protokol RDP. Perlindungan koneksi RDP Cara kerja protokol rdp

Secara default di semua sistem operasi Windows untuk terhubung menggunakan protokol RDP ( Protokol Desktop Jarak Jauh / Desktop Jarak Jauh ) menggunakan pelabuhan TCP 3389 .

Jika komputer Anda terhubung langsung ke Internet (misalnya, server VDS), atau Anda telah mengkonfigurasi port 3389/RDP pada router perbatasan Anda ke jaringan lokal di komputer atau server yang menjalankan Windows, Anda dapat mengubah port RDP standar 3389 ke yang lain. Dengan mengubah nomor port RDP untuk koneksi, Anda dapat menyembunyikan server RDP Anda dari pemindai port, mengurangi kemungkinan eksploitasi kerentanan RDP (kerentanan kritis terbaru dalam RDP BlueKeep dijelaskan dalam), mengurangi jumlah upaya menebak kata sandi dari jarak jauh melalui RDP (tidak lupa secara berkala), SYN dan jenis serangan lainnya (terutama dengan ).

Mengganti port RDP standar dapat digunakan ketika di belakang router dengan satu alamat IP putih terdapat beberapa komputer Windows yang perlu Anda berikan akses RDP eksternal. Di setiap komputer, Anda dapat mengonfigurasi port RDP unik dan mengonfigurasi penerusan port pada router ke komputer lokal (tergantung pada nomor port RDP, sesi dialihkan ke salah satu PC internal).

Saat memilih nomor port non-standar untuk RDP, perhatikan bahwa disarankan untuk tidak menggunakan nomor port dalam rentang 1 hingga 1023 (port yang dikenal) dan port dinamis dalam rentang RPC (49152 hingga 65535).

Mari kita coba mengubah port tempat layanan Remote Desktop mendengarkan koneksinya 1350 . Untuk ini:

  1. Buka editor registri dan pergi ke cabang HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp;
  2. Menemukan DWORD nilai registri bernama Nomor Pelabuhan. Parameter ini menentukan port tempat layanan Desktop Jarak Jauh mendengarkan koneksi;
  3. Ubah nilai port ini. Saya mengubah port RDP menjadi 1350 dalam nilai desimal (Deciamal);
  4. Jika Windows Firewall diaktifkan di komputer Anda, Anda harus membuat aturan baru untuk mengizinkan koneksi masuk ke port RDP baru (jika Anda mengkonfigurasi ulang server jarak jauh melalui RDP tanpa membuat aturan di firewall, Anda akan kehilangan akses ke server). Anda dapat membuat aturan izin masuk untuk port TCP/UDP RDP baru secara manual dari konsol 'Windows Defender Firewall' ( firewall.cpl) atau menggunakan: New-NetFirewallRule -DisplayName "New RDP Port 1350" -Direction Inbound -LocalPort 1350 -Protocol TCP -Action Allow DAN: New-NetFirewallRule -DisplayName "New RDP Port 1350" -Direction Inbound -LocalPort 1350 -Protocol UDP - Tindakan memungkinkan
  5. Restart komputer Anda atau restart Remote Desktop Service dengan perintah: net stop termservice & net start termservice
  6. Sekarang, untuk terhubung ke komputer Windows ini melalui RDP, di klien mstsc.exe Anda perlu menentukan port koneksi RDP melalui titik dua sebagai berikut: Nama_Komputer_Anda:1350 atau dengan alamat IP 192.168.1.100:1350 atau dari baris perintah: mstsc .exe /v 192.168.1.100 :1350

    Jika Anda menggunakan manajer koneksi RDP untuk mengelola beberapa koneksi RDP, nomor port RDP yang Anda tentukan untuk koneksi tersebut dapat ditentukan pada tab “Pengaturan Koneksi”.

  7. Hasilnya, Anda akan berhasil terhubung ke desktop komputer jarak jauh menggunakan nomor port RDP yang baru (menggunakan perintah nenstat –na | Temukan perintah “LIST”, pastikan layanan RDP sekarang mendengarkan pada port yang berbeda).

