RDP პროტოკოლი. RDP კავშირის დაცვა როგორ მუშაობს rdp პროტოკოლი

სტანდარტულად ყველა Windows ოპერაციულ სისტემაში დაკავშირება პროტოკოლის გამოყენებით RDP ( Remote Desktop Protocol / Remote Desktop ) იყენებს პორტს TCP 3389 .

თუ თქვენი კომპიუტერი დაკავშირებულია პირდაპირ ინტერნეტთან (მაგალითად, VDS სერვერზე), ან კონფიგურირებული გაქვთ პორტი 3389/RDP თქვენს სასაზღვრო როუტერზე ადგილობრივ ქსელში კომპიუტერზე ან სერვერზე, რომელიც მუშაობს Windows-ზე, შეგიძლიათ შეცვალოთ სტანდარტული RDP პორტი 3389. ნებისმიერ სხვას. კავშირისთვის RDP პორტის ნომრის შეცვლით, შეგიძლიათ დამალოთ თქვენი RDP სერვერი პორტის სკანერებისგან, შეამციროთ RDP დაუცველობის გამოყენების ალბათობა (RDP BlueKeep-ის უახლესი კრიტიკული დაუცველობა აღწერილია), შეამციროთ პაროლების დისტანციურად გამოცნობის მცდელობების რაოდენობა. RDP (არ ივიწყებს პერიოდულად), SYN და სხვა ტიპის შეტევებს (განსაკუთრებით ).

სტანდარტული RDP პორტის ჩანაცვლება შეიძლება გამოყენებულ იქნას, როდესაც როუტერის უკან ერთი თეთრი IP მისამართით არის რამდენიმე Windows კომპიუტერი, რომლებზეც საჭიროა გარე RDP წვდომის უზრუნველყოფა. თითოეულ კომპიუტერზე შეგიძლიათ დააკონფიგურიროთ უნიკალური RDP პორტი და დააკონფიგურიროთ პორტის გადამისამართება როუტერზე ადგილობრივ კომპიუტერებზე (RDP პორტის ნომრიდან გამომდინარე, სესია გადამისამართებულია ერთ-ერთ შიდა კომპიუტერზე).

RDP-სთვის არასტანდარტული პორტის ნომრის არჩევისას, გაითვალისწინეთ, რომ მიზანშეწონილია არ გამოიყენოთ პორტის ნომრები 1-დან 1023-მდე (ცნობილი პორტები) და დინამიური პორტები RPC დიაპაზონში (49152-დან 65535-მდე).

მოდით ვცადოთ პორტის შეცვლა, რომელზედაც დისტანციური დესკტოპის სერვისი უსმენს კავშირებს 1350 . Ამისთვის:

  1. გახსენით რეესტრის რედაქტორი და გადადით ფილიალში HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp;
  2. იპოვე DWORDდასახელებული რეესტრის ღირებულება Პორტის ნომერი. ეს პარამეტრი განსაზღვრავს პორტს, რომელზეც Remote Desktop სერვისი უსმენს კავშირებს;
  3. შეცვალეთ ამ პორტის მნიშვნელობა. მე შევცვალე RDP პორტი 1350 ათობითი მნიშვნელობით (ათწილადი);
  4. თუ თქვენს კომპიუტერში ჩართულია Windows Firewall, თქვენ უნდა შექმნათ ახალი წესი, რათა დაუშვათ შემომავალი კავშირები ახალ RDP პორტთან (თუ თქვენ ხელახლა დააკონფიგურირებთ დისტანციურ სერვერს RDP-ის მეშვეობით ფაირვოლში წესის შექმნის გარეშე, თქვენ დაკარგავთ სერვერზე წვდომას). თქვენ შეგიძლიათ შექმნათ შემომავალი დაშვების წესი ახალი TCP/UDP RDP პორტისთვის ხელით „Windows Defender Firewall“ კონსოლიდან ( firewall.cpl) ან იყენებთ: New-NetFirewallRule -DisplayName "New RDP Port 1350" -Direction Inbound -LocalPort 1350 -Protocol TCP -Action allow AND: New-NetFirewallRule -DisplayName "New RDP Port 1350" -LocalPort 1350-Direction. მოქმედება საშუალებას იძლევა
  5. გადატვირთეთ კომპიუტერი ან გადატვირთეთ დისტანციური დესკტოპის სერვისი ბრძანებით: net stop termservice & net start termservice
  6. ახლა, ამ Windows კომპიუტერთან RDP-ით დასაკავშირებლად, mstsc.exe კლიენტში თქვენ უნდა მიუთითოთ RDP კავშირის პორტი ორწერტილის მეშვეობით შემდეგნაირად: Your_Computer_Name:1350 ან IP მისამართით 192.168.1.100:1350 ან ბრძანების ხაზიდან: mstsc. .exe /v 192.168.1.100 :1350

    თუ იყენებთ RDP კავშირის მენეჯერს მრავალი RDP კავშირის სამართავად, კავშირისთვის მითითებული RDP პორტის ნომერი შეიძლება მიეთითოს „კავშირის პარამეტრები“ ჩანართზე.

  7. შედეგად, თქვენ წარმატებით დაუკავშირდებით დისტანციური კომპიუტერის სამუშაო მაგიდას ახალი RDP პორტის ნომრის გამოყენებით (nenstat –na | იპოვნეთ „LIST“ ბრძანების გამოყენებით, დარწმუნდით, რომ RDP სერვისი ახლა უსმენს სხვა პორტს).

