تكوين الوصول عن بعد إلى كمبيوتر RDP. نحن نحمي وتحسين rdp

يعرف هذا البروتوكول، المستخدم على نطاق واسع في شبكات الحوسبة الحديثة، أي مسؤول النظام. استخدامه، يمكنك الاتصال بالآلة البعيدة قيد التشغيل نظام التشغيل سطر Microsoft. سوف تكون متاحا سطح المكتب ونظام الملفات وهلم جرا. وبالتالي، سيكون من الممكن تنفيذ الجزء الأكبر من الإعدادات والتدابير الوقائية، دون الحاجة إلى وجود جسدي خلف شاشة الكمبيوتر البعيد.

هذا هو السبب في أن بروتوكول RDP هو أحد المكونات الرئيسية في ترسانة المتخصصين التقنيين. دون ترك مكان عملك، يمكنك إدارة جميع أجهزة كمبيوتر الشبكة المتاحة، والقضاء على المشكلات التي نشأت.

تاريخ المظهر

بروتوكول سطح المكتب البعيد، وهذا هو كيفية فك تشفير اختصار RDP، في عام 1998 البعيد. كان بروتوكول الملكية لمستوى التطبيق هذا، في ذلك الوقت، جزءا من خادم Windows NT 4.0 Terminal، وسمح بفكرة تطبيق تطبيقات خادم العميل عن بعد. كما تفهم، فليس من الممكن دائما تقديم جميع الوظائف بأجهزة كمبيوتر قوية، وفي تلك السنوات البعيدة، ترك الأداء الكثير مما هو مرغوب فيه.

التصميم التالي لهذه المشكلة هو التصميم التالي: يقوم خادم قوي (أو كتلة خادم) بإجراء الكتلة السائبة من عمليات الحوسبة، ويتم توصيل أجهزة الكمبيوتر / التطبيقات العميلة المنخفضة الطاقة باستخدام بروتوكول RDP، وإجراء مهامها. وبالتالي، في عقد المستخدم النهائي، كان من الممكن العمل مع تطبيقات وبرامج معقدة، حتى لو كانت هناك موارد محدودة - بعد كل شيء، وضع الحمل الرئيسي على الخادم، ولم يتلق جهاز الكمبيوتر العميل النتيجة الرئيسية فقط للعملية الشاشة.

وصف بروتوكول RDP

  • بشكل افتراضي، يتم استخدام منفذ TCP 3389 للاتصال
  • كما ذكر أعلاه أعلاه، عند الاتصال، من الممكن العمل مع الملفات على جهاز بعيد.
  • يتم تنفيذ التشفير و 56 و 128 بت مفاتيح لضمان السلامة
  • أيضا للحصول على ميزات الأمان، يتم استخدام بروتوكولات TLS.
  • الحافظة المشتركة - يمكنك نسخ البيانات والآلات البعيدة، وإدخالها إلى جهاز كمبيوتر محلي.
  • نفذت إمكانية توصيل الموارد المحلية بجهاز كمبيوتر بعيد.
  • يوفر RDP الوصول إلى منافذ الكمبيوتر المحلية (المسلسل والتوازي)

مبدأ التشغيل

يأخذ بروتوكول RDP أساس وظيفة مكدس بروتوكول TCP. بادئ ذي بدء، يتم إنشاء اتصال بين العميل والخادم عند مستوى النقل. ثم بدأت جلسة RDP - في هذه المرحلة، المعلمات الأساسية متسقة: أجهزة التشفير المتصلة وإعدادات الرسومات وما إلى ذلك.

بعد تكوين كل شيء، تكون جلسة RDP جاهزة تماما للعمل. تأتي صورة رسومية (نتيجة العمليات) إلى الكمبيوتر العميل من الخادم، والتي تحدث نتيجة لإرسال الأوامر من لوحة المفاتيح أو الماوس.

المصادقة

إذا تم تكوين نظام أمان بروتوكول RDP، تحدث المصادقة كما يلي:

  1. عند تهيئة الاتصال، يتم تشكيل زوج من مفاتيح RSA
  2. بعد ذلك، يتم إنشاء شهادة مفتاح مفتوحة خاصة.
  3. يقوم نظام التشغيل بإجراء عملية شهادة RSA بشهادة التوقيع
  4. بعد ذلك، يتصل العميل بالخادم، ويتلقى شهادة منه، وإذا تم اختباره، تتم تهيئة جلسة التحكم عن بعد.

كيف تبدأ

في أنظمة التشغيل، مثل نظام التشغيل Windows XP، Vista، Seven، يمكن تمكين برنامج العميل الافتراضي من خلال اتصال سطح المكتب البعيد. لبدء تشغيله، تحتاج إلى الضغط على اختصار لوحة المفاتيح. Win + R.، يتصل mSTSC. و اضغط أدخل.

بروتوكول RDP هو وسيلة مريحة وفعالة وعملية للوصول عن بعد لأغراض الإدارة والعمل اليومي.


بالنظر إلى أن تنفيذه هو في كل مكان تقريبا (منصات مختلفة ونظام التشغيل)، وهناك العديد منهم، تحتاج إلى تقديمها بشكل جيد.

على الأقل ستكون هناك حاجة لعدد من الأسباب:

  • في كثير من الأحيان، بدلا من RDP، يتم استخدام حل آخر (VNC، Citrix ICA) لسبب بسيط - من المفترض أن "الحد الأدنى من RDP المدمج ولا يعرف كيف."
  • في العديد من القرارات المتعلقة بالعصرية هي الآن تكنولوجيات سحابية (ترجمة المكاتب على "عملاء رقيقة"، ومجرد تنظيم الخوادم الطرفية)، هناك رأي مفاده أن "RDP سيء لأن المدمج في".
  • هناك أسطورة قياسية حول حقيقة أن "RDP لا يمكن عرضه بدون VPN، وكسر" (يحتوي الأسطورة على مبرر، لكنه لم يكن ذا صلة لفترة طويلة).
  • حسنا، نظرا لأن الخرافات تحدثت عن الأساطير - فمن الرأي أن "يحدث مع RDP على حركة سيتريكس قطرات بضع مرات." بعد كل شيء، سيتريكس باهظ الثمن، وبالتالي لا يقل عن 157٪ أكثر برودة.

