افتح اتصال RDP. تحسين ضغط RDP. كيفية تمكين الضغط الأمثل في RDP

بروتوكول سطح المكتب البعيد RDP (بروتوكول سطح المكتب البعيد) يوفر الوصول عن بعد عبر شبكة إلى سطح المكتب لأجهزة الكمبيوتر التي تعمل بنظام تشغيل Windows. تُستخدم عند توصيل الأجهزة العميلة الرقيقة بخادم طرفي يعمل بنظام التشغيل Windows يقوم بتشغيل Microsoft Terminal Services. طور بواسطة مايكروسوفت.

الدعم الرسمي RDP متضمن في مشغل برامج وندوز 2008 و Windows Server 2003 و Windows Home Server و Windows XP Professional و Windows XP Media Center وإصدارات الكمبيوتر اللوحي و Windows Vista Ultimate وإصدارات Enterprise و Business. كل شىء إصدارات Windows تشمل XP و Vista العميل التطبيق البعيد اتصال سطح المكتب (RDC).

الملامح الرئيسية لبروتوكول RDP

  • يدعم تشفير RC-4 بطول مفتاح 128 أو 56 بت
  • يدعم بروتوكولات TLS (أمان طبقة النقل)
  • مصادقة المستخدم باستخدام البطاقات الذكية (على الخادم عبر Microsoft Terminal Services)
  • دعم صوت الكمبيوتر المحلي لتطبيقات الخادم الطرفي
  • إعادة توجيه نظام الملفات - يسمح لك بالعمل مع ملفات كمبيوتر محلي على خادم طرفي بعيد
  • إعادة توجيه الطابعة - يسمح لك بالطباعة إلى طابعة على كمبيوتر محلي من التطبيقات التي تعمل على خادم طرفي بعيد
  • إعادة توجيه المنفذ - يفتح الوصول إلى المنافذ التسلسلية والمتوازية للكمبيوتر المحلي للتطبيقات التي تعمل على خادم طرفي بعيد
  • مشاركة الحافظة على كل من الكمبيوتر المحلي وعلى خادم طرفي بعيد
  • عمق ألوان الشاشة: 24 أو 16 أو 15 أو 8 بت

على الرغم من حقيقة أن حزم بروتوكول RDP نفسها يتم إرسالها عبر الشبكة في شكل مشفر ، يمكن أن تتعرض الجلسة الطرفية نفسها لهجوم Man In The Middle ، حيث لا يقوم جانب الخادم أو جانب العميل بإجراء المصادقة المتبادلة على الإرسال والاستقبال حزم البيانات. لذلك ، لبناء حلول آمنة تمامًا ، يجب عليك استخدام حماية RDP SSL المقدمة في Windows Server 2003 Service Pack 1.

الميزات الجديدة في الإصدار السادس من RDP

  • التطبيقات البعيدة. التشغيل المباشر للتطبيقات على الخادم في جلسة طرفية مخصصة دون فتح نافذة جلسة طرفية. دعم اقترانات الملفات للكمبيوتر المحلي - القدرة على تشغيل التطبيقات على الخادم لفتح مستند على الكمبيوتر المحلي وفقًا للامتداد في اسم الملف.
  • نوافذ سلسة. مضاهاة نافذة الكمبيوتر المحلي مع إطلاق تطبيق على خادم طرفي. المصادقة التلقائية على الخادم مع تفاصيل حساب المستخدم. الإنهاء التلقائي للجلسة الطرفية المقابلة عند إنهاء التطبيق.
  • بوابة الخادم الطرفي. يدعم اتصالات RDP من خلال خادم بوابة IIS باستخدام بروتوكول https. يوفر اتصالاً آمنًا بخادم طرفي يقع خلف محطة الفضاء الدولية في الشبكة المحلية للمؤسسة.
  • نوافذ ايرو جلاس. دعم Windows Aero Glass بما في ذلك تجانس خط ClearType.
  • مؤسسة Windows Presentation. مدعوم على أي عميل مثبت عليه .NET Framework 3.0.
  • خدمات طرفية قابلة للتخصيص بالكامل بما في ذلك دعم البرنامج النصي باستخدام Windows Management Instrumentation.
  • تحسين إدارة النطاق الترددي لعملاء RDP.
  • دعم لشاشات متعددة. تقسيم شاشة جلسة المحطة إلى شاشات متعددة. يعمل مع أنظمة Windows Vista فقط.
  • عمق ألوان الشاشة: 32 ، 24 ، 16 ، 15 أو 8 بت

يعرف أي مسؤول نظام هذا البروتوكول ، والذي يستخدم على نطاق واسع في شبكات الكمبيوتر الحديثة. باستخدامه ، يمكنك الاتصال بجهاز بعيد يعمل بنظام تشغيل Microsoft. سيكون لديك حق الوصول إلى سطح المكتب ونظام الملفات وما إلى ذلك. وبالتالي ، سيكون من الممكن تنفيذ الجزء الأكبر من الإعدادات والتدابير الوقائية ، دون الحاجة إلى التواجد المادي خلف شاشة الكمبيوتر البعيد.

هذا هو السبب في أن بروتوكول RDP هو أحد المكونات الرئيسية في ترسانة المتخصصين التقنيين. بدون مغادرة مكان عملك ، يمكنك إدارة جميع أجهزة الكمبيوتر المتوفرة على الشبكة واستكشاف المشكلات وإصلاحها.

تاريخ المظهر

ظهر بروتوكول سطح المكتب البعيد ، وهو ما يشير إليه الاختصار RDP ، في عام 1998. في ذلك الوقت ، كان بروتوكول مستوى التطبيق هذا جزءًا من نظام التشغيل Windows NT 4.0 Terminal Server ، ومكّن من تنفيذ فكرة التشغيل عن بُعد لتطبيقات الخادم العميل. كما تفهم ، ليس من الممكن دائمًا تزويد جميع أماكن العمل بأجهزة كمبيوتر قوية ، وحتى في تلك السنوات البعيدة ، ترك الأداء الكثير مما هو مرغوب فيه.

يتمثل حل هذه المشكلة في البنية التالية: يقوم خادم قوي (أو مجموعة من الخوادم) بتنفيذ الجزء الأكبر من عمليات الحوسبة ، وتتصل به أجهزة الكمبيوتر / التطبيقات العميلة منخفضة الطاقة باستخدام بروتوكول RDP وتنفذ مهامها. وبالتالي ، أصبح من الممكن العمل مع التطبيقات والبرامج المعقدة على عقد المستخدم النهائي ، حتى مع الموارد المحدودة - بعد كل شيء ، وقع الحمل الرئيسي على الخادم ، ولم يتلق الكمبيوتر العميل سوى النتيجة الرئيسية للعملية على الشاشة.

وصف بروتوكول RDP

  • بشكل افتراضي ، يتم استخدام منفذ TCP رقم 3389 للاتصال
  • كما ذكر أعلاه ، عند الاتصال ، من الممكن العمل مع الملفات الموجودة على جهاز بعيد.
  • للأمان ، يتم تنفيذ التشفير باستخدام مفاتيح 56 و 128 بت
  • أيضًا بالنسبة لوظائف الأمان ، يتم استخدام إمكانيات بروتوكولات TLS
  • الحافظة المشتركة - يمكنك نسخ البيانات من جهاز بعيد ولصقها على جهاز الكمبيوتر المحلي الخاص بك.
  • نفذت القدرة على توصيل الموارد المحلية بجهاز كمبيوتر بعيد.
  • يوفر RDP الوصول إلى منافذ الكمبيوتر المحلية (التسلسلية والمتوازية)

مبدأ التشغيل

يعتمد RDP على وظائف مكدس بروتوكول TCP. بادئ ذي بدء ، يتم إنشاء اتصال بين العميل والخادم على مستوى النقل. ثم تبدأ جلسة RDP - في هذه المرحلة ، يتم الاتفاق على المعلمات الرئيسية: التشفير ، والأجهزة المتصلة ، وإعدادات الرسومات ، إلخ.

بمجرد تكوين كل شيء ، تكون جلسة RDP جاهزة تمامًا للانطلاق. يتلقى جهاز الكمبيوتر العميل صورة رسومية من الخادم (نتيجة العمليات) التي تحدث نتيجة إرسال أوامر من لوحة المفاتيح أو الماوس.

