Konfigurišite daljinski pristup računaru putem rdp-a. Zaštita i optimizacija RDP-a

Ovaj protokol, koji se široko koristi u modernim računarskim mrežama, poznat je svakom administratoru sistema. Pomoću nje možete se povezati na udaljeni računar koji radi operativni sistem linija Microsofta. Imat ćete pristup radnoj površini, sistemu datoteka itd. Tako će biti moguće izvršiti veći dio postavki i preventivnih mjera, bez potrebe za fizičkim prisustvom iza ekrana udaljenog računara.

Zbog toga je RDP protokol jedna od glavnih komponenti u arsenalu tehničkih stručnjaka. Bez napuštanja radnog mjesta možete upravljati svim dostupnim računalima na mreži i rješavati probleme koji su se pojavili.

Istorija pojavljivanja

Protokol za udaljenu radnu površinu, tako stoji skraćenica RDP, pojavio se davne 1998. godine. U to je vrijeme ovaj vlasnički protokol na razini aplikacije bio dio operativnog sistema Windows NT 4.0 Terminal Server i omogućio je primjenu ideje o daljinskom radu klijentsko-serverskih aplikacija. Kao što razumijete, nije uvijek moguće svim radnim mjestima osigurati moćne računare, a čak je i u tim dalekim godinama produktivnost ostavljala mnogo željenog.

Rješenje ovog problema je sljedeća konstrukcija: moćan poslužitelj (ili klaster servera) izvodi glavninu računalnih operacija, a klijentski računari / aplikacije male snage se na njega povezuju pomoću RDP protokola i izvršavaju svoje zadatke. Tako je na čvorovima krajnjih korisnika postalo moguće raditi sa složenim aplikacijama i programima, čak i uz ograničene resurse - uostalom, glavno opterećenje palo je na server, a klijentski računar je na monitoru dobio samo glavni rezultat rada .

Opis RDP protokola

  • Po defaultu se za vezu koristi TCP port 3389
  • Kao što je gore spomenuto, kada je povezan, moguće je raditi s datotekama na udaljenom računaru.
  • Iz sigurnosnih razloga šifriranje je implementirano sa 56 i 128 bitnim ključevima
  • Takođe se za sigurnosne funkcije koriste mogućnosti TLS protokola
  • Dijeljena međuspremnica - možete kopirati podatke s udaljene mašine i zalijepiti ih na lokalni računar.
  • Primijenjena sposobnost povezivanja lokalnih resursa s udaljenim računarom.
  • RDP omogućava pristup lokalnim računarskim priključcima (serijski i paralelni)

Princip rada

RDP se temelji na funkcionalnosti snopa TCP protokola. Prije svega, uspostavlja se veza između klijenta i poslužitelja na transportnom nivou. Zatim se pokreće RDP sesija - u ovoj fazi se dogovaraju glavni parametri: šifriranje, povezani uređaji, grafičke postavke itd.

Jednom kada se sve postavi, RDP sesija je potpuno spremna za rad. Klijentski računar prima grafičku sliku (rezultat operacija) od servera, koja se javlja kao rezultat slanja naredbi s tastature ili miša.

Autentifikacija

Ako je konfigurirana RDP sigurnost, provjera autentičnosti se odvija na sljedeći način:

  1. Pri inicijalizaciji veze generira se par RSA ključeva
  2. Zatim se kreira poseban certifikat javnog ključa
  3. Operativni sistem provodi postupak potpisivanja RSA certifikata ključem
  4. Dalje, klijent se povezuje sa serverom, prima certifikat od njega i ako prođe provjeru, inicijalizira se sesija daljinskog upravljanja

Kako započeti

U operativnim sistemima kao što su Windows XP, Vista, Seven, klijentski softver Remote Desktop Connection je podrazumevano omogućen. Da biste ga pokrenuli, trebate pritisnuti prečicu na tastaturi Win + R, biraj mstsc i pritisnite Enter.

RDP je prikladan, efikasan i praktičan alat za daljinski pristup kako u administrativne svrhe tako i za svakodnevni rad.


S obzirom na to da su njegove implementacije gotovo svugdje (razne platforme i OS), a ima ih mnogo, morate dobro razumjeti njegove mogućnosti.