كل هذه الأساطير هي هراء ومزيج من "Delometries" القديم، ذات الصلة خلال NT 4.0، وكذلك الخيال الصريح ليس له سبب وجوده. لأنها علم دقيق، تحتاج إلى معرفة ذلك. بروتوكول RDP جيد تكوينه للإصدارات الجديدة، مع مراعاة جميع الوظائف الجديدة، هي أداة جيدة إلى حد ما وموثوق بها لتنظيم الوصول عن بعد.

لذلك، سنفعل:

  • إشارة موجزة إلى إصدار RDP
  • وضع وضع حماية الجلسة RDP
  • إعداد التشفير للحصول على RDP
  • ملزمة لمحول معين والمنفذ
    • نحن نغير المنفذ القياسي إلى المطلوب
    • نحن نجعل إعدادات RDP تقسيم محولات شبكة متعددة
  • على NLA
    • NLA و Windows XP
    • كيفية تمكين CREDSSP في XP
  • اختيار الشهادة الصحيحة للحصول على RDP
  • حظر حسابات اتصالات RDP بكلمة مرور فارغة
  • تحسين سرعة RDP.
  • ضغط التحسين RDP.
    • تخصيص الجنرال ضغط RDP.
    • تخصيص دفق الصوت RDP
  • تحسين تدفق بيانات RDP
  • تمكين طلب اتصال آمن RPC للحصول على RDP

دعنا المضي قدما.

إصدارات بروتوكول RDP

يحتوي البروتوكول على تاريخ طويل بما فيه الكفاية، بدءا من NT 4.0. سنترك تفاصيل تاريخية جانبا بسبب سبب بسيط - في الوقت الحالي، من المنطقي التحدث فقط عن إصدار RDP 7.0، وهو في نظام التشغيل Windows Vista SP1 / مشغل برامج وندوز 2008 وأضف في نظام التشغيل Windows XP لتثبيت SP3 وعميل RDP المحدث (مرتبط ب KB 969084). أفترض أن لديك على الأقل نظام التشغيل Windows XP، وأنك قد قمت بتعيين / يمكنك وضع أحدث حزمة خدمة ولا تقضي وقتك لمناقشة مزايا RDP في نظام التشغيل Windows 2000 SP2 أمام NT 4.0 SP5.

وضع وضع حماية الجلسة RDP

من حيث المبدأ، هذا هو أبسط جزء من المهمة. جوهر هو كما يلي. في إصدارات RDP المختلفة، يتم استخدام آليات حماية الجلسة الرئيسية - جزءا لا يتجزأ من جلسة RDP و "التفاف" في TLS. المدمج غير آمن بما فيه الكفاية، والتوصية "يمكن أن يكون RDP خارج VPN فقط" - حول هذا الموضوع. لذلك، قم دائما بتشغيل دعم TLS. هذا هو الحد الأدنى الذي يجب أن تبدأ منه. ستكون القيود المفروضة ما لم يكن إصدار الخادم أقل من Windows Server 2003 المزود بحزمة الخدمة SP1 وعميل RDP 5.2 وما فوق، ولكن يبدو ذلك حل هذا في نهاية عام 2011.

كيفية تمكين RDP على TLS

خيارات، كما هو الحال دائما، عدة. الأول هو التضمين من خلال سياسات المجموعة. للقيام بذلك، انتقل إلى كائن سياسة المجموعة المستهدفة (حسنا، أو محليا على محطة العمل المنزلي، قم بإطلاق GPEDIT.MSC) واختيار "تكوين الكمبيوتر" -\u003e "قوالب إدارية" -\u003e "مكونات Windows" -\u003e "عن بعد مضيف جلسة سطح المكتب "-\u003e" الأمن "وهناك لتمكين استخدام استخدام طبقة أمان محددة للحصول على اتصالات عن بعد، والتحديد الموجود فيه SSL (TLS 1.0) فقط. يمكنك اختيار تفاوض ليونة، لكنني لن أوصي بذلك في الوقت الحالي، يكون من دون مستوى مقبول من الأمن. كشخص قام بإنشاء غيوم خاصة بمستوى عال من الأمان بما فيه الكفاية، أستطيع أن أقول إن نقطة عمل بيانات قيمة للغاية إلى مركز البيانات تحت لندن وتذهب إلى هناك مع RDP الافتراضي - صفر وهي عملية بحث عن مشكلة.

يمكنك وأسهل - افتح الأداة الإضافية تكوين مضيف جلسة سطح المكتب البعيد (ابحث في MMC أو جاهزا لتحديد اتصالات سطح المكتب من قائمة "الاتصالات" من قائمة "الاتصالات" الاتصال المرغوب (عادة ما يسمى RDP-TCP)، وفتح الخصائص، بعد - علامة التبويب عام وتحديد طبقة الأمان المطلوبة هناك.

للعمل TLS، مطلوب شهادة رقمية (على الأقل من جانب الخادم). عادة ما يكون هناك بالفعل (تم إنشاؤه تلقائيا)، تأكد من وجوده، حول كيفية جعلها جيدة، دعونا نتحدث بعد. حتى الآن، من الضروري أن يكون فقط، وإلا فلن يعمل ذلك.

تكوين التشفير للحصول على RDP

بالنسبة للتكوين، ستكون 4 خيارات تشفير متاحة. النظر في كل منهم.

RDP وضع تشفير منخفض

معظم وضع "لا". إرث الأوقات الرهيبة وإصدارات RDP 5.x. يمكن أن تنسق التشفير على أساس 56 بت des أو 40K BIT RC2، وهو حاليا غير خطير. لا حاجة وخطيرة. على سبيل المثال، إذا قمت بتشغيله، فلن يتم تشغيل TLS سوف ترفض TLS بالفعل تنسيق مثل هذه الأصفار الضعيفة التي تقدم هذا الخيار.

وضع تشفير عميل RDP متوافق

الوضع الثاني "لا". إرث الأوقات الرهيبة وإصدارات RDP 5.x. يحاول 128 بت RC4، ولكن الاتفاق على الفور على DES / RC2. لا حاجة وخطيرة. أيضا غير متوافق مع TLS.