المصادقة

إذا تم تكوين أمان RDP ، تحدث المصادقة على النحو التالي:

  1. عند تهيئة الاتصال ، يتم إنشاء زوج من مفاتيح RSA
  2. بعد ذلك ، يتم إنشاء شهادة مفتاح عام خاص
  3. يقوم نظام التشغيل بإجراء عملية توقيع شهادة RSA باستخدام مفتاح
  4. بعد ذلك ، يتصل العميل بالخادم ويتلقى شهادة منه ، وإذا اجتاز الفحص ، يتم تهيئة جلسة التحكم عن بعد

كيف تبدأ

في أنظمة التشغيلمثل Windows XP ، Vista ، Seven ، يتم تمكين برنامج عميل Remote Desktop Connection افتراضيًا. لتشغيله ، تحتاج إلى الضغط على اختصار لوحة المفاتيح Win + R.، يتصل ماجستير و اضغط أدخل.

تفتح هذه المقالة سلسلة من المقالات المخصصة لبنية بروتوكول RDP وأمانه. تحلل المقالة الأولى في هذه السلسلة التصميم والاستخدام والتقنيات الأساسية للبروتوكول.

تفتح هذه المقالة سلسلة من المقالات المخصصة لبنية بروتوكول RDP وأمانه. تحلل المقالة الأولى في هذه السلسلة التصميم والاستخدام والتقنيات الأساسية للبروتوكول.

ستغطي المقالات التالية القضايا التالية بالتفصيل:

  • تشغيل النظام الفرعي لأمان سطح المكتب البعيد
  • تنسيق تبادل معلومات الخدمة في RDP
  • نقاط الضعف في الخادم الطرفي وسبل الانتصاف
  • اختيار حسابات المستخدمين باستخدام بروتوكول RDP (تم تطويره بواسطة شركة Positive Technologies في هذا المجال)

تاريخ RDP

تم إنشاء بروتوكول Remote Desktop بواسطة Microsoft لتوفير الوصول عن بُعد إلى خوادم ومحطات عمل Windows. تم تصميم RDP للاستفادة من موارد خادم طرفي عالي الأداء مع العديد من محطات العمل الأقل قوة. ظهر Terminal Server (الإصدار 4.0) لأول مرة في عام 1998 كجزء من Windows NT 4.0 Terminal Server ، في وقت كتابة هذه السطور (يناير 2009) احدث اصدار Terminal Server هو الإصدار 6.1 ، مضمن مع توزيعات Windows 2008 Server و Windows Vista SP1. حاليًا ، RDP هو بروتوكول الوصول عن بُعد الرئيسي لأنظمة عائلة Windows ، وتوجد تطبيقات العميل لكل من Microsoft OS و Linux و FreeBSD و MAC OS X وما إلى ذلك.

بالحديث عن تاريخ RDP ، لا يسع المرء إلا أن يذكر Citrix. تخصصت Citrix Systems في الأنظمة متعددة المستخدمين وتقنيات الوصول عن بُعد في التسعينيات. بعد الحصول على ترخيص رمز المصدر لنظام التشغيل Windows NT 3.51 في عام 1995 ، أصدرت الشركة إصدارًا متعدد المستخدمين من Windows NT يُعرف باسم WinFrame. في عام 1997 ، دخلت Citrix Systems و Microsoft في اتفاقية تستند إلى بيئة متعددة المستخدمين في Windows NT 4.0 تعتمد على تقنية Citrix. بدورها ، رفضت Citrix Systems توزيع نظام تشغيل كامل وحصلت على الحق في تطوير وتنفيذ ملحقات لمنتجات Microsoft. كانت هذه الامتدادات تسمى في الأصل MetaFrame. ظلت حقوق ICA (هندسة الحوسبة المستقلة) ، وهو بروتوكول تطبيق لتفاعل العملاء الرقيقين مع خادم تطبيق Citrix ، مع Citrix Systems ، وكان بروتوكول Microsoft RDP قائمًا على ITU T.120.

حاليًا ، المنافسة الرئيسية بين Citrix و Microsoft في مجال خوادم التطبيقات للشركات الصغيرة والمتوسطة. تقليديًا ، تفوز الحلول القائمة على الخدمات الطرفية في الأنظمة التي تحتوي على عدد صغير من الخوادم المماثلة والتكوينات المماثلة ، بينما رسخت Citrix Systems نفسها بقوة في السوق للأنظمة المعقدة وعالية الأداء. يغذي المنافسة إطلاق حلول خفيفة الوزن للأنظمة الصغيرة من Citrix والتوسع المستمر لوظائف Terminal Services من Microsoft.

دعونا نفكر في فوائد هذه الحلول.

نقاط قوة الخدمات الطرفية:

  • سهولة تثبيت التطبيقات من جانب العميل من خادم التطبيق
  • الصيانة المركزية لجلسات المستخدم
  • يتطلب ترخيصًا للخدمات الطرفية فقط

قدرات حلول Citrix:

  • سهل القياس
  • إدارة ومراقبة مريحة
  • سياسة التحكم في الوصول
  • دعم منتجات الشركات الخارجية (IBM WebSphere ، BEA WebLogic)

جهاز الشبكة باستخدام الخدمات الطرفية

تقترح Microsoft وضعين لاستخدام RDP:

  • للإدارة (وضع الإدارة عن بعد)
  • للوصول إلى خادم التطبيق (وضع الخادم الطرفي)

RDP في وضع المسؤول


يتم استخدام هذا النوع من الاتصال بواسطة جميع أنظمة تشغيل Microsoft الحديثة. تدعم إصدارات الخادم من Windows اتصالين عن بعد وتسجيل دخول محلي واحد في نفس الوقت ، بينما تدعم إصدارات العميل تسجيل دخول واحد فقط (محلي أو بعيد). للتصريح اتصالات عن بعد تحتاج إلى تمكين الوصول عن بعد إلى سطح المكتب في خصائص محطة العمل.

RDP في وضع الوصول إلى الخادم الطرفي


هذا الوضع متاح فقط في إصدارات الخادم من Windows. في هذه الحالة ، لا يقتصر عدد الاتصالات عن بُعد ، ولكنك تحتاج إلى تكوين خادم الترخيص ثم تنشيطه. يمكن تثبيت خادم الترخيص إما على خادم طرفي أو على عقدة شبكة منفصلة. لا يتوفر الوصول عن بعد إلى خادم طرفي إلا بعد تثبيت التراخيص المناسبة على خادم الترخيص.

عند استخدام مجموعة من الخوادم الطرفية وموازنة التحميل ، يلزم وجود خادم اتصال متخصص (خدمة دليل الجلسة). هذا الخادم يقوم بفهرسة جلسات المستخدم ، مما يسمح بتسجيل الدخول وكذلك إعادة تسجيل الدخول إلى الخوادم الطرفية التي تعمل في بيئة موزعة.

كيف يعمل RDP


سطح المكتب البعيد هو بروتوكول تطبيق قائم على TCP. بعد إنشاء الاتصال على مستوى النقل ، تتم تهيئة جلسة RDP ، والتي يتم خلالها التفاوض على معلمات مختلفة لنقل البيانات. عند الانتهاء بنجاح من مرحلة التهيئة ، يبدأ الخادم الطرفي في إرسال إخراج الرسومات إلى العميل وينتظر الإدخال من لوحة المفاتيح والماوس. يمكن أن يكون إخراج الرسم نسخة طبق الأصل من شاشة الرسوم ، يتم نقلها كصورة ، وأوامر لرسم الرسوم الأولية (مستطيل ، خط ، قطع ناقص ، نص ، إلخ). يعد نقل المخرجات باستخدام العناصر الأولية أولوية بالنسبة لبروتوكول RDP ، لأنه يوفر حركة المرور بشكل كبير ؛ ويتم إرسال الصورة فقط إذا كان الأمر مستحيلًا لسبب ما (لم يكن من الممكن الاتفاق على معلمات إرسال العناصر الأولية عند إعداد جلسة RDP). يعالج عميل RDP الأوامر المستلمة ويعرض الصور باستخدام نظام الرسومات الفرعي الخاص به. بشكل افتراضي ، يتم إرسال مدخلات المستخدم باستخدام رموز لوحة المفاتيح. يتم إرسال إشارة الضغط على مفتاح وتحريره بشكل منفصل باستخدام علم خاص.