To će u najmanju ruku biti potrebno iz više razloga:

  • Često se umjesto RDP-a koristi drugo rješenje (VNC, Citrix ICA) iz jednostavnog razloga - pretpostavlja se da je "ugrađeni RDP minimalan i ne može ništa učiniti".
  • U mnogim rješenjima vezanim za sada moderne tehnologije u oblaku (prenošenje ureda na „tanke klijente“ i jednostavno organiziranje terminalnih poslužitelja) postoji mišljenje da je „RDP loš jer je ugrađen“.
  • Postoji standardni mit o činjenici da „RDP ne može biti izložen vani bez VPN-a, probijanja“ (mit ima opravdanje, ali odavno je zastario).
  • Pa, otkad su počeli pričati o mitovima, postoji mišljenje da „Nakon prelaska s RDP-a na Citrix, promet pada nekoliko puta“. Napokon, citrix je skup, dakle barem 157% hladniji.

Svi su ovi mitovi besmislice i mješavina zastarjelih "dobrih savjeta" koji su bili relevantni u doba NT 4.0, kao i direktne izmišljotine koje nemaju razloga za postojanje. Budući da je IT egzaktna nauka, morate to shvatiti. Dobro podešeni RDP protokol novih verzija, uzimajući u obzir svu novu funkcionalnost, prilično je dobar i pouzdan alat za organizaciju daljinskog pristupa.

Stoga ćemo se pozabaviti:

  • Kratko spominjanje verzije RDP-a
  • Konfiguriranje režima zaštite RDP sesije
  • Konfiguriranje šifriranja za RDP
  • Vezivanjem za određeni adapter i port
    • Promijenite standardni port u željeni
    • Izrada zasebnih RDP postavki za više mrežnih adaptera
  • Omogućavanje NLA-a
    • NLA i Windows XP
    • Kako omogućiti CredSSP u XP-u
  • Odabir pravog certifikata za RDP
  • Blokiranje RDP veza na račune s praznom lozinkom
  • RDP optimizacija brzine
  • RDP optimizacija kompresije
    • Postavljanje opšteg rDP kompresija
    • Konfiguriranje RDP audio kompresije
  • Optimizacija odnosa RDP tokova podataka
  • Omogućavanje Zahtijevajte sigurnu RPC komunikaciju za RDP

Hajde da počnemo.

Verzije RDP protokola

Protokol ima prilično dugu istoriju, počevši od NT 4.0. Povijesne detalje ostavićemo po strani iz jednostavnog razloga - trenutno ima smisla govoriti samo o verziji RDP 7.0 koja je u sustavu Windows Vista SP1 / Windows Server 2008 i može se besplatno dodati u Windows XP instaliranjem SP3 i ažuriranog RDP klijenta (nalazi se na linku do KB 969084). Pretpostavljam da imate najmanje Windows XP i da imate / možete instalirati najnoviji servisni paket i ne gubite vrijeme na raspravljanje o prednostima RDP-a u Windows 2000 SP2 nad NT 4.0 SP5.

Konfiguriranje načina zaštite RDP sesije

U osnovi, ovo je najlakši dio zadatka. Dno crte je kako slijedi. Različite verzije RDP-a koriste dva glavna mehanizma za zaštitu sesije - ugrađeni u RDP i "umotavanje" sesije u TLS. Ugrađeno nije dovoljno sigurno, a preporuka „RDP može biti samo u VPN-u“ je o tome. Stoga uvijek omogućite TLS podršku. To je minimum sa kojim biste trebali početi. Jedina ograničenja bit će u tome što verzija poslužitelja nije niža od Windows Server 2003 SP1, a klijent je RDP 5.2 i noviji, ali mislim da je ovo na kraju 2011. prilično rješivo.