RDP وضع تشفير عالية

الحد الأدنى المسموح به الوضع. سوف يتطلب ما لا يقل عن 128 ثنائي RC4. يعمل مع جميع الخوادم، بدءا من Windows 2000 Server W / HEP.

RDP FIPS140-1 وضع التشفير

بالضبط ما هو مطلوب. ستدعم الخوارزميات الحديثة المتماثلة ولن تدعم صراحة RC2 و RC4 و Single des، وسوف تكسب أيضا استخدامها لحساب النزاهة (رمز مصادقة الرسائل - Mac) خوارزمية Sha-1، وليس MD5. قم بتضمين هذا الخيار هو دائما، للعثور على خادم لا يعرف كيف ثلاثي الأبعاد أو AES أو SHA-1 تقريبا غير واقعي.

أين يتم هذا الإعداد؟ افتح تكوين مضيف جلسة سطح المكتب البعيد (ابحث في MMC أو جاهزا لعرض الأدوات الإدارية -\u003e قائمة اتصالات سطح المكتب البعيد من قائمة الاتصالات من قائمة الاتصالات (عادة ما يسمى RDP-TCP)، وخصائص مفتوحة، بعد - عامة والجنرال وتحديد مستوى التشفير المطلوب.

إحضار RDP إلى محول معين ومنفذ

لكي يعمل الخادم بأمان ويمكن أن يبدأ (على سبيل المثال، لم يبدأ في اتخاذ اتصالات من محول شبكة جديد مثبت حديثا)، فمن الضروري تحديد نموذج صريح، على الواجهات التي يجب على خادم RDP تلقي اتصالات. بالإضافة إلى ذلك، غالبا ما يكون مفيدا في تشغيل المنفذ الذي يستمع إليه الخادم إلى الاتصال. بالطبع، يمكنك تحقيقها ونشر خادم مع RDP من خلال بوابة، ولكن بدونها. مثل، يبدو أن الإجراءات الأساسية في الواقع ستقلل بشكل ملحوظ النسبة المئوية من كذاب البرمجة النصية، والتي تم اختبارها بواسطة الموانئ المعروفة "تخريب" القوية ".

كيفية ربط خدمة RDP بمحول شبكة معين أو جعل العديد من RDPS مع إعدادات مختلفة للمحولات المختلفة

افتح تكوين مضيف جلسة سطح المكتب البعيد (ابحث في MMC أو جاهزا لعرض قائمة أدوات إدارية -\u003e اتصالات سطح المكتب البعيد، حدد الاتصال المرغوب فيه من قائمة الاتصالات (عادة ما يكون واحد يسمى RDP-TCP)، وخصائص مفتوحة، بعد - علامة التبويب واجهات الشبكة. فيه، يمكنك اختيار واجهة واحدة معينة ترغب في توقع الاتصالات، بالإضافة إلى الحد الأقصى لعدد الجلسات الموازية.

إذا كان لديك الكثير من الواجهات، وتحتاج، فلن نقول أنه يمكنك الاتصال من خلال 2 من أصل 5، ثم ستحتاج إلى ربط RDP-TCP موجود إلى محول واحد، بعد إدخال قائمة الإجراء وحدد إنشاء اتصال جديد وبعد قد يستمع الاتصال إما على جميع الواجهات أو على واحد، وفي الحالة عندما يكون من الضروري الاستماع إلى واجهات N، يجب عليك إنشاء اتصالات N.

وفقا لذلك، إذا كانت لديك مهمة "للاستماع إلى واجهة RDP واحدة على منفذ واحد، ومن ناحية أخرى - من ناحية أخرى،" يتم حلها بنفس الطريقة - ستقرر RDP-TCP الافتراضي من جميع المحولات وربط إلى تحديد، بعد - إنشاء اتصال RDP جديد وربط أيضا إلى واجهة الشبكة اللازمة.

كيفية ربط خدمة RDP بالمنفذ غير الافتراضي

المنفذ الافتراضي هو 3389 TCP. بالمناسبة، لا تنسى حلها في مرشح دفعة. حسنا، إذا كنت تريد آخر - تحتاج إلى الذهاب إلى مفتاح التسجيل

hkey_local_machine \\ system \\ currentcontrolset \\ control \\ terminal server \\ winstations \\ rdp-tcp

وإصلاحها بقيمة portnumber. ضع في اعتبارك أن تتبع النزاعات من حيث توظيف المنافذ - على ضميرك، هو نفسه، يجد أن الميناء المعين من قبلك مشغول، لن يكون قادرا على "القفز" في أي مكان.

قم بتشغيل NLA - مصادقة مستوى الشبكة

تظهر وظيفة NLA في NT 6.0، ثم تتم إضافتها إلى إمكانية استخدامها جزئيا في الإصدار السابق من إعداد SP3 ل XP.
جوهر هذه الوظيفة بسيط جدا. في إصدارات RDP تصل إلى 6.0 عند الاتصال بها عميل RDP قبل المصادقة، تحتاج إلى إظهار نافذة تسجيل الدخول - I.E. في البداية، عرض، ثم سيحاول تسجيل الدخول. هذا يخلق ثغرة أمنية بسيطة - يمكن تحميل الخادم مع حزم الطلبات "وسأحاول بدء جلسة جديدة"، وسيتم إجبارها على تلبية الجلسة وتوقع إدخال المستخدم. في الواقع، هذا هو إمكانية DOS. كيف يمكنني القتال مع هذا؟ من المنطقي أنك تحتاج إلى التوصل إلى مخطط، والغرض منه سيكون في أقرب وقت ممكن لطلب بيانات الاعتماد من العميل. على النحو الأمثل - بحيث يكون هناك شيء مثل Kerberos في المجال. تم ذلك. NLA يحل مهامان:

  • يتم مصادقة العميل حتى يتم بدء جلسة المحطة الطرفية.
  • هناك فرصة لنقل بيانات SSP العميل المحلية إلى الخادم، أي تسجيل الدخول واحد يبدأ العمل.