يدعم RDP قنوات افتراضية متعددة ضمن اتصال واحد ، والتي يمكن استخدامها لتوفير وظائف إضافية:

  • باستخدام طابعة أو منفذ تسلسلي
  • إعادة توجيه نظام الملفات
  • دعم للعمل مع الحافظة
  • استخدام النظام الفرعي الصوتي

يتم التفاوض على خصائص القنوات الافتراضية أثناء مرحلة إعداد الاتصال.

تأمين RDP


توفر مواصفات بروتوكول RDP أحد طريقتين للأمان:

  • أمان RDP قياسي (نظام أمان فرعي مدمج)
  • أمان RDP المحسن (نظام الأمان الفرعي الخارجي)

أمان RDP القياسي

مع هذا النهج ، يتم تنفيذ المصادقة والتشفير والتكامل عن طريق بروتوكول RDP.

المصادقة

تتم مصادقة الخادم على النحو التالي:

  1. عند بدء تشغيل النظام ، يتم إنشاء زوج من مفاتيح RSA
  2. يتم إنشاء شهادة ملكية للمفتاح العام
  3. يتم توقيع الشهادة بمفتاح RSA مضمن في نظام التشغيل (يحتوي أي عميل RDP على المفتاح العام لمفتاح RSA المدمج هذا).
  4. يتصل العميل بخادم المحطة الطرفية ويتلقى شهادة الملكية
  5. يتحقق العميل من الشهادة ويتلقى المفتاح العام للخادم (يُستخدم هذا المفتاح لاحقًا للتفاوض على معلمات التشفير)

تتم مصادقة العميل عن طريق إدخال اسم مستخدم وكلمة مرور.

التشفير

يتم تحديد دفق التشفير RC4 كخوارزمية التشفير. اعتمادًا على إصدار نظام التشغيل ، تتوفر أطوال مفاتيح مختلفة من 40 إلى 168 بت.

الحد الأقصى لطول المفتاح لأنظمة تشغيل Winodws:

  • Windows 2000 Server - 56 بت
  • Windows XP و Windows 2003 Server - 128 بت
  • Windows Vista و Windows 2008 Server - 168 بت

عند إنشاء اتصال ، بعد التفاوض على الطول ، يتم إنشاء مفتاحين مختلفين: لتشفير البيانات من العميل ومن الخادم.

النزاهة

يتم تحقيق تكامل الرسالة باستخدام خوارزمية إنشاء رمز مصادقة الرسائل (MAC) بناءً على خوارزميات MD5 و SHA1.

بدءًا من Windows 2003 Server ، للامتثال لمعيار معالجة المعلومات الفيدرالي (FIPS) 140-1 ، من الممكن استخدام 3DES لتشفير الرسائل وخوارزمية إنشاء MAC باستخدام SHA1 فقط لضمان النزاهة.

تعزيز أمان RDP

يستخدم هذا النهج وحدات أمان خارجية:

  • TLS 1.0
  • CredSSP

يمكن استخدام TLS بدءًا من Windows 2003 Server ، ولكن فقط إذا كان عميل RDP يدعمه. تمت إضافة دعم TLS منذ إصدار عميل RDP 6.0.

عند استخدام TLS ، يمكنك إنشاء شهادة خادم باستخدام Terminal Sercives أو تحديد شهادة موجودة من متجر Windows.

بروتوكول CredSSP هو مزيج من وظائف TLS و Kerberos و NTLM.

لنأخذ في الاعتبار المزايا الرئيسية لبروتوكول CredSSP:

  • التحقق من إذن لتسجيل الدخول إلى نظام بعيد قبل إنشاء اتصال RDP كامل ، مما يوفر موارد الخادم الطرفي بعدد كبير من الاتصالات
  • مصادقة قوية وتشفير TLS
  • استخدام تسجيل الدخول الأحادي باستخدام Kerberos أو NTLM

لا يمكن استخدام ميزات CredSSP إلا على أنظمة تشغيل Windows Vista و Windows 2008 Server. يتم تمكين هذا البروتوكول من خلال علامة استخدام مصادقة مستوى الشبكة في إعدادات الخادم الطرفي (Windows 2008 Server) أو في إعدادات الوصول عن بُعد (Windows Vista).

نظام ترخيص الخدمات الطرفية

عند استخدام RDP للوصول إلى التطبيقات في وضع العميل الرقيق ، يجب تكوين خادم ترخيص مخصص.


لا يمكن تثبيت تراخيص العميل الدائمة على الخادم إلا بعد اكتمال إجراء التنشيط ؛ قبل مروره ، من الممكن إصدار تراخيص مؤقتة بصلاحية محدودة. بعد التنشيط ، يتم تزويد خادم الترخيص بشهادة رقمية تؤكد ملكيته وأصالته. باستخدام هذه الشهادة ، يمكن لخادم الترخيص إجراء معاملات لاحقة مع قاعدة بيانات Microsoft Clearinghouse وقبول تراخيص وصول العملاء الدائمة للخادم الطرفي.

أنواع تراخيص العملاء:

  • ترخيص مؤقت (Temporary Terminal Server CAL)
  • ترخيص الجهاز (Device Terminal Server CAL)
  • ترخيص المستخدم (User Terminal Server CAL)
  • ترخيص للمستخدمين الخارجيين (موصل خادم طرفي خارجي)

رخصة مؤقتة

يتم إصدار هذا النوع من الترخيص للعميل عند الاتصال الأول بخادم المحطة الطرفية ، ويكون الترخيص صالحًا لمدة 90 يومًا. عند تسجيل الدخول بنجاح ، يستمر العميل في العمل بالترخيص المؤقت ، وفي المرة التالية التي يتصل فيها الجهاز الطرفي ، يحاول الخادم الطرفي استبدال الترخيص المؤقت بالترخيص الدائم ، إذا كان متوفرًا في المتجر.

ترخيص الجهاز

يتم إصدار هذا الترخيص لكل جهاز مادي يتصل بخادم التطبيق. يتم تحديد فترة صلاحية الترخيص بشكل عشوائي في النطاق من 52 إلى 89 يومًا. قبل 7 أيام من تاريخ انتهاء الصلاحية ، يحاول الخادم الطرفي تجديد الترخيص من خادم الترخيص في كل مرة يتصل فيها العميل.

ترخيص المستخدم

يوفر الترخيص لكل مستخدم مرونة إضافية من خلال السماح للمستخدمين بالاتصال من مجموعة متنوعة من الأجهزة. في التنفيذ الحالي للخدمات الطرفية ، لا توجد سيطرة على استخدام تراخيص المستخدم ، أي لا ينخفض \u200b\u200bعدد التراخيص المتاحة على خادم الترخيص عند اتصال مستخدمين جدد. استخدام عدد غير كافٍ من تراخيص CAL ينتهك اتفاقية ترخيص Microsoft. لاستخدام كل من تراخيص وصول العملاء للأجهزة وتراخيص وصول العملاء على نفس الخادم الطرفي في نفس الوقت ، يجب تكوين الخادم لوضع ترخيص المستخدم.

ترخيص المستخدم الخارجي

هذا نوع خاص من الترخيص لتوصيل المستخدمين الخارجيين بخادم المحطة الطرفية للشركة. لا يفرض هذا الترخيص قيودًا على عدد الاتصالات ، ومع ذلك ، وفقًا لاتفاقية المستخدم (EULA) ، يجب تخصيص الخادم الطرفي للاتصالات الخارجية ، مما لا يسمح باستخدامه لخدمة جلسات من مستخدمي الشركات. نظرًا لارتفاع السعر ، لم يتم استخدام هذا النوع من الترخيص على نطاق واسع.

يمكن تثبيت أحد دورين لخادم الترخيص:

  • المجال أو خادم ترخيص مجموعة العمل
  • خادم ترخيص المؤسسة بالكامل

تختلف الأدوار في طريقة تحديد موقع خادم الترخيص: عند استخدام دور Enterprise ، يبحث الخادم الطرفي في Active Directory عن خادم الترخيص ، وإلا يتم إجراء البحث باستخدام طلب بث NetBIOS. يتم فحص كل خادم يتم العثور عليه للتأكد من صحته باستخدام طلب RPC.