Kako omogućiti RDP preko TLS-a

Kao i uvijek, postoji nekoliko opcija. Prvo je omogućavanje putem grupnih pravila. Da biste to učinili, idite na objekt politike ciljne grupe (dobro, ili pokrenite gpedit.msc lokalno na kućnoj radnoj stanici) i odaberite „Konfiguracija računara“ -\u003e „Administrativni predlošci“ -\u003e „Windows komponente“ -\u003e „Domaćin sesije udaljene radne površine“ ”-\u003e„ Sigurnost ”i tamo omogućuju parametar Zahtijeva upotrebu određenog sigurnosnog sloja za udaljene veze odabirom samo SSL (TLS 1.0). Možete odabrati i mekše pregovaranje, ali to ne bih preporučio, jer u ovom trenutku je otrcano ispod prihvatljivog nivoa sigurnosti. Kao osoba koja je stvorila privatne oblake s dovoljno visokim nivoom sigurnosti, mogu reći da je poanta donošenja posebno vrijednih podataka u podatkovni centar u blizini Londona i odlazak tamo sa zadanim RDP-om nula i predstavlja potragu za problemom.

Jednostavnije je i jednostavnije - otvorite dodatak za konfiguraciju hosta sesije udaljene radne površine (nalazi se u mmc ili je spreman u administrativnom alatu -\u003e meni Veze na udaljenu radnu površinu), s popisa odaberite Veze potrebna veza (obično je jedan i zove se RDP-Tcp) i otvorite Svojstva, zatim karticu Općenito i tamo odaberite željeni sigurnosni sloj.

Da bi TLS funkcionirao, potreban je digitalni certifikat (barem sa strane servera). Obično je već tamo (generira se automatski), pobrinite se da postoji, o tome ćemo to učiniti kasnije. Za sada vam to samo treba, inače se nećete moći povezati.

Konfiguriranje šifriranja za RDP

Za konfiguraciju će biti dostupne 4 opcije šifriranja. Razmotrimo svaki od njih.

RDP režim niskog šifriranja

Režim najviše „ne“. Nasleđe strašnih vremena i verzije RDP 5.x. Može pregovarati o 56-bitnom DES ili 40-bitnom RC2 šifriranju, što trenutno nije ozbiljno. Nije potrebno i opasno. Na primjer, ako ga omogućite, tada TLS neće biti omogućen jer TLS će već odbiti pregovarati o slabim šiframa koje nudi ova opcija.

Način šifriranja kompatibilan s RDP klijentom

Drugi je način „ne“. Nasleđe strašnih vremena i verzije RDP 5.x. Pokušat ću do 128-bitni RC4, ali odmah pristanite na DES / RC2. Nije potrebno i opasno. Takođe nije kompatibilan sa TLS-om.

RDP režim visokog šifriranja

Minimalno dozvoljeni način. Zahtijeva najmanje 128-bitni RC4. Radi sa svim serverima počevši od Windows 2000 Server w / HEP.

RDP FIPS140-1 način šifriranja

Upravo ono što je potrebno. Podržavat će moderne simetrične algoritme i neće izričito podržavati RC2, RC4, pojedinačni DES i primorat će upotrebu SHA-1 umjesto MD5 za izračunavanje cjelovitosti autentifikacijskog koda poruka (MAC). Uvijek omogućite ovu opciju, gotovo je nemoguće pronaći server koji ne može 3DES, AES ili SHA-1.

Gdje se vrši ovo postavljanje? Otvorite dodatak Konfiguracija hosta sesije udaljene radne površine (nalazi se u mmc ili je gotov u administrativnom alatu -\u003e meni Veze s udaljenom radnom površinom), odaberite željenu vezu sa popisa Veze (obično je jedna i naziva se RDP-Tcp) i otvorite Svojstva, zatim karticu Općenito i tamo odaberite potrebnu razinu šifriranja.

Povežite RDP sa određenim adapterom i portom

Da bi poslužitelj radio sigurno i predvidljivo (na primjer, ne započinje prihvaćati veze s novog, svježe dodanog mrežnog adaptera), morate izričito navesti na kojim sučeljima usluga RDP poslužitelja treba prihvatiti veze. Osim toga, često je korisno prebaciti port na kojem server osluškuje veze. Naravno, to možete učiniti objavljivanjem servera sa RDP-om kroz neku vrstu mrežnog prolaza, ali možete i bez njega. Takve naizgled osnovne radnje u stvarnosti značajno će smanjiti postotak idiota-scriptkiddisa koji koriste još jedan "moćan alat" za provjeru dobro poznatih portova.

