виконати вхід до системи.

Крім того, якщо у вас встановлений мережевий фільтр (Firewall), потрібно створити дозвільне правило на підключення до цього комп'ютера у властивостях мережного адаптера або аплеті брандмауера Windows в панелі управління.

Як підключитися до віддаленого робочого столу

Підключення до віддаленого робочого столу можна здійснити кількома способами. Пройти в головне меню системи "Пуск - Всі програми - Стандартні - Підключення до віддаленого робочого столу"

Або виконати команду в командному рядку Windows (або вікні « Виконати»)

Обидва ці способи рівнозначні і запускають ту саму програму – майстер підключення до віддаленого робочого столу.

У вікні майстра можна вказати ім'я або IP-адресу комп'ютера, до якого потрібно здійснити підключення, а також вказати спеціальні параметри, такі як роздільна здатність екрана, передачу локальних (буфер обміну, локальні диски) або віддалених (звуки) ресурсів.

Вводимо IP адресу віддаленого вузла та натискаємо кнопку « Підключити».

Найімовірніше ми побачимо попередження про проблеми автентифікації віддаленого комп'ютера. Якщо ми впевнені, що не помилилися в написанні адреси або імені, можна натискати «Так», після чого підключення до вузла буде ініціалізоване.

Крім того, потрібно ввести облікові дані віддаленого користувача.

Якщо ми ніде не помилилися, то згодом побачимо робочий стіл віддаленого комп'ютера, де ми можемо робити певні дії. Керувати вказівником миші, вводити символи з клавіатури тощо.

Як було зазначено раніше, для зручності адміністрування системи ми можемо передавати локальні ресурси, такі як принтери, логічні диски чи буфер обміну на віддаленій машині.

Для цього у вікні майстра підключення до віддаленого робочого столу перейти на вкладку «Локальні ресурси», натиснути на кнопку «Докладніше…»

І у вікні вибрати, наприклад, Локальний диск (C:).

Тепер при підключенні дистанційного робочого столу ми побачимо наш локальний диск (C:) того комп'ютера, з якого здійснюється підключення.

Як збільшити безпеку віддаленого робочого столу

Не секрет, що залишати комп'ютер з активованим віддаленим робочим столом і вихід в Інтернет небезпечно. Справа в тому, що різного роду зловмисниками постійно проводиться сканування діапазонів мережевих адрес у пошуках запущених мережевих сервісів (у тому числі віддаленого робочого столу) з метою їхнього подальшого злому.

Одним із способів, здатних ускладнити завдання зловмисника з пошуку запущеного сервісу служби терміналів (RDP), є зміна стандартного номера порту на інше значення. За промовчанням служба RDP прослуховує мережний порт 3389/TCP в очікуванні вхідного підключення. Саме до цього порту зловмисники намагаються підключитись насамперед. Можна практично зі 100% упевненістю сказати, що якщо на комп'ютері відкритий порт із цим номером, то на ньому запущена система Windows з дозволеним віддаленим доступом.

Увага! Подальші дії із системним реєстром потрібно виконувати дуже уважно. Зміна певних параметрів може зробити операційну систему непрацездатною.

Для того, щоб змінити номер порту віддаленого робочого столу, потрібно відкрити редактор реєстру та відкрити розділ:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Потім знайти REG_DWORDпараметр PortNumber і змінити його значення у десятковій системі на довільне число (від 1024 до 65535).

Після зміни значення комп'ютера слід перезавантажити. Тепер для доступу до віддаленого робочого столу потрібно вказати додатково наш порт через двокрапку. У цій ситуації як ім'я комп'ютера потрібно вказати 10.0.0.119:33321

Ну а зловмисники, спробувавши стандартний порт, ймовірно, зроблять висновок про те, що на даному комп'ютері не дозволено віддалений доступ протоколу RDP. Звичайно, такий спосіб не врятує від цілеспрямованих атак, коли ретельно перевіряється кожен мережевий порт у пошуках лазівки, але від масових шаблонних атак це захистить.

Крім того, потрібно використовувати досить складний і довгий пароль для облікових записів, яким дозволено доступ по віддаленому робочому столі.

Remote Desktop Protocol або RDP надає можливість користувачу отримати доступ до віддаленого комп'ютера без безпосереднього контакту з ним. Це означає, що кожен бажаючий може бачити всі файли на робочому столі, запускати їх, працювати з ними так, ніби сидить прямо за комп'ютером.