التقنيات المتقدمة للخدمات الطرفية

يتم الترويج لحلول خوادم التطبيقات بشكل نشط بواسطة Microsoft ، وتتوسع الوظائف ، ويتم تقديم وحدات نمطية إضافية. أكثر التقنيات تطوراً هي تلك التي تبسط تثبيت التطبيقات والمكونات المسؤولة عن تشغيل الخادم الطرفي في الشبكات العالمية.

تقدم Terminal Services for Windows 2008 Server القدرات التالية.

RDP هي أداة مريحة وفعالة وعملية لـ الوصول عن بعد سواء لأغراض الإدارة أو للعمل اليومي.


بالنظر إلى أن تطبيقاتها موجودة في كل مكان تقريبًا (منصات وأنظمة تشغيل مختلفة) ، وهناك العديد منها ، يجب أن يكون لديك فهم جيد لقدراتها.

سيكون هذا ضروريًا على الأقل لعدد من الأسباب:

  • في كثير من الأحيان ، بدلاً من RDP ، يتم استخدام حل آخر (VNC ، Citrix ICA) لسبب بسيط - من المفترض أن "RDP المدمج هو الحد الأدنى ولا يمكنه فعل أي شيء".
  • في العديد من الحلول المتعلقة بالتقنيات السحابية العصرية (نقل المكاتب إلى "العملاء الرقيقين" وتنظيم الخوادم الطرفية ببساطة) ، هناك رأي مفاده أن "RDP سيئ لأنه مدمج".
  • هناك أسطورة قياسية حول حقيقة أنه "لا يمكن كشف RDP في الخارج بدون VPN ، الاختراق" (الأسطورة لها ما يبررها ، ولكنها قديمة منذ فترة طويلة).
  • حسنًا ، منذ أن بدأوا الحديث عن الأساطير ، هناك رأي مفاده أنه "بعد التبديل من RDP إلى Citrix ، تنخفض حركة المرور عدة مرات". بعد كل شيء ، السيتريكس غالي الثمن ، لذلك على الأقل 157 ٪ أكثر برودة.

كل هذه الأساطير هراء ومزيج من "النصائح الجيدة" القديمة ذات الصلة بأيام NT 4.0 ، بالإضافة إلى التخيلات الصريحة التي ليس لها سبب للوجود. نظرًا لأن تكنولوجيا المعلومات هي علم دقيق ، فأنت بحاجة إلى معرفة ذلك. يعد بروتوكول RDP المضبوط جيدًا للإصدارات الجديدة ، مع مراعاة جميع الوظائف الجديدة ، أداة جيدة وموثوقة إلى حد ما لتنظيم الوصول عن بُعد.

لذلك سنتعامل مع:

  • إشارة موجزة إلى إصدار RDP
  • تكوين وضع الحماية لجلسة RDP
  • تكوين التشفير لـ RDP
  • ملزم بمحول ومنفذ معين
    • قم بتغيير المنفذ القياسي إلى المنفذ المطلوب
    • عمل إعدادات RDP منفصلة لمحولات الشبكة المتعددة
  • تمكين NLA
    • NLA و Windows XP
    • كيفية تمكين CredSSP في XP
  • اختيار الشهادة الصحيحة لـ RDP
  • حظر اتصالات RDP للحسابات بكلمة مرور فارغة
  • تحسين سرعة RDP
  • تحسين ضغط RDP
    • تكوين ضغط RDP العام
    • تكوين ضغط الصوت RDP
  • تحسين نسبة تدفقات بيانات RDP
  • تمكين طلب اتصال RPC آمن لـ RDP

هيا بنا نبدأ.

إصدارات بروتوكول RDP

البروتوكول له تاريخ طويل إلى حد ما ، بدءًا من NT 4.0. سنترك التفاصيل التاريخية جانباً لسبب بسيط - في الوقت الحالي ، من المنطقي التحدث فقط عن إصدار RDP 7.0 ، الموجود في Windows Vista SP1 / Windows Server 2008 والذي تمت إضافته إلى Windows XP مجانًا عن طريق تثبيت SP3 و عميل RDP المحدث (الموجود على الرابط إلى KB 969084). أفترض أن لديك على الأقل Windows XP ، وأن لديك / يمكنك تثبيت أحدث حزمة خدمة ولا تضيع وقتك في مناقشة مزايا RDP في Windows 2000 SP2 على NT 4.0 SP5.

تكوين وضع حماية جلسة RDP

في الأساس ، هذا هو أسهل جزء من المهمة. الخلاصة على النحو التالي. تستخدم الإصدارات المختلفة من RDP آليتين رئيسيتين لتأمين الجلسة - مضمنة RDP و "التفاف" الجلسة في TLS. المدمج ليس آمنًا بدرجة كافية ، والتوصية "لا يمكن أن يكون RDP إلا في الخارج في VPN". لذلك ، قم دائمًا بتمكين دعم TLS. هذا هو الحد الأدنى الذي يجب أن تبدأ به. ستكون القيود الوحيدة هي أن إصدار الخادم ليس أقل من Windows Server 2003 SP1 والعميل هو RDP 5.2 وأعلى ، لكنني أعتقد أن هذا في نهاية عام 2011 قابل للحل تمامًا.

كيفية تمكين RDP عبر TLS

كما هو الحال دائمًا ، هناك عدة خيارات. الأول هو التمكين عبر نهج المجموعة. للقيام بذلك ، انتقل إلى كائن نهج المجموعة المستهدفة (حسنًا ، أو قم بتشغيل gpedit.msc محليًا على محطة العمل المنزلية الخاصة بك) وحدد "تكوين الكمبيوتر" -\u003e "قوالب الإدارة" -\u003e "مكونات Windows" -\u003e "مضيف جلسة سطح المكتب البعيد "-\u003e" الأمان "وهناك تمكين طلب استخدام طبقة أمان محددة لمعلمة الاتصالات البعيدة عن طريق تحديد SSL (TLS 1.0) فقط. يمكنك أيضًا اختيار التفاوض الأكثر ليونة ، لكنني لا أوصي به لأنه في الوقت الحالي هو مبتذل أقل من مستوى الأمان المقبول. بصفتي شخصًا أنشأ سحابات خاصة بمستوى عالٍ من الأمان ، يمكنني القول أن الهدف من جلب البيانات القيمة بشكل خاص إلى مركز بيانات بالقرب من لندن والذهاب إلى هناك باستخدام RDP الافتراضي هو صفر وهو بحث عن المشاكل.

إنه أسهل وأسهل - افتح الأداة الإضافية لتكوين مضيف جلسة سطح المكتب البعيد (موجودة في mmc أو جاهزة في الأدوات الإدارية -\u003e قائمة اتصالات سطح المكتب البعيد) ، حدد اتصالات من القائمة الاتصال المطلوب (عادةً ما يكون واحدًا ويسمى RDP-Tcp) ، وافتح الخصائص ، ثم علامة التبويب عام وحدد طبقة الأمان المطلوبة هناك.

لكي يعمل TLS ، يلزم وجود شهادة رقمية (على الأقل من جانب الخادم). عادة ما يكون موجودًا بالفعل (يتم إنشاؤه تلقائيًا) ، تأكد من وجوده ، وسنتحدث عن كيفية جعله جيدًا لاحقًا. في الوقت الحالي ، كل ما تحتاجه هو ، وإلا فلن تتمكن من الاتصال.

تكوين التشفير لـ RDP

4 خيارات تشفير ستكون متاحة للتكوين. دعونا نفكر في كل واحد منهم.

وضع التشفير المنخفض RDP

الوضع الأكثر "لا". إرث الأوقات العصيبة وإصدارات RDP 5.x. يمكنه التفاوض على تشفير 56 بت DES أو 40 بت RC2 ، وهو أمر غير جاد في الوقت الحالي. لا حاجة وخطيرة. على سبيل المثال ، إذا قمت بتمكينه ، فلن يتم تمكين TLS ، لأن سيرفض TLS بالفعل التفاوض على الأصفار الضعيفة التي يوفرها هذا الخيار.

وضع التشفير المتوافق مع عميل RDP

الوضع الثاني "لا". إرث الأوقات العصيبة وإصدارات RDP 5.x. سأحاول حتى 128 بت RC4 ، لكن وافق على DES / RC2 على الفور. لا حاجة وخطيرة. أيضًا غير متوافق مع TLS.