Kako povezati RDP uslugu sa određenim mrežnim adapterom ili napraviti više RDP-ova s \u200b\u200brazličitim postavkama za različite adaptere

Otvorite dodatak Konfiguracija hosta sesije udaljene radne površine (nalazi se u mmc ili je gotov u administrativnom alatu -\u003e meni Veze s udaljenom radnom površinom), odaberite željenu vezu sa popisa Veze (obično je jedna i naziva se RDP-Tcp) , i otvorite Properties, a zatim karticu Network Interfaces ... U njemu možete odabrati jedno određeno sučelje na kojem ćete čekati vezu, plus ograničiti broj paralelnih sesija.

Ako imate mnogo sučelja, a trebate se, recimo, povezati putem 2 od 5 dostupnih, tada ćete trebati povezati zadani RDP-Tcp na jedan adapter, a zatim idite na izbornik Action i odaberite Create New Tamo je veza. Veza može slušati na svim sučeljima ili na jednom, au slučaju kada je potrebno da preslušava na N sučeljima, morat ćete stvoriti N veza.

Sukladno tome, ako imate zadatak "Tako da RDP sluša na jednom sučelju na jednom portu, a na drugom - na drugom", to se može riješiti na isti način - odvežete zadani RDP-Tcp sa svih adaptera i vežete se na određenu, nakon - stvoriti novu RDP vezu, a također se vezati za željeni mrežni interfejs.

Kako vezati RDP uslugu na ne-zadani port

Zadani port je 3389 TCP. Usput, ne zaboravite da ga omogućite u svom paketnom filtru. Pa, ako želite nešto drugo, morate otići do ključa registratora

HKEY_LOCAL_MACHINE \\ System \\ CurrentControlSet \\ Control \\ Terminal Server \\ WinStations \\ RDP-Tcp

i ispravite vrijednost PortNumber u njemu. Imajte na umu da je praćenje sukoba u pogledu zauzetosti luke na vašoj savjesti, on sam, nakon što je otkrio da je luka koju ste odredili zauzeta, neće moći nigdje "skočiti".

Uključite NLA - Provjeru autentičnosti na mrežnom nivou

NLA funkcija pojavila se u NT 6.0, a kasnije je dodala mogućnost delimične upotrebe u prethodnoj verziji OS-a instaliranjem SP3 za XP.
Suština ove funkcije je prilično jednostavna. U RDP verzijama do 6.0 kada se poveže putem RDP klijent prije autentifikacije trebate prikazati prozor za prijavu - tj. prvo show, a zatim će pokušati ući u sistem. Ovo stvara jednostavnu ranjivost - poslužitelj se može preopteretiti gomilom zahtjeva „daj da probam početak nove sesije“ i bit će prisiljen odgovoriti na sve zahtjeve stvaranjem sesije i čekanjem da se korisnik prijavi. U stvari, ovo je DoS sposobnost. Kako se možete nositi s ovim? Logično je da moramo smisliti shemu čija će svrha biti što je prije moguće zatražiti vjerodajnice od klijenta. Optimalno - nešto poput kerberosa u domeni. To je učinjeno. NLA ima dva cilja:

  • Klijent je ovjeren prije pokretanja terminalne sesije.
  • Postaje moguće prenijeti podatke lokalnog klijentskog SSP-a na server, tj. Jednokratna prijava počinje raditi.

Ovo je implementirano putem novog provajdera sigurnosti - CredSSP. Možete pročitati njegovu tehničku specifikaciju, pa, pojednostavljeno rečeno, uvijek morate omogućiti ovu funkciju. Naravno, s obzirom da je za njegov rad neophodno da:

  • Klijentski OS (onaj s kojim se uspostavlja veza) bio je Windows XP SP3 ili noviji.
  • OS poslužitelja (onaj na koji će se uspostaviti veza) bio je Windows Server 2008 ili noviji.

Napomena: Iako je jezgro Windows Server 2003 novije od XP-a (5.2 nasuprot 5.1), postoji ažuriranje za Windows XP koje dodaje NLA podršku, ali ne i za Windows Server 2003. Odnosno, čak i ako se povežete iz najpristupačnije verzije - Windows Server 2003 R2 SP2 sa svim zakrpama, nećete se moći povezati sa serverom koji zahtijeva NLA i biti server koji podržava NLA. Avaj.