Єдиний нюанс – робота через цей протокол завжди буде обмежена швидкістю інтернету. Перед роботою з даною технологією необхідно заздалегідь активувати її на тому пристрої, через який ви заходите у віддалений лептоп.

Налаштування доступу до віддаленого робочого столу Як налаштувати rdp для Windows 7? Немає нічого простішого!Далі вибирайте «Система та безпека» – «Система». Після цього ви побачите пункт «Налаштування віддаленого доступу», натисніть на нього. Слідом з'явиться віконце, в якому потрібно буде поставити галочку навпроти «Дозволяти підключення від комп'ютерів з будь-якою версією віддаленого робочого столу». Для зручності вашої роботи за комп'ютером не забудьте правильно .

Налаштування клієнта для протоколу RDP

Насамперед, давайте розберемося, що таке клієнт. Клієнт – це компонент системи, який посилає запити серверу.Зазначу, що клієнти для RPD існують практично в кожній ОС, зрозуміло, Windows 7 теж. До речі, для цієї операційної системи використовується вбудований додаток MsTsc.exe.

Отже, щоб налаштувати клієнт, виконуємо такі нескладні кроки. Заходимо в "Пуск" - "Виконати", з'являється вікно, в якому вводимо mstsc і натискаємо "Далі".Щоб налаштувати звичайний доступ без заданих налаштувань, вводимо у відповідному полі IP комп'ютера, до якого потрібен доступ. Далі ви побачите налаштування, в яких можна змінити різні параметри, наприклад звук. Натискаємо «Enter», і все, налаштування закінчено!

Додаткові параметри

До них відноситься можливість налаштувати екран, віддалені звуки, налаштувати підключення і т.д.Наприклад, можливості екрана редагуються у вкладці «Налаштування відображення». Там же можна вибрати роздільну здатність віддаленого робочого столу, його фон, глибину кольору. А як налаштувати яскравість екрана безпосередньо на тому комп'ютері, за яким ви на даний момент працюєте, описано в цій

Ця стаття відкриває цикл статей, присвячених пристрою та безпеці протоколу RDP. У першій статті цього циклу аналізується пристрій, використання та основні технології, закладені в даний протокол.

Ця стаття відкриває цикл статей, присвячених пристрою та безпеці протоколу RDP. У першій статті цього циклу аналізується пристрій, використання та основні технології, закладені в даний протокол.

У наступних статтях будуть детально розглянуті такі питання:

  • Робота підсистеми безпеки Remote Desktop
  • Формат обміну службовою інформацією у RDP
  • Вразливі місця сервера терміналів та шляхи їх усунення
  • Підбір облікових записів користувачів за протоколом RDP (розробки компанії Positive Technologies в даній галузі)

Історія появи RDP

Протокол Remote Desktop створений компанією Microsoft для забезпечення віддаленого доступу до серверів та робочих станцій Windows. Протокол RDP розрахований використання ресурсів високопродуктивного сервера терміналів багатьма менш продуктивними робочими станціями. Вперше сервер терміналів (версія 4.0) з'явився у 1998 році у складі Windows NT 4.0 Terminal Server, на момент написання статті (січень 2009 року) останньою версією термінального сервера є версія 6.1, включена до дистрибутивів Windows 2008 Server та Windows Vista SP1. В даний час RDP є основним протоколом віддаленого доступу для систем сімейства Windows, а клієнтські програми існують як для OC від Microsoft, так і Linux, FreeBSD, MAC OS X та ін.

Говорячи про історію появи RDP, не можна не згадати компанії Citrix. Citrix Systems у 1990-х роках спеціалізувалася на розрахованих на багато користувачів системах і технологіях віддаленого доступу. Після придбання ліцензії на вихідні коди Windows NT 3.51 в 1995 році ця компанія випустила розраховану на багато користувачів версію Windows NT, відому як WinFrame. У 1997 році Citrix Systems і Microsoft уклали договір, за яким розрахована на багато користувачів середовище Windows NT 4.0 базувалася на технологічних розробках Citrix. У свою чергу Citrix Systems відмовилася від поширення повноцінної операційної системи та отримувала право на розробку та реалізацію розширень для продуктів Microsoft. Дані розширення спочатку називалися MetaFrame. Права на ICA (Independent Computing Architecture), прикладний протокол взаємодії тонких клієнтів із сервером програм Citrix, залишилися за Citrix Systems, а протокол Microsoft RDP будувався на базі ITU T.120.