Skrip PowerShell lengkap untuk mengubah port RDP, membuat aturan di firewall, dan memulai ulang layanan RDP pada port baru mungkin terlihat seperti ini:




New-NetFirewallRule -DisplayName "Port RDP Baru $RDPPort" -Arah Masuk –LocalPort $RDPPort -Protokol UDP -Aksi Izinkan

Write-host "Nomor port RDP diubah menjadi $RDPPort" -ForegroundColor Magenta

Anda dapat mengubah nomor RDP dari jarak jauh di beberapa komputer dalam domain AD (OU tertentu) menggunakan Invoke-Command dan :

Write-host "Tentukan nomor port RDP baru: " -ForegroundColor Yellow -NoNewline;$RDPPort = Read-Host
$PC = Dapatkan-ADComputer -Filter * -SearchBase "CN=DMZ,CN=Komputer,DC=winitpro,DC=ru"
Foreach ($PC dalam $PC) (
Perintah-Panggil -Nama Komputer $PC.Nama -Blok Skrip (
param ($RDPPort)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP\" -Nama PortNumber -Nilai $RDPPort
New-NetFirewallRule -DisplayName "Port RDP Baru $RDPPort" -Arah Masuk –LocalPort $RDPPort -Protokol TCP -Aksi Izinkan
New-NetFirewallRule -DisplayName "Port RDP Baru $RDPPort" -Arah Masuk –LocalPort $RDPPort -Protokol TCP -Aksi Izinkan
Mulai ulang-Layanan termservice -force
}

Petunjuk untuk mengubah port RDP standar ini cocok untuk semua versi Windows, dari Windows XP (Windows Server 2003) hingga Windows 10 (Windows Server 2019).

Selamat siang, para pembaca dan tamu blog yang budiman, hari ini kita mempunyai tugas berikut: mengubah port masuk layanan RDP (server terminal) dari standar 3389 ke yang lain. Izinkan saya mengingatkan Anda bahwa layanan RDP adalah fungsionalitas sistem operasi Windows, berkat itu Anda dapat membuka sesi melalui jaringan ke komputer atau server yang Anda perlukan menggunakan protokol RDP, dan dapat mengerjakannya, seolah-olah Anda sedang duduk di atasnya secara lokal.

Apa itu protokol RDP

Sebelum mengubah sesuatu, alangkah baiknya untuk memahami apa itu dan cara kerjanya, saya terus memberi tahu Anda tentang hal ini. RDP atau Remote Desktop Protocol adalah protokol desktop jarak jauh untuk sistem operasi Microsoft Windows, meskipun asalnya berasal dari PictureTel (Polycom). Microsoft baru saja membelinya. Digunakan untuk pekerjaan jarak jauh seorang karyawan atau pengguna dengan server jarak jauh. Paling sering, server tersebut memainkan peran server terminal, di mana lisensi khusus dialokasikan, baik per pengguna atau per perangkat, CAL. Idenya di sini adalah: ada server yang sangat kuat, lalu mengapa tidak menggunakan sumber dayanya bersama-sama, misalnya, untuk aplikasi 1C. Hal ini menjadi sangat relevan dengan munculnya klien tipis.

Dunia melihat server terminal itu sendiri, sudah pada tahun 1998 di sistem operasi Terminal Server Windows NT 4.0, sejujurnya, saya bahkan tidak tahu bahwa hal seperti itu ada, dan di Rusia saat itu kami semua bermain keren atau sega. Klien koneksi RDP saat ini tersedia di semua versi Windows, Linux, MacOS, Android. Versi paling modern dari protokol RDP saat ini adalah 8.1.

Port rdp bawaan

Saya akan langsung menulis port rdp default 3389, saya rasa semua administrator sistem mengetahuinya.

Cara kerja protokol rdp

Agar Anda dan saya memahami mengapa kami menciptakan Protokol Desktop Jarak Jauh, sekarang masuk akal jika Anda perlu memahami prinsip pengoperasiannya. Microsoft membedakan dua mode protokol RDP:

  • Mode administrasi jarak jauh > untuk administrasi, Anda pergi ke server jarak jauh dan mengkonfigurasi serta mengelolanya
  • Mode Terminal Server > untuk mengakses server aplikasi, Aplikasi Jarak Jauh atau membagikannya untuk pekerjaan.