Kako je NLA omogućen sa strane RDP servera

Najbolje je omogućiti NLA na svim serverima putem smernica grupe. Da biste to učinili, idite na objekt politike ciljne grupe i tamo odaberite „Konfiguracija računara“ -\u003e „Administrativni predlošci“ -\u003e „Komponente Windows“ -\u003e „Host sesije udaljene radne površine“ -\u003e „Sigurnost“ i omogućite Zahtijeva autentifikaciju korisnika za udaljene veze pomoću provjere autentičnosti mrežnog sloja.

Možete ga omogućiti i lokalno. To se postiže pozivanjem podizbornika Svojstva (standardni podizbornik Računalo) i odabirom tamo kartice Remote, u kojoj će biti na raspolaganju tri opcije - odbiti veze putem RDP-a na ovaj host, omogućiti veze putem bilo kojeg RDP-a, dopustiti samo s NLA. Uvijek omogućite opciju s NLA-om, ovo prvenstveno štiti poslužitelj.

NLA i Windows XP

Ako imate Windows XP, onda možete koristiti i ovu funkciju. Uobičajena izjava „NLA treba barem zvižduk, Microsoft je to učinio za nadogradnju“ je lažna. Servisni paket 3 dodaje implementaciju CredSSP za delegiranje vjerodajnica klijenta koje drži lokalni SSP na poslužitelj. Odnosno, pojednostavljeno rečeno, posebno je napravljen tako da se iz operativnog sistema Windows XP možete povezati na sisteme sa NT 6.0+. Pomoću ove funkcije nećete se moći povezati na Windows XP SP3, podrška za NLA bit će djelomična (stoga se RDP server s podrškom za povezivanje klijenata koji koriste NLA iz operativnog sistema Windows XP ne može napraviti standardnim metodama, Windows XP će biti samo NLA -kompatibilni klijent).

Napomena: NLA postoji od NT 6.0 i dio je niza tehnologija nazvanih RDP 6.0. Treći servisni paket za XP donosi ne samo RDP 6.0, već i mogućnost instaliranja RDP 7.0, što je prilično pozitivno (na primjer, u RDP 7.0, za razliku od 6.0, postoji EasyPrint, dvosmjerni zvuk i neke druge stvari koje okreću RDP klijenta na Windows XP-u sa svim umotavanjima u prilično praktičan sistem). Ovo je usput rečeno o lošem Microsoftu, koji je tako užasno prisilio sve da se sa Windows XP-a prebace na loš, loš zvižduk, da sam čak i u besplatnom servisnom paketu za proizvod iz 2001. godine sašio noviji RDP podsistem od onog koji je došao u zviždanju koji je objavljen 2006. godine.

Nužno je omogućiti ovu funkcionalnost izričito, jer unatoč činjenici da Service Pack 3 dodaje novi dll kriptografskog dobavljača, on je ne uključuje.

Kako omogućiti CredSSP u XP-u

Još jednom - ova operacija se izvodi strogo nakon instalacije servisnog paketa 3 na Windows XP i u kontekstu našeg razgovora potrebna je kako bismo se mogli povezati s drugim serverima putem RDP 6.1 koristeći NLA.

Prvi korak - proširivanje liste sigurnosnih paketa.
Da bismo to učinili, otvorit ćemo ključ registra

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsa

i u njemu pronađite vrijednost Sigurnosnih paketa. Desni klik i odaberite "Modify" (ne Modify Binary Data, samo Modify). Bit će lista poput "naziv paketa u svakoj liniji". Tamo moramo dodati tspkg. Ostalo mora biti ostavljeno. Mesto dodavanja nije kritično.

Drugi korak je povezivanje biblioteke.
Ključ će biti drugačiji:

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ SecurityProviders

U njemu ćete morati pronaći vrijednost SecurityProviders (imajte na umu da, kao u prethodnom slučaju, ovo nije potključ, već vrijednost), i po analogiji ga izmijeniti, dodajući samo credssp.dll. Ostatak liste, opet, ne treba dirati.

