Úroveň šifrování RDP. Standardní nástroj Windows pro vzdálený přístup přes RDP v rámci lokální sítě. Historie RDP

Úroveň šifrování RDP. Standardní nástroj Windows pro vzdálený přístup přes RDP v rámci lokální sítě. Historie RDP

RDP - Remote Desktop Protocol

Nejprve zde budeme hovořit o samostatném serveru. Tedy o samostatném serveru. A ne o řadičích domény a podnikových sítích. (vyžadují se tam vysoce kvalifikovaní specialisté)

Situace, kdy vám přišel na mysl nápad a rozhodli jste se ho uvést v život. A k jeho implementaci je potřeba mít Server, který si pronajmete v určitém datovém centru.

Vybrali jste si vhodný tarif, zaplatili peníze a nyní již máte Server, na kterém je nainstalován potřebný software. Ve většině případů pro takové pilotní projekty postačuje Windows 2003 Server. Docela levné a efektivní.

Technická podpora vám poskytne IP adresu, přihlašovací jméno a heslo pro přístup k RDP a vy můžete začít svou cestu plnou... no, obecně – nezdá se to jako mnoho.

Ve výchozím nastavení můžeme říci, že tato služba ve Windows je nakonfigurována tak, aby uživateli způsobila spoustu potíží a problémů.

I když to samozřejmě funguje samo o sobě a svou funkci plní perfektně. Jenže postupem času (někdy už může být pozdě) si neopatrný majitel vzdáleného serveru s hrůzou uvědomí, co se vlastně s jeho systémem děje a jaký dav krvežíznivých lidí stojí kolem zdí jeho pevnosti.
Je to jako vypnout infračervený filtr na DVR a najednou začít vidět zdroje videa – kamery dopravní policie se záznamem fotografií a signály z dálkových ovladačů televizorů.

Začnete vidět a pak možná pochopíte.

Na jedné straně vývojáři softwaru předstírají, že své systémy vyrábějí pro běžného člověka, a vy tomu začnete věřit.

Ale na druhou stranu titíž vývojáři předpokládají, že klávesnici může zvednout pouze certifikovaný specialista. A to tak, že certifikát je z letošního roku.

Takový je paradox.

Řeknu vám, jak to doopravdy vypadá.

Ale ve skutečnosti si hordy hackerů po přečtení tuctu řádků na fórech stahují hotové seznamy serverů s otevřeným portem RDP. A začnou se vám vloupat do auta. Někteří to dělají ručně (ale to je vzácné), ale většinou s různými programy, které používají slovníky hrubou silou: přihlášení - heslo. A nikdo je v ničem neomezuje. Dokonce je jim tam občas těsno.

Navíc se podívám na protokoly a vidím, že z velké části se jedná o stejné slovníky.

A váš server je nucen se bránit. a nevíte. A nechápete, proč je váš výkon nízký a proč zpracování požadavků trvá tak dlouho.

Přemýšlíš o skvělých věcech. Strategicky, o funkčnosti. A tady - jakési brzdy jsou nepochopitelné.

Začnete tedy optimalizovat paměť, mazat dočasné proměnné, defragmentovat disky atp.

A možná se dokonce blíže podívejte na kartu Události v modulu snap-in pro správu.

Ale ujišťuji vás, že tam důvod neuvidíte! Protože pokusy o zadání nesprávného loginu a hesla se tam nezobrazují. Možná se dokonce budete hádat s ostatními lidmi, že vás nezlomí, protože se bojí nebo vás respektují.
Ne. Ujišťuji vás, že vývojáři jsou prostě takoví vtipálci. A zpočátku misky vah mírně naklánějí směrem k temnotě. Říká se, že pokud by se tyto události zobrazovaly, zatížení serveru by bylo vyšší.
Ale mějte na paměti, že první věc, kterou by měl každý udělat, je zapnout tento displej. I když samozřejmě existují určité technologické systémy zcela uzavřené před okolním světem, kde nikdo nikdy nic nehackne. Ale právě takové systémy slouží celým týmům profesionálů.

Začněme tedy nápravou této situace a uvedením systému do normálního funkčního stavu.

Co budeme dělat:

  1. Omezíme počet povolených současně otevřených relací.
    (Pokud si spravujete vzdálený server sami, proč potřebujete někoho jiného, ​​aby server spravoval ve stejnou dobu jako vy?
    I když může být potřeba ještě jeden – například pro technickou podporu. A proč víc?)
  2. A rozsviťte světlo. To znamená, že umožníme systému zobrazit neúspěšné pokusy o přihlášení v modulu snap-in „Události“.
    A tady budete překvapeni.
  3. Zakážeme přístup na server z více než 3000 IP adres, které, přísně vzato, nedělají nic jiného, ​​než že způsobují lidem problémy. Import černé listiny.

Pokud z ničeho nic zadáte na síti požadavky na nastavení RDP, narazíte na spoustu rad (a dlouho jsem si byl jistý, že byly velmi účinné, dokud jsem se nerozhodl provést experiment )

  1. Omezte počet povolených neúspěšných pokusů o přihlášení.
    (Pokud nejste opilí, stačí 3x, abyste pochopili, že klávesnice je ve špatném jazyce a ve špatném registru.)
  2. Omezte čas na tyto 3 pokusy.
    (Můžete to dělat 3krát týdně nebo 3krát za sekundu a také vícevláknové. A proto, protože žádný ze skvělých hackerů dlouho nešťouchal do klávesnice jedním prstem při výběru písmene, je tam slušný provoz, který za 10 minut, který vývojáři určili, stihne vyřešit několik stovek, několik tisíc kombinací.)
  3. Nastavte čas blokování vstupu, pokud jste opilí, nebo pokud nejste vy.
    (Výchozí nastavení jsou 3 minuty, což nikoho nenaštve. Nastavme to na půl hodiny. Ať se čekání unaví.)