სრული PowerShell სკრიპტი RDP პორტის შესაცვლელად, ფეიერვოლში წესის შესაქმნელად და ახალ პორტზე RDP სერვისის გადატვირთვისთვის შეიძლება ასე გამოიყურებოდეს:




New-NetFirewallRule -DisplayName "ახალი RDP პორტი $RDPPort" -მიმართულება შემომავალი -LocalPort $RDPPort -Protocol UDP -Action Allow

ჩასაწერი ჰოსტი "RDP პორტის ნომერი შეიცვალა $RDPPort" -ForegroundColor Magenta

თქვენ შეგიძლიათ შეცვალოთ RDP ნომერი დისტანციურად რამდენიმე კომპიუტერზე AD დომენში (სპეციფიკური OU) Invoke-Command-ის გამოყენებით და:

Write-host "მიუთითეთ ახალი RDP პორტის ნომერი: " -ForegroundColor Yellow -NoNewline;$RDPPort = Read-Host
$PCs = Get-ADComputer -ფილტრი * -SearchBase "CN=DMZ,CN=კომპიუტერები,DC=winitpro,DC=ru"
Foreach ($PC $ PC-ებში) (
Invoke-Command -ComputerName $PC.Name -ScriptBlock (
პარამეტრი ($RDPPport)
Set-ItemProperty - გზა "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP\" -Name PortNumber -Value $RDPPport
New-NetFirewallRule -DisplayName "ახალი RDP პორტი $RDPPort" -მიმართულება შემომავალი -LocalPort $RDPPort -პროტოკოლი TCP -მოქმედების დაშვება
New-NetFirewallRule -DisplayName "ახალი RDP პორტი $RDPPort" -მიმართულება შემომავალი -LocalPort $RDPPort -პროტოკოლი TCP -მოქმედების დაშვება
გადატვირთვა-სერვისის პირობებისერვისი -ძალა
}

სტანდარტული RDP პორტის შეცვლის ეს ინსტრუქციები შესაფერისია Windows-ის ნებისმიერი ვერსიისთვის, Windows XP-დან (Windows Server 2003) Windows 10-მდე (Windows Server 2019).

შუადღე მშვიდობისა, ძვირფასო მკითხველებო და ბლოგის სტუმრებო, დღეს გვაქვს შემდეგი დავალება: შევცვალოთ RDP სერვისის შემომავალი პორტი (ტერმინალური სერვერი) სტანდარტული 3389-დან სხვაზე. შეგახსენებთ, რომ RDP სერვისი არის Windows ოპერაციული სისტემების ფუნქციონალობა, რომლის წყალობითაც შეგიძლიათ ქსელის საშუალებით გახსნათ სესია კომპიუტერზე ან სერვერზე, რომელიც გჭირდებათ RDP პროტოკოლის გამოყენებით და შეძლოთ მასზე მუშაობა, თითქოს მასზე ადგილობრივად ისხდნენ.

რა არის RDP პროტოკოლი

სანამ რამეს შეცვლით, კარგი იქნება, გავიგოთ, რა არის და როგორ მუშაობს, ამაზე მუდმივად გეუბნებით. RDP ან Remote Desktop Protocol არის დისტანციური დესკტოპის პროტოკოლი Microsoft Windows ოპერაციული სისტემებისთვის, თუმცა მისი სათავე მოდის PictureTel-დან (Polycom). Microsoft-მა ახლახან იყიდა. გამოიყენება თანამშრომლის ან მომხმარებლის დისტანციური მუშაობისთვის დისტანციური სერვერით. ყველაზე ხშირად, ასეთი სერვერები ასრულებენ ტერმინალის სერვერის როლს, რომელზედაც სპეციალური ლიცენზიებია გამოყოფილი, თითო მომხმარებლისთვის ან თითო მოწყობილობაზე, CAL. იდეა აქ ასეთი იყო: არის ძალიან ძლიერი სერვერი, მაშინ რატომ არ გამოვიყენოთ მისი რესურსები ერთად, მაგალითად, 1C აპლიკაციისთვის. ეს განსაკუთრებით აქტუალური ხდება გამხდარი კლიენტების მოსვლასთან ერთად.

მსოფლიომ თავად დაინახა ტერმინალის სერვერი, უკვე 1998 წელს Windows NT 4.0 Terminal Server ოპერაციულ სისტემაში, სიმართლე რომ ვთქვა, არც კი ვიცოდი, რომ ასეთი რამ არსებობდა და იმ დროს რუსეთში ყველანი ვთამაშობდით დენდი ან სეგა. RDP კავშირის კლიენტები ამჟამად ხელმისაწვდომია Windows, Linux, MacOS, Android-ის ყველა ვერსიაში. RDP პროტოკოლის ყველაზე თანამედროვე ვერსია ამ დროისთვის არის 8.1.

ნაგულისხმევი rdp პორტი

მაშინვე დავწერ ნაგულისხმევ rdp პორტს 3389, ვფიქრობ, ყველა სისტემის ადმინისტრატორმა იცის ეს.

როგორ მუშაობს rdp პროტოკოლი

ასე რომ, მე და თქვენ გვესმის, რატომ შევიმუშავეთ დისტანციური დესკტოპის პროტოკოლი, ახლა ლოგიკურია, რომ თქვენ უნდა გესმოდეთ მისი მუშაობის პრინციპები. Microsoft განასხვავებს RDP პროტოკოლის ორ რეჟიმს:

  • დისტანციური ადმინისტრირების რეჟიმი > ადმინისტრაციისთვის, მიდიხართ დისტანციურ სერვერზე და აკონფიგურირებთ და მართავთ მას
  • ტერმინალის სერვერის რეჟიმი > აპლიკაციის სერვერზე, დისტანციურ აპზე წვდომისთვის ან სამუშაოდ გასაზიარებლად.

ზოგადად, თუ დააინსტალირებთ Windows Server 2008 R2 - 2016 ტერმინალის სერვერის გარეშე, მაშინ ნაგულისხმევად მას ექნება ორი ლიცენზია და ორი მომხმარებელი შეძლებს მასთან დაკავშირებას ერთდროულად, მესამეს მოუწევს ვინმეს გაძევება. მუშაობა. Windows-ის კლიენტის ვერსიებში არსებობს მხოლოდ ერთი ლიცენზია, მაგრამ ამის თავიდან აცილებაც შესაძლებელია; მე ვისაუბრე სტატიაში Terminal Server on Windows 7. ასევე დისტანციური ადმინისტრირების რეჟიმში, შეგიძლიათ დაჯგუფოთ და ჩატვირთოთ ბალანსი NLB ტექნოლოგიისა და Session Directory Service კავშირის სერვერის წყალობით. იგი გამოიყენება მომხმარებლის სესიების ინდექსაციისთვის, ამ სერვერის წყალობით მომხმარებელს შეუძლია შევიდეს ტერმინალის სერვერების დისტანციურ სამუშაო მაგიდაზე განაწილებულ გარემოში. ასევე აუცილებელი კომპონენტებია ლიცენზირების სერვერი.

