Implicit pe toate sistemele de operare Windows pentru conexiuni de protocol RDP( Protocolul Remote Desktop / Remote Desktop ) folosește portul TCP 3389 .
Dacă computerul dvs. este conectat direct la Internet (de exemplu, un server VDS) sau ați configurat portul 3389/RDP pe routerul edge la rețeaua locală pe un computer sau server Windows, puteți schimba portul RDP standard 3389 în oricare altul. Schimbând numărul portului RDP pentru conexiune, vă puteți ascunde serverul RDP de scanerele de porturi, puteți reduce probabilitatea exploatării vulnerabilităților RDP (ultima vulnerabilitate critică din RDP BlueKeep este descrisă în), reduceți numărul de încercări de ghicire a parolei la distanță prin RDP ( nu uită periodic), SYN și alte tipuri de atacuri (mai ales când).
Înlocuirea portului RDP standard poate fi folosită atunci când există mai multe computere Windows în spatele unui router cu o singură adresă IP albă, la care trebuie să oferiți acces RDP extern. Pe fiecare computer, puteți configura un port RDP unic și puteți configura redirecționarea portului pe router către computerele locale (în funcție de numărul portului RDP, sesiunea este redirecționată către unul dintre PC-urile interne).
Când alegeți un număr de port non-standard pentru RDP, vă rugăm să rețineți că este recomandabil să nu utilizați numere de porturi în intervalul 1 la 1023 (porturi cunoscute) și porturi dinamice în intervalul RPC (49152 la 65535).
Să încercăm să schimbăm portul pe care serviciul Desktop la distanță ascultă conexiunile 1350 . Pentru aceasta:
- Deschideți editorul de registry și mergeți la ramură HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp;
- Găsi DWORD setarea de registry numită Numarul portului. Acest parametru specifică portul pe care serviciul Desktop la distanță ascultă conexiuni;
- Schimbați valoarea acestui port. Am schimbat portul RDP la 1350 în valoare zecimală (Deciamal);
- Dacă Windows Firewall este activat pe computer, trebuie să creați o nouă regulă pentru a permite conexiunile de intrare pe noul port RDP (dacă reconfigurați serverul la distanță prin RDP fără a crea o regulă de firewall, veți pierde accesul la server). Puteți crea o regulă de intrare de permis pentru un nou port RDP TCP/UDP manual din consola „Windows Defender Firewall” ( firewall.cpl) sau cu: New-NetFirewallRule -DisplayName "New RDP Port 1350" -Direction Inbound -LocalPort 1350 -Protocol TCP -Action allow AND: New-NetFirewallRule -DisplayName "New RDP Port 1350" -Direction Inbound -LocalPort 1350 UDP - -Protocol Acțiunea permite
- Reporniți computerul sau reporniți Serviciul Desktop la distanță cu comanda: net stop termservice & net start termservice
- Acum, pentru a vă conecta la acest computer Windows prin RDP, în clientul mstsc.exe, trebuie să specificați portul de conexiune RDP separat de două puncte, după cum urmează: Your_Computer_Name:1350 sau prin adresa IP 192.168.1.100:1350 sau din linia de comandă : mstsc.exe /v 192.168.1.100 :1350
Dacă utilizați managerul de conexiuni RDP pentru a gestiona mai multe conexiuni RDP, puteți specifica numărul portului RDP pe care l-ați setat pentru conexiune în fila „Setări de conectare”.
- Ca rezultat, vă veți conecta cu succes la desktopul computerului de la distanță pe noul număr de port RDP (utilizați comanda nenstat –na | Find „LIST” pentru a verifica dacă serviciul RDP ascultă acum pe un alt port).