Přiznám se, že jsem byl velmi rád, když jsem takové články našel, a hned jsem udělal vše správně. Byl jsem si jistý, že se nyní mohu soustředit na samotný projekt a nestarat se příliš o bezpečnost.

Jak to byly desítky tisíc pokusů během dne. (a nesedím celý den s hlavou přilepenou k monitoru, ale jednou denně zajdu zkontrolovat funkčnost svých aplikací) Tak to zůstává.

A stále jsem nemohl pochopit, jak se to mohlo stát, takže vidím, že mám nakonfigurovány 3 pokusy a poté na 30 minut zablokovány. A tento robot je už šest hodin zaneprázdněn a neúnavně třídí přihlašovací údaje od „Administrátora“ po „ferapont“.
Všechno ale nebylo volno. A pak – vše jsem nastavil, tak by to mělo fungovat!

Jednou jsem musel přenést jeden ze svých projektů z jednoho serveru na druhý kvůli selhání pole RAID. A starý server mi byl nějakou dobu k dispozici, ale mohl jsem na něm bez obav zkoušet provádět nebezpečné i ne tak nebezpečné experimenty. Proto jsem se rozhodl to zkontrolovat.

Za tímto účelem jsem se několik minut pokoušel přihlásit pomocí nesprávného hesla a očekával jsem, že mě autentizační systém nyní zablokuje. Figurky. Se nic nestalo.

Strávil jsem několik dní podrobnějším studiem tohoto problému. Ponořil jsem se do manuálů a sporých komentářů. Každý nás na fórech ujišťuje, že tato metoda je super účinná.

A tohle vám teď řeknu:

  • za prvé, tato metoda funguje pouze pod doménovým řadičem (nevíte, co to je? Spit, nepotřebujete to) a pro samostatný server se musíte ponořit do speciálních znalostí a naučit se kouzla.
  • za druhé se ukazuje, a zřejmě mnozí mylně a naivně předpokládají opak (jako já), že při implementaci takového mechanismu bude zablokován ten, kdo se pokusí vstoupit.
    Ne - jen ne on. A budete zablokováni!
    Ano – je to váš účet, který bude zablokován po dobu, kdy jste se tam zaregistrovali. A vy sami se nikdy nebudete moci přihlásit na svůj vlastní server!

Když odejdu z domu a zamknu dveře, vylomím zámek. Navzdory babičce si omrznu uši.

Ale myslím, že rozloučení s takovými iluzemi stálo za pár dní trápení.

S preambulí jsme skončili. Pojďme pracovat.

1. Omezíme počet povolených současně otevřených relací.

Najděte a otevřete modul snap-in „Konfigurace terminálových služeb“:

V tomto modulu snap-in vyberte a otevřete kartu „vlastnosti“ RDP-Tcp, kde omezujeme „Maximální připojení“ na 2x pro všechny síťové adaptéry.

Klepněte na tlačítko OK. Nyní s vámi může ve stejnou dobu vstoupit pouze jedna další osoba. A bez vás bude muset každý, kdo bude chtít, stát ve frontách po dvou.
Postavte se do řady - mrchy!

2. Povolte zobrazení neúspěšných pokusů o přihlášení v modulu snap-in „Události“.

Najděte a otevřete modul snap-in „Místní nastavení zabezpečení“ a v něm – sekci: „Zásady auditu“:

A změňte hodnoty vlastností všech položek „Audit“ - jak je znázorněno na snímku obrazovky. Poté budete muset restartovat, aby se změny projevily.

Můžete počkat a po několika hodinách se podívat na nyní skutečný obraz, abyste pochopili, v jakém světě žijeme a kdo nás skutečně obklopuje.

3. Zakazujeme přístup k serveru ze 100% škodlivých IP adres. Import černé listiny.

Zde máte 2 možnosti:

  • Rychle a vše najednou.
  • Manuální, s pochopením toho, co přesně děláte.
Rychlá cesta.

Poté byste měli dostat něco takového:

Manuální metoda, s porozuměním.
  1. Nejprve musíte vytvořit další zásady. Otevřete modul snap-in „Místní nastavení zabezpečení“.
  2. Vyberte sekci „Zásady zabezpečení IP na místním počítači“ a klepněte pravým tlačítkem myši: „Vytvořit zásady zabezpečení IP...“ a spusťte Průvodce konfigurací.
  3. Vy vymyslíte název pro nové pravidlo. Například: "Blokovat IP".
  4. Dále klikněte na všechny otázky a na konci budete mít formulář pro úpravu vlastností Zásad.
  5. Přidat nové pravidlo. Klikněte. a pokud je zaškrtnuto políčko Průvodce, spustí se další Průvodce, na jehož otázky je třeba odpovědět.
  6. Koncový bod tunelu. lis
  7. Typ sítě. „Všechna síťová připojení“ již existuje. lis
  8. Seznam filtrů IP.
    Přidat nový filtr. Klikněte a vymyslete smysluplný název.

    Například: Block brute forceing IP.
    Jeho seznam je zatím prázdný. Uložíme tak, jak je.