RDP პროტოკოლი მუშაობს TCP კავშირზე და არის აპლიკაციის პროტოკოლი. როდესაც კლიენტი ამყარებს კავშირს სერვერთან, RDP სესია იქმნება სატრანსპორტო დონეზე, სადაც ხდება დაშიფვრისა და მონაცემთა გადაცემის მეთოდების მოლაპარაკება. როდესაც ყველა მოლაპარაკება განისაზღვრება და ინიციალიზაცია დასრულდება, ტერმინალის სერვერი უგზავნის გრაფიკულ გამომავალს კლიენტს და ელოდება კლავიატურის და მაუსის შეყვანას.

დისტანციური დესკტოპის პროტოკოლი მხარს უჭერს მრავალ ვირტუალურ არხს ერთი კავშირის ფარგლებში, რაც საშუალებას გაძლევთ გამოიყენოთ დამატებითი ფუნქციები

  • გადაიტანეთ თქვენი პრინტერი ან COM პორტი სერვერზე
  • გადამისამართეთ თქვენი ადგილობრივი დისკები სერვერზე
  • ბუფერში
  • აუდიო და ვიდეო

RDP კავშირის ეტაპები

  • კავშირის დამყარება
  • დაშიფვრის პარამეტრებზე მოლაპარაკება
  • სერვერის ავთენტიფიკაცია
  • RDP სესიის პარამეტრებზე მოლაპარაკება
  • კლიენტის ავთენტიფიკაცია
  • RDP სესიის მონაცემები
  • RDP სესიის შეწყვეტა

უსაფრთხოება RDP პროტოკოლში

დისტანციური დესკტოპის პროტოკოლს აქვს ავთენტიფიკაციის ორი მეთოდი სტანდარტული RDP უსაფრთხოება და გაძლიერებული RDP უსაფრთხოება, ჩვენ ორივეს უფრო დეტალურად განვიხილავთ ქვემოთ.

სტანდარტული RDP უსაფრთხოება

RDP პროტოკოლი ავტორიზაციის ამ მეთოდით შიფრავს კავშირს RDP პროტოკოლის გამოყენებით, რომელიც მასშია, ამ მეთოდის გამოყენებით:

  • როდესაც თქვენი ოპერაციული სისტემა იწყება, წყვილი RSA კლავიშები გენერირებულია
  • საკუთრების სერთიფიკატი იქმნება
  • რის შემდეგაც საკუთრების სერთიფიკატი ხელმოწერილია ადრე შექმნილი RSA გასაღებით
  • ახლა RDP კლიენტი, რომელიც უკავშირდება ტერმინალის სერვერს, მიიღებს საკუთრების სერთიფიკატს
  • კლიენტი უყურებს მას და ამოწმებს, შემდეგ იღებს სერვერის საჯარო გასაღებს, რომელიც გამოიყენება დაშიფვრის პარამეტრებზე შეთანხმების ეტაპზე.

თუ გავითვალისწინებთ ალგორითმს, რომლითაც ყველაფერი დაშიფრულია, ეს არის RC4 ნაკადის შიფრი. სხვადასხვა სიგრძის გასაღებები 40-დან 168 ბიტამდე, ეს ყველაფერი დამოკიდებულია Windows ოპერაციული სისტემის გამოცემაზე, მაგალითად Windows 2008 Server-ში - 168 ბიტი. მას შემდეგ, რაც სერვერმა და კლიენტმა გადაწყვიტეს გასაღების სიგრძე, ორი ახალი განსხვავებული გასაღები წარმოიქმნება მონაცემების დაშიფვრისთვის.

თუ თქვენ ჰკითხავთ მონაცემთა მთლიანობას, მაშინ ეს მიიღწევა MAC (შეტყობინებების ავთენტიფიკაციის კოდი) ალგორითმის საშუალებით, რომელიც დაფუძნებულია SHA1 და MD5-ზე.

გაძლიერებული RDP უსაფრთხოება

ავთენტიფიკაციის ამ მეთოდით RDP პროტოკოლი იყენებს უსაფრთხოების ორ გარე მოდულს:

  • CredSSP
  • TLS 1.0

TLS მხარდაჭერილია RDP-ის მე-6 ვერსიიდან. როდესაც იყენებთ TLS, დაშიფვრის სერთიფიკატი შეიძლება შეიქმნას ტერმინალის სერვერის, თვით ხელმოწერილი სერტიფიკატის ან მაღაზიიდან არჩევის გამოყენებით.

როდესაც იყენებთ CredSSP პროტოკოლს, ეს არის Kerberos, NTLM და TLS ტექნოლოგიების სიმბიოზი. ამ პროტოკოლით, თვით შემოწმება, რომელიც ამოწმებს ტერმინალის სერვერზე შესვლის ნებართვას, ხორციელდება წინასწარ და არა სრული RDP კავშირის შემდეგ, და ამით თქვენ დაზოგავთ რესურსებს ტერმინალის სერვერზე, გარდა ამისა, არსებობს უფრო საიმედო დაშიფვრა და შეგიძლიათ შედით ერთხელ (ერთჯერადი შესვლა). NTLM-ისა და Kerberos-ის წყალობით. CredSSP მუშაობს მხოლოდ ოპერაციულ სისტემაში, რომელიც არ არის დაბალი ვიდრე Vista და Windows Server 2008. აი ეს არის ჩამრთველი სისტემის თვისებებში.

დაუშვით კავშირები მხოლოდ კომპიუტერებიდან, რომლებიც მუშაობენ Remote Desktop ქსელის დონის ავთენტიფიკაციით.