Secara umum, jika Anda menginstal Windows Server 2008 R2 - 2016 tanpa server terminal, maka secara default ia akan memiliki dua lisensi, dan dua pengguna akan dapat terhubung secara bersamaan, pengguna ketiga harus mengeluarkan seseorang untuk bekerja. Di versi klien Windows, hanya ada satu lisensi, tetapi ini juga dapat dielakkan; Saya membicarakan hal ini di artikel Terminal Server di Windows 7. Juga mode administrasi jarak jauh, Anda dapat mengelompokkan dan menyeimbangkan beban, berkat teknologi NLB dan server koneksi Layanan Direktori Sesi. Ini digunakan untuk mengindeks sesi pengguna, berkat server ini pengguna dapat masuk ke desktop jarak jauh server terminal dalam lingkungan terdistribusi. Komponen yang juga diperlukan adalah server lisensi.

Protokol RDP beroperasi melalui koneksi TCP dan merupakan protokol aplikasi. Ketika klien membuat koneksi dengan server, sesi RDP dibuat di tingkat transport, di mana metode enkripsi dan transmisi data dinegosiasikan. Ketika semua negosiasi ditentukan dan inisialisasi selesai, server terminal mengirimkan output grafis ke klien dan menunggu input keyboard dan mouse.

Protokol Desktop Jarak Jauh mendukung beberapa saluran virtual dalam satu koneksi, memungkinkan Anda menggunakan fungsionalitas tambahan

  • Transfer printer atau port COM Anda ke server
  • Arahkan ulang drive lokal Anda ke server
  • papan klip
  • Audio dan video

Tahapan koneksi RDP

  • Membangun koneksi
  • Menegosiasikan parameter enkripsi
  • Otentikasi Server
  • Menegosiasikan parameter sesi RDP
  • Otentikasi Klien
  • Data sesi RDP
  • Mengakhiri sesi RDP

Keamanan dalam protokol RDP

Protokol Desktop Jarak Jauh memiliki dua metode otentikasi Keamanan RDP Standar dan Keamanan RDP yang Ditingkatkan, kita akan melihat keduanya lebih detail di bawah.

Keamanan RDP Standar

Protokol RDP dengan metode otentikasi ini mengenkripsi koneksi menggunakan protokol RDP itu sendiri yang ada di dalamnya, dengan menggunakan metode ini:

  • Saat sistem operasi Anda dijalankan, sepasang kunci RSA dibuat
  • Sertifikat Kepemilikan sedang dibuat
  • Setelah itu Sertifikat Kepemilikan ditandatangani dengan kunci RSA yang dibuat sebelumnya
  • Sekarang klien RDP yang terhubung ke server terminal akan menerima Sertifikat Kepemilikan
  • Klien melihatnya dan memverifikasinya, kemudian menerima kunci publik server, yang digunakan pada tahap menyetujui parameter enkripsi.

Jika kita mempertimbangkan algoritma yang mengenkripsi semuanya, itu adalah stream cipher RC4. Panjang kunci berbeda-beda dari 40 hingga 168 bit, semuanya tergantung pada edisi sistem operasi Windows, misalnya di Windows 2008 Server - 168 bit. Setelah server dan klien memutuskan panjang kunci, dua kunci baru yang berbeda dihasilkan untuk mengenkripsi data.

Jika Anda bertanya tentang integritas data, maka itu dicapai melalui algoritma MAC (Message Authentication Code) berdasarkan SHA1 dan MD5

Keamanan RDP yang Ditingkatkan

Protokol RDP dengan metode otentikasi ini menggunakan dua modul keamanan eksternal:

  • KreditSSP
  • TLS 1.0

TLS didukung dari RDP versi 6. Saat Anda menggunakan TLS, sertifikat enkripsi dapat dibuat menggunakan server terminal, sertifikat yang ditandatangani sendiri, atau dipilih dari toko.