وضع التشفير العالي RDP

الوضع الأدنى المسموح به. يتطلب على الأقل 128 بت RC4. يعمل مع جميع الخوادم بدءًا من Windows 2000 Server مع HEP.

وضع التشفير RDP FIPS140-1

بالضبط ما هو مطلوب. ستدعم الخوارزميات المتماثلة الحديثة ولن تدعم بشكل صريح RC2 و RC4 و DES المفردة ، وستفرض أيضًا استخدام SHA-1 بدلاً من MD5 لحساب تكامل رمز مصادقة الرسائل (MAC). قم دائمًا بتمكين هذا الخيار ، فالعثور على خادم لا يمكنه استخدام 3DES أو AES أو SHA-1 يكاد يكون مستحيلًا.

أين يتم هذا الإعداد؟ افتح الأداة الإضافية لتكوين مضيف جلسة سطح المكتب البعيد (موجودة في mmc أو جاهزة في الأدوات الإدارية -\u003e قائمة اتصالات سطح المكتب البعيد) ، حدد الاتصال المطلوب من قائمة الاتصالات (عادةً ما يكون واحدًا ويسمى RDP-Tcp) ، وافتح الخصائص ، ثم علامة التبويب عام وهناك حدد مستوى التشفير المطلوب.

ربط RDP بمحول ومنفذ معين

لكي يعمل الخادم بأمان وبشكل متوقع (على سبيل المثال ، لا يبدأ في قبول الاتصالات من محول شبكة جديد مضاف حديثًا) ، يجب عليك تحديد الواجهات التي يجب أن تقبل خدمة خادم RDP الاتصالات عليها. بالإضافة إلى ذلك ، من المفيد غالبًا تبديل المنفذ الذي يستمع الخادم عليه للاتصالات. بالطبع ، يمكنك القيام بذلك عن طريق نشر خادم باستخدام RDP من خلال نوع من البوابات ، ولكن يمكنك القيام بذلك بدونه. مثل هذه الإجراءات التي تبدو أساسية في الواقع ستقلل بشكل كبير من نسبة البلهاء-سكريبتكيديز الذين يستخدمون "أداة قوية" أخرى لفحص المنافذ المعروفة.

كيفية ربط خدمة RDP بمحول شبكة معين أو القيام بعمليات RDP متعددة بإعدادات مختلفة لمحولات مختلفة

افتح الأداة الإضافية لتكوين مضيف جلسة سطح المكتب البعيد (موجودة في mmc أو جاهزة في الأدوات الإدارية -\u003e قائمة اتصالات سطح المكتب البعيد) ، حدد الاتصال المطلوب من قائمة الاتصالات (عادةً ما يكون واحدًا ويسمى RDP-Tcp) ، وافتح الخصائص ، ثم علامة التبويب واجهات الشبكة ... في ذلك ، يمكنك تحديد واجهة واحدة محددة لانتظار الاتصال ، بالإضافة إلى تحديد عدد الجلسات المتوازية.

إذا كان لديك العديد من الواجهات ، وتريد ، على سبيل المثال ، أن تكون قادرًا على الاتصال من خلال 2 من 5 واجهات متاحة ، فستحتاج إلى ربط RDP-Tcp الافتراضي بمحول واحد ، ثم انتقل إلى قائمة الإجراء وحدد إنشاء جديد اتصال هناك. يمكن أن يستمع الاتصال على جميع الواجهات أو على واجهة واحدة ، وفي الحالة التي يكون فيها من الضروري الاستماع على واجهات N ، فسيتعين عليك إنشاء اتصالات N.

وفقًا لذلك ، إذا كانت لديك المهمة "بحيث يستمع RDP إلى واجهة واحدة على منفذ واحد ، ومن ناحية أخرى - على منفذ آخر" ، يمكن حلها بنفس الطريقة - يمكنك إلغاء ربط RDP-Tcp الافتراضي من جميع المحولات والالتزام بـ واحد محدد ، بعد - إنشاء اتصال RDP- جديد وأيضًا الربط بواجهة الشبكة المطلوبة.

كيفية ربط خدمة RDP بمنفذ غير افتراضي

المنفذ الافتراضي هو 3389 TCP. بالمناسبة ، لا تنسَ تمكينه في مرشح الحزمة الخاص بك. حسنًا ، إذا كنت تريد شيئًا آخر ، فأنت بحاجة إلى الانتقال إلى مفتاح التسجيل

HKEY_LOCAL_MACHINE \\ System \\ CurrentControlSet \\ Control \\ Terminal Server \\ WinStations \\ RDP-Tcp

وتصحيح قيمة PortNumber فيه. ضع في اعتبارك أن تتبع النزاعات فيما يتعلق بتوظيف الموانئ هو على ضميرك ، هو نفسه ، بعد أن اكتشف أن المنفذ الذي حددته مشغول ، لن يتمكن من "القفز" إلى أي مكان.

قم بتشغيل NLA - مصادقة مستوى الشبكة

ظهرت وظيفة NLA في NT 6.0 ، وأضيفت لاحقًا القدرة على استخدامها جزئيًا في إصدار نظام التشغيل السابق عن طريق تثبيت SP3 لنظام التشغيل XP.
جوهر هذه الوظيفة بسيط للغاية. في إصدارات RDP يصل إلى 6.0 عند الاتصال عبر عميل RDP قبل المصادقة ، تحتاج إلى إظهار نافذة تسجيل الدخول - أي العرض الأول ، وبعد ذلك سيحاول الدخول إلى النظام. ينتج عن هذا ثغرة أمنية بسيطة - يمكن تحميل الخادم بشكل زائد بمجموعة من طلبات "دعني أجرب بدء جلسة جديدة" ، وسيضطر إلى الاستجابة لجميع الطلبات عن طريق إنشاء جلسة وانتظار تسجيل دخول المستخدم. في الواقع ، هذه قدرة DoS. كيف يمكنك التعامل مع هذا؟ من المنطقي أننا بحاجة إلى التوصل إلى مخطط يكون الغرض منه طلب بيانات الاعتماد من العميل في أقرب وقت ممكن. الأمثل - شيء مثل kerberos في المجال. تم ذلك. لدى NLA هدفان:

  • يتم مصادقة العميل قبل بدء جلسة المحطة.
  • يصبح من الممكن نقل بيانات العميل المحلي SSP إلى الخادم ، أي يبدأ الدخول الموحد في العمل.

يتم تنفيذ ذلك من خلال موفر أمان جديد - CredSSP. يمكنك قراءة المواصفات الفنية الخاصة به ، حسنًا ، ببساطة ، يجب عليك دائمًا تمكين هذه الوظيفة. بالطبع ، بالنظر إلى أن عملها من الضروري أن:

  • كان نظام تشغيل العميل (الذي تم الاتصال به) هو Windows XP SP3 أو أعلى.
  • كان نظام تشغيل الخادم (الذي سيتم الاتصال به) هو Windows Server 2008 وما فوق.

ملاحظة: على الرغم من أن Windows Server 2003 kernel أحدث من XP (5.2 مقابل 5.1) ، إلا أن هناك تحديثًا لنظام التشغيل Windows XP يضيف دعم NLA ، ولكن ليس لنظام التشغيل Windows Server 2003. أي ، حتى إذا قمت بالاتصال من أكثر إصدار يمكن الوصول إليه - Windows Server 2003 R2 SP2 مع جميع التصحيحات ، فلن تتمكن من الاتصال بخادم يتطلب NLA ويكون خادمًا يدعم NLA. واحسرتاه.

كيف يتم تمكين NLA من جانب خادم RDP

من الأفضل تمكين NLA على جميع الخوادم من خلال نهج المجموعة. للقيام بذلك ، انتقل إلى كائن نهج المجموعة المستهدفة وحدد "تكوين الكمبيوتر" -\u003e "قوالب إدارية" -\u003e "مكونات Windows" -\u003e "مضيف جلسة سطح المكتب البعيد" -\u003e "الأمان" هناك وقم بتمكين طلب مصادقة المستخدم لـ المعلمة اتصالات عن بعد باستخدام مصادقة طبقة الشبكة.

يمكنك أيضًا تمكينه محليًا. يتم ذلك عن طريق استدعاء القائمة الفرعية Properties (القائمة الفرعية القياسية للكمبيوتر) وتحديد علامة التبويب Remote هناك ، حيث سيكون هناك خيار من ثلاثة خيارات - رفض الاتصالات عبر RDP لهذا المضيف ، والسماح بالاتصالات عبر أي RDP ، والسماح فقط مع NLA. قم دائمًا بتمكين خيار NLA ، فهذا يحمي الخادم بشكل أساسي.