В даний час основна конкурентна боротьба між Citrix і Microsoft розгорілася в області додаткових серверів для малого і середнього бізнесу. Зазвичай рішення з урахуванням Terminal Services виграють у системах з невеликою кількістю однотипних серверів і подібних змін, тоді як Citrix Systems міцно влаштовувалася над ринком складних і високопродуктивних систем. Конкуренція підігрівається випуском полегшених рішень для невеликих систем Citrix і постійним розширенням функціоналу Terminal Services з боку Microsoft.

Розглянемо переваги цих рішень.

Сильні сторони Terminal Services:

  • Простота установки додатків для клієнтської частини сервера додатків
  • Централізоване обслуговування сесій користувача
  • Необхідність ліцензії лише на Terminal Services

Сильні сторони рішень Citrix:

  • Простота масштабування
  • Зручність адміністрування та моніторингу
  • Політика розмежування доступу
  • Підтримка корпоративних продуктів сторонніх розробників (IBM WebSphere, BEA WebLogic)

Пристрій мережі, яка використовує Terminal Services

Microsoft передбачає два режими використання протоколу RDP:

  • для адміністрування (Remote administration mode)
  • для доступу до сервера програм (Terminal Server mode)

RDP у режимі адміністрування

Цей вид з'єднання використовується всіма сучасними операційними системами Microsoft. Серверні версії Windows підтримують одночасно два віддалених підключення та один локальний вхід у систему, тоді як клієнтські - лише один вхід (локальний чи віддалений). Для дозволу віддалених підключень потрібно увімкнути віддалений доступ до робочого столу у властивостях робочої станції.

RDP у режимі доступу до сервера терміналів

Цей режим доступний лише у серверних версіях Windows. Кількість віддалених підключень у цьому випадку не лімітується, але потрібне налаштування сервера ліцензій (License server) та його подальша активація. Сервер ліцензій може бути встановлений як сервер терміналів, і окремий мережевий вузол. Можливість віддаленого доступу до сервера терміналів відкривається лише після встановлення відповідних ліцензій на License server.

При використанні кластера термінальних серверів та балансування навантаження потрібне встановлення спеціалізованого сервера підключень (Session Directory Service). Даний сервер індексує сесії користувача, що дозволяє виконувати вхід, а також повторний вхід на термінальні сервери, що працюють у розподіленому середовищі.

Принцип роботи RDP

Remote Desktop є прикладним протоколом, що базується на TCP. Після встановлення з'єднання на транспортному рівні ініціалізується RDP-сесія, в рамках якої узгоджуються різні параметри передачі даних. Після успішного завершення фази ініціалізації сервер терміналів починає передавати клієнту графічний висновок і чекає на вхідні дані від клавіатури та миші. Як графічний висновок може виступати як точна копія графічного екрану, що передається як зображення, так і команди на малювання графічних примітивів (прямокутник, лінія, еліпс, текст та ін.). Передача виведення за допомогою примітивів є пріоритетною для протоколу RDP, оскільки значно заощаджує трафік; а зображення передається лише в тому випадку, якщо інше неможливе з будь-яких причин (не вдалося погодити параметри передачі примітивів під час встановлення RDP-сесії). RDP-клієнт обробляє отримані команди та виводить зображення за допомогою своєї графічної підсистеми. Введення за замовчуванням передається за допомогою скан-кодів клавіатури. Сигнал натискання та відпускання клавіші передається окремо за допомогою спеціального прапорця.

RDP підтримує кілька віртуальних каналів у межах одного з'єднання, які можуть використовуватися для забезпечення додаткового функціоналу:

  • використання принтера або послідовного порту
  • перенаправлення файлової системи
  • підтримка роботи з буфером обміну
  • використання аудіо-підсистеми

Характеристики віртуальних каналів узгоджуються на етапі встановлення з'єднання.

Забезпечення безпеки під час використання RDP

Специфікація протоколу RDP передбачає використання одного з двох підходів до безпеки:

  • Standard RDP Security (вбудована підсистема безпеки)
  • Enhanced RDP Security (зовнішня підсистема безпеки)

Standard RDP Security

При цьому підході автентифікація, шифрування та забезпечення цілісності реалізується засобами, закладеними в протоколі RDP.