Scriptul PowerShell complet pentru a schimba portul RDP, a crea o regulă de firewall și a reporni serviciul RDP pe noul port ar putea arăta astfel:
New-NetFirewallRule -DisplayName "New RDP Port $RDPPort" -Direction Inbound -LocalPort $RDPPort -Protocol UDP -Action Allow
Gazdă de scriere „Numărul portului RDP a fost schimbat în $RDPPort” -ForegroundColor Magenta
Puteți schimba numărul RDP de la distanță pe mai multe computere dintr-un domeniu AD (specific OU) folosind Invoke-Command și:
Write-host „Specificați noul număr de port RDP: „ -ForegroundColor Yellow -NoNewline;$RDPPort = Read-Host
$PCs = Get-ADComputer -Filter * -SearchBase "CN=DMZ,CN=Computers,DC=winitpro,DC=en"
Foreach ($PC în $PC-uri) (
Invoke-Command -ComputerName $PC.Name -ScriptBlock (
param($RDPPort)
Set-ItemProperty -Cale "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP\" -Nume PortNumber -Valoare $RDPPort
New-NetFirewallRule -DisplayName "New RDP Port $RDPPort" -Direction Inbound -LocalPort $RDPPort -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "New RDP Port $RDPPort" -Direction Inbound -LocalPort $RDPPort -Protocol TCP -Action Allow
Restart-Service termservice -force
}
Această instrucțiune pentru schimbarea portului RDP standard este potrivită pentru orice versiune de Windows, de la Windows XP (Windows Server 2003) la Windows 10 (Windows Server 2019).
Bună ziua, dragi cititori și oaspeți ai blogului, astăzi avem următoarea sarcină: schimbarea portului de intrare al serviciului RDP (server terminal) din standardul 3389 în altul. Permiteți-mi să vă reamintesc că serviciul RDP este o funcționalitate a sistemelor de operare Windows, datorită căreia puteți deschide o sesiune prin rețea către computerul sau serverul de care aveți nevoie folosind protocolul RDP și puteți lucra în spatele acestuia, ca și cum ați stăteau la ea local.
Ce este protocolul RDP
Înainte de a schimba ceva, ar fi bine să înțelegeți ce este și cum funcționează, vă repet asta în continuare. RDP sau Remote Desktop Protocol este un protocol desktop la distanță pentru sistemele de operare Microsoft Windows, deși originile sale sunt de la PictureTel (Polycom). Microsoft tocmai l-a cumpărat. Folosit pentru lucrul de la distanță al unui angajat sau utilizator cu un server la distanță. Cel mai adesea, astfel de servere poartă rolul unui server terminal, pe care sunt alocate licențe speciale, fie pe utilizator, fie pe dispozitiv, CAL. Aici ideea a fost aceasta, există un server foarte puternic, de ce să nu-și împărtășească resursele, de exemplu, sub aplicația 1C. Acest lucru este valabil mai ales odată cu apariția clienților subțiri.
Lumea a văzut serverul terminal în sine, deja în 1998 în sistemul de operare Windows NT 4.0 Terminal Server, ca să fiu sincer, atunci nu știam ce este, iar în Rusia la acea vreme cu toții jucam dandy sau sega. Clienții de conexiune RDP sunt disponibili în prezent în toate versiunile de Windows, Linux, MacOS, Android. Cea mai modernă versiune a protocolului RDP în acest moment este 8.1.
portul rdp implicit
Voi scrie imediat portul rdp implicit 3389, cred că toți administratorii de sistem îl știu.
Cum funcționează protocolul rdp
Și așa am înțeles de ce am venit cu Protocolul Remote Desktop, acum este logic că trebuie să înțelegeți principiile funcționării acestuia. Microsoft distinge două moduri ale protocolului RDP:
- Modul de administrare la distanță > pentru administrare, ajungi la serverul de la distanță și îl configurezi și îl administrezi
- Modul Terminal Server > pentru a accesa Application Server, Remote App sau pentru a le partaja pentru serviciu.
În general, dacă instalați Windows Server 2008 R2 - 2016 fără un server terminal, atunci în mod implicit va avea două licențe și doi utilizatori se vor putea conecta la el în același timp, al treilea va trebui să arunce pe cineva. muncă. În versiunile client de Windows, există o singură licență, dar și aceasta poate fi ocolită, am vorbit despre asta în articolul server terminal pe Windows 7. De asemenea, în modul de administrare de la distanță, puteți să clusterizați și să echilibrați încărcarea, datorită tehnologiei NLB și serverului de conexiune Session Directory Service. Este folosit pentru indexarea sesiunilor utilizatorilor, datorită acestui server, utilizatorul se poate autentifica pe desktop-ul de la distanță al serverelor terminale într-un mediu distribuit. Serverul de licențiere este, de asemenea, o componentă obligatorie.
Protocolul RDP funcționează printr-o conexiune TCP și este un protocol de aplicație. Atunci când clientul stabilește o conexiune cu serverul, se creează o sesiune RDP la nivelul transportului, unde sunt negociate metodele de criptare și metodele de transfer de date. Când toate negocierile au fost determinate și inițializarea este completă, serverul terminal trimite o ieșire grafică către client și așteaptă intrarea de la tastatură și mouse.