NLA و Windows XP

إذا كان لديك نظام التشغيل Windows XP ، فيمكنك أيضًا استخدام هذه الوظيفة. العبارة الشائعة "يحتاج NLA على الأقل إلى صه ، فعلت Microsoft ذلك للترقية" خاطئة. تضيف Service Pack 3 تطبيق CredSSP لتفويض بيانات اعتماد العميل التي يحتفظ بها SSP المحلي إلى الخادم. وهذا يعني ، ببساطة ، أنه تم تصميمه خصيصًا بحيث يمكنك من Windows XP الاتصال بالأنظمة باستخدام NT 6.0+. لن تتمكن من الاتصال بـ Windows XP SP3 نفسها بهذه الوظيفة ، سيكون دعم NLA جزئيًا (لذلك ، لا يمكن إنشاء خادم RDP مع دعم لتوصيل العملاء باستخدام NLA من Windows XP باستخدام الطرق العادية ، وسيكون Windows XP عميل متوافق مع NLA).

ملاحظة: NLA موجود منذ NT 6.0 ، وهو جزء من مجموعة من التقنيات تسمى RDP 6.0. توفر حزمة الخدمة الثالثة لنظام التشغيل XP ليس فقط RDP 6.0 ، ولكن القدرة على تثبيت RDP 7.0 ، وهو أمر إيجابي تمامًا (على سبيل المثال ، في RDP 7.0 ، على عكس 6.0 ، هناك EasyPrint ، صوت ثنائي الاتجاه وبعض الأشياء الأخرى التي تحول عميل RDP على نظام التشغيل Windows XP مع كل الالتفافات في نظام عملي إلى حد ما). هذا بالمناسبة حول Microsoft السيئة ، والتي أجبرت الجميع بشكل رهيب على الترقية من Windows XP إلى صفات سيئة وسيئة ، حتى أنه حتى في حزمة الخدمة المجانية لمنتج 2001 ، قمت بخياطة نظام فرعي RDP أحدث من ذلك الذي جاء مع ذلك تم إصداره في عام 2006.

من الضروري تمكين هذه الوظيفة بشكل صريح ، لأنه على الرغم من حقيقة أن Service Pack 3 تضيف dll جديدًا لموفر التشفير ، إلا أنها لا تتضمنها.

كيفية تمكين CredSSP في XP

مرة أخرى - يتم تنفيذ هذه العملية بشكل صارم بعد تثبيت Service Pack 3 على نظام التشغيل Windows XP وفي سياق محادثتنا هناك حاجة إلى الاتصال بخوادم أخرى عبر RDP 6.1 باستخدام NLA.

الخطوة الأولى - توسيع قائمة حزم الأمان.
للقيام بذلك ، سنفتح مفتاح التسجيل

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsa

والعثور على قيمة الحزم الأمنية فيه. انقر بزر الماوس الأيمن وحدد "تعديل" (وليس تعديل البيانات الثنائية ، فقط قم بالتعديل). ستكون هناك قائمة مثل "اسم الحزمة على كل سطر". نحن بحاجة إلى إضافة tspkg هناك. يجب ترك الباقي. مكان الإضافة ليس حرجا.

الخطوة الثانية هي ربط المكتبة.
سيكون المفتاح مختلفًا:

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ SecurityProviders

في ذلك ، سوف تحتاج إلى العثور على قيمة SecurityProviders (لاحظ ، كما في الحالة السابقة ، هذا ليس مفتاحًا فرعيًا ، ولكنه قيمة) ، وتعديله عن طريق القياس ، فقط بإضافة ملف cds.sp.dll. مرة أخرى ، لا داعي للمس باقي القائمة.

يمكنك الآن إغلاق محرر التسجيل. بعد هذه العمليات ، يجب إعادة تشغيل النظام. موفرو التشفير هم شيء بالتأكيد لن يلتقطوه أثناء التنقل ، وهذا أفضل من السيئ.

اختيار الشهادة الصحيحة لـ RDP

إذا كانت لديك الفرصة لاستخدام شهادة غير افتراضية لـ RDP ، فمن الأفضل استخدامها. لن يؤثر ذلك على أمان الجلسة في حد ذاتها ، ولكنه سيؤثر على أمان الاتصال وإمكانية استخدامه. يجب أن تتضمن الشهادة الأفضل استخدامًا النقاط التالية:

  • اسم (في الموضوع أو SAN) يطابق الاسم الذي أدخله العميل المتصل بالخادم ، حرفًا بحرف.
  • تمديد CDP عادي يشير إلى CRL عاملة (يفضل أن يكون اثنان على الأقل - OCSP وثابت).
  • حجم المفتاح المطلوب هو 2048 بت. المزيد ممكن ، لكن تذكر قيود XP / 2003 CAPI2.
  • لا تجرب خوارزميات التوقيع / التجزئة إذا كنت بحاجة إلى اتصالات جانبية XP / 2003. باختصار ، اختر SHA-1 ، هذا يكفي.

سوف أسهب في الحديث أكثر قليلاً عن إصدار شهادة خاصة لخادم RDP.

قالب شهادة خاص لخوادم RDP

سيكون الأمر مثاليًا إذا كانت شهادة RDP لا تستند إلى قالب عادي (مثل خادم الويب) وفي حقل "نهج التطبيق" (والذي سيُطلق عليه في الشهادة اسم Enchanced Key Usage - EKU) معيار مصادقة العميل و قيم مصادقة الخادم ، ولكن أضف القالب الخاص بك ، حيث سيكون هناك قيمة واحدة خاصة ، غير مضافة بواسطة الأساليب القياسية للتطبيق - مصادقة سطح المكتب البعيد. يجب إنشاء قيمة سياسة التطبيق هذه يدويًا ، وسيكون معرف الكائن الخاص بها هو 1.3.6.1.4.1.311.54.1.2 ، حسنًا ، بعد ذلك ، يمكنك بالفعل إنشاء قالب شهادة جديد ، يمكنك على أساسه إصدار شهادة يستهدف خادم RDP.

لأتمتة هذه العملية بالكامل ، امنح القالب الجديد اسمًا يمكن التنبؤ به - على سبيل المثال ، "RDPServerCert" - وانتقل إلى كائن نهج المجموعة ، وهناك افتح تكوين الكمبيوتر -\u003e السياسات -\u003e القوالب الإدارية -\u003e مكونات Windows -\u003e خدمات سطح المكتب البعيد -\u003e مضيف جلسة سطح المكتب البعيد -\u003e الأمان. حدد معلمة قالب شهادة مصادقة الخادم وقم بتمكينها ، وفي حقل القيمة أدخل اسمًا - أنشأنا RDPServerCert. الآن جميع مضيفي المجال الذين يندرجون تحت هذه السياسة ، إذا تم تمكين RDP عليهم ، فانتقلوا إلى المرجع المصدق بأنفسهم ، وطلب شهادة بناءً على القالب المحدد إذا لم يكن لديهم شهادة ، وجعلها تلقائيًا لحماية اتصالات RDP . بسيطة ومريحة وفعالة.

منع الاتصالات عبر حسابات RDP بكلمة مرور فارغة

تافه ، لكنك لست بحاجة إلى نسيانها.
لحظر اتصال الحسابات بدون كلمات مرور بـ RDP ، انتقل إلى إعداد كائن نهج المجموعة: تكوين الكمبيوتر -\u003e إعدادات Windows -\u003e إعدادات الأمان -\u003e السياسات المحلية -\u003e خيارات الأمان وقم بتعيين "الحسابات: تقييد استخدام الحساب المحلي الفارغ كلمات المرور لوحدة التحكم في تسجيل الدخول فقط "إلى تمكين. خذ الوقت الكافي للتحقق من أن هذا هو الحال.