Аутентифікація

Аутентифікація сервера виконується так:

  1. При старті системи генерується пара RSA-ключів
  2. Створюється сертифікат (Proprietary Certificate) відкритого ключа
  3. Сертифікат підписується RSA-ключом, зашитим в операційну систему (будь-який RDP-клієнт містить відкритий ключ даного вбудованого RSA-ключа).
  4. Клієнт підключається до сервера терміналів та отримує Proprietary Certificate
  5. Клієнт перевіряє сертифікат і отримує відкритий ключ сервера (цей ключ використовується надалі для узгодження параметрів шифрування)

Аутентифікація клієнта проводиться при введенні імені користувача та пароля.

Шифрування

Як алгоритм шифрування вибрано потоковий шифр RC4. Залежно від версії операційної системи, доступні різні довжини ключа від 40 до 168 біт.

Максимальна довжина ключа для операційних систем Winodws:

  • Windows 2000 Server – 56 біт
  • Windows XP, Windows 2003 Server – 128 біт
  • Windows Vista, Windows 2008 Server – 168 біт

При установці з'єднання після узгодження довжини генерується два різні ключі: для шифрування даних від клієнта та сервера.

Цілісність

Цілісність повідомлення досягається застосуванням алгоритму генерації MAC (Message Authentication Code) з урахуванням алгоритмів MD5 і SHA1.

Починаючи з Windows 2003 Server, для забезпечення сумісності з вимогами стандарту FIPS (Federal Information Processing Standard) 140-1 можливе використання алгоритму 3DES для шифрування повідомлень та алгоритму генерації MAC, який використовує лише SHA1, для забезпечення цілісності.

Enhanced RDP Security

У цьому підході використовуються зовнішні модулі безпеки:

  • TLS 1.0
  • CredSSP

Протокол TLS можна використовувати, починаючи з версії Windows 2003 Server, але тільки якщо його підтримує клієнт RDP. Підтримка TLS додана, починаючи з RDP-клієнта версії 6.0.

У разі використання TLS сертифікат сервера можна генерувати засобами Terminal Sercives або вибирати існуючий сертифікат зі сховища Windows.

Протокол CredSSP є поєднанням функціоналу TLS, Kerberos і NTLM.

Розглянемо основні переваги протоколу CredSSP:

  • Перевірка дозволу на вхід у віддалену систему до встановлення повноцінного RDP-з'єднання, що дозволяє заощаджувати ресурси сервера терміналів за великої кількості підключень
  • Надійна автентифікація та шифрування за протоколом TLS
  • Використання одноразового входу до системи (Single Sign On) за допомогою Kerberos або NTLM

Можливості CredSSP можна використовувати лише в операційних системах Windows Vista та Windows 2008 Server. Цей протокол включається прапором Use Network Level Authentication у налаштуваннях сервера терміналів (Windows 2008 Server) або у налаштуваннях віддаленого доступу (Windows Vista).

Схема ліцензування Terminal Services

У разі використання RDP для доступу до програм у режимі тонкого клієнта потрібне налаштування спеціалізованого сервера ліцензій.

Постійні ліцензії клієнта можуть бути встановлені на сервер тільки після проходження процедури активації, до її проходження можлива видача тимчасових ліцензій, лімітованих за терміном дії. Після активації сервера ліцензій надається цифровий сертифікат, що підтверджує його приналежність і справжність. Використовуючи цей сертифікат, сервер ліцензій може здійснювати подальші транзакції з базою даних Microsoft Clearinghouse і приймати постійні ліцензії клієнта для сервера терміналів.

Види клієнтських ліцензій:

  • тимчасова ліцензія (Temporary Terminal Server CAL)
  • ліцензія на пристрій (Device Terminal Server CAL)
  • ліцензія на користувача (User Terminal Server CAL)
  • ліцензія для зовнішніх користувачів (External Terminal Server Connector)

Тимчасова ліцензія

Даний вид ліцензії видається клієнту при першому підключенні до сервера терміналів термін дії ліцензії 90 днів. При успішному вході клієнт продовжує працювати з тимчасовою ліцензією, а при наступному підключенні сервер терміналів намагається замінити тимчасову ліцензію на постійну, при її наявності в сховищі.

Ліцензія "на пристрій"

Ця ліцензія видається для кожного фізичного пристрою, що підключається до сервера програми. Термін дії ліцензії встановлюється випадково у проміжку від 52 до 89 днів. За 7 днів до закінчення терміну дії сервер терміналів намагається оновити ліцензію із сервера ліцензій при кожному новому підключенні клієнта.