يتم تنفيذها من خلال مزود أمن جديد - REDSSP. من الممكن قراءة المواصفات الفنية، حسنا، ولكن التحدث أسهل، يجب عليك دائما تضمين هذه الميزة. بالطبع، بالنظر إلى أنه من الضروري:

  • كان نظام التشغيل العميل (الذي يذهب الاتصال به) Windows XP SP3 و أعلاه.
  • كان نظام التشغيل الخادم (واحد الذي سيكون الاتصال) هو Windows Server 2008 وما فوق.

ملاحظة: على الرغم من حقيقة أن Kernel Windows Server 2003 أحدث من IN في XP (5.2 مقابل 5.1)، لنظام التشغيل Windows XP، هناك تحديث يضيف دعم NLA، و Windows Server 2003 - لا. أي أنه إذا قمت بالتواصل حتى من الإصدار الأكثر إمكانية يمكن الوصول إليه - Windows Server 2003 R2 SP2 مع جميع التصحيحات، فلن تتمكن من الاتصال بالخادم الذي يتطلب NLA، ويكون خادم يدعم NLA. واحسرتاه.

كما يتم تشغيل NLA بواسطة خادم RDP

من الأفضل تمكين NLA على جميع الخوادم من خلال سياسات المجموعة. للقيام بذلك، انتقل إلى كائن سياسة المجموعة المستهدفة وتحديد "تكوين الكمبيوتر" -\u003e "قوالب إدارية" -\u003e "مكونات Windows" -\u003e "مضيف جلسة سطح المكتب البعيد" -\u003e "الأمان" وتمكين "مصادقة المستخدم" للحصول على اتصالات عن بعد المعلمة باستخدام مصادقة طبقة الشبكة.

يمكنك تمكين محليا. يتم ذلك عن طريق استدعاء القائمة الفرعية الخاصة بالخصائص (القائمة الفرعية القياسية من الكمبيوتر) وحدد علامة التبويب عن بعد، حيث سيكون هناك خيار من ثلاثة خيارات - لحظر الاتصالات على RDP إلى هذا المضيف، اسمح للاتصالات بأي RDP، السماح NLA فقط. قم دائما بتشغيل الخيار باستخدام NLA، فإنه يحمي أولا الخادم.

NLA و Windows XP

إذا كان لديك نظام التشغيل Windows XP، فيمكنك أيضا استخدام هذه الميزة. بيان مشترك "ل NLA، تحتاج إلى نظام Vista على الأقل، فعلت Microsoft Microsoft لبناء" False. في Service Pack 3، تتم إضافة تطبيق RERTSSP، والذي يسمح لك بتفويض بيانات اعتماد العميل التي يحتوي عليها SSP المحلي، إلى الخادم. هؤلاء. قول أسهل، يتم تحديده خصيصا حتى يمكن توصيل نظام التشغيل Windows XP بأنظمة مع NT 6.0+. في نظام التشغيل Windows XP SP3 نفسه، لن يكون من الممكن الاتصال بهذه الميزة، سيكون دعم NLA جزئيا (لذلك خادم RDP مع دعم اتصال العميل باستخدام NLA من نظام التشغيل Windows XP لعدم العمل بطرق منتظمة، لن يعمل Windows XP فقط عميل متوافق مع NLA).

ملاحظة: تظهر NLA مع NT 6.0، وهي جزء من حزمة التقنيات المسماة RDP 6.0. يجلب الخدمة الثالثة ل XP فقط 6.0 RDP فقط، ولكن القدرة على تثبيت 7.0 RDP، وهي إيجابية للغاية (على سبيل المثال، في 7.0 RDP هناك، على عكس 6.0، Easprint، الصوت الثنائي الاتجاه وبعض القطع الأخرى التي تحول عميل RDP نظام التشغيل Windows XP مع جميع المواد الكيميائية في نظام عملي إلى حد ما). هذه هي الكلمة حول سيئ Microsoft، والتي أجبرت الجميع بشكل رهيب على الترقية مع نظام التشغيل Windows XP إلى نظام التشغيل Windows XP إلى نظام التشغيل Vista Bad-Pletext، والذي بالفعل في خدمة مجانية للمنتج 2001، مخيط نظام فرعي حديث RDP من تلك التي ذهبت إلى Vista 2006.

من الضروري تضمين هذه الوظيفة، كما هو الحال على الرغم من أن Service Pack 3 يضيف Cryptoproder DLL جديد، فإنه لا يشمل ذلك.

كيفية تمكين CREDSSP في XP

مرة أخرى - تتم هذه العملية بدقة بعد تثبيت Service Pack 3 على نظام التشغيل Windows XP وفي سياق محادثتنا مطلوبة من أجل الاتصال بخوادم RDP 6.1 الأخرى باستخدام NLA.

الخطوة هي الأولى - توسيع قائمة حزم الأمان.
للقيام بذلك، سنقوم بتشغيل مفتاح التسجيل

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlset \\ Control \\ LSA

وسوف نجد فيها قيمة حزم الأمان. اضغط على الزر الأيمن وحدد "تعديل" (وليس تعديل البيانات الثنائية، ولكن ببساطة تعديل). ستكون هناك قائمة من "اسم الحزمة على كل سطر". نحن بحاجة إلى إضافة TSPKG هناك. يجب ترك الباقي. مكان إضافة غير محرم.

الخطوة الثانية هي رسم مكتبة.
سيكون المفتاح مختلفا:

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlset \\ Control \\ SecurityProviders

سيكون من الضروري العثور على قيمة الأمنيات (إشعار، كما هو الحال في الحالة السابقة، فهو ليس مفكرا، ولكن قيمة)، وتعديلها عن طريق القياس، فقط إضافة CredSSP.dll فقط. الباقي في القائمة، مرة أخرى، لا تحتاج إلى لمس.

الآن يمكن إغلاق محرر التسجيل. بعد هذه العمليات، سيحتاج النظام إلى إعادة تحميله Cryptoproviders - شيء لا يتم التقاطه بالضبط أثناء التنقل، وهو أمر جيد إلى حد ما من السيئ.