შეცვალეთ rdp პორტი

rdp პორტის შესაცვლელად დაგჭირდებათ:

  1. გახსენით რეესტრის რედაქტორი (დაწყება -> გაშვება -> regedit.exe)
  2. მოდით გადავიდეთ შემდეგ განყოფილებაზე:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

იპოვეთ PortNumber გასაღები და შეცვალეთ მისი მნიშვნელობა თქვენთვის საჭირო პორტის ნომერზე.

დარწმუნდით, რომ აირჩიეთ ათობითი მნიშვნელობა; მაგალითად, მე დავდებ პორტს 12345.

როგორც კი ამას გააკეთებთ, გადატვირთეთ დისტანციური დესკტოპის სერვისი ბრძანების ხაზის მეშვეობით შემდეგი ბრძანებების გამოყენებით:

და ჩვენ ვქმნით ახალ შემომავალ წესს ახალი rdp პორტისთვის. შეგახსენებთ, რომ ნაგულისხმევი rdp პორტი არის 3389.

ჩვენ ვირჩევთ როგორი წესი იქნება პორტისთვის

ჩვენ ვტოვებთ პროტოკოლს, როგორც TCP და ვაზუსტებთ RDP პორტის ახალ ნომერს.

წესი იქნება RDP კავშირის დაშვება არასტანდარტულ პორტზე

საჭიროების შემთხვევაში, დააყენეთ საჭირო ქსელის პროფილები.

მოდით, დავარქვათ წესი ჩვენთვის გასაგებ ენაზე.

მოგესალმებით ყველას, ჩვენ ვაგრძელებთ თემის განხილვას. დღეს ჩვენ გადავხედავთ ჩაშენებულ Windows ინსტრუმენტს, რომელიც საშუალებას გაძლევთ დაუკავშირდეთ დისტანციურ კომპიუტერს. ამ ხელსაწყოს ეწოდება RDP (Remote Desktop Protocol) კლიენტი, თუ რუსულად ითარგმნება - დისტანციური დესკტოპის პროტოკოლი. ამ პროტოკოლის გამოყენებით შეგიძლიათ აკონტროლოთ დისტანციური კომპიუტერი, რომელიც მუშაობს ტერმინალის კავშირის სერვისზე. RDP კლიენტი გამოჩნდა Windows XP-ში და კვლავ მხარდაჭერილია ოპერაციული სისტემის ახალ ვერსიებში. დიდი ალბათობით, ბევრმა თქვენგანმა არც კი იცის რა არის ეს, მაგრამ ამ ხელსაწყოს დახმარებით შეგიძლიათ მარტივად დაუკავშირდეთ დისტანციურ კომპიუტერს და მართოთ იგი. ამ სტატიაში მე გეტყვით დეტალურად, თუ როგორ უნდა დაუკავშირდეთ დისტანციურ დესკტოპს ლოკალურ ქსელში. ამიტომ, წაიკითხეთ ტექსტი სრულად.

მომზადება RDP კლიენტის გამოყენებამდე.

უმეტეს შემთხვევაში, RDP კლიენტი გამოიყენება იმავე ლოკალურ ქსელზე მუშაობისას. მაგალითად, სახლში ერთი კომპიუტერიდან მეორეზე დასაკავშირებლად, ისინი უნდა იყოს დაკავშირებული იმავე როუტერთან. ასევე შესაძლებელია დისტანციურ კომპიუტერთან დაკავშირება ინტერნეტის საშუალებით, მაგრამ ეს მისი დაყენების უფრო რთული გზაა, ვფიქრობ ამ თემაზე ცალკე სტატიაში განვიხილავთ.

პირველი, რაც უნდა გააკეთოთ დისტანციური დესკტოპის პროტოკოლით დასაკავშირებლად, არის დისტანციური კომპიუტერის IP მისამართის ცოდნა. როგორც წესი, თუ თქვენს კომპიუტერებზე ქსელის კავშირი ავტომატურად არის კონფიგურირებული, მაშინ ყოველ ჯერზე, როდესაც ოპერაციული სისტემა გადატვირთავთ, IP მისამართები შეიცვლება. ამიტომ, უპირველეს ყოვლისა, ჩვენ დავაყენეთ სტატიკური მისამართები თქვენს ლოკალურ ქსელში არსებული ყველა მოწყობილობისთვის. მაგრამ პირველ რიგში, თქვენ უნდა ნახოთ, რა მისამართებს იღებს კომპიუტერი ავტომატურად. Ამისთვის . შევდივართ „ipconfig“ ბრძანებას და ვნახავთ, რომელს: ქსელის ნიღაბი, ქვექსელის ნიღაბი და კარიბჭე იღებს ქსელის ბარათს ავტომატური პარამეტრების დროს.


Შენიშვნა! როგორც წესი, ყველა როუტერზე ნაგულისხმევი ქსელის ნიღაბი არის (192.168.0. ან 192.168.1.), შესაბამისად, ჩვენ ვწერთ ყველა ხაზს, როგორც ნაჩვენებია ეკრანის სურათზე და ვინახავთ ცვლილებებს.

ესე იგი, ახლა ჩვენ დავაყენეთ სტატიკური IP მისამართი ჩვენი კომპიუტერისთვის, ეს მოგვცემს საშუალებას მარტივად გამოვიყენოთ RDP კლიენტი.

როგორ მივცეთ ნებართვა დისტანციურ სამუშაო მაგიდასთან დასაკავშირებლად.

მას შემდეგ, რაც ჩვენ კომპიუტერის მისამართებს შევეხებით. მოდით გადავიდეთ დისტანციური დესკტოპის პროტოკოლის ფუნქციის ჩართვაზე. ეს ნაბიჯები უნდა შესრულდეს კომპიუტერზე, რომელთანაც გსურთ დაკავშირება. იმისათვის, რომ ყველაფერი იმუშაოს, მიჰყევით ამ ნაბიჯებს:


ჩვენ დავასრულეთ ყველა მოსამზადებელი ნაბიჯი, რათა RDP კლიენტმა შეძლოს ჩვენთან მუშაობა. მოდით ახლა პირდაპირ გადავიდეთ კავშირის პროცესის განხილვაზე.