تكوين ACL لاتصال RDP

بشكل افتراضي ، يجب أن يكون لديك إذن وصول صريح للمستخدم أو إذن وصول ضيف للاتصال بخادم RDP.
هذا الإذن للمسؤولين المحليين ومجموعات مستخدمي سطح المكتب البعيد. من الأفضل استخدام مجموعة Remote Desktop Users للتحكم في الوصول إلى خادم RDP ، وإضافة مجموعات المجال الضرورية إليه ، بدلاً من المستخدمين الفرديين. قم بتعديل محتويات علامة التبويب "الأمان" في إعدادات الخصائص لـ RDP-Tcp فقط كحل أخير ، وأفضل ما في الأمر هو إضافة مجموعة "اسم مضيف RDP المحظور" ، والتي تم رفض وصول RDP بشكل صريح إلى العقدة المحددة.

تحسين سرعة RDP

يعد تحسين سرعة RDP موضوعًا واسع النطاق إلى حد ما ، لذلك سأقسمه إلى أجزاء. سيتضمن ذلك طرقًا ستقلل من الحمل على البروتوكول قبل الضغط وقبل تحسين طبقة الشبكة.

الكروما (عمق البت)

في الإصدار 7.0 من RDP وما فوق ، تتوفر خيارات 32 و 16 و 8 بت. إذا كنا نتحدث عن العمل ، فستكون 16 بتًا كافية لذلك. سيؤدي ذلك إلى تقليل الحمل على القناة بشكل كبير ، علاوة على ذلك ، في بعض الأحيان أكثر من مرتين ، وهو أمر مفاجئ ولكنه حقيقي. 8 بت ، بالطبع ، ممكن أيضًا ، لكنها ستبدو مخيفة بشكل مؤلم. 16 بت مقبولة تمامًا.

ملاحظة: لم تعد الاتصالات ذات 8 بت متوفرة في Windows Server 2008 R2.

قم بتمكين معلمة Limit Maximum Color Depth على الخادم ، أو قم بنفس الشيء في إعدادات عميل RDP.

تعطيل ClearType

عند قيامك بتعطيل ClearType ، لا يرسل بروتوكول RDP صورة ، بل يرسل أوامر لرسم الأحرف. عند التمكين ، فإنه يعرض صورة من جانب الخادم ويضغطها ويرسلها إلى العميل. هذا مضمون ليكون أقل فعالية بعدة مرات ، لذا فإن تعطيل ClearType سيؤدي إلى تسريع عملية العمل بشكل كبير وتقليل وقت الاستجابة. أنت نفسك سوف تفاجأ بكم.

يمكن القيام بذلك على مستوى إعدادات العميل وعلى جانب الخادم (خيار عدم السماح بتنعيم الخط ضمن بيئة الجلسة البعيدة في تكوين الكمبيوتر -\u003e السياسات -\u003e القوالب الإدارية -\u003e مكونات Windows -\u003e خدمات سطح المكتب البعيد -\u003e سطح المكتب البعيد مضيف الجلسة).

إزالة الخلفية

إن فرض إزالة معلمة RD Wallpaper في قسم بيئة الجلسة البعيدة في تكوين الكمبيوتر -\u003e السياسات -\u003e القوالب الإدارية -\u003e مكونات Windows -\u003e خدمات سطح المكتب البعيد -\u003e مضيف جلسة سطح المكتب البعيد سيحسن الوضع بشكل كبير من خلال إعادة رسم شاشة جلسة المحطة الطرفية. المستخدمون الذين ليس لديهم قطط على سطح المكتب يعيشون بشكل طبيعي ، يتم فحصه.

قم بتشغيل وتكوين ذاكرة التخزين المؤقت للصور

إذا كان العميل لديه ما يكفي ذاكرة الوصول العشوائي، فمن المنطقي تمكين وتكوين التخزين المؤقت للصور النقطية. سيؤدي ذلك إلى كسب ما يصل إلى 20-50٪ من عرض النطاق الترددي. للتثبيت ، ستحتاج إلى إدخال المفتاح

HKEY_CURRENT_USER \\ SOFTWARE \\ Microsoft \\ عميل الخادم الطرفي \\

وإنشاء معلمات BitmapPersistCacheSize و BitmapCacheSize هناك ، كلا النوعين من DWORD 32.
تحدد المعلمة BitmapPersistCacheSize حجم ذاكرة التخزين المؤقت على القرص بالكيلو بايت. القيمة الافتراضية هي 10. ومن المنطقي زيادة هذه المعلمة إلى 1000 على الأقل.
تحدد المعلمة BitmapCacheSize الحجم بالكيلو بايت لذاكرة التخزين المؤقت في ذاكرة الوصول العشوائي. القيمة الافتراضية هي 1500. من المنطقي زيادة هذه المعلمة إلى 5000 على الأقل. سيكون هذا 5 ميغا بايت فقط لكل جلسة عميل ، مع موازين ذاكرة الوصول العشوائي الحديثة ، هذا غير مهم ، وحتى إذا أدى إلى زيادة في الأداء بنسبة 10٪ ، فسيؤدي سدد دينك. بالمناسبة ، يمكن تصحيح نفس المعلمة في ملف .rdp ؛ إذا قمت بحفظ اتصال RDP الخاص بك ، ثم فتحت الملف باستخدام المفكرة ، فمن بين المعلمات يمكنك إضافة شيء مثل bitmapcachesize: i: 5000 ، حيث 5000 عبارة عن ذاكرة تخزين مؤقت سعة 5 ميجابايت.

تعطيل تكوين سطح المكتب

يجمع تكوين سطح المكتب كل أنواع "التفاصيل الدقيقة" مثل Aero وأصدقائه ويستهلك بشكل ملحوظ النطاق الترددي. هذا غير ضروري وضار للعمل. يجب تعيين معلمة السماح بتكوين سطح المكتب لجلسات RDP في قسم بيئة الجلسة البعيدة في تكوين الكمبيوتر -\u003e السياسات -\u003e القوالب الإدارية -\u003e مكونات Windows -\u003e خدمات سطح المكتب البعيد -\u003e مضيف جلسة سطح المكتب البعيد على معطل.

تحسين إعدادات مدير نافذة سطح المكتب

المعلمات الموجودة في قسم بيئة الجلسة البعيدة في تكوين الكمبيوتر -\u003e السياسات -\u003e القوالب الإدارية -\u003e مكونات Windows -\u003e Desktop Window Manager سيتحكم في العرض "الجميل" للقوائم المنزلقة بسلاسة وما شابه ذلك. هناك ثلاثة منهم - لا تسمح بالرسوم المتحركة للنافذة ، ولا تسمح بتركيبات سطح المكتب ولا تسمح باستدعاء Flip3D. يجب تبديلهم جميعًا إلى الوضع الممكّن ، أي في الواقع - تعطيل كل هذه الوظائف.

تعطيل إعادة توجيه الأجهزة غير المستخدمة

إذا كنت لا تخطط لتوصيل فئات معينة من الأجهزة (على سبيل المثال ، منافذ COM و LPT) أو الصوت ، فمن المنطقي تعطيل القدرة على إعادة توجيهها من جانب الخادم. حتى لا يضيع العملاء الذين لديهم إعدادات عميل RDP الافتراضية وقت الاتصال في التفاوض على الوظائف غير المستخدمة. يتم ذلك في نفس المكان مثل باقي إعدادات الخادم ، في خصائص RDP-Tcp ، علامة التبويب إعدادات العميل (في نفس المكان الذي أجرينا فيه الإعدادات بعمق اللون) ، قسم إعادة التوجيه.

إعداد المنطق العام لتحسين البيانات المرئية RDP

سيتحكم خيار يسمى تحسين التجربة المرئية لجلسات RDP ، الموجود ضمن بيئة الجلسة البعيدة ضمن تكوين الكمبيوتر -\u003e السياسات -\u003e القوالب الإدارية -\u003e مكونات Windows -\u003e خدمات سطح المكتب البعيد -\u003e مضيف جلسة سطح المكتب البعيد -\u003e بيئة الجلسة البعيدة ، في هذه الطريقة سوف يدرك RDP البيانات المرئية - كوسائط متعددة أو كنص. هذا ، بشكل تقريبي ، هو "تلميح" لخوارزمية الضغط كيف تتصرف بشكل أكثر كفاءة. وفقًا لذلك ، للعمل ، ستحتاج إلى تعيين هذه المعلمة على Text ، وإذا كنت تريد الكثير من لافتات الفلاش الجميلة و HTML5 ومشاهدة مقاطع الفيديو ، فإن خيار Rich Multimedia يكون أفضل.