Protokol RDP se zabezpečením síťové vrstvy (SSL) se bohužel příliš nepoužívá mezi správci systému, kteří preferují zabezpečení terminálových připojení jiným způsobem. To může být způsobeno zdánlivou složitostí metody, ale není tomu tak v tomto materiálu se podíváme na to, jak takovou ochranu jednoduše a bez obtíží zorganizovat.

Jaké výhody nám poskytuje zabezpečení RDP pomocí SSL? Za prvé, silné šifrování kanálu, autentizace serveru na základě certifikátu a autentizace uživatele na úrovni sítě. Druhá funkce je k dispozici počínaje Windows Server 2008. Ověřování na úrovni sítě pomáhá zlepšit zabezpečení terminálového serveru tím, že ověřuje uživatele před zahájením relace.

Autentizace na úrovni sítě se provádí před připojením ke vzdálené ploše a zobrazením přihlašovací obrazovky, což snižuje zatížení serveru a výrazně zvyšuje jeho ochranu před vetřelci a malwarem a také snižuje pravděpodobnost útoků odmítnutí služby.

Chcete-li plně využít výhod RDP oproti SSL, musí klientské počítače používat systém Windows XP SP3, Windows Vista nebo Windows 7 a používat klienta RDP verze 6.0 nebo novější.

Při použití systému Windows Server 2003 SP1 a novějších bude k dispozici šifrování kanálu pomocí SSL (TLS 1.0) a ověřování serveru musí mít klientské počítače RDP verze 5.2 nebo novější.

V našem článku se podíváme na nastavení terminálového serveru založeného na Windows Server 2008 R2, vše však bude platit i pro Windows Server 2003 (s výjimkou chybějících funkcí).

Pro úspěšnou implementaci tohoto řešení musí mít vaše síť fungující certifikační autoritu, jejíž konfiguraci jsme probrali v předchozím článku. Chcete-li důvěřovat certifikátům vydaným tímto CA na terminálovém serveru, musíte certifikát CA (nebo řetězec certifikátů) nainstalovat do úložiště Důvěryhodné kořenové certifikační úřady.

Poté byste měli požádat o certifikát pravosti serveru s následujícími parametry:

Odešlete žádost certifikační autoritě a nainstalujte vydaný certifikát. Tento certifikát musí být nainstalován v místním úložišti počítače, jinak jej Terminálové služby nemohou používat. Chcete-li to zkontrolovat, spusťte konzolu MMC (Start - Spustit - mmc) a přidejte zařízení Certifikáty(Soubor – Přidat nebo odebrat modul snap-in) pro počítačový účet.

V kořenovém adresáři konzoly vyberte kliknutí Zobrazit - Možnosti a nastavte režim prohlížení Uspořádejte certifikáty podle účelu. Vydaný certifikát musí být ve skupině Ověření serveru.

Pokud jste certifikát obdrželi pomocí izolované (samostatné) CA (síť nemá doménovou strukturu), bude standardně nainstalován do úložiště uživatelských účtů a budete muset provést řadu dalších kroků.

OTEVŘENO Internet Explorer - Možnosti Internetu - Obsah - Certifikáty, vydaný certifikát musí být nainstalován v obchodě Osobní.

Exportujte to. Při exportu zadejte následující možnosti:

  • Ano, exportovat soukromý klíč
  • Po úspěšném exportu odeberte soukromý klíč
Poté certifikát z tohoto úložiště smažte. Ve snímku Certifikáty (místní počítač) vybrat

kapitola Ověření serveru, klikněte na něj pravým tlačítkem Všechny úkoly - Import a importujte certifikát.

Nyní v Správa – Služby vzdálené plochy OTEVŘENO Konfigurace hostitele relace vzdálené plochy(ve Windows Server 2003 Nástroje pro správu – Konfigurace terminálových služeb).

A nakonec kapka masti v masti. Terminálové služby Windows nemohou ověřit pravost připojovaných klientů, takže v případě potřeby byste měli použít další metody zabezpečení, jako je tunel SSH nebo IPSec VPN.

Služba Remote Desktop Services (RDS) v systému Windows Server 2008 R2 má více než jen nový název; Toto není vaše starší terminálová služba. Díky novým komponentám (z nichž některé byly představeny v systému Windows Server 2008), jako jsou RemoteApp, RD Gateway a RD Virtualization Host, vám tato role serveru Windows nyní poskytuje flexibilitu při instalaci jednotlivých aplikací nebo celých počítačů pomocí řešení RDS nebo VDI – v mnoha případy bez potřeby Citrixu nebo jiných doplňků třetích stran.

Ale co bezpečnost? Všechny tyto přidané složitosti přicházejí s dalšími bezpečnostními aspekty. V tomto článku se podíváme na bezpečnostní mechanismy zabudované do RDS, jak pomocí nastavení konfigurace a zásad skupiny zlepšit zabezpečení a na osvědčené postupy pro zabezpečení instalace RDS.

Co je nového v R2

Pokud přecházíte na RDS po práci s Windows Server 2008 Terminal Services, neuvidíte tolik významných změn jako při přechodu ze systému Windows Server 2003. WS 2008 přidala některá významná vylepšení Terminálových služeb, včetně TS Web Access pro konektivitu prostřednictvím prohlížeče, bránu TS pro uživatele připojující se přes internet, aplikaci RemoteApp pro doručování jednotlivých aplikací uživatelům prostřednictvím protokolu RDP (Remote Desktop Protocol) a zprostředkovatele relací, který zahrnuje funkci vyrovnávání zátěže.