Sada možete zatvoriti uređivač registra. Nakon ovih operacija, sistem će se morati ponovo pokrenuti. Davatelji kripto usluga stvar su koja se sigurno neće pojaviti u pokretu, a ovo je više dobro nego loše.

Odabir pravog certifikata za RDP

Ako imate priliku koristiti nepodrazumijeni certifikat za RDP, onda je bolje da ga koristite. To neće utjecati na sigurnost sesije samo po sebi, ali će utjecati na sigurnost i upotrebljivost veze. Potvrda koja je optimalna za upotrebu trebala bi sadržavati sljedeće točke:

  • Ime (u predmetu ili SAN-u) koje se podudara s imenom koje je klijent povezao sa serverom, znak po znak.
  • Uobičajeno CDP proširenje koje upućuje na radni CRL (po mogućnosti najmanje dva - OCSP i statički).
  • Željena veličina ključa je 2048 bita. Moguće je i više, ali imajte na umu ograničenja XP / 2003 CAPI2.
  • Ne eksperimentirajte s algoritmima potpisa / heširanja ako vam trebaju bočne veze XP / 2003. Ukratko, odaberite SHA-1, to je dovoljno.

Zadržat ću se detaljnije na izdanju posebnog certifikata za RDP server.

Posebni obrazac certifikata za RDP servere

Bilo bi idealno ako se certifikat za RDP ne temelji na uobičajenom predlošku (kao što je Web poslužitelj), a u polju Smernice aplikacija (koje će se u certifikatu češće nazivati \u200b\u200bEnchanced Key Usage - EKU) standardna provjera autentičnosti klijenta i Vrijednosti provjere autentičnosti poslužitelja, ali dodajte svoj vlastiti predložak, u kojem će biti jedna, posebna, koja nije dodana standardnim vrijednostima vrijednosti aplikacije - autentifikacija udaljene radne površine. Vrijednost ove politike primjene morat će se kreirati ručno, njen OID bit će 1.3.6.1.4.1.311.54.1.2, pa nakon toga već možete stvoriti novi obrazac certifikata na osnovu kojeg će se izdati certifikat, adresiran za RDP server.

Da biste u potpunosti automatizirali ovu operaciju, dajte novom predlošku predvidljivo ime - na primjer, „RDPServerCert“ - i idite na objekt Grupne politike, a tamo otvorite Konfiguracija računara -\u003e Pravila -\u003e Administrativni predlošci -\u003e Windows komponente -\u003e Usluge udaljene radne površine -\u003e Domaćin sesije udaljene radne površine -\u003e Sigurnost. Odaberite parametar Predložak certifikata za provjeru autentičnosti poslužitelja i omogućite ga, a u polje vrijednosti unesite ime - napravili smo RDPServerCert. Sada će svi domaćini domena koji potpadaju pod ovu politiku, ako je na njima omogućen RDP, sami otići do tijela za ovjeru, zatražiti certifikat na temelju navedenog predloška ako nemaju certifikat i automatski ga postaviti kao zadani zadatak da zaštite RDP veze. Jednostavno, prikladno, efikasno.

Blokirajte veze putem RDP računa praznom lozinkom

Sitnica, ali ne trebate to zaboraviti.
Da biste blokirali vezu računa bez lozinke na RDP, idite na postavku objekta grupne politike: Konfiguracija računara -\u003e Windows postavke -\u003e Sigurnosne postavke -\u003e Lokalne politike -\u003e Sigurnosne opcije i postavite „Računi: Ograničite upotrebu lokalnog računa praznim lozinke za prijavu samo na konzolu ”Do Omogućeno. Nađite vremena da provjerite je li to slučaj.

Konfiguriranje ACL-a za RDP vezu

Po defaultu morate imati eksplicitno odobrenje za pristup korisnika ili pristup gostu da biste se povezali s RDP serverom.
Lokalni administratori i grupe korisnika udaljene radne površine imaju ovo odobrenje. Najbolje je koristiti grupu Korisnici udaljene radne površine za kontrolu pristupa RDP serveru dodajući mu potrebne grupe domena, a ne pojedinačne korisnike. Izmijenite sadržaj kartice Sigurnost u postavkama RDP-Tcp svojstava samo u krajnjem slučaju, najbolje od svega dodavanjem grupe “RDP Blocked hostname”, kojoj je izričito odbijen RDP pristup navedenom hostu.