Remote Desktop Protocol acceptă mai multe canale virtuale într-o singură conexiune, datorită căreia puteți utiliza funcționalități suplimentare
- Trimiteți imprimanta sau portul COM către server
- Redirecționați unitățile locale către server
- Clipboard
- Audio și video
Pașii de conectare RDP
- Stabilirea unei conexiuni
- Negociați opțiunile de criptare
- Autentificare pe server
- Negocierea parametrilor sesiunii RDP
- Autentificarea clientului
- Datele sesiunii RDP
- Întreruperea unei sesiuni RDP
Securitate în protocolul RDP
Protocolul Remote Desktop are două metode de autentificare, Standard RDP Security și Enhanced RDP Security, iar pe ambele le vom analiza mai detaliat mai jos.
Securitate RDP standard
Protocolul RDP, cu această metodă de autentificare, criptează conexiunea folosind protocolul RDP însuși, care se află în el, folosind această metodă:
- Când sistemul dvs. de operare pornește, generează o pereche de chei RSA
- Se generează certificatul de proprietate
- După aceea, certificatul de proprietate este semnat cu cheia RSA creată anterior
- Acum clientul RDP care se conectează la serverul terminal va primi un certificat de proprietate
- Clientul se uită la el și îl verifică, apoi primește cheia publică a serverului, care este utilizată în etapa de negociere a parametrilor de criptare.
Dacă luăm în considerare algoritmul prin care totul este criptat, atunci acesta este cifrul fluxului RC4. Chei de diferite lungimi de la 40 la 168 de biți, totul depinde de ediția sistemului de operare Windows, de exemplu, în Windows 2008 Server - 168 de biți. Odată ce serverul și clientul au decis lungimea cheii, sunt generate două noi chei diferite pentru a cripta datele.
Dacă întrebați despre integritatea datelor, atunci aici se realizează prin algoritmul MAC (Message Authentication Code) bazat pe SHA1 și MD5
Securitate RDP îmbunătățită
Protocolul RDP utilizează două module de securitate externe pentru această metodă de autentificare:
- CredSSP
- TLS 1.0
TLS este acceptat începând cu versiunea 6 a RDP. Când utilizați TLS, certificatul de criptare poate fi creat folosind serverul terminal, un certificat autosemnat sau selectat din magazin.
Când utilizați protocolul CredSSP, este o simbioză a tehnologiilor Kerberos, NTLM și TLS. Cu acest protocol, verificarea în sine, în care se verifică permisiunea de a intra pe serverul terminal, se efectuează în prealabil și nu după o conexiune RDP completă și astfel economisiți resursele serverului terminal, plus există o criptare mai fiabilă și puteți face o singură autentificare (Single Sign On), datorită NTLM și Kerberos. CredSSP este disponibil numai în sistemul de operare nu mai mic decât Vista și Windows Server 2008. Iată această casetă de selectare în proprietățile sistemului
Permiteți conexiunile numai de pe computere care rulează Desktop la distanță cu autentificare la nivel de rețea.
Schimbați portul rdp
Pentru a schimba portul rdp, veți avea nevoie de:
- Deschideți editorul de registry (Start -> Run -> regedit.exe)
- Să trecem la următoarea secțiune:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Găsiți cheia PortNumber și modificați valoarea acesteia la numărul portului de care aveți nevoie.
Asigurați-vă că selectați o valoare zecimală, de exemplu voi pune portul 12345.
După ce ați făcut acest lucru, reporniți Serviciul Desktop la distanță, prin linia de comandă, cu următoarele comenzi:
Și creăm o nouă regulă de intrare pentru noul port rdp. Vă reamintesc că portul rdp implicit este 3389.
Alegem ca regula să fie pentru port
Lăsăm protocolul ca TCP și specificăm noul număr de port RDP.
Vom avea o regulă care să permită conexiunea RDP pe un port non-standard
Dacă este necesar, setați profilurile de rețea necesare.
Ei bine, să numim regula într-o limbă care este de înțeles pentru noi înșine.