  • Virtualizace vzdálené plochy pro řešení VDI
  • Poskytovatel RDS pro PowerShell, takže správci mohou měnit konfiguraci a provádět úkoly v příkazovém prostředí a pomocí skriptů
  • Virtualizace síťových adres (Remote Desktop IP Virtualization), která umožňuje přiřadit IP adresy připojení pro každou jednotlivou relaci nebo program
  • Nová verze klienta RDP a připojení ke vzdálené ploše (RDC), verze 7.0
  • Plánování procesoru Fair Share pro dynamické rozdělení doby zpracování mezi relace na základě počtu aktivních relací.
  • Kompatibilní s Instalační službou systému Windows pro zjednodušení instalace programů, které vyžadují přizpůsobení pro jednotlivé uživatele.
  • Skutečná podpora více monitorů (až 16), díky čemuž programy fungují stejně jako na klientských strojích.

Došlo také k vylepšení podpory zvuku/videa a Windows Aero v relaci RD (nicméně pamatujte, že Desktop Composition, která pohání Aero, není podporována v relacích s více monitory).

Bezpečnostní aspekty a mechanismy

Možné problémy se zabezpečením samozřejmě závisí na způsobu instalace RDS. Pokud máte složitější konfiguraci, ve které se uživatelé připojují přes internet a/nebo prohlížeč, budete muset zvážit a propracovat více bezpečnostních aspektů, než kdybyste měli jednoduchou konfiguraci, ve které se uživatelé připojují pouze prostřednictvím klientů RDC přes LAN.

Služba RDS obsahuje řadu bezpečnostních mechanismů, které pomáhají zajistit bezpečnější připojení RD.

Ověření na úrovni sítě

Pro nejvyšší úroveň zabezpečení by mělo být pro všechna připojení vyžadováno ověřování na úrovni sítě (NLA). NLA vyžaduje, aby se uživatelé před vytvořením relace ověřili na serveru RD Session Host. To pomáhá chránit vzdálené počítače před uživateli se zlými úmysly a malwarem. Chcete-li používat NLA, klientský počítač musí používat operační systém, který podporuje protokoly Credential Security Support Provider (CredSSP), tj. Windows XP SP3 nebo vyšší, a musí mít klienta RDC 6.0 nebo vyšší.

NLA se konfiguruje na serveru RD Session Host v následující části: Nástroje pro správu | Služby vzdálené plochy | Konfigurace hostitele relace na ploše. Chcete-li nakonfigurovat připojení pro použití NLA, postupujte takto:

  1. Klepněte pravým tlačítkem myši na Připojení
  2. Vyberte Vlastnosti
  3. Přejděte na kartu Obecné
  4. Zaškrtněte políčko vedle „Povolit připojení pouze z počítačů se vzdálenou plochou s ověřováním na úrovni sítě“, jak je znázorněno na obrázku 1
  5. Klepněte na tlačítko OK.

Obrázek 1

Protokol TLS (Transport Layer Security).

Relace RDS může používat jednu ze tří úrovní zabezpečení k ochraně připojení mezi klienty a serverem hostitele relace RDS:

  • Úroveň zabezpečení RDP Tato úroveň používá nativní šifrování RDP a je nejméně zabezpečená. Server RD Session Host není ověřen.
  • Vyjednat "Pokud jej klient podporuje, bude použito šifrování TLS 1.0 (SSL). Pokud ne, relace se vrátí k zabezpečení RDP.
  • SSL "Šifrování TLS 1.0 bude použito k ověření serveru a šifrování dat přenášených mezi klientem a serverem Session Host. Toto je nejbezpečnější možnost.

Kromě výběru úrovně zabezpečení můžete také vybrat úroveň šifrování připojení. Zde jsou následující možnosti:

  • Low "používá 56bitové šifrování pro data odesílaná z klienta na server. Nešifruje data odesílaná ze serveru na klienta."
  • "Klient kompatibilní" je výchozí možnost. Šifruje data přenášená mezi klientem a serverem pomocí nejsilnějšího klíče, který klient podporuje.
  • Vysoká "Tato možnost šifruje data v obou směrech mezi klientem a serverem pomocí 128bitového šifrování.
  • Kompatibilní s FIPS – Tato možnost šifruje data přenášená v obou směrech mezi klientem a serverem pomocí šifrovacího algoritmu schváleného FIPS 140-1.

Upozorňujeme, že pokud vyberete možnost Vysoká nebo Kompatibilní s FIPS, nebudou se moci připojit klienti, kteří nepodporují tyto úrovně šifrování.

Zde je návod, jak nakonfigurovat nastavení ověřování a šifrování serveru:

  1. Na serveru RD Session Host otevřete sekci Konfigurace hostitele relací vzdálené plochy a poté vlastnosti připojení, jak je uvedeno výše.
  2. Na kartě Obecné vyberte z rozevíracího seznamu příslušnou úroveň zabezpečení a šifrování, jak je znázorněno na obrázku 2.
  3. Klepněte na tlačítko OK.

Obrázek 2

Ke správě těchto nastavení šifrování a ověřování, stejně jako dalších nastavení RDS, můžete také použít zásady skupiny.

Zásady skupiny

V systému Windows Server 2008 R2 existuje řada nastavení zásad skupiny pro RDS. Jsou umístěny v části Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Služby vzdálené plochy v Konzole pro správu zásad skupiny vaší domény, jak je znázorněno na obrázku 3.