حدد الشهادة الصحيحة للحصول على RDP

إذا كانت لديك الفرصة لاستخدام الشهادة غير الافتراضية للحصول على RDP، فمن الأفضل استخدامها. لن يؤثر على سلامة الجلسة على هذا النحو، ولكنها ستؤثر على أمن وراحة الاتصال. في شهادة تستخدم على النحو الأمثل يجب أن تكون ما يلي:

  • الاسم (في الموضوع أو SAN)، والذي يتزامن رمزا مع الاسم الذي يدخل العميل المتصل بالخادم.
  • ملحق CDP العادي الذي يشير إلى العمل CRL (يفضل أن يكون على الأقل اثنين - OCSP والثابت).
  • حجم المفتاح المطلوب هو 2048 بت. يمكنك وأكثر من ذلك، ولكن تذكر قيود CAPI2 في XP / 2003.
  • لا تقم بتجربة خوارزميات التوقيع / التجزئة إذا كنت بحاجة إلى اتصالات XP / 2003. باختصار - حدد Sha-1، وهذا يكفي تماما.

الصيام بمزيد من التفصيل عن إصدار شهادة خاصة لخادم RDP.

قالب الشهادة الخاصة لخوادم RDP

من الناحية المثالية، إذا كانت الشهادة ل RDP لا تعتمد على قالب منتظم (خادم ويب على شبكة الإنترنت) ولديه في حقل سياسة التطبيق (أي في الشهادة سيكون أكثر دراية بالاستخدام الرئيسي للمفتاح - EKU) القيم القياسية للعميل مصادقة المصادقة والخادم، وإضافة القالب الخاص بك والتي ستكون هي الوحيدة، خاصة، لا تتم إضافتها بواسطة الأساليب القياسية. تطبيق - مصادقة سطح المكتب البعيد. يجب إنشاء قيمة سياسة التطبيق هذه يدويا، ستكون OID لها 1.3.6.1.4.1.31.54.2.2، ولكن بعد ذلك - يمكنك بالفعل إجراء قالب شهادات جديد، على أساسه وإصدار شهادة، معالجته "شحذ" "تحت خادم RDP.

لأتمتة هذه العملية بالكامل، قم بإجراء اسم جديد قابل للتنبؤ بالقالب - على سبيل المثال، "rdpservercert" - والانتقال إلى كائن نهج المجموعة، وتكوين الكمبيوتر المفتوح -\u003e السياسات -\u003e قوالب الإدارة -\u003e مكونات Windows -\u003e خدمات سطح المكتب البعيد -\u003e مضيف جلسة سطح المكتب البعيد -\u003e الأمن. حدد معلمة قالب شهادة مصادقة الخادم وقم بإيقاف تشغيله، وأدخل الاسم في حقل القيمة - لقد جعلنا rdpservercert. الآن ستكون جميع مضيفات المجال الموجودة تحت هذه السياسة في حالة إدراج RDP أنفسهم يذهبون إلى مرجع الشهادة، لطلب شهادة على أساس القالب المحدد، واجعلها افتراضيا تلقائيا لحماية اتصالات RDP. بسيطة ومريحة وفعالية.

كتلة RDP اتصالات حسابات كلمة مرور فارغة

تافه، ولا تحتاج إلى نسيانها.
لحظر اتصال الحسابات بدون كلمات مرور RDP، تحتاج إلى الانتقال إلى تكوين كائن نهج المجموعة: تكوين الكمبيوتر -\u003e إعدادات Windows -\u003e إعدادات الأمان -\u003e السياسات المحلية -\u003e خيارات الأمان وتثبيت الحسابات: الحد من استخدام الحسابات المحلية كلمات مرور فارغة لتسجيل تسجيل الدخول فقط "ممكنة. لا تكون كسول للتحقق من ذلك.

إعداد ACL لاتصال RDP

بشكل افتراضي، الاتصال بخادم RDP، يجب أن يكون لديك دقة صريحة للوصول إلى المستخدم أو وصول الضيف.
يحتوي هذا الإذن على مجموعات محلية للمسؤولين ومستخدمي سطح المكتب البعيد. من الأفضل استخدام مجموعة مستخدمي سطح المكتب البعيد للتحكم في الوصول إلى خادم RDP، مما يضيف مجموعات المجال اللازمة إليه، وليس المستخدمين الفرديين. قم باستخدام محتويات علامة التبويب الأمان في إعدادات الخصائص ل RDP-TCP فقط في الحالات القصوى، وأفضل - إضافة مجموعة "اسم مضيف" المحظورة "، والتي تم رفض الوصول بوضوح الوصول عبر RDP إلى العقدة المحددة.

تحسين سرعة RDP.

تحسين سرعة RDP هو موضوع واسع إلى حد ما، لذلك أشاركه من هذا الجزء. ستكون هذه الأساليب التي ستقلل من الحمل على البروتوكول قبل الضغط وقبل تحسين طبقة الشبكة.

اللون (عمق البت)

في 7.0 RDP وما فوق، تتوفر خيارات 32.16 و 8 بت. إذا كنا نتحدث عن العمل، فإن 16 بت ستكون كافية لذلك. سيؤدي ذلك إلى تقليل الحمل بشكل كبير على القناة، في بعض الأحيان أكثر من مرتين، وهو أمر مفاجئ، لكن الحقيقة. 8 بت، بالطبع، يمكنك أيضا، ولكنها مخيفة بشكل مؤلم سوف تبدو. 16 بت مقبولة تماما.

ملاحظة: يحتوي Windows Server 2008 R2 على اتصالات 8 بت بعد الآن.

تمكين الخيار الحد الأقصى لعدم اللون على الخادم، أو إجراء إجراءات مماثلة في إعدادات عميل RDP.

افصل ClearType.

عندما يكون لديك CleadArtype، يقوم بروتوكول RDP بإرسال صورة، لكن أوامر رسم الرمز. عند تشغيلها - تقديم صورة من جانب الخادم، يضغط ويديد العميل. هذا مع الضمان هو عدة مرات أقل كفاءة، لذلك سيسرت إغلاق ClearType بشكل كبير عملية العمل وتقليل وقت الاستجابة. مفاجأة نفسك كم.