Saat Anda menggunakan protokol CredSSP, ini merupakan simbiosis dari teknologi Kerberos, NTLM dan TLS. Dengan protokol ini, pemeriksaan itu sendiri, yang memeriksa izin untuk memasuki server terminal, dilakukan terlebih dahulu, dan bukan setelah koneksi RDP penuh, dan dengan demikian Anda menghemat sumber daya di server terminal, ditambah lagi ada enkripsi yang lebih andal dan Anda bisa masuk sekali (Single Sign On). ), terima kasih kepada NTLM dan Kerberos. CredSSP hanya berfungsi di OS tidak lebih rendah dari Vista dan Windows Server 2008. Ini adalah kotak centang di properti sistem

Izinkan koneksi hanya dari komputer yang menjalankan Remote Desktop dengan otentikasi tingkat jaringan.

Ubah port rdp

Untuk mengubah port rdp, Anda memerlukan:

  1. Buka editor registri (Mulai -> Jalankan -> regedit.exe)
  2. Mari kita lanjutkan ke bagian berikutnya:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Temukan kunci PortNumber dan ubah nilainya ke nomor port yang Anda perlukan.

Pastikan untuk memilih nilai desimal; misalnya, saya akan memasukkan port 12345.

Setelah Anda selesai melakukannya, mulai ulang Layanan Desktop Jarak Jauh melalui baris perintah menggunakan perintah berikut:

Dan kami membuat aturan masuk baru untuk port rdp baru. Izinkan saya mengingatkan Anda bahwa port rdp default adalah 3389.

Kami memilih aturan apa yang akan berlaku untuk pelabuhan

Kami meninggalkan protokol sebagai TCP dan menentukan nomor port RDP baru.

Aturannya adalah mengizinkan koneksi RDP pada port non-standar

Jika perlu, atur profil jaringan yang diperlukan.

Baiklah, sebut saja aturan tersebut dalam bahasa yang kita pahami.

Halo semuanya, kami terus mempertimbangkan topik tentang . Hari ini kita akan melihat alat bawaan Windows yang memungkinkan Anda terhubung ke PC jarak jauh. Alat ini disebut klien RDP (Remote Desktop Protocol), jika diterjemahkan ke dalam bahasa Rusia - protokol desktop jarak jauh. Dengan menggunakan protokol ini, Anda dapat mengontrol komputer jarak jauh yang menjalankan layanan koneksi terminal. Klien RDP muncul di Windows XP dan masih didukung di sistem operasi versi baru. Kemungkinan besar, banyak dari Anda bahkan tidak tahu apa itu, tetapi dengan bantuan alat ini Anda dapat dengan mudah terhubung ke komputer jarak jauh dan mengendalikannya. Pada artikel ini saya akan memberi tahu Anda secara detail cara terhubung ke desktop jarak jauh di jaringan lokal. Oleh karena itu, bacalah teks tersebut secara lengkap.

Persiapan sebelum menggunakan klien RDP.

Dalam kebanyakan kasus, klien RDP digunakan saat bekerja di jaringan lokal yang sama. Misalnya, untuk terhubung dari satu komputer ke komputer lain di rumah, mereka harus terhubung ke router yang sama. Dimungkinkan juga untuk terhubung ke komputer jarak jauh melalui Internet, tetapi ini adalah cara pengaturannya yang lebih rumit; saya rasa kita akan membahas topik ini di artikel terpisah.

Hal pertama yang perlu Anda lakukan untuk terhubung melalui Remote Desktop Protocol adalah mengetahui alamat IP komputer jarak jauh. Biasanya, jika koneksi jaringan di komputer Anda dikonfigurasi secara otomatis, maka setiap kali Anda me-restart sistem operasi, alamat IP akan berubah. Oleh karena itu, pertama-tama, kami menetapkan alamat statis untuk semua perangkat di jaringan lokal Anda. Namun pertama-tama, Anda perlu melihat alamat apa yang diterima komputer secara otomatis. Untuk ini . Kami memasukkan perintah "ipconfig" dan melihat yang mana: network mask, subnet mask dan gateway yang diterima kartu jaringan selama pengaturan otomatis.


Catatan! Sebagai aturan, di semua router, masker jaringan default adalah (192.168.0. atau 192.168.1.), masing-masing, kami menulis semua baris seperti yang ditunjukkan pada tangkapan layar dan menyimpan perubahannya.

Itu saja, sekarang kita telah menetapkan alamat IP statis untuk komputer kita, ini akan memungkinkan kita menggunakan klien RDP dengan mudah.