Jak vidíte, existují zásady pro licencování klientů RDC a serveru RD Session Host. Zásady související se zabezpečením pro server RD Session Host zahrnují:

  • Šablona certifikátu pro ověření serveru: Pomocí této zásady zadejte název šablony certifikátu, který určuje, který certifikát bude automaticky vybrán k ověření serveru RD Session Host. Pokud tuto zásadu povolíte, při výběru certifikátu pro ověření serveru hostitele relací VP budou brány v úvahu pouze certifikáty vygenerované pomocí zadané šablony.
  • Nastavit úroveň šifrování připojení klienta: tato zásada se používá ke kontrole, zda bude vyžadována určitá úroveň šifrování. Když tuto zásadu povolíte, všechna připojení musí používat zadanou úroveň šifrování. Výchozí úroveň šifrování je Vysoká.
  • Při připojení vždy vyžadovat heslo: Pomocí této zásady můžete vynutit RDS, aby vždy vyzvala uživatele k zadání hesla při přihlašování k relaci RD, i když je heslo zadáno na klientovi RDC. Ve výchozím nastavení se uživatelé mohou přihlásit automaticky, pokud je na klientovi RDC zadáno heslo.
  • Vyžadovat zabezpečenou komunikaci RPC: Povolení této zásady znamená, že budou povoleny pouze šifrované a ověřené požadavky od klientů. Spojení s nedůvěryhodnými klienty nebudou povolena.
  • Vyžadovat použití specifické vrstvy zabezpečení pro vzdálená připojení (RDP): Pokud tuto zásadu povolíte, všechna připojení mezi klienty a servery hostitele relací musí používat úroveň zabezpečení, kterou zde určíte (RDP, Negotiate nebo SSL/TLS).
  • Nedovolit místním správcům přizpůsobit oprávnění: Tato zásada deaktivuje práva administrátorů měnit oprávnění zabezpečení v nástrojích Konfigurace hostitele relací VP, což brání místním správcům měnit skupiny uživatelů na kartě Oprávnění konfiguračního nástroje.
  • Vyžadovat ověření uživatele pro vzdálená připojení pomocí ověřování na úrovni sítě: Pomocí této zásady můžete vyžadovat NLA pro všechna vzdálená připojení k serveru RD Session Host. Připojit se budou moci pouze klienti s povoleným NLA.

Poznámka: Zde je návod, jak zjistit, zda klientský počítač podporuje ověřování síťové vrstvy: Otevřete klienta RDC a klikněte na ikonu v levém horním rohu a poté vyberte „ O programu". Pokud je podporováno NLA, uvidíte řádek "Network Level Authentication Supported".

Další nastavení zásad skupiny, která stojí za zmínku, se nacházejí v části Klient připojení k VP. Tyto zahrnují:

  • Nepovolit ukládání hesel: povolením této možnosti zakážete možnost ukládání hesel v dialogovém okně klienta RDC. Pokud uživatel otevře soubor RDP a uloží svá nastavení, dříve uložená hesla budou odstraněna. To nutí uživatele zadávat své heslo při každém přihlášení.
  • Zadejte otisky SHA1 certifikátů představujících důvěryhodné . vydavatelé rdp): Pomocí tohoto parametru můžete zadat seznam otisků certifikátů SHA1, a pokud se certifikát shoduje s otisky v seznamu, bude považován za důvěryhodný.
  • Dotázat se na zadání přihlašovacích údajů na klientském počítači: Tato zásada umožňuje dotazování na pověření spíše na klientských počítačích než na serveru RD Session Host.
  • Nakonfigurujte ověřování serveru pro klienta: Tento parametr umožňuje určit, zda klient bude moci vytvořit připojení k serveru RD Session Host, když nemůže ověřit identitu serveru RD Session Host. Nejbezpečnější možností je možnost „Nepřipojovat se, pokud se ověření nezdaří“.

Ke konfiguraci souladu s FIPS můžete také použít Zásady skupiny, ale tato zásada zde není k dispozici u jiných zásad zabezpečení RDS. Nachází se v následující části: Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení. V pravém podokně přejděte dolů na: "Systémová kryptografie: pro šifrování, hashování a podepisování použijte algoritmy vyhovující FIPS." Pokud je tato zásada povolena, podporuje pouze šifrovací algoritmus Triple DES (3DES) pro připojení RDS.

RD Web Access

Na počítačích, které nemají nainstalovaného klienta RDC, mohou uživatelé přistupovat k publikovaným aplikacím, ke kterým mají přístup z webového prohlížeče. Uživatel přejde na adresu URL, kde jsou publikovány prostředky RDS. Server pro webový přístup RD Web Access Server je samostatný server od hostitele RD Session Host. Určíte, které servery RD Web Access se mohou připojit ke kterým serverům RD Session Host.

Webové rozhraní je nakonfigurováno pomocí SSL a uživatel se musí autentizovat pomocí svých přihlašovacích údajů. Ověřený uživatel bude moci zobrazit pouze programy RemoteApp, které může jeho účet používat, protože tyto publikované programy jsou „oříznuty“ pomocí seznamu řízení přístupu (ACL).

Server Web Access používá k zajištění šifrování certifikát X.509. Výchozí nastavení je samoregistrovaný certifikát. Pro větší bezpečnost byste měli získat certifikát od veřejné certifikační autority nebo PKI vaší společnosti.