يمكن القيام بذلك على حد سواء في مستوى إعدادات العميل وعلى جانب الخادم (لا يسمح بتنعيم الخط في قسم Engirome في الجلسة البعيدة في تكوين الكمبيوتر -\u003e السياسات -\u003e قوالب الإدارة -\u003e مكونات Windows -\u003e خدمات سطح المكتب البعيد -\u003e سطح المكتب البعيد -\u003e سطح المكتب البعيد -\u003e سطح المكتب البعيد مضيف الدورة).

إزالة خلفية

إنفاذ خلفية RESFOVAL ل Wallpaper RD في الدورة البعيدة قسم Engirome في تكوين الكمبيوتر -\u003e السياسات -\u003e قوالب الإدارة -\u003e مكونات Windows -\u003e خدمات سطح المكتب البعيد -\u003e سوف يعمل مضيف جلسة سطح المكتب عن بعد بشكل كبير على تحسين الوضع مع شاشة جلسة المحطة الطرفية. المستخدمين دون اقتباسات على سطح المكتب البقاء على قيد الحياة بشكل طبيعي، والتحقق منها.

قم بتشغيل وتكوين التخزين المؤقت للصور

إذا كان هناك ما يكفي على العميل ذاكرة الوصول العشوائي، من المنطقي تمكين وتكوين تخزين النقطات النقطية التخزين المؤقت. سيستفيد هذا ما يصل إلى 20-50٪ من النطاق الترددي. لتثبيت، ستحتاج إلى الذهاب إلى المفتاح

HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Terminal Server Client \\

وإنشاء معلمات bitmappersistcasize و bitmapcachooseze هناك، كلا النوعين DWORD 32.
المعلمة bitmappersistcasize تشير إلى الحجم في كيلوبايت من ذاكرة التخزين المؤقت للقرص. القيمة الافتراضية هي 10 - من المنطقي زيادة هذه المعلمة إلى 1000 على الأقل.
تشير المعلمة bitmapcachesize إلى حجم كيلوبايت من ذاكرة التخزين المؤقت في ذاكرة الوصول العشوائي. القيمة الافتراضية هي 1500. من المنطقي زيادة هذه المعلمة ما لا يقل عن 5000. سيكون فقط 5 ميغابايت على جلسة العميل، مع مقياس حديث من ذاكرة الوصول العشوائي، وهذا غير ذي صلة، وحتى إذا كان يؤدي إلى فوز 10 ٪ من الأداء، وسوف تؤتي ثمارها. بالمناسبة، يمكن تصحيح نفس المعلمة بواسطة ملف v.rdp؛ إذا قمت بحفظ اتصال RDP الخاص بك، وبعد فتح ملف المفكرة، فيمكن إضافة المعلمات شيئا مثل Bitmapcachesize: I: 5000، حيث 5000 ذاكرة التخزين المؤقت 5000.

قم بإيقاف تشغيل تكوين سطح المكتب

يجلب تكوين سطح المكتب جميع أنواع Aero "الجميلة" وأصدقائه ويتم عرض النطاق الترددي بشكل ملحوظ. للعمل أنها ليست ضرورية وضارة. اسمح بتكوين سطح المكتب لجلسات RDP في قسم الدورة البعيدة Engirome في تكوين الكمبيوتر -\u003e السياسات -\u003e قوالب الإدارة -\u003e مكونات Windows -\u003e خدمات سطح المكتب البعيد -\u003e مضيف جلسة سطح المكتب البعيد، يجب عليك إعداد المعلمة المعطلة.

تحسين معلمات إدارة نافذة سطح المكتب

المعلمات في قسم البيئة النائية في قسم التكوين -\u003e السياسات -\u003e قوالب الإدارة -\u003e مكونات Windows -\u003e إدارة نافذة سطح المكتب، ستقوم بإدارة العرض "الجميل" لترك القوائم بسلاسة وما شابه ذلك. الثلاثة - لا تسمحوا بالرسوم المتحركة النافذة، لا تسمح بتركيبات سطح المكتب ولا تسمح الاحتجاج Flip3D. يجب أن يتم تشغيل كل منهم إلى الوضع الممكن، أي في جوهرها، تعطيل كل هذه الوظائف.

تعطيل أجهزة إعادة توجيه غير المستخدمة

إذا كنت لا تخطط لتوصيل طبقات معينة من الأجهزة (على سبيل المثال، منافذ COM و LPT)، أو الصوت، فمن المنطقي تعطيل القدرة على إعادة توجيهها من جانب الخادم. بحيث لا يقضي العملاء مع الإعدادات الافتراضية لعميل RDP وقت الاتصال للتفاوض الوظيفية غير المستخدمة. يتم ذلك في نفس المكان، حيث وأعدادات الخادم الأخرى، في خصائص في RDP-TCP، علامة التبويب "إعدادات العميل" (هناك، حيث قمنا بالإعدادات بعمق اللون)، قسم إعادة توجيه.

تكوين المنطق العام لتحسين البيانات المرئية RDP

معلمة تسمى تحسين الخبرة المرئية لجلسات RDP، الموجودة في قسم البيئة للجلسة البعيدة في تكوين الكمبيوتر -\u003e السياسات -\u003e قوالب الإدارة -\u003e مكونات Windows -\u003e خدمات سطح المكتب البعيد -\u003e مضيف جلسة سطح المكتب البعيد -\u003e Engirome Session Session سوف ترى البيانات المرئية - كوسائط متعددة أو نص. هذه، تحدث تقريبا، خوارزمية ضغط "تلميح"، كسلوك معرفة القراءة والكتابة. وفقا لذلك، سيكون من الضروري تعيين هذه المعلمة للعمل على العمل، وإذا كنت تريد الكثير من لافتات الفلاش الجميلة، HTML5 وعرض مقاطع الفيديو - خيار أفضل غني بالوسائط المتعددة.

ضغط الضغط RDP.