Cara memberikan izin untuk terhubung ke desktop jarak jauh.

Setelah kita berurusan dengan alamat komputer. Mari beralih ke mengaktifkan fungsi Remote Desktop Protocol. Langkah-langkah ini harus dilakukan pada komputer yang ingin Anda sambungkan. Untuk membuat semuanya berfungsi, ikuti langkah-langkahnya:


Kami telah menyelesaikan semua langkah persiapan agar klien RDP dapat bekerja bersama kami. Sekarang mari kita langsung ke pertimbangan proses koneksi.

Kami terhubung ke komputer jarak jauh melalui RDP.

Pada paragraf sebelumnya, kita telah mengetahui pengaturan yang perlu dibuat agar berfungsi menggunakan protokol desktop jarak jauh. Sekarang mari kita lihat cara menghubungkannya.

Catatan! Kami akan menggunakan alat Windows standar. Oleh karena itu, kita tidak perlu mengunduh utilitas pihak ketiga apa pun; semua yang kita butuhkan ada di ujung jari kita.

Untuk meluncurkan alat Koneksi Desktop Jarak Jauh, buka menu Mulai - Semua Program - Aksesori - Windows. Di item menu yang terbuka, luncurkan klien RDP dan lihat bidang bernama "Komputer". Anda harus memasukkan alamat komputer jarak jauh, mis. yang kami tetapkan alamat IP statisnya. Setelah mengklik tombol sambungkan, program akan meminta Anda memasukkan "Login dan Kata Sandi" untuk terhubung ke PC jarak jauh.

Anda juga dapat membuka pengaturan tambahan, untuk melakukan ini, buka item "Tampilkan opsi". Di sini Anda dapat langsung menentukan pengguna komputer jarak jauh, mengkonfigurasi sumber daya lokal, serta pengaturan layar. Namun menurut saya lebih baik membiarkan semuanya secara default dan mulai mengelola PC jarak jauh.

Klien RDP - pro dan kontra.

Sejujurnya, saya tidak harus sering menggunakan klien RDP, tapi terkadang itu hanya diperlukan. Bagi saya sendiri, saya telah mengidentifikasi keuntungan berikut:

  • Untuk terhubung ke PC jarak jauh, Anda tidak perlu mencari atau menginstal program apa pun. Semuanya disediakan oleh pengembang Microsoft dan alat tersebut dibangun ke dalam sistem operasi;
  • Menggunakan Remote Desktop, Anda bisa mendapatkan akses penuh ke komputer Anda. Yang memungkinkan Anda melakukan tindakan apa pun di dalamnya;
  • Waktu akses tak terbatas ke PC jarak jauh.

Di sinilah kelebihannya berakhir, mari beralih ke kekurangan menggunakan utilitas ini:

  • Program ini hanya berfungsi dengan benar di jaringan lokal, untuk mengatur koneksi melalui Internet, Anda harus masuk ke pengaturan router untuk meneruskan port, yang merupakan masalah bagi banyak pengguna;
  • Jika Anda menggunakan VPN, maka untuk terhubung ke komputer jarak jauh menggunakan klien RDP, Anda memerlukan kecepatan Internet yang baik, jika tidak, Anda akan menonton tayangan slide;
  • Program ini memiliki serangkaian fungsi minimal, dan juga tidak memiliki pengelola file bawaan, sehingga tidak ada cara untuk mentransfer file;

Mari kita rangkum.

Hari ini kita melihat klien RDP untuk Windows. Alat untuk menghubungkan ke komputer dari jarak jauh ini dapat dianggap sebagai alternatif dari program pihak ketiga seperti itu, tetapi RDP tidak mungkin dapat menggantikannya sepenuhnya. Karena alat bawaan bahkan tidak memiliki semua rangkaian fungsi yang diperlukan yang merupakan ciri khas program akses jarak jauh. Kecepatan operasinya buruk, tetapi ini sempurna jika tidak ada kesempatan atau waktu untuk mencari dan menginstal program lain dan Anda sangat perlu mendapatkan akses ke PC jarak jauh.

Seringkali, banyak pengguna yang menggunakan sesi akses jarak jauh memiliki pertanyaan tentang cara mengubah port RDP. Sekarang mari kita lihat solusi paling sederhana, dan juga tunjukkan beberapa tahapan utama dalam proses penyiapan.