Salutare tuturor, continuăm să luăm în considerare subiectul pro. Astăzi ne vom uita la instrumentul Windows încorporat care vă permite să vă conectați la un computer la distanță. Acest instrument se numește client RDP (Remote Desktop Protocol), dacă este tradus în rusă - protocol desktop la distanță. Folosind acest protocol, puteți controla un computer la distanță care rulează serviciul de conectare la terminal. Clientul RDP a apărut în Windows XP și este încă acceptat în versiunile noi ale sistemului de operare. Cel mai probabil, mulți dintre voi nici măcar nu știți ce este, dar cu ajutorul acestui instrument, vă puteți conecta cu ușurință la un computer de la distanță și îl puteți gestiona. În articol, vă voi spune în detaliu cum să vă conectați la un desktop la distanță într-o rețea locală. Prin urmare, citiți textul în întregime.
Pregătirea înainte de a utiliza clientul RDP.
În cele mai multe cazuri, clientul RDP este utilizat atunci când lucrați în aceeași rețea locală. De exemplu, pentru a se conecta de la un computer la altul acasă, trebuie să fie conectate la același router. De asemenea, este posibil să vă conectați la un computer la distanță prin Internet, dar aceasta este o metodă de configurare mai complicată, cred că vom analiza acest subiect într-un articol separat.
Primul lucru de făcut pentru a vă conecta prin Remote Desktop Protocol este să cunoașteți adresa IP a computerului de la distanță. De regulă, dacă conexiunea la rețea pe computerele dvs. este configurată automat, atunci de fiecare dată când reporniți sistemul de operare, adresele IP se vor schimba. Prin urmare, în primul rând, setăm adrese statice pentru toate dispozitivele din rețeaua locală. Dar mai întâi, trebuie să vedeți ce adrese primește automat computerul. Pentru aceasta . Scriem comanda „ipconfig” și vedem care: mască de rețea, mască de subrețea și gateway pe care o primește placa de rețea cu setări automate.
Notă! De regulă, pe toate routerele, în mod implicit, masca de rețea arată ca (192.168.0. sau respectiv 192.168.1.), scriem toate liniile așa cum se arată în captură de ecran și salvăm modificările.
Gata, acum am setat o adresă IP statică pentru computerul nostru, acest lucru ne va permite să folosim cu ușurință clientul RDP.
Cum să acordați permisiunea de a vă conecta la un desktop la distanță.
După ce ne-am dat seama de adresele computerelor. Să trecem la activarea caracteristicii Remote Desktop Protocol. Acești pași trebuie efectuati pe computerul la care doriți să vă conectați. Pentru ca acesta să funcționeze, urmați pașii:
Am parcurs toți pașii pregătitori pentru ca clientul RDP să poată câștiga bani cu noi. Să trecem acum direct la analizarea procesului de conectare.
Ne conectăm la un computer la distanță prin RDP.
În paragrafele precedente, ne-am ocupat de setările care trebuie făcute pentru a funcționa prin protocolul desktop la distanță. Acum să vedem cum să ne conectăm.
Notă! Vom folosi instrumentul standard Windows. În consecință, nu trebuie să descarcăm nicio utilitate terță parte, tot ce avem nevoie va fi la îndemâna noastră.
Pentru a lansa instrumentul Remote Desktop Connection, deschideți meniul „Start” - „Toate programele” - „Accesorii - Windows”. În elementul de meniu care se deschide, lansăm clientul RDP și vedem un câmp numit „Computer”. Trebuie să introduceți adresa computerului de la distanță în el, de exemplu. cea pe care am setat adresa IP statica. După ce faceți clic pe butonul de conectare, programul vă va cere să introduceți „Autentificare și parolă” pentru a vă conecta la un computer la distanță. 
De asemenea, puteți deschide setări suplimentare, pentru aceasta, deschideți elementul „Afișare opțiuni”. Aici puteți specifica imediat utilizatorul computerului de la distanță, puteți configura resursele locale, precum și setările ecranului. Dar cred că este mai bine să lăsați totul implicit și să începeți să gestionați un computer la distanță.
Client RDP - argumente pro și contra.
Sincer să fiu, nu trebuie să folosesc clientul RDP atât de des, dar uneori este pur și simplu necesar. Pentru mine, am identificat următoarele avantaje:
- Pentru a vă conecta la un computer la distanță, nu trebuie să căutați și să instalați niciun program. Totul este furnizat de dezvoltatorii Microsoft, iar instrumentul este încorporat în sistemul de operare;
- Folosind Desktop la distanță, puteți obține acces complet la computer. Acest lucru vă permite să efectuați orice acțiune asupra acestuia;
- Acces pe timp nelimitat la un computer la distanță.