Brána RD

Brána RD (RDG) se používá k poskytování přístupu uživatelům ke zdrojům RD přes internet. Server brány je umístěn na okraji a filtruje příchozí požadavky RDS podle serveru NPS (Network Policy Server). NPS používá dvě zásady: Zásadu autorizace připojení (CAP), která určuje, kteří uživatelé mohou přistupovat k RDG, a Zásadu autorizace prostředků (RAP), která určuje, ke kterým zařízením CAP se může uživatel připojit prostřednictvím RDG.

Závěr

Služba Vzdálená plocha v systému Windows Server 2008 R2 výrazně vylepšuje funkce svého předchůdce, Terminálové služby, ale také zavádí některé nové aspekty zabezpečení, které byste měli zvážit Při konfiguraci komponent konfigurace RDS, RD Session Host, RD Web, postupujte podle osvědčených postupů pro maximální zabezpečení Přístup k serveru, bráně RD a klientovi a pomocí zásad skupiny pro správu konfigurace můžete dosáhnout bezpečného prostředí a využít doručování aplikací RDS a poskytnout svým uživatelům plnohodnotné pracovní prostředí.

Dobré odpoledne, milí čtenáři a hosté blogu, dnes máme následující úkol: změnit příchozí port služby RDP (terminálový server) ze standardního 3389 na jiný. Dovolte mi připomenout, že služba RDP je funkcionalitou operačních systémů Windows, díky které můžete pomocí protokolu RDP otevřít relaci přes síť k počítači nebo serveru, který potřebujete, a moci na ní pracovat, jako byste seděli na něm lokálně.

Co je protokol RDP

Než něco změníte, bylo by dobré pochopit, co to je a jak to funguje, stále vám o tom říkám. PRV popř Remote Desktop Protocol je protokol vzdálené plochy pro operační systémy Microsoft Windows, ačkoli jeho původ pochází z PictureTel (Polycom). Microsoft to právě koupil. Používá se pro vzdálenou práci zaměstnance nebo uživatele se vzdáleným serverem. Nejčastěji tyto servery plní roli terminálového serveru, na který jsou přidělovány speciální licence, ať už na uživatele nebo na zařízení, CAL. Myšlenka zde byla tato: existuje velmi výkonný server, tak proč nevyužít jeho zdroje společně, například pro aplikaci 1C. To se stává zvláště aktuální s příchodem tenkých klientů.

Svět viděl samotný terminálový server, už v roce 1998 v operačním systému Windows NT 4.0 Terminal Server, abych byl upřímný, ani jsem nevěděl, že něco takového existuje, a v Rusku jsme v té době všichni hráli dandy nebo segu. Klienti připojení RDP jsou aktuálně k dispozici ve všech verzích Windows, Linux, MacOS, Android. Nejmodernější verze protokolu RDP je v současnosti 8.1.

Výchozí port rdp

Okamžitě napíšu výchozí port rdp 3389, myslím, že to vědí všichni správci systému.

Jak funguje protokol rdp

A tak vy a já chápeme, proč jsme přišli s protokolem vzdálené plochy, nyní je logické, že musíte pochopit principy jeho fungování. Microsoft rozlišuje dva režimy protokolu RDP:

  • Režim vzdálené správy > pro správu přejdete na vzdálený server a nakonfigurujete jej a spravujete
  • Režim terminálového serveru > pro přístup k aplikačnímu serveru, vzdálené aplikaci nebo jejich sdílení pro práci.

Obecně platí, že pokud nainstalujete Windows Server 2008 R2 – 2016 bez terminálového serveru, bude mít ve výchozím nastavení dvě licence a dva uživatelé se k němu budou moci připojit současně, třetí bude muset někoho vykopnout, aby práce. V klientských verzích Windows existuje pouze jedna licence, ale to lze také obejít, o tom jsem mluvil v článku Terminálový server na Windows 7. Díky technologii NLB a připojovacímu serveru Session Directory Service můžete také v režimu vzdálené správy seskupovat a vyvažovat zatížení. Slouží k indexování uživatelských relací, díky tomuto serveru se uživatel může přihlásit na vzdálenou plochu terminálových serverů v distribuovaném prostředí. Povinné součásti jsou také licenční server.

Protokol RDP funguje přes připojení TCP a je aplikačním protokolem. Když klient naváže spojení se serverem, vytvoří se relace RDP na úrovni přenosu, kde se vyjednají způsoby šifrování a přenosu dat. Když jsou všechna jednání stanovena a inicializace je dokončena, terminálový server odešle grafický výstup klientovi a čeká na vstup z klávesnice a myši.

Remote Desktop Protocol podporuje více virtuálních kanálů v rámci jednoho připojení, což vám umožňuje používat další funkce

  • Přeneste tiskárnu nebo COM port na server
  • Přesměrujte své místní disky na server
  • Schránka
  • Audio a video

Fáze připojení RDP

  • Navazování spojení
  • Vyjednávání parametrů šifrování
  • Ověření serveru
  • Vyjednávání parametrů relace RDP
  • Ověření klienta
  • Data relace RDP
  • Ukončení relace RDP

Zabezpečení v protokolu RDP

Remote Desktop Protocol má dvě metody ověřování Standardní zabezpečení RDP a Rozšířené zabezpečení RDP, na obě se podíváme podrobněji níže.

Standardní zabezpečení RDP

Protokol RDP s touto metodou ověřování šifruje připojení pomocí samotného protokolu RDP, který je v něm, pomocí této metody:

  • Při spuštění operačního systému se vygeneruje dvojice klíčů RSA
  • Proprietární certifikát se vytváří
  • Poté je proprietární certifikát podepsán dříve vytvořeným klíčem RSA
  • Nyní klient RDP připojující se k terminálovému serveru obdrží proprietární certifikát
  • Klient se na něj podívá a ověří, poté obdrží veřejný klíč serveru, který se používá ve fázi odsouhlasení parametrů šifrování.