Untuk apa protokol RDP?

Pertama, beberapa kata tentang RDP. Jika Anda melihat penguraian singkatannya, Anda dapat memahami bahwa akses jarak jauh

Secara sederhana, ini adalah alat untuk server terminal atau stasiun kerja. Pengaturan Windows (dan versi sistem apa pun) menggunakan pengaturan default yang sesuai dengan sebagian besar pengguna. Namun, terkadang ada kebutuhan untuk mengubahnya.

Port RDP standar: haruskah diubah?

Jadi, terlepas dari modifikasi Windows, semua protokol memiliki arti yang telah ditentukan sebelumnya. Ini adalah port RDP 3389 yang digunakan untuk melakukan sesi komunikasi (menghubungkan satu terminal ke terminal jarak jauh).

Apa alasan situasi ketika nilai standar perlu diubah? Pertama-tama, hanya dengan memastikan keamanan komputer lokal. Lagi pula, jika Anda melihatnya, dengan port standar terpasang, pada prinsipnya, penyerang mana pun dapat dengan mudah menembus sistem. Jadi sekarang mari kita lihat cara mengubah port RDP default.

Mengubah pengaturan di registri sistem

Mari kita segera perhatikan bahwa prosedur perubahan dilakukan secara eksklusif dalam mode manual, dan klien akses jarak jauh itu sendiri tidak menyediakan pengaturan ulang atau pemasangan parameter baru.

Pertama, panggil editor registri standar dengan perintah regedit di menu “Run” (Win + R). Di sini kita tertarik pada cabang HKLM, di mana kita perlu turun ke pohon partisi melalui direktori server terminal ke direktori RDP-Tcp. Di jendela sebelah kanan kita menemukan kunci PortNumber. Artinya kita perlu berubah.

Kami masuk ke pengeditan dan melihat 00000D3D di sana. Banyak orang langsung bingung tentang apa itu. Dan ini hanyalah representasi heksadesimal dari angka desimal 3389. Untuk menunjukkan port dalam bentuk desimal, kita menggunakan baris yang sesuai untuk menampilkan representasi nilai, dan kemudian menentukan parameter yang kita perlukan.

Setelah ini, kami me-reboot sistem, dan ketika mencoba menyambung, tentukan port RDP baru. Cara lain untuk terhubung adalah dengan menggunakan perintah khusus mstsc /v:ip_address:XXXXX, dengan XXXXX adalah nomor port baru. Tapi bukan itu saja.

Aturan Firewall Windows

Sayangnya, firewall Windows bawaan mungkin memblokir port baru. Artinya Anda perlu melakukan perubahan pada pengaturan firewall itu sendiri.

Panggil pengaturan firewall dengan pengaturan keamanan tingkat lanjut. Di sini Anda harus terlebih dahulu memilih koneksi masuk dan klik pada garis untuk membuat aturan baru. Sekarang kita pilih item untuk membuat aturan untuk port, lalu masukkan nilainya untuk TCP, lalu izinkan koneksi, biarkan bagian profil tidak berubah dan terakhir berikan nama untuk aturan baru, setelah itu kita klik tombol konfigurasi lengkap. Yang tersisa hanyalah me-reboot server dan, saat menghubungkan, tentukan port RDP baru melalui titik dua di baris yang sesuai. Secara teori, seharusnya tidak ada masalah.

Meneruskan port RDP pada router

Dalam beberapa kasus, saat Anda menggunakan koneksi nirkabel daripada koneksi kabel, Anda mungkin perlu meneruskan port pada router Anda. Tidak ada yang rumit dalam hal ini.

Pertama, di properti sistem, kami mengizinkan dan menunjukkan pengguna yang berhak melakukannya. Lalu masuk ke menu pengaturan router melalui browser (192.168.1.1 atau di akhir 0.1 - semuanya tergantung model router). Di kolom (jika alamat utama kita adalah 1.1), disarankan untuk menunjukkan alamatnya, dimulai dengan alamat ketiga (1.3), dan tulis aturan untuk mengeluarkan alamat untuk alamat kedua (1.2).