În acest sens, plusurile se termină, să trecem la minusurile utilizării acestui utilitar:
- Programul funcționează corect numai în rețeaua locală, pentru a configura o conexiune prin Internet, trebuie să intri în setările routerului pentru a redirecționa portul, ceea ce este o problemă pentru mulți utilizatori;
- Dacă utilizați un VPN, atunci pentru a vă conecta la un computer la distanță folosind un client RDP, aveți nevoie de o viteză bună de internet, altfel veți urmări o prezentare de diapozitive;
- Programul are un set minim de funcții și, de asemenea, nu are un manager de fișiere încorporat, deci nu există nicio modalitate de a transfera fișiere;
Să rezumam.
Astăzi am analizat clientul RDP pentru Windows. Acest instrument pentru conectarea de la distanță la un computer poate fi considerat o alternativă la programele terțe, cum ar fi, dar este puțin probabil ca RDP să le poată înlocui complet. Deoarece instrumentul încorporat nici măcar nu are tot setul necesar de funcții care sunt caracteristice programelor de acces la distanță. Viteza de lucru lasa de dorit, dar este perfecta in cazurile in care nu exista nicio oportunitate si timp pentru a cauta si instala alte programe si ai nevoie urgent de acces la un PC la distanta.
Destul de des, mulți utilizatori care folosesc sesiuni de acces la distanță au o întrebare despre cum să schimbe portul RDP. Acum să ne uităm la cele mai simple soluții și să indicăm, de asemenea, câțiva pași principali în procesul de configurare.
Pentru ce este protocolul RDP?
În primul rând, câteva cuvinte despre RDP. Dacă te uiți la decodificarea abrevierei, poți înțelege acel acces la distanță
În termeni simpli, acesta este un server terminal sau un instrument de stație de lucru. Setările Windows (și orice versiune a sistemului) folosesc setări implicite care sunt potrivite pentru majoritatea utilizatorilor. Cu toate acestea, uneori devine necesar să le schimbați.
Port RDP standard: ar trebui schimbat?
Deci, indiferent de modificarea Windows, toate protocoalele au o valoare prestabilită. Acesta este portul RDP 3389, care este folosit pentru a efectua o sesiune de comunicare (conectarea unui terminal la cele de la distanță).
Care este motivul pentru situația în care valoarea standard trebuie schimbată? În primul rând, doar cu securitatea computerului local. La urma urmei, dacă vă dați seama, cu un port standard instalat, în principiu, orice atacator poate pătrunde cu ușurință în sistem. Deci acum să vedem cum să schimbăm portul RDP implicit.
Modificarea setărilor din registrul de sistem
Remarcăm imediat că procedura de modificare se efectuează exclusiv în modul manual, iar orice resetare sau setare de noi parametri nu este furnizată în clientul de acces la distanță însuși.
Mai întâi, apelăm editorul de registry standard cu comanda regedit din meniul Run (Win + R). Aici ne interesează ramura HKLM, în care trebuie să coborâm arborele de partiții prin directorul serverului terminal în directorul RDP-Tcp. În fereastra din dreapta găsim cheia PortNumber. Trebuie să-i schimbăm sensul.
Intrăm în editare și vedem 00000D3D acolo. Mulți sunt imediat perplexi cu privire la ceea ce este. Și aceasta este doar reprezentarea hexazecimală a numărului zecimal 3389. Pentru a specifica portul în formă zecimală, folosim șirul de afișare adecvat pentru reprezentarea valorii și apoi specificăm parametrul de care avem nevoie.
După aceea, repornim sistemul, iar când încercăm să ne conectăm, specificăm un nou port RDP. O altă modalitate de conectare este să utilizați comanda specială mstsc /v:ip_address:XXXXX, unde XXXXX este noul număr de port. Dar asta nu este tot.
Reguli pentru firewall Windows
Din păcate, paravanul de protecție Windows încorporat poate bloca noul port. Deci, trebuie să faceți modificări la setările paravanului de protecție în sine.
Numim setările paravanului de protecție cu opțiuni avansate de securitate. Aici ar trebui mai întâi să selectați conexiunile primite și să faceți clic pe linia pentru a crea o nouă regulă. Acum selectăm elementul pentru crearea unei reguli pentru port, apoi introducem valoarea acestuia pentru TCP, apoi permitem conexiunea, lăsăm secțiunea de profil neschimbată și în final dăm un nume noii reguli, după care apăsăm butonul pentru a finaliza setările. Rămâne să reporniți serverul și, la conectare, să specificați noul port RDP separat de două puncte în linia corespunzătoare. Teoretic, nu ar trebui să fie probleme.