ჩვენ ვუკავშირდებით დისტანციურ კომპიუტერს RDP-ის საშუალებით.

წინა აბზაცებში ჩვენ გავარკვიეთ პარამეტრები, რომლებიც უნდა გაკეთდეს დისტანციური დესკტოპის პროტოკოლის გამოყენებით მუშაობისთვის. ახლა ვნახოთ, როგორ დავაკავშიროთ.

Შენიშვნა! ჩვენ გამოვიყენებთ სტანდარტულ Windows ინსტრუმენტს. შესაბამისად, ჩვენ არ მოგვიწევს მესამე მხარის კომუნალური პროგრამების ჩამოტვირთვა; ყველაფერი, რაც ჩვენ გვჭირდება, ხელთ იქნება.

Remote Desktop Connection ინსტრუმენტის გასაშვებად გახსენით Start მენიუ - ყველა პროგრამა - აქსესუარები - Windows. მენიუს პუნქტში, რომელიც იხსნება, ჩვენ გავუშვით RDP კლიენტი და ვხედავთ ველს სახელწოდებით "კომპიუტერი". თქვენ უნდა შეიყვანოთ დისტანციური კომპიუტერის მისამართი, ე.ი. ის, რომელზეც ჩვენ დავაყენეთ სტატიკური IP მისამართი. დაკავშირების ღილაკზე დაჭერის შემდეგ, პროგრამა მოგთხოვთ შეიყვანოთ თქვენი „შესვლა და პაროლი“ დისტანციურ კომპიუტერთან დასაკავშირებლად.

თქვენ ასევე შეგიძლიათ გახსნათ დამატებითი პარამეტრები; ამისათვის გახსენით "ოფციების ჩვენება" პუნქტი. აქ შეგიძლიათ დაუყოვნებლივ მიუთითოთ დისტანციური კომპიუტერის მომხმარებელი, დააკონფიგურიროთ ადგილობრივი რესურსები, ასევე ეკრანის პარამეტრები. მაგრამ ვფიქრობ, ჯობია ყველაფერი ნაგულისხმევად დავტოვოთ და დაიწყოთ დისტანციური კომპიუტერის მართვა.

RDP კლიენტი - დადებითი და უარყოფითი მხარეები.

მართალი გითხრათ, მე არ მიწევს RDP კლიენტის გამოყენება ძალიან ხშირად, მაგრამ ზოგჯერ ეს უბრალოდ აუცილებელია. ჩემთვის მე გამოვყავი შემდეგი უპირატესობები:

  • დისტანციურ კომპიუტერთან დასაკავშირებლად, თქვენ არ გჭირდებათ რაიმე პროგრამის ძიება ან ინსტალაცია. ყველაფერი მოწოდებულია Microsoft-ის დეველოპერების მიერ და ინსტრუმენტი ჩაშენებულია ოპერაციულ სისტემაში;
  • დისტანციური დესკტოპის გამოყენებით, შეგიძლიათ მიიღოთ სრული წვდომა თქვენს კომპიუტერზე. რაც საშუალებას გაძლევთ განახორციელოთ ნებისმიერი მოქმედება მასზე;
  • შეუზღუდავი წვდომის დრო დისტანციურ კომპიუტერზე.

აქ მთავრდება დადებითი მხარეები, მოდით გადავიდეთ ამ პროგრამის გამოყენების მინუსებზე:

  • პროგრამა გამართულად მუშაობს მხოლოდ ლოკალურ ქსელში; ინტერნეტის საშუალებით კავშირის დასაყენებლად, თქვენ უნდა შეხვიდეთ როუტერის პარამეტრებში პორტის გასაგზავნად, რაც პრობლემას წარმოადგენს მრავალი მომხმარებლისთვის;
  • თუ იყენებთ VPN, მაშინ იმისათვის, რომ დაუკავშირდეთ დისტანციურ კომპიუტერს RDP კლიენტის გამოყენებით, გჭირდებათ კარგი ინტერნეტის სიჩქარე, წინააღმდეგ შემთხვევაში უყურებთ სლაიდ შოუს;
  • პროგრამას აქვს ფუნქციების მინიმალური ნაკრები და ასევე არ აქვს ჩაშენებული ფაილების მენეჯერი, ამიტომ ფაილების გადაცემის საშუალება არ არსებობს;

შევაჯამოთ.

დღეს ჩვენ გადავხედეთ RDP კლიენტს Windows-ისთვის. ეს ინსტრუმენტი კომპიუტერთან დისტანციურად დასაკავშირებლად შეიძლება ჩაითვალოს მესამე მხარის პროგრამების ალტერნატივად, როგორიცაა, მაგრამ ნაკლებად სავარაუდოა, რომ RDP შეძლებს მათ მთლიანად ჩანაცვლებას. ვინაიდან ჩაშენებულ ხელსაწყოს არ გააჩნია ფუნქციების ყველა საჭირო ნაკრები, რომელიც დამახასიათებელია დისტანციური წვდომის პროგრამებისთვის. მუშაობის სიჩქარე სასურველს ტოვებს, მაგრამ ის შესანიშნავია იმ შემთხვევებში, როდესაც არ არის სხვა პროგრამების მოძებნისა და ინსტალაციის შესაძლებლობა ან დრო და თქვენ სასწრაფოდ გჭირდებათ დისტანციურ კომპიუტერზე წვდომა.

ხშირად, ბევრ მომხმარებელს, რომელიც იყენებს დისტანციური წვდომის სესიებს, აქვს შეკითხვა, თუ როგორ უნდა შეცვალოს RDP პორტი. ახლა მოდით გადავხედოთ უმარტივეს გადაწყვეტილებებს და ასევე მიუთითოთ დაყენების პროცესში რამდენიმე ძირითადი ეტაპი.

რისთვის არის RDP პროტოკოლი?