Ліцензія «на користувача»

Ліцензування на користувача забезпечує додаткову гнучкість, дозволяючи користувачам підключатися з різних пристроїв. У поточній реалізації Terminal Services немає засобів контролю використання користувацьких ліцензій, тобто. кількість доступних ліцензій на сервері ліцензій не зменшується при підключенні нових користувачів. Використання недостатньої кількості ліцензій на підключення клієнтів порушує ліцензійну угоду з компанією Microsoft. Щоб одночасно використовувати на одному сервері терміналів клієнтські ліцензії для пристроїв та користувачів, сервер повинен бути налаштований для роботи в режимі ліцензування «на користувача».

Ліцензія для зовнішніх користувачів

Це спеціальний вид ліцензії, який призначений для підключення зовнішніх користувачів до корпоративного сервера терміналів. Ця ліцензія не накладає обмежень на кількість підключень, однак, відповідно до угоди (EULA), сервер терміналів для зовнішніх підключень повинен бути виділеним, що не допускає його використання для обслуговування сесій від корпоративних користувачів. Через високу ціну даний вид ліцензії не набув широкого поширення.

Для сервера ліцензій може бути встановлена ​​одна з двох ролей:

  • Сервер ліцензій для домену або робочої групи (Domain or Workgroup License server)
  • Сервер ліцензій підприємства (Entire Enterprise License Server)

Ролі відрізняються способом виявлення сервера ліцензій: під час використання ролі Enterprise термінальний сервер виконує пошук сервера ліцензії за каталогом ActiveDirectory, інакше пошук виконується з допомогою широкомовного NetBIOS- запроса. Кожен знайдений сервер перевіряється на коректність за допомогою RPC-запиту.

Перспективні технології Terminal Services

Рішення для серверів програм активно просуваються компанією Microsoft, розширюється функціонал, вводяться додаткові модулі. Найбільшого розвитку набули технології, що спрощують встановлення додатків та компоненти, відповідальні за роботу сервера терміналів у глобальних мережах.

У Terminal Services для Windows 2008 Server введено такі можливості.

Існує думка, що підключення по віддаленому робочому столі Windows (RDP) дуже небезпечно порівняно з аналогами (VNC, TeamViewer, ін.). Як наслідок, відкривати доступ з-за будь-якого комп'ютера або сервера локальної мережі дуже необачне рішення - обов'язково зламають. Другий аргумент проти RDP зазвичай звучить так - «жере трафік, для повільного інтернету не варіант». Найчастіше ці аргументи нічим не аргументовані.

Протокол RDP існує не перший день, його дебют відбувся ще на Windows NT 4.0 більше 20 років тому і з того часу вибігло багато води. На даний момент RDP не менш безпечний, ніж будь-яке інше рішення для віддаленого доступу. Що стосується необхідної смуги пропускання, то в цьому плані є купа налаштувань, за допомогою яких можна досягти відмінної чуйності та економії смуги пропускання.

Коротше кажучи, якщо знати що, як і де налаштувати, RDP буде дуже хорошим засобом віддаленого доступу. Питання в іншому, а чи багато адмінів намагалися вникнути в налаштування, заховані трохи глибше, ніж на поверхні?

Зараз розповім, як захистити RDP і налаштувати його на оптимальну продуктивність.

По-перше, версій протоколу RDP існує багато. Весь подальший опис буде застосовано до RDP 7.0 і вище. Це означає, що у вас як мінімум Windows Vista SP1. Для любителів ретро є спеціальний апдейт для Windows XP SP3 KB 969084який додає RDP 7.0 в цю операційну систему.

Налаштування №1 - шифрування

На комп'ютері, до якого ви збираєтеся підключатися відкриваємо gpedit.msc Ідемо в Конфігурація комп'ютера - Адміністративні шаблони - Компоненти Windows - Служби віддалених робочих столів - Безпека

Встановлюємо параметр «Вимагати використання спеціального рівня безпеки для віддалених підключень за методом RDP» у значення «Увімкнено» та Рівень безпеки у значення «SSL TLS 1.0»

Цим настроюванням ми включили шифрування як таке. Тепер нам потрібно зробити так, щоб застосовувалися лише стійкі алгоритми шифрування, а не якийсь DES 56-bit або RC2.

Тому в цій гілці відкриваємо параметр «Встановити рівень шифрування для клієнтських підключень». Включаємо та вибираємо «Високий» рівень. Це нам дасть 128-бітове шифрування.