Redirecționarea portului RDP pe router
În unele cazuri, când se folosește o conexiune fără fir mai degrabă decât o conexiune prin cablu, poate fi necesar să se efectueze redirecționarea portului pe router (router). Nu este nimic dificil în asta.
În primul rând, în proprietățile sistemului, permitem și specificăm utilizatorii care au dreptul să facă acest lucru. Apoi mergem la meniul de setări al routerului prin browser (192.168.1.1 sau la sfârșit 0.1 - totul depinde de modelul de router). În câmp (dacă adresa principală este 1.1), este de dorit să se indice adresa, începând cu a treia (1.3) și să se scrie regula de emitere a adresei pentru a doua (1.2).
Apoi, în conexiunile de rețea, folosim vizualizarea detaliilor, unde ar trebui să vizualizați detaliile, să copiați adresa MAC fizică de acolo și să o lipiți în setările routerului.
Acum, în secțiunea de setări NAT de pe modem, activați conexiunea la server, adăugați o regulă și specificați portul XXXXX care trebuie redirecționat către portul RDP standard 3389. Salvați modificările și reporniți routerul (noul port va nu poate fi acceptat fără repornire). Puteți verifica conexiunea pe un site specializat precum ping.eu în secțiunea de testare porturi. După cum puteți vedea, totul este simplu.
În cele din urmă, rețineți că valorile portului sunt distribuite după cum urmează:
- 0 - 1023 - porturi pentru programe de sistem de nivel scăzut;
- 1024 - 49151 - porturi alocate în scop privat;
- 49152 - 65535 - porturi private dinamice.
În general, mulți utilizatori aleg de obicei porturile RDP din a treia gamă a listei pentru a evita problemele. Cu toate acestea, atât specialiștii, cât și experții recomandă utilizarea acestor valori în reglare, deoarece sunt potrivite pentru majoritatea sarcinilor.
În ceea ce privește exact această procedură, se folosește în principal doar în cazurile de conexiune Wi-Fi. După cum puteți vedea deja, cu o conexiune prin cablu obișnuită, nu este necesar: doar schimbați valorile cheilor de registry și adăugați reguli pentru portul în firewall.
Network Layer Security (SSL) RDP nu este, din păcate, adoptat pe scară largă de către administratorii de sistem care preferă să securizeze conexiunile terminalelor într-un mod diferit. Poate că acest lucru se datorează complexității aparente a metodei, dar nu este așa, în acest material vom analiza cum să organizăm o astfel de protecție simplu și fără dificultate.
Care sunt beneficiile securizării RDP cu SSL? În primul rând, criptarea puternică a canalului, autentificarea serverului bazată pe certificate și autentificarea utilizatorilor la nivel de rețea. Ultima caracteristică este disponibilă începând cu Windows Server 2008. Autentificarea la nivel de rețea îmbunătățește securitatea Terminal Server, permițând ca autentificarea să aibă loc chiar înainte de începerea sesiunii.
Autentificarea la nivel de rețea are loc înainte de conectarea la Desktop la distanță și de afișarea ecranului de autentificare, ceea ce reduce sarcina de pe server și mărește mult protecția acestuia împotriva intrușilor și a programelor malware, precum și reduce probabilitatea atacurilor de denial of service.
Pentru a profita la maximum de RDP peste SSL, PC-urile client trebuie să ruleze Windows XP SP3, Windows Vista sau Windows 7 și să utilizeze client RDP versiunea 6.0 sau o versiune ulterioară.
Când utilizați Windows Server 2003 SP1 și versiuni ulterioare, criptarea canalului SSL (TLS 1.0) și autentificarea serverului vor fi disponibile, PC-urile client trebuie să aibă versiunea client RDP 5.2 sau o versiune ulterioară.
În articolul nostru, vom lua în considerare configurarea unui server terminal bazat pe Windows Server 2008 R2, cu toate acestea, tot ceea ce s-a spus va fi adevărat pentru Windows Server 2003 (cu excepția caracteristicilor lipsă).