Kemudian dalam koneksi jaringan kami menggunakan tampilan detail, di mana Anda harus melihat detailnya, salin alamat MAC fisik dari sana dan tempelkan ke parameter router.

Sekarang, di bagian pengaturan NAT pada modem, aktifkan koneksi ke server, tambahkan aturan dan tentukan port XXXXX, yang perlu diteruskan ke port RDP standar 3389. Simpan perubahan dan reboot router (port baru akan tidak dapat diterima tanpa reboot). Anda dapat memeriksa koneksi di beberapa situs web khusus seperti ping.eu di bagian pengujian port. Seperti yang Anda lihat, semuanya sederhana.

Terakhir, perhatikan bahwa nilai port didistribusikan sebagai berikut:

  • 0 - 1023 - port untuk program sistem tingkat rendah;
  • 1024 - 49151 - pelabuhan yang dialokasikan untuk keperluan pribadi;
  • 49152 - 65535 - port pribadi dinamis.

Secara umum, banyak pengguna biasanya memilih port RDP dari kisaran ketiga dalam daftar untuk menghindari masalah. Namun, baik spesialis maupun pakar merekomendasikan penggunaan nilai-nilai ini dalam pengaturan, karena nilai-nilai ini cocok untuk sebagian besar tugas.

Adapun prosedur khusus ini, terutama digunakan hanya dalam kasus koneksi Wi-Fi. Seperti yang sudah Anda lihat, dengan koneksi kabel normal, hal ini tidak diperlukan: cukup ubah nilai kunci registri dan tambahkan aturan untuk port di firewall.

Sayangnya, RDP dengan keamanan lapisan jaringan (SSL) tidak banyak digunakan di kalangan administrator sistem yang lebih memilih mengamankan koneksi terminal dengan cara lain. Hal ini mungkin disebabkan oleh kompleksitas metode yang terlihat, namun kenyataannya tidak demikian; dalam materi ini kita akan melihat bagaimana mengatur perlindungan tersebut secara sederhana dan tanpa kesulitan.

Apa manfaat mengamankan RDP dengan SSL bagi kita? Pertama, enkripsi saluran yang kuat, otentikasi server berdasarkan sertifikat, dan otentikasi pengguna di tingkat jaringan. Fitur terakhir tersedia mulai Windows Server 2008. Otentikasi tingkat jaringan meningkatkan keamanan server terminal dengan memungkinkan otentikasi terjadi sebelum sesi dimulai.

Otentikasi tingkat jaringan dilakukan sebelum menghubungkan ke desktop jarak jauh dan menampilkan layar login, ini mengurangi beban pada server dan secara signifikan meningkatkan perlindungannya terhadap penyusup dan malware, dan juga mengurangi kemungkinan serangan penolakan layanan.

Untuk memanfaatkan sepenuhnya RDP melalui SSL, PC klien harus menjalankan Windows XP SP3, Windows Vista, atau Windows 7 dan menggunakan klien RDP versi 6.0 atau lebih baru.

Saat menggunakan Windows Server 2003 SP1 dan yang lebih baru, enkripsi saluran menggunakan SSL (TLS 1.0) dan otentikasi server akan tersedia; PC klien harus memiliki klien RDP versi 5.2 atau lebih baru.

Dalam artikel kami, kami akan melihat cara menyiapkan server terminal berdasarkan Windows Server 2008 R2, namun, semua hal di atas juga berlaku untuk Windows Server 2003 (dengan pengecualian fitur yang hilang).

Agar berhasil menerapkan solusi ini, jaringan Anda harus memiliki otoritas sertifikasi yang berfungsi, konfigurasi yang telah kita bahas. Untuk memercayai sertifikat yang dikeluarkan oleh CA ini di server terminal, Anda harus menginstal sertifikat CA (atau rangkaian sertifikat) di penyimpanan.

Anda kemudian harus meminta sertifikat keaslian server dengan parameter berikut:

Nama - nama lengkap server terminal (yaitu server.domain.com jika server adalah bagian dari domain domain.com)

  • Tipe Sertifikat - Sertifikat Otentikasi Server
  • Tetapkan opsi Buat kumpulan kunci baru
  • CSP- Penyedia Kriptografi Saluran RSA Microsoft.
  • Centang kotaknya Tandai kunci sebagai dapat diekspor.
  • Untuk CA perusahaan, pilih kotak centang Gunakan penyimpanan lokal komputer untuk sertifikat. (Opsi ini tidak tersedia di CA mandiri.)