تحسين ضغط RDP

لقد قطع الضغط في RDP شوطًا طويلاً. اعتبارًا من RDP 5.2 ضمناً ، كان هناك نظام فرعي للضغط ("ضاغط") ، والذي يحمل الاسم الداخلي "الإصدار 1" - وهو الخيار الأبسط والأسهل من حيث تحميل معالج العميل ، ولكنه الأسوأ من حيث تحميل حركة مرور الشبكة. صنع RDP 6.0 "الإصدار 2" ، والذي تم تحسينه قليلاً من حيث كفاءة الضغط. نحن مهتمون بـ "الإصدار 3" ، والذي يعمل فقط عند الاتصال بـ Windows Server 2008 والخوادم الأحدث. إنه ينضغط بشكل أفضل من أي شخص آخر ، وتكلفة وقت المعالج ، مع الأخذ في الاعتبار قوة أجهزة الكمبيوتر الحديثة ، ضئيلة.

يمكن أن يصل الكسب عند تشغيل V3 ، وفقًا للاختبارات ، إلى 60 ٪ ، وبشكل عام ، حتى بدون اختبارات ، يمكن ملاحظته بشكل ملحوظ للعين.

كيفية تمكين الضغط الأمثل في RDP

هذا هو إعداد العميل. فتح تكوين الكمبيوتر -\u003e السياسات -\u003e القوالب الإدارية -\u003e مكونات Windows -\u003e خدمات سطح المكتب البعيد -\u003e مضيف جلسة سطح المكتب البعيد -\u003e بيئة الجلسة البعيدة في كائن نهج المجموعة المطلوب ، حدد تعيين خوارزمية ضغط لمعلمة بيانات RDP هناك ، قم بتمكينها وحدد تحسين لاستخدام نطاق ترددي أقل للشبكة.

ملاحظة: يتساءل الكثير من الناس عن سبب وجود خيار "تعطيل الضغط" في القائمة. يعد هذا ضروريًا في حالة ضغط جلسات RDP بواسطة جهاز خارجي يعمل على تحسين اتصالات WAN ، مثل Cisco WAAS. في حالات أخرى ، بالطبع ، ليس من المنطقي تعطيل الضغط.

ضبط ضغط دفق الصوت

يوفر RDP 7.0 قدرة ممتازة على ضبط جودة ضغط دفق الصوت الوارد (أي الصوت الذي ينتقل من خادم إلى عميل). هذا مفيد للغاية - على سبيل المثال ، إذا كنت تعمل على خادم طرفي ، فبالإضافة إلى جميع أصوات الخدمة مثل "وصلت الرسالة إلى ICQ" ، لا يتم التخطيط للبعض الآخر بشكل خاص. لا معنى لنقل صوت غير مضغوط بجودة القرص المضغوط من الخادم إذا لم يكن ذلك ضروريًا للعمل. وفقًا لذلك ، تحتاج إلى ضبط مستوى ضغط دفق الصوت.
ستسمى هذه المعلمة بجودة تشغيل الصوت المحدود وتقع في قسم إعادة توجيه الجهاز والموارد في تكوين الكمبيوتر -\u003e السياسات -\u003e القوالب الإدارية -\u003e مكونات Windows -\u003e خدمات سطح المكتب البعيد -\u003e مضيف جلسة سطح المكتب البعيد. سيكون هناك ثلاثة خيارات:

  • عالي - سيذهب الصوت غير مضغوط. على الاطلاق. أي أنه سيقع تحت الضغط العام لبروتوكول RDP ، ولكن لن يتم تنفيذ ضغط صوت محدد (مع فقد).
  • متوسط \u200b\u200b- يتكيف الضغط مع القناة حتى لا يؤدي إلى زيادة تأخير نقل البيانات.
  • ديناميكي - يتكيف الضغط ديناميكيًا مع القناة بحيث لا يتجاوز التأخير 150 مللي ثانية.

اختيار واحد الحق. كما ترى ، من الأفضل اختيار Dynamic للعمل المكتبي.

تحسين نسبة تدفقات البيانات في RDP

حركة مرور جلسة RDP ليست متجانسة. على العكس من ذلك ، فمن الواضح تمامًا أنه مقسم إلى تدفقات بيانات للأجهزة المعاد توجيهها (على سبيل المثال ، نسخ ملف من مضيف محلي إلى خادم طرفي) ، دفق صوتي ، عرض دفق أوامر بدائي (يحاول RDP إرسال أوامر لتقديم الأساسيات ، وينقل الصور النقطية كحل أخير) ، ويدفق الجهاز الإدخال (الماوس ولوحة المفاتيح).

يمكن أن تتأثر العلاقة المتبادلة بين هذه التدفقات ومنطق حساب (العلاقة) الخاص بها (نوع من جودة الخدمة المحلية). للقيام بذلك ، انتقل إلى مفتاح التسجيل من جانب الخادم

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ TermDD

وأنشئ أربعة مفاتيح هناك لتبدأ بها (إذا لم تكن موجودة):

  • FlowControlDisable
  • FlowControlDisplayBandwidth
  • FlowControlChannelBandwidth
  • FlowControlChargePostCompression

كل نوع - DWORD 32. ستكون وظائف المفاتيح على النحو التالي.
سيحدد مفتاح FlowControlDisable ما إذا كان سيتم استخدام تحديد الأولويات على الإطلاق. إذا حددت واحدة ، فسيتم تعطيل تحديد الأولويات ، إذا تم تمكين الصفر. قم بتشغيله.
سيحدد مفتاحا FlowControlDisplayBandwidth و FlowControlChannelBandwidth العلاقة بين دفقين للبيانات:

  • تدفق تفاعل المستخدم (صورة + أجهزة الإدخال)
  • بيانات أخرى (حظر الأجهزة والحافظة وكل شيء آخر)

قيم هذه المفاتيح نفسها ليست حرجة ؛ كيفية ارتباطها أمر بالغ الأهمية. أي ، إذا جعلت FlowControlDisplayBandwidth يساوي واحدًا ، و FlowControlChannelBandwidth يساوي أربعة ، فستكون النسبة 1: 4 ، وسيتم تخصيص 20٪ من النطاق الترددي لتدفق تفاعل المستخدم ، و 80٪ للباقي. إذا قمت بعمل 15 و 60 ، ستكون النتيجة متطابقة ، لأن النسبة هي نفسها.
سيحدد مفتاح FlowControlChargePostCompression متى يتم حساب هذه النسبة - قبل الضغط أو بعده. الصفر قبل الضغط ، واحد بعده.

أوصي باستخدام النموذج "خادمنا البعيد بعيد ويتصل به الجميع عبر RDP وفي المكتب ويعمل 1C" لتعيين النسبة 1: 1 وقراءتها بعد الضغط. من خلال التجربة يمكن أن يساعد هذا حقًا في حالة "طباعة مستند كبير من خادم طرفي إلى طابعة محلية". لكن هذه ليست عقيدة - جربها ، الأداة الرئيسية - معرفة كيفية عملها وعملها - لديك بالفعل.

تفعيل طلب اتصال RPC آمن لـ RDP

يعمل هذا الإعداد بشكل مشابه لإعدادات Secure RPC ، الموجودة في قسم الأمان في "نهج المجموعة" وتنطبق على النظام بأكمله ، فقط من الأسهل تكوينه. من خلال تمكين هذه المعلمة ، ستجعل التشفير إلزاميًا لجميع طلبات العميل RPC (اعتمادًا على إعدادات النظام ، سيكون "الشريط السفلي" للتشفير مختلفًا - RC4 / DES أو ، إذا تم تمكين FIPS-140 ، 3DES / AES) و استخدم NTLMv2 على الأقل لاستدعاء إجراء المصادقة عن بعد. قم دائمًا بتمكين هذا الخيار. هناك خرافة مفادها أنه لا يعمل في بيئة غير مجال. ليس هذا هو الحال ، وتشديد أمن RPC لن يؤذي أي شخص.

هذا هو إعداد الخادم. افتح تكوين الكمبيوتر -\u003e السياسات -\u003e القوالب الإدارية -\u003e مكونات Windows -\u003e خدمات سطح المكتب البعيد -\u003e مضيف جلسة سطح المكتب البعيد -\u003e الأمان في كائن نهج المجموعة المطلوب ، حدد معلمة طلب اتصال RPC الآمن هناك وقم بتمكينها.



نوصي بالقراءة