Але це ще не межа. Найбільший рівень шифрування забезпечується стандартом FIPS 140-1. При цьому всі RC2/RC4 автоматично йдуть лісом.

Щоб увімкнути використання FIPS 140-1, потрібно в цьому ж оснащенні піти в Конфігурація комп'ютера - Конфігурація Windows - Параметри безпеки - Локальні політики - Параметри безпеки.

Шукаємо параметр «Системна криптографія: використовувати FIPS-сумісні алгоритми для шифрування, хешування та підписування» та включаємо його.

І на завершення обов'язково включаємо параметр «Вимагати безпечне RPC-підключення» на шляху Конфігурація комп'ютера - Адміністративні шаблони - Компоненти Windows - Служби віддалених робочих столів - Безпека.

Цей параметр вимагає від клієнтів, що підключаються, обов'язкове шифрування відповідно до тих установок, які ми налаштували вище.

Тепер із шифруванням повний порядок, можна рухатися далі.

Налаштування №2 - зміна порту

За замовчуванням протокол RDP висить на порту TCP 3389. Для його різноманітності можна змінити, для цього в реєстрі потрібно змінити ключик PortNumber за адресою

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Налаштування №3 - мережна автентифікація (NLA)

За замовчуванням, ви можете підключитися по RDP не вводячи логін та пароль і побачити Welcome-скрин віддаленого робочого столу, де вже від вас попросять залогінитися. Це якраз зовсім не безпечно в тому плані, що такий віддалений комп можна легко задовольнити.

Тому все в тій самій гілці включаємо параметр «Вимагати автентифікацію користувача для віддалених підключень шляхом перевірки автентичності на рівні мережі»

Налаштування №4 - що ще перевірити

По-перше, перевірте, що параметр "Облікові записи: дозволяти використання порожніх паролів тільки при консольному вході" увімкнено. Параметр можна знайти в Конфігурація комп'ютера - Адміністративні шаблони - Компоненти Windows - Служби віддалених робочих столів - Безпека.

По-друге, не забудьте перевірити список користувачів, які можуть підключатися через RDP

Налаштування №5 - оптимізація швидкості

Йдемо до розділу Конфігурація комп'ютера - Адміністративні шаблони - Компоненти Windows - Служби віддалених робочих столів - Середовище віддалених сеансів.

Тут можна і потрібно відрегулювати декілька параметрів:

  • Найбільша глибина кольору можна обмежитися 16 бітами. Це дозволить заощадити трафік більше ніж у 2 рази порівняно з 32-бітною глибиною.
  • Примусове скасування фонового малюнка віддаленого столу – для роботи він не потрібен.
  • Завдання алгоритму стиснення RDP - краще встановити значення оптимізації використання смуги пропускання. У цьому випадку RDP жертиме пам'яті трохи більше, але стискати буде ефективніше.
  • Оптимізувати візуальні ефекти для сеансів служб віддалених робочих столів – ставимо значення «Текст». Для роботи те, що потрібно.

В іншому при підключенні до віддаленого комп'ютера з боку клієнта додатково можна вимкнути:

  • Згладжування шрифтів. Це дуже зменшить час відгуку. (Якщо у вас повноцінний термінальний сервер, цей параметр також можна задати на стороні сервера)
  • Композицію робочого столу - відповідає за Aero та ін
  • Відображення вікна під час перетягування
  • Візуальні ефекти
  • Стилі оформлення – якщо хочеться хардкору

Інші параметри типу фону робочого столу, глибини кольору ми вже визначили за сервера.

Додатково на стороні клієнта можна збільшити розмір кешу зображень, що робиться це в реєстрі. За адресою HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\ потрібно створити два ключі типу DWORD 32 BitmapPersistCacheSize та BitmapCacheSize

  • BitmapPersistCacheSize можна встановити рівним 10000 (10 Мб). За замовчуванням цей параметр бере значення 10, що відповідає 10 Кб.
  • BitmapCacheSize також можна встановити рівним 10000 (10 Мб). Ви навряд чи помітите, якщо RDP-підключення з'їсть зайвих 10 Мб від оперативної пам'яті

Про прокидання всяких принтерів і говорити нічого не буду. Кому що потрібно, той і прокидає.

На цьому основна частина налаштування закінчується. У наступних оглядах розповім, як можна ще покращити та убезпечити RDP. Використовуйте RDP правильно, всім стабільного коннекту! Як зробити RDP термінал сервер на будь-якій версії Windows дивіться.



ПОХОДЖЕННЯ СТАТТІ