პირველი, რამდენიმე სიტყვა RDP-ის შესახებ. თუ დააკვირდებით აბრევიატურის გაშიფვრას, მიხვდებით, რომ დისტანციური წვდომა

მარტივი სიტყვებით, ეს არის ინსტრუმენტი ტერმინალის სერვერისთვის ან სამუშაო სადგურისთვის. Windows-ის პარამეტრები (და სისტემის ნებისმიერი ვერსია) იყენებს ნაგულისხმევ პარამეტრებს, რომლებიც შეესაბამება უმეტეს მომხმარებლებს. თუმცა, ზოგჯერ საჭიროა მათი შეცვლა.

სტანდარტული RDP პორტი: უნდა შეიცვალოს?

ასე რომ, Windows-ის მოდიფიკაციის მიუხედავად, ყველა პროტოკოლს აქვს წინასწარ განსაზღვრული მნიშვნელობა. ეს არის RDP პორტი 3389, რომელიც გამოიყენება საკომუნიკაციო სესიის განსახორციელებლად (ერთი ტერმინალის დაკავშირება დისტანციურთან).

რა არის სიტუაციის მიზეზი, როდესაც სტანდარტული მნიშვნელობა უნდა შეიცვალოს? უპირველეს ყოვლისა, მხოლოდ ადგილობრივი კომპიუტერის უსაფრთხოების უზრუნველყოფით. ყოველივე ამის შემდეგ, თუ ამას დააკვირდებით, დაყენებული სტანდარტული პორტით, პრინციპში, ნებისმიერ თავდამსხმელს შეუძლია ადვილად შეაღწიოს სისტემაში. ახლა ვნახოთ, როგორ შევცვალოთ ნაგულისხმევი RDP პორტი.

პარამეტრების შეცვლა სისტემის რეესტრში

დაუყოვნებლივ აღვნიშნოთ, რომ ცვლილების პროცედურა ხორციელდება ექსკლუზიურად სახელმძღვანელო რეჟიმში და თავად დისტანციური წვდომის კლიენტი არ ითვალისწინებს რაიმე გადატვირთვას ან ახალი პარამეტრების ინსტალაციას.

პირველ რიგში, გამოიძახეთ სტანდარტული რეესტრის რედაქტორი regedit ბრძანებით "Run" მენიუში (Win + R). აქ ჩვენ გვაინტერესებს HKLM ფილიალი, რომელშიც უნდა ჩავიდეთ დანაყოფის ხეზე ტერმინალის სერვერის დირექტორიაში RDP-Tcp დირექტორიაში. მარჯვენა ფანჯარაში ვპოულობთ PortNumber კლავიშს. ეს არის მისი მნიშვნელობა, რომ ჩვენ უნდა შევცვალოთ.

ჩვენ შევდივართ რედაქტირებაში და იქ ვხედავთ 00000D3D. ბევრ ადამიანს მაშინვე უკვირს, რა არის ეს. და ეს არის მხოლოდ თექვსმეტობითი ასახვა ათწილადი ნომრის 3389. პორტის ათწილადის სახით აღსანიშნავად, ჩვენ ვიყენებთ შესაბამის ხაზს მნიშვნელობის წარმოდგენის საჩვენებლად, შემდეგ კი მიუთითეთ ჩვენთვის საჭირო პარამეტრი.

ამის შემდეგ, ჩვენ გადატვირთავთ სისტემას და დაკავშირების მცდელობისას, მიუთითეთ ახალი RDP პორტი. დაკავშირების კიდევ ერთი გზაა სპეციალური ბრძანების mstsc /v:ip_address:XXXXX გამოყენება, სადაც XXXXX არის ახალი პორტის ნომერი. მაგრამ ეს ყველაფერი არ არის.

Windows Firewall-ის წესები

სამწუხაროდ, ჩაშენებულმა Windows Firewall-მა შესაძლოა დაბლოკოს ახალი პორტი. ეს ნიშნავს, რომ თქვენ უნდა შეიტანოთ ცვლილებები თავად firewall-ის პარამეტრებში.

გამოიძახეთ firewall პარამეტრები გაფართოებული უსაფრთხოების პარამეტრებით. აქ ჯერ უნდა აირჩიოთ შემომავალი კავშირები და დააწკაპუნოთ ხაზზე ახალი წესის შესაქმნელად. ახლა ვირჩევთ ელემენტს პორტისთვის წესის შესაქმნელად, შემდეგ შევიყვანთ მის მნიშვნელობას TCP-სთვის, შემდეგ დავუშვებთ დაკავშირებას, ვტოვებთ პროფილების განყოფილებას უცვლელად და ბოლოს ვაძლევთ ახალ წესს სახელს, რის შემდეგაც ვაჭერთ სრული კონფიგურაციის ღილაკს. რჩება მხოლოდ სერვერის გადატვირთვა და, დაკავშირებისას, მიუთითეთ ახალი RDP პორტი ნაწლავის საშუალებით შესაბამის ხაზში. თეორიულად, პრობლემები არ უნდა იყოს.

RDP პორტის გადამისამართება როუტერზე

ზოგიერთ შემთხვევაში, როდესაც იყენებთ უკაბელო კავშირს და არა საკაბელო კავშირს, შეიძლება დაგჭირდეთ პორტის გადაგზავნა თქვენს როუტერზე. არაფერია ამაში რთული.

პირველ რიგში, სისტემის თვისებებში ვაძლევთ უფლებას და მივუთითებთ მომხმარებლებს, რომლებსაც აქვთ ამის უფლება. შემდეგ ბრაუზერის საშუალებით გადადით როუტერის პარამეტრების მენიუში (192.168.1.1 ან ბოლოს 0.1 - ეს ყველაფერი დამოკიდებულია როუტერის მოდელზე). ველში (თუ ჩვენი მთავარი მისამართია 1.1), მიზანშეწონილია მიუთითოთ მისამართი, დაწყებული მესამედან (1.3) და დაწეროთ მისამართის გაცემის წესი მეორესთვის (1.2).

შემდეგ ქსელურ კავშირებში ვიყენებთ დეტალების ხედს, სადაც უნდა ნახოთ დეტალები, დააკოპირეთ ფიზიკური MAC მისამართი იქიდან და ჩასვით როუტერის პარამეტრებში.