ضغطت ضغط في RDP طريق طويل في التطوير. وفقا ل RDP 5.2، كان هناك نظام فرعي ضغط شامل ("ضاغط") وجود اسم داخلي "الإصدار 1" - أسهل وأسهل الخيار من حيث تحميل معالج العميل، ولكن الأسوأ من حيث تحميل حركة مرور الشبكة وبعد في RDP 6.0 جعل "الإصدار 2"، والذي كان قليلا، ولكن تحسن من المعلمة كفاءة الضغط. نحن مهتمون ب "الإصدار 3"، والذي يعمل فقط عند الاتصال ب Windows Server 2008 وما فوق. إنه يضغط على أفضل ما هو كل شيء، وتكاليف وقت المعالج، مع مراعاة قدرة أجهزة الكمبيوتر الحديثة، ضئيلة.

الفوز عندما يتم تشغيل V3، من خلال الاختبارات، تصل إلى 60٪، وبشكل عام، ودون اختبارات، ملحوظة ملحوظة على العينين.

كيفية تمكين الضغط الأمثل في RDP

هذا هو إعداد العملاء. افتح تكوين الكمبيوتر في كائن سياسة المجموعة المطلوب -\u003e قوالب إدارية -\u003e مكونات Windows -\u003e خدمات سطح المكتب البعيد -\u003e مضيف جلسة سطح المكتب البعيد -\u003e Engirome Session Session، حدد تعيين ضغط Algoritm لبيانات RDP، قم بتشغيله وحدد تحسينه استخدم قيمة عرض النطاق الترددي أقل.

ملاحظة: لدى العديد من السؤال، لماذا هناك معلمة "تعطيل الضغط" في القائمة. هذا ضروري في الحالة عندما تضغط جلسات RDP الخاصة بك على جهاز خارجي يعمل على تحسين اتصالات WAN، شيء مثل Cisco Waas. في حالات أخرى، بالطبع، لا يوجد أي معنى لتعطيل الضغط.

إعداد تدفق الصوت الإعداد

يوفر RDP 7.0 فرصة ممتازة لضبط جودة ضغط دفق الصوت الوارد (I.E.، الصوت الذي ينتقل من الخادم إلى العميل). هذا مفيد للغاية - على سبيل المثال، إذا كنت تعمل على خادم المحطة الطرفية، باستثناء أي أصوات خدمة من النوع "جاءت رسالة في ICQ"، فإن البعض الآخر غير مؤثر بشكل خاص. لا معنى له بنقل صوت مضغوط بجودة القرص المضغوط من الخادم إذا لم يكن ذلك ضروريا للعمل. وفقا لذلك، تحتاج إلى تكوين مستوى ضغط دفق الصوت.
سيتم استدعاء هذه المعلمة الحد من جودة تشغيل الصوت والبقاء في قسم إعادة توجيه الموارد والموارد في تكوين الكمبيوتر -\u003e السياسات -\u003e قوالب الإدارة -\u003e مكونات Windows -\u003e خدمات سطح المكتب البعيد -\u003e مضيف جلسة سطح المكتب البعيد - مضيف جلسة سطح المكتب البعيد. سيكون هناك ثلاثة خيارات:

  • عالية - سوف يذهب الصوت دون ضغط. على الاطلاق. وهذا يعني أنه سينخفض \u200b\u200bتحت الضغط الشامل لبروتوكول RDP، لكن الضغط المحدد للصوت (مع فقدان الجودة) لن يتم إنتاجه.
  • سوف يتكيف الضغط المتوسط \u200b\u200bمع القناة حتى لا تزيد من التأخير في نقل البيانات.
  • سيتم تكييف ضغط ديناميكي ديناميكيا إلى القناة بحيث لا يتجاوز التأخير 150 مللي ثانية.

اختيار مناسبة. كما هو واضح، من الأفضل اختيار ديناميكية لعمل المكتب.

تحسين نسبة دفق البيانات في RDP

حركة الجلسة RDP ليست صلبة. على العكس من ذلك، يتم تقسيمه بوضوح إلى تدفق بيانات الأجهزة المعاد توجيه المعاد توجيهها (على سبيل المثال، نسخ ملف من المضيف المحلي إلى خادم المحطة الطرفية)، وتدفق الصوت، وتدفق الأوامر القيادية للرسم (يحاول RDP نقل الأوامر القيادية للرسم، وينقل الصور النقطية كحل أخير)، بالإضافة إلى إدخال الأجهزة (الماوس ولوحة المفاتيح).

على النسبة المتبادلة لهذه الجداول ويمكن أن تتأثر المنطق بحسابها (نوع QOS المحلي). للقيام بذلك، تحتاج إلى إدخال مفتاح التسجيل من الخادم

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlset \\ Services \\ Termdd

وإنشاء هناك لبداية (إذا لم يكن هناك) أربعة مفاتيح:

  • flowControlsable.
  • flowcontrondisplaybandwidth.
  • FlowControlchannelbandwidth.
  • FlowControlChargePostCompression.

اكتب الكل - DWORD 32. ستكون وظيفة المفاتيح ما يلي.
سيحدد مفتاح التدفق القابل للضغط ما إذا كان يتم استخدام الأولوية على الإطلاق. إذا قمت بتعيين وحدة، فسيتم إيقاف تشغيل الأولوية إذا تم تمكين صفر. قم بتشغيله.
سيحدد مفاتيح FlowControndisplaybandwidth و FlowControlhangenbandth و FlowControlChannelBandth الحلقة المتبادلة من اثنين من تدفقات البيانات:

  • دفق تفاعل المستخدم (صورة + أجهزة الإدخال)
  • البيانات الأخرى (أجهزة كتلة، الحافظة وكل شيء آخر)

قيم هذه المفاتيح ليست حرجة؛ حاسمة كيف تتعلق. وهذا هو، إذا قمت بإجراء وحدة متساوية في التدفق التضغي، فإن FlowControlchannelbandwidth أربعة، ثم ستكون النسبة 1: 4، سيتم إصدار 20٪ من النطاق الترددي على المستخدم، والباقي 80٪. إذا كنت تفعل 15 و 60 - ستكون النتيجة مطابقة، لأن النسبة هي نفسها.
سيحدد مفتاح FlowConTrolCharmPostcompression عند النظر في هذه النسبة ضغطا أو بعدها. الصفر قبل الضغط، واحد - بعد.