Pentru implementarea cu succes a acestei soluții, rețeaua dumneavoastră trebuie să aibă o autoritate de certificare funcțională, a cărei configurație am luat-o în considerare în. Pentru a avea încredere în certificatele emise de această CA pe serverul terminal, trebuie să instalați certificatul CA (sau lanțul de certificate) în .
Apoi ar trebui să solicitați un certificat de autentificare a serverului cu următorii parametri:
Nume - numele complet al serverului terminal (adică server.domain.com dacă serverul aparține domeniului domain.com)
- Tip de certificat - Certificat de autentificare server
- Setați opțiunea Creați un nou set de chei
- CSP- Furnizorul de criptografice Microsoft RSA Channel.
- Caseta de bifat Marcați cheia ca exportabilă.
- Pentru un CA de întreprindere, bifați caseta Utilizați stocarea locală a computerului pentru certificat. (Această opțiune nu este disponibilă într-un CA autonom.)
Trimiteți o cerere către CA și instalați certificatul emis. Acest certificat trebuie instalat în magazinul local al computerului, altfel nu va putea fi utilizat de către Terminal Services. Pentru a verifica acest lucru, rulați consola MMC (Start - Run - mmc) și adăugați snap Certificate(Fișier - Adăugați sau eliminați un snap-in) pentru contul de computer.
În rădăcina consolei, selectați clic Vizualizare - Opțiuniși setați modul de vizualizare Organizați certificatele în funcție de scop. Certificatul eliberat trebuie să fie în grup Autentificare pe server.
Dacă ați primit certificatul folosind un CA de sine stătător (rețeaua nu are o structură de domeniu), atunci în mod implicit va fi instalat în magazinul de conturi de utilizator și va trebui să efectuați o serie de pași suplimentari.
deschis Internet Explorer - Opțiuni Internet - Conținut - Certificate, certificatul emis trebuie instalat în magazin Personal.
Faceți un export. Când exportați, specificați următoarele opțiuni:
- Da, exportați cheia privată
- Ștergeți cheia privată după exportul cu succes
Apoi ștergeți certificatul din acest magazin. într-o clipă Certificate (calculator local) Alegeți o secțiune Autentificare pe server, faceți clic dreapta pe el Toate sarcinile - Importși importați certificatul.
Acum in Administrare - Servicii desktop la distanță deschis Configurarea gazdei sesiunii desktop la distanță(în Windows Server 2003 Administrative Tools - Configurarea serviciilor terminale).
Selectați conexiunea necesară și deschideți proprietățile acesteia. Faceți clic pe butonul din partea de jos Alegeși selectați certificatul obținut la pasul anterior (în Windows Server 2003 această fereastră arată puțin diferit).
După selectarea certificatului, specificați restul proprietăților:
- Nivel de securitate SSL
- Nivel de criptare Înalt sau FIPS-compatibil
- Caseta de bifat Permiteți doar conexiuni de la computere...(nu este disponibil pe Windows Server 2003)
Salvați parametrii introduși, aceasta completează configurarea serverului.
Pe computerul client, creați o conexiune desktop la distanță, utilizați numele complet calificat de server care este specificat în certificat ca adresă. Deschideți proprietățile conexiunii și pe fila Conexiune - Autentificare server setați opțiunea A avertiza.
Pentru ca acest computer să aibă încredere în certificatele emise de autoritatea noastră de certificare, nu uitați să instalați un certificat CA pe el în magazin Autorități de certificare rădăcină de încredere.
Pe Windows 7 (când utilizați versiunea 7 a clientului RDP), acest certificat trebuie să fie instalat în magazin cont de calculator, pentru a face acest lucru, importați-l prin snap Certificate (calculator local)în consola MCC, la fel ca mai sus. În caz contrar, conexiunea va eșua și veți primi următoarea eroare:
După instalarea certificatului CA, puteți încerca să vă conectați, rețineți că vi se va solicita să introduceți un nume de utilizator și o parolă chiar înainte de a crea o sesiune RDP. Dacă conexiunea are succes, acordați atenție blocării din titlul ferestrei, care indică faptul că lucrați prin SSL. Făcând clic pe el, puteți vizualiza informații despre certificat.
Și în final, o picătură de gudron într-un butoi de miere. Windows Terminal Services nu știe cum să autentifice clienții care se conectează, așa că, dacă este necesar, ar trebui utilizate metode de securitate suplimentare, cum ar fi un tunel SSH sau IPSec VPN.