ახლა, მოდემის NAT პარამეტრების განყოფილებაში, ჩართეთ სერვერთან კავშირი, დაამატეთ წესი და მიუთითეთ XXXX პორტი, რომელიც უნდა გადამისამართდეს სტანდარტულ RDP პორტში 3389. შეინახეთ ცვლილებები და გადატვირთეთ როუტერი (ახალი პორტი არ მიიღება გადატვირთვის გარეშე). თქვენ შეგიძლიათ შეამოწმოთ კავშირი ზოგიერთ სპეციალიზებულ ვებსაიტზე, როგორიცაა ping.eu, პორტის ტესტირების განყოფილებაში. როგორც ხედავთ, ყველაფერი მარტივია.

და ბოლოს, გაითვალისწინეთ, რომ პორტის მნიშვნელობები ნაწილდება შემდეგნაირად:

  • 0 - 1023 - პორტები დაბალი დონის სისტემური პროგრამებისთვის;
  • 1024 - 49151 - კერძო მიზნებისთვის გამოყოფილი პორტები;
  • 49152 - 65535 - დინამიური კერძო პორტები.

ზოგადად, ბევრი მომხმარებელი ჩვეულებრივ ირჩევს RDP პორტებს სიის მესამე დიაპაზონიდან პრობლემების თავიდან ასაცილებლად. თუმცა, როგორც სპეციალისტები, ასევე ექსპერტები გირჩევენ ამ მნიშვნელობების გამოყენებას პარამეტრებში, რადგან ისინი შესაფერისია ამოცანების უმეტესობისთვის.

რაც შეეხება ამ კონკრეტულ პროცედურას, ის ძირითადად გამოიყენება მხოლოდ Wi-Fi კავშირის შემთხვევაში. როგორც უკვე ხედავთ, ნორმალური სადენიანი კავშირით ეს არ არის საჭირო: უბრალოდ შეცვალეთ რეესტრის გასაღებების მნიშვნელობები და დაამატეთ წესები პორტისთვის ბუხარელში.

RDP ქსელის ფენის უსაფრთხოებით (SSL), სამწუხაროდ, ფართოდ არ გამოიყენება სისტემის ადმინისტრატორებს შორის, რომლებიც ამჯობინებენ ტერმინალის კავშირების დაცვას სხვა გზით. ეს შეიძლება იყოს მეთოდის აშკარა სირთულის გამო, მაგრამ ეს ასე არ არის; ამ მასალაში განვიხილავთ, თუ როგორ უნდა მოაწყოთ ასეთი დაცვა მარტივად და უპრობლემოდ.

რა სარგებელს გვაძლევს RDP-ის დაცვა SSL-ით? პირველ რიგში, ძლიერი არხის დაშიფვრა, სერვერის ავთენტიფიკაცია სერთიფიკატზე დაფუძნებული და მომხმარებლის ავტორიზაცია ქსელის დონეზე. ეს უკანასკნელი ფუნქცია ხელმისაწვდომია Windows Server 2008-დან დაწყებული. ქსელის დონის ავტორიზაცია აუმჯობესებს ტერმინალის სერვერის უსაფრთხოებას სესიის დაწყებამდე ავტორიზაციის დაშვებით.

ქსელის დონის ავთენტიფიკაცია ხორციელდება დისტანციურ სამუშაო მაგიდასთან დაკავშირებამდე და შესვლის ეკრანის ჩვენებამდე, რაც ამცირებს სერვერის დატვირთვას და მნიშვნელოვნად ზრდის მის დაცვას თავდამსხმელებისგან და მავნე პროგრამებისგან და ამცირებს სერვისის შეტევების უარყოფის ალბათობას.

იმისათვის, რომ სრულად ისარგებლოთ RDP-ით SSL-თან შედარებით, კლიენტის კომპიუტერებზე უნდა იყოს გაშვებული Windows XP SP3, Windows Vista ან Windows 7 და გამოიყენონ RDP კლიენტის ვერსია 6.0 ან უფრო ახალი.

Windows Server 2003 SP1 და უფრო ახალი ვერსიის გამოყენებისას, ხელმისაწვდომი იქნება არხის დაშიფვრა SSL (TLS 1.0) და სერვერის ავთენტიფიკაცია; კლიენტის კომპიუტერებს უნდა ჰქონდეთ RDP კლიენტის ვერსია 5.2 ან უფრო ახალი.

ჩვენს სტატიაში განვიხილავთ Windows Server 2008 R2-ზე დაფუძნებული ტერმინალის სერვერის დაყენებას, თუმცა ყველაფერი ნათქვამი იქნება Windows Server 2003-ისთვისაც (გამოკლებული ფუნქციების გამოკლებით).

ამ გადაწყვეტის წარმატებით განსახორციელებლად, თქვენს ქსელს უნდა ჰქონდეს მოქმედი სერტიფიცირების ორგანო, რომლის კონფიგურაციაც განვიხილეთ. იმისათვის, რომ ენდოთ ამ CA-ს მიერ ტერმინალის სერვერზე გაცემულ სერთიფიკატებს, უნდა დააინსტალიროთ CA სერთიფიკატი (ან სერტიფიკატების ჯაჭვი) მაღაზიაში.

შემდეგ თქვენ უნდა მოითხოვოთ სერვერის ავთენტურობის სერტიფიკატი შემდეგი პარამეტრებით:

სახელი - ტერმინალის სერვერის სრული სახელი (მაგ. server.domain.com თუ სერვერი domain.com დომენის ნაწილია)

  • Სერტიფიკატის ტიპი - სერვერის ავთენტიფიკაციის სერთიფიკატი
  • დააყენეთ ვარიანტი შექმენით ახალი გასაღებების ნაკრები
  • CSP- Microsoft RSA SChannel კრიპტოგრაფიული პროვაიდერი.
  • შეამოწმეთ ყუთი მონიშნეთ გასაღები, როგორც ექსპორტირებადი.
  • საწარმოს CA-სთვის აირჩიეთ მოსანიშნი ველი გამოიყენეთ კომპიუტერის ადგილობრივი მეხსიერება სერტიფიკატის მისაღებად. (ეს ვარიანტი არ არის ხელმისაწვდომი დამოუკიდებელ CA-ში.)