أوصي باستخدام الأنواع "الخادم البعيد الخاص بنا بعيد كل شيء على RDP متصل به وفي العمل Office و 1C Work" لوضع نسبة 1: 1 وقراءتها بعد الضغط. عن طريق التجربة، يمكن أن يساعد ذلك حقا في الموقف "طباعة مستند كبير من خادم المحطة الطرفية إلى طابعة محلية". ولكن هذه ليست عقيدة - حاول، الأداة الرئيسية هي المعرفة، كما تعتبر وتعمل - لديك بالفعل.

قم بتشغيل طلب اتصال RPC آمن للحصول على RDP

هذه المعلمة صالحة مشابهة لإعدادات RPC Secure، والتي هي في قسم الأمان في "نهج المجموعة" والتشغيل على النظام بأكمله، تم تكوينه فقط. عن طريق تشغيل هذا الخيار. ستجعل التشفير المطلوب لجميع طلبات العميل RPC (اعتمادا على إعدادات نظام "Lower Plank" مختلفا - RC4 / DES أو، في حالة وجود FIPS-140 - 3DES / AES) ما لا يقل عن NTLMV2 للمصادقة استدعاء الإجراء البعيد. تشمل دائما هذا الخيار. هناك أسطورة حول حقيقة أنها لا تعمل في بيئة مستخرجة. هذا ليس هو الحال، وسوف تمنع حماية RPC أي شخص.

هذا هو إعداد الخادم. افتح تكوين الكمبيوتر في كائن نهج المجموعة المطلوب -\u003e قوالب إدارية -\u003e مكونات Windows -\u003e خدمات سطح المكتب البعيد -\u003e مضيف جلسة سطح المكتب البعيد -\u003e الأمان، حدد الحاجة إلى معلمة اتصال RPC الآمنة هناك وتحويلها.

بروتوكول سطح المكتب البعيد RDP. يوفر بروتوكول سطح المكتب البعيد الوصول عن بعد عبر الشبكة إلى سطح المكتب الخاص بجهاز الكمبيوتر الذي يعمل بنظام التشغيل Windows. يستخدم عند توصيل العملاء الرقيقين بخادم Windows Terminal مع تشغيل خدمات Microsoft Terminal. وضعت من قبل مايكروسوفت.

الدعم الرسمي RDP. المضمنة في Windows Server 2008، Windows Server 2003، Windows Home Server، Windows XP Professional، Windows XP Media Center، أجهزة الكمبيوتر اللوحي، Windows Vista Ultimate، Enterprise Editions. كل شىء نسخة ويندوز تشمل XP و Vista العميل تطبيق بعيد. اتصال سطح المكتب (RDC).

ميزات مفتاح RDP.

  • دعم التشفير لخوارزمية RC-4 مع طول مفتاح 128 أو 56 بت
  • دعم بروتوكول TLS (أمن طبقة النقل)
  • مصادقة المستخدم باستخدام البطاقات الذكية (على الخادم من خلال خدمة الاتصالات الطرفية لخدمات Microsoft Terminal)
  • دعم الصوت على جهاز كمبيوتر محلي لتطبيقات الخادم الطرفي
  • إعادة توجيه نظام الملفات - يسمح لك بالعمل مع ملفات كمبيوتر محلية على خادم محطة عن بعد
  • إعادة توجيه الطابعة - يتيح لك الطباعة على طابعة كمبيوتر محلية من التطبيقات التي تعمل على خادم محطة عن بعد
  • إعادة توجيه المنفذ - يفتح الوصول إلى المنافذ التسلسلي والتوازي لجهاز كمبيوتر محلي للتطبيقات التي تعمل على خادم محطة عن بعد
  • مشاركة الحافظة على حد سواء على جهاز كمبيوتر محلي وعلى خادم محطة عن بعد
  • عرض عمق اللون: 24 أو 16 أو 15 أو 8 بت

على الرغم من حقيقة أن حزم Protcol RDC نفسها تنتقل عبر الشبكة في شكل مشفر، قد تخضع جلسة المحطة الطرفية نفسها لرجل في الهجوم الأوسط، حيث لا ينتج جزء الخادم أو العميل مصادقة متبادلة للنقل وحصلت على حزم مع البيانات. لذلك، لبناء حل محمي بالكامل، يجب عليك استخدام حماية RDP على مستوى SSL الذي يظهر في Windows Server 2003 المزود بحزمة الخدمة Service Pack 1.

ميزات جديدة ظهرت في الإصدار السادس من RDP

  • التطبيقات عن بعد. الإطلاق المباشر للتطبيقات على الخادم في جلسة محطة محددة دون فتح نافذة جلسة المحطة الطرفية. دعم جمعيات ملفات الكمبيوتر المحلية هو القدرة على تشغيل التطبيقات على الخادم لفتح المستند على الكمبيوتر المحلي وفقا للملحق في اسم الملف.
  • ويندوز سلس. مضاهاة نافذة الكمبيوتر المحلية مع بدء التطبيق على خادم المحطة الطرفية. المصادقة التلقائية على الخادم مع بيانات حساب المستخدم. الانتهاء التلقائي للجلسة الطرفية المقابلة عند الانتهاء من التطبيق.
  • بوابة خادم المحطة الطرفية. دعم اتصالات RDP عبر IIS Server-Gateway باستخدام بروتوكول HTTPS. يوفر اتصال آمن لخادم المحطة الطرفية الموجودة في ISS في الشبكة المحلية للمؤسسة.
  • ويندوز ايرو الزجاج. دعم Windows Aero Glass بما في ذلك تجانس خط ClearType.
  • مؤسسة عرض ويندوز. مدعوم على أي عملاء مع تثبيت .NET Framework 3.0 المثبتة.
  • الخدمات الطرفية القابلة للتخصيص بالكامل بما في ذلك دعم البرامج النصية باستخدام أجهزة إدارة Windows.
  • تحسين إدارة النطاق الترددي لعملاء RDP.
  • دعم لشاشات متعددة. فصل شاشة جلسة المحطة الطرفية إلى عدة شاشات. إنه يعمل فقط مع أنظمة Windows Vista.
  • عرض عمق اللون: 32 أو 24 أو 16 أو 15 أو 8 بت


نوصي بالقراءة