Kirim permintaan ke otoritas sertifikat dan instal sertifikat yang diterbitkan. Sertifikat ini harus dipasang di penyimpanan lokal komputer, jika tidak, sertifikat ini tidak dapat digunakan oleh Layanan Terminal. Untuk memeriksanya, mari luncurkan konsol MMC (Mulai - Jalankan - mmc) dan tambahkan peralatan Sertifikat(File - Menambah atau menghapus snap-in) untuk akun komputer.

Di root konsol, pilih klik Lihat - Opsi dan atur mode tampilan Atur sertifikat berdasarkan tujuan. Sertifikat yang diterbitkan harus berkelompok Otentikasi server.

Jika Anda menerima sertifikat menggunakan CA yang terisolasi (berdiri sendiri) (jaringan tidak memiliki struktur domain), maka sertifikat tersebut akan diinstal di penyimpanan akun pengguna secara default dan Anda harus melakukan sejumlah langkah tambahan.

Membuka Internet Explorer - Opsi Internet - Konten - Sertifikat, sertifikat yang diterbitkan harus dipasang di toko Pribadi.

Ekspor itu. Saat mengekspor, tentukan opsi berikut:

  • Ya, ekspor kunci pribadi
  • Hapus kunci pribadi setelah ekspor berhasil

Kemudian hapus sertifikat dari toko ini. Dalam sekejap Sertifikat (komputer lokal) Pilih satu bagian Otentikasi server, klik kanan padanya Semua tugas - Impor dan impor sertifikat.

Sekarang di Administrasi - Layanan Desktop Jarak Jauh membuka Konfigurasi Host Sesi Desktop Jarak Jauh(di Alat Administratif Windows Server 2003 - Mengonfigurasi Layanan Terminal).

Pilih koneksi yang diperlukan dan buka propertinya. Di bagian paling bawah, klik tombol Memilih dan pilih sertifikat yang Anda terima pada langkah sebelumnya (di Windows Server 2003 jendela ini terlihat sedikit berbeda).

Setelah memilih sertifikat, tentukan properti lainnya:

  • Tingkat keamanan SSL
  • Tingkat enkripsi Tinggi atau FIPS-kompatibel
  • Centang kotaknya Izinkan koneksi hanya dari komputer...(tidak tersedia di Windows Server 2003)

Simpan parameter yang dimasukkan, ini menyelesaikan pengaturan server.

Pada PC klien, buat koneksi desktop jarak jauh; gunakan nama server lengkap yang ditentukan dalam sertifikat sebagai alamat. Buka properti koneksi dan pada tab Koneksi - Otentikasi Server atur opsi Memperingatkan.

Agar PC ini dapat mempercayai sertifikat yang dikeluarkan oleh otoritas sertifikasi kami, jangan lupa untuk menginstal sertifikat CA di penyimpanannya Otoritas Sertifikasi Root Tepercaya.

Di Windows 7 (saat menggunakan klien RDP versi 7), sertifikat ini harus diinstal di penyimpanan akun komputer, untuk melakukan ini, impor melalui snap-in Sertifikat (komputer lokal) di konsol MCC, serupa dengan yang dilakukan di atas. Jika tidak, koneksi tidak akan dapat dilakukan dan Anda akan menerima kesalahan berikut:

Setelah menginstal sertifikat CA, Anda dapat mencoba menghubungkan, harap dicatat bahwa Anda akan diminta memasukkan nama pengguna dan kata sandi sebelum membuat sesi RDP. Jika koneksi berhasil, perhatikan gembok di judul jendela, yang menunjukkan pengoperasian melalui SSL. Dengan mengkliknya Anda dapat melihat informasi tentang sertifikat.

Dan terakhir, setetes salep di dalam salep. Layanan Terminal Windows tidak dapat memverifikasi keaslian klien yang terhubung, jadi jika perlu, Anda harus menggunakan metode keamanan tambahan, seperti terowongan SSH atau IPSec VPN.