Pokud vezmeme v úvahu algoritmus, kterým je vše zašifrováno, je to proudová šifra RC4. Klíče různých délek od 40 do 168 bitů, vše závisí na edici operačního systému Windows, například ve Windows 2008 Server - 168 bitů. Jakmile se server a klient rozhodnou pro délku klíče, vygenerují se dva nové různé klíče pro šifrování dat.

Pokud se ptáte na integritu dat, pak je dosaženo pomocí algoritmu MAC (Message Authentication Code) založeného na SHA1 a MD5

Vylepšené zabezpečení RDP

Protokol RDP s touto metodou ověřování používá dva externí bezpečnostní moduly:

  • CredSSP
  • TLS 1.0

TLS je podporováno od verze 6 RDP. Když používáte TLS, šifrovací certifikát lze vytvořit pomocí terminálového serveru, certifikátu s vlastním podpisem nebo vybrat z úložiště.

Když používáte protokol CredSSP, jedná se o symbiózu technologií Kerberos, NTLM a TLS. S tímto protokolem se samotná kontrola, která kontroluje oprávnění ke vstupu na terminálový server, provádí předem, nikoli po úplném připojení RDP, a tím šetříte prostředky na terminálovém serveru, navíc je zde spolehlivější šifrování a můžete přihlásit se jednou (Single Sign On ), díky NTLM a Kerberos. CredSSP funguje pouze v operačních systémech nižších než Vista a Windows Server 2008. Zde je toto zaškrtávací políčko ve vlastnostech systému

Povolit připojení pouze z počítačů se vzdálenou plochou s ověřováním na úrovni sítě.

Změňte port rdp

Chcete-li změnit port rdp, budete potřebovat:

  1. Otevřete editor registru (Start -> Spustit -> regedit.exe)
  2. Pojďme k další části:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Najděte klíč PortNumber a změňte jeho hodnotu na číslo portu, které potřebujete.

Nezapomeňte vybrat desetinnou hodnotu, například vložím port 12345.

Jakmile to uděláte, restartujte službu vzdálené plochy pomocí příkazového řádku pomocí následujících příkazů:

A vytvoříme nové příchozí pravidlo pro nový port rdp. Dovolte mi připomenout, že výchozí port rdp je 3389.

Vybíráme, jaké bude pravidlo pro port

Protokol ponecháme jako TCP a zadáme nové číslo portu RDP.

Pravidlem bude povolení připojení RDP na nestandardním portu

V případě potřeby nastavte potřebné síťové profily.

No, nazvěme pravidlo v jazyce, kterému rozumíme.

Existuje názor, že připojení přes Windows Remote Desktop (RDP) je velmi nebezpečné ve srovnání s analogy (VNC, TeamViewer atd.). Výsledkem je, že otevření přístupu zvenčí k jakémukoli počítači nebo místnímu síťovému serveru je velmi lehkomyslné rozhodnutí - určitě bude napadeno. Druhý argument proti RDP obvykle zní takto: „žere provoz, není to volba pro pomalý internet.“ Tyto argumenty většinou nejsou podložené.

Protokol RDP existuje již delší dobu, jeho debut se odehrál na Windows NT 4.0 před více než 20 lety a od té doby už pod mostem uplynulo hodně vody. V současné době není RDP o nic méně bezpečný než jakékoli jiné řešení vzdáleného přístupu. Co se týče požadované šířky pásma, v tomto ohledu existuje spousta nastavení, která lze použít k dosažení vynikající odezvy a úspory šířky pásma.

Stručně řečeno, pokud víte, co, jak a kde konfigurovat, pak bude RDP velmi dobrý nástroj pro vzdálený přístup. Otázkou je, kolik adminů se pokusilo ponořit se do nastavení, která jsou skryta trochu hlouběji než na povrchu.

Nyní vám řeknu, jak chránit RDP a nakonfigurovat jej pro optimální výkon.

Za prvé, existuje mnoho verzí protokolu RDP. Všechny další popisy budou platit pro RDP 7.0 a vyšší. To znamená, že máte alespoň Windows Vista SP1. Pro milovníky retra je tu speciální aktualizace pro Windows XP SP3 KB 969084 který k tomuto operačnímu systému přidává RDP 7.0.

Nastavení č. 1 - šifrování

V počítači, ke kterému se chcete připojit, otevřete gpedit.msc Přejděte na Konfigurace počítače - Šablony pro správu - Součásti systému Windows - Služby vzdálené plochy - Zabezpečení

Nastavte parametr „Vyžadovat použití speciální úrovně zabezpečení pro vzdálená připojení pomocí metody RDP“ na „Povoleno“ a Úroveň zabezpečení na „SSL TLS 1.0“

Tímto nastavením jsme povolili šifrování jako takové. Nyní se musíme ujistit, že se používají pouze silné šifrovací algoritmy a ne nějaké 56bitové DES nebo RC2.

Proto ve stejném vlákně otevřete možnost „Nastavit úroveň šifrování pro připojení klientů“. Zapněte jej a vyberte úroveň „Vysoká“. Získáme tak 128bitové šifrování.

Ale to není limit. Nejvyšší úroveň šifrování poskytuje standard FIPS 140-1. V tomto případě všechny RC2/RC4 automaticky projdou lesem.