გაუგზავნეთ მოთხოვნა სერტიფიკატის ორგანოს და დააინსტალირეთ გაცემული სერტიფიკატი. ეს სერტიფიკატი უნდა იყოს დაინსტალირებული კომპიუტერის ლოკალურ საცავში, წინააღმდეგ შემთხვევაში ის ვერ გამოიყენებს Terminal Services-ს. ამის შესამოწმებლად, მოდით გავუშვათ კონსოლი MMC (დაწყება - გაშვება - mmc) და დაამატეთ აღჭურვილობა სერთიფიკატები(ფაილი - დაამატეთ ან წაშალეთ snap-in) კომპიუტერის ანგარიშისთვის.

კონსოლის root-ზე აირჩიეთ დაწკაპუნებით ნახვა - ოფციებიდა დააყენეთ ნახვის რეჟიმი სერთიფიკატების ორგანიზება მიზნის მიხედვით. გაცემული სერტიფიკატი უნდა იყოს ჯგუფში სერვერის ავთენტიფიკაცია.

თუ თქვენ მიიღეთ სერთიფიკატი იზოლირებული (დამოუკიდებელი) CA-ს გამოყენებით (ქსელს არ აქვს დომენის სტრუქტურა), მაშინ ის ნაგულისხმევად დაინსტალირდება მომხმარებლის ანგარიშის მაღაზიაში და მოგიწევთ რამდენიმე დამატებითი ნაბიჯის შესრულება.

გახსენით Internet Explorer - ინტერნეტის ოფციები - შინაარსი - სერთიფიკატები, გაცემული სერტიფიკატი უნდა დამონტაჟდეს მაღაზიაში პირადი.

ექსპორტი. ექსპორტის დროს მიუთითეთ შემდეგი პარამეტრები:

  • დიახ, პირადი გასაღების ექსპორტი
  • ამოიღეთ პირადი გასაღები წარმატებული ექსპორტის შემდეგ

შემდეგ წაშალეთ სერთიფიკატი ამ მაღაზიიდან. სნეპში სერთიფიკატები (ადგილობრივი კომპიუტერი)აირჩიეთ განყოფილება სერვერის ავთენტიფიკაცია, დააწკაპუნეთ მასზე მარჯვენა ღილაკით ყველა დავალება - იმპორტიდა შემოიტანეთ სერთიფიკატი.

ახლა შიგნით ადმინისტრაცია - დისტანციური დესკტოპის სერვისებიგახსნა დისტანციური დესკტოპის სესიის ჰოსტის კონფიგურაცია(Windows Server 2003 ადმინისტრაციულ ინსტრუმენტებში - ტერმინალის სერვისების კონფიგურაცია).

აირჩიეთ საჭირო კავშირი და გახსენით მისი თვისებები. ბოლოში დააჭირეთ ღილაკს აირჩიეთდა აირჩიეთ წინა ეტაპზე მიღებული სერთიფიკატი (Windows Server 2003-ში ეს ფანჯარა ოდნავ განსხვავებულად გამოიყურება).

სერტიფიკატის არჩევის შემდეგ, მიუთითეთ დარჩენილი თვისებები:

  • უსაფრთხოების დონე SSL
  • დაშიფვრის დონე მაღალიან FIPS-თავსებადი
  • შეამოწმეთ ყუთი დაუშვით კავშირები მხოლოდ კომპიუტერიდან...(არ არის ხელმისაწვდომი Windows Server 2003-ზე)

შეინახეთ შეყვანილი პარამეტრები, ეს დაასრულებს სერვერის დაყენებას.

კლიენტის კომპიუტერზე შექმენით დისტანციური დესკტოპის კავშირი; გამოიყენეთ სერთიფიკატში მითითებული სერვერის სრული სახელი მისამართად. გახსენით კავშირის თვისებები და ჩანართზე კავშირი - სერვერის ავთენტიფიკაციადაყენების ვარიანტი გააფრთხილე.

იმისათვის, რომ ამ კომპიუტერმა ენდოს ჩვენი სერტიფიცირების ორგანოს მიერ გაცემულ სერთიფიკატებს, არ დაგავიწყდეთ მასზე დააინსტალიროთ CA სერთიფიკატი საცავში. სანდო Root სერტიფიცირების ორგანოები.

Windows 7-ში (RDP კლიენტის ვერსიის 7-ის გამოყენებისას), ეს სერტიფიკატი უნდა იყოს დაინსტალირებული საცავში კომპიუტერის ანგარიში, ამისათვის, შემოიტანეთ ის snap-in-ის მეშვეობით სერთიფიკატები (ადგილობრივი კომპიუტერი) MCC კონსოლში, ისევე, როგორც ეს გაკეთდა ზემოთ. წინააღმდეგ შემთხვევაში, კავშირი შეუძლებელი იქნება და მიიღებთ შემდეგ შეცდომას:

CA სერთიფიკატის დაინსტალირების შემდეგ, შეგიძლიათ სცადოთ დაკავშირება, გთხოვთ, გაითვალისწინოთ, რომ RDP სესიის შექმნამდე მოგეთხოვებათ შეიყვანოთ მომხმარებლის სახელი და პაროლი. თუ კავშირი წარმატებულია, ყურადღება მიაქციეთ ფანჯრის სათაურში არსებულ ბოქლომს, რომელიც მიუთითებს SSL-ის საშუალებით მუშაობაზე. მასზე დაწკაპუნებით შეგიძლიათ ნახოთ ინფორმაცია სერტიფიკატის შესახებ.

და ბოლოს, მალამოში წვეთი მალამო. Windows Terminal Services ვერ ამოწმებს კლიენტების დაკავშირების ავთენტურობას, ასე რომ, საჭიროების შემთხვევაში, უნდა გამოიყენოთ უსაფრთხოების დამატებითი მეთოდები, როგორიცაა SSH გვირაბი ან IPSec VPN.