Chcete-li povolit použití FIPS 140-1, musíte ve stejném modulu snap-in přejít na Konfigurace počítače - Konfigurace systému Windows - Nastavení zabezpečení - Místní zásady - Nastavení zabezpečení.

Hledáme možnost „Systémová kryptografie: pro šifrování, hashování a podepisování použijte algoritmy vyhovující FIPS“ a povolíme ji.

A nakonec nezapomeňte povolit možnost „Vyžadovat zabezpečené připojení RPC“ na cestě Konfigurace počítače – Šablony pro správu – Součásti systému Windows – Služby vzdálené plochy – Zabezpečení.

Toto nastavení vyžaduje, aby připojení klientů vyžadovalo šifrování podle nastavení, které jsme nakonfigurovali výše.

Nyní je šifrování v naprostém pořádku, můžete pokračovat.

Nastavení č. 2 - změna portu

Ve výchozím nastavení je protokol RDP zavěšen na portu TCP 3389. Chcete-li to provést, musíte změnit klíč PortNumber v registru na adrese

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Nastavení č. 3 – Ověření sítě (NLA)

Ve výchozím nastavení se můžete připojit přes RDP bez zadání uživatelského jména a hesla a zobrazit úvodní obrazovku vzdálené plochy, kde budete požádáni o přihlášení. To prostě není vůbec bezpečné v tom smyslu, že takový vzdálený počítač lze snadno DDoSed.

Proto ve stejném vlákně povolíme možnost „Vyžadovat ověření uživatele pro vzdálená připojení pomocí ověřování na úrovni sítě“

Nastavení č. 4 - co ještě zkontrolovat

Nejprve se ujistěte, že je povoleno nastavení "Účty: Povolit prázdná hesla pouze během přihlášení do konzoly". Nastavení najdete v Konfigurace počítače - Šablony pro správu - Součásti systému Windows - Služby vzdálené plochy - Zabezpečení.

Za druhé, nezapomeňte zkontrolovat seznam uživatelů, kteří se mohou připojit přes RDP

Nastavení č. 5 - optimalizace rychlosti

Přejděte do části Konfigurace počítače - Šablony pro správu - Součásti systému Windows - Služby vzdálené plochy - Prostředí vzdálené relace.

Zde můžete a měli byste upravit několik parametrů:

  • Nejvyšší barevná hloubka - můžete se omezit na 16 bitů. To ušetří provoz více než 2krát ve srovnání s 32bitovou hloubkou.
  • Vynucené zrušení tapety vzdálené plochy - není potřeba pro práci.
  • Nastavení kompresního algoritmu RDP - je lepší nastavit hodnotu na Optimalizovat využití šířky pásma. V tomto případě RDP spotřebuje o něco více paměti, ale bude efektivněji komprimovat.
  • Optimalizujte vizuální efekty pro relace Remote Desktop Services – nastavte hodnotu na „Text“. Co potřebujete pro práci.

V opačném případě můžete při připojování ke vzdálenému počítači ze strany klienta navíc zakázat:

  • Vyhlazení písma. Tím se výrazně zkrátí doba odezvy. (Pokud máte plnohodnotný terminálový server, lze tento parametr nastavit i na straně serveru)
  • Složení plochy – odpovídá za Aero atd.
  • Zobrazit okno při přetahování
  • Vizuální efekty
  • Designové styly – pokud chcete hardcore

Zbývající parametry, jako je pozadí plochy a barevná hloubka na straně serveru, jsme již předdefinovali.

Navíc na straně klienta můžete zvětšit velikost mezipaměti obrazu, což se provádí v registru. Na adrese HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\ musíte vytvořit dva klíče typu DWORD 32 BitmapPersistCacheSize a BitmapCacheSize

  • BitmapPersistCacheSize lze nastavit na 10000 (10 MB) Ve výchozím nastavení je tento parametr nastaven na 10, což odpovídá 10 KB.
  • BitmapCacheSize lze také nastavit na 10 000 (10 MB). Sotva si všimnete, že připojení RDP zabere dalších 10 MB paměti RAM

Neřeknu nic o přeposílání tiskáren atd. Kdo co potřebuje, ten to přepošle.

Tím končí hlavní část nastavení. V následujících recenzích vám řeknu, jak můžete dále zlepšit a zabezpečit RDP. Používejte RDP správně, mějte stabilní připojení všichni! Podívejte se, jak vytvořit terminálový server RDP v jakékoli verzi systému Windows.



Oblíbené v kategorii:
Jak zkombinovat vrstvy ve Photoshopu do jedné nebo je spojit do skupiny Jak zkombinovat několik vrstev ve Photoshopu
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny...
číst
Přenos kontaktů do nového telefonu Android
Přenos kontaktů do nového telefonu Android
číst
Samsung Galaxy se restartuje sám – Solutions Galaxy note 4 se restartuje sám
Samsung Galaxy se sám restartuje – řešení Galaxy Note...
číst
Klíčové vlastnosti Kaspersky Rescue Disk
Klíčové vlastnosti Kaspersky Rescue Disk
číst

poslední články
MacBook se nepřipojí k wifi MacBook nevidí...
číst
Jak vydělat peníze na WebMoney
číst
Tablet "Supra": recenze zákazníků
číst
Umístění lodí v reálném čase
číst
Nejlepší programy pro Android Záznam hovorů z...
číst
Odebírání nesledujících na Twitteru
číst
Připojení k internetu na notebooku: všechny možné...
číst
Samsung Galaxy S IV je nová vlajková loď...
číst
Horní