RDP optimizacija brzine

Optimizacija brzine RDP-a prilično je opsežna tema, pa ću je podijeliti na dijelove. To će uključivati \u200b\u200bmetode koje će smanjiti opterećenje protokola prije kompresije i prije optimizacije mrežnog sloja.

Kroma (dubina bita)

U RDP 7.0 i novijim verzijama dostupne su 32, 16 i 8 bitne opcije. Ako govorimo o poslu, tada će mu biti dovoljno 16 bita. To će značajno smanjiti opterećenje na kanalu, a ponekad i više od 2 puta, što je iznenađujuće, ali istinito. 8-bitni, naravno, također je moguć, ali izgledat će bolno zastrašujuće. 16 bita je sasvim prihvatljivo.

Napomena: U Windows Server 2008 R2 8-bitne veze više nisu dostupne.

Omogućite parametar Limit Maximum Colour Dubina na serveru ili učinite isto u postavkama RDP klijenta.

Onemogući ClearType

Kada onemogućite ClearType, RDP protokol ne prenosi sliku, već naredbe za crtanje znakova. Kad je omogućeno, generira sliku sa strane servera, komprimira je i šalje klijentu. Ovo će zagarantovano biti nekoliko puta manje efikasno, pa će onemogućavanje ClearType-a značajno ubrzati radni proces i smanjiti vrijeme odziva. I sami ćete se iznenaditi koliko.

To se može učiniti na razini postavki klijenta i na strani servera (parametar Ne dozvoli zaglađivanje fonta u odjeljku Udaljena sesija okruženja u Konfiguraciji računara -\u003e Pravila -\u003e Administrativni predlošci -\u003e Windows komponente -\u003e Usluge udaljene radne površine -\u003e Domaćin sesije udaljene radne površine).

Uklonite pozadinu

Prisilno uklanjanje parametra RD Wallpaper u odjeljku Remote Session Enviroment u odjeljku Konfiguracija računara -\u003e Pravila -\u003e Administrativni predlošci -\u003e Windows komponente -\u003e Usluge udaljene radne površine -\u003e Domaćin sesije udaljene radne površine dramatično će poboljšati situaciju ponovnim crtanjem zaslona sesije terminala. Korisnici bez mačaka na radnoj površini normalno preživljavaju, provjerava se.

Uključite i konfigurirajte predmemoriranje slika

Ako klijent ima dovoljno ram memorija, tada ima smisla omogućiti i konfigurirati predmemoriranje bitmapa. Ovo će osvojiti do 20-50% širine pojasa. Da biste instalirali, morat ćete unijeti ključ

HKEY_CURRENT_USER \\ SOFTWARE \\ Microsoft \\ Terminal Server Client \\

i tamo stvorite parametre BitmapPersistCacheSize i BitmapCacheSize, oba tipa DWORD 32.
Parametar BitmapPersistCacheSize određuje veličinu predmemorije diska u kilobajtima. Zadana vrijednost je 10. Ovaj parametar ima smisla povećati na najmanje 1000.
Parametar BitmapCacheSize označava veličinu, u kilobajtima, predmemorije u RAM-u. Zadana vrijednost je 1500. Ima smisla povećati ovaj parametar na najmanje 5000. To će biti samo 5 megabajta po sesiji klijenta, s modernim RAM skalama to je beznačajno, pa čak i ako dovede do povećanja performansi od 10%, isplati se. Usput, isti parametar se može ispraviti u .rdp datoteci; ako spremite RDP vezu, a zatim otvorite datoteku s notepadom, tada možete među parametre dodati nešto poput bitmapcachesize: i: 5000, gdje je 5000 5MB predmemorije.

Onemogući kompoziciju radne površine

Desktop Composition donosi sve vrste „finih“ poput Aera i njegovih prijatelja i primjetno pojede propusnost. Ovo je nepotrebno i štetno za posao. Parametar Omogući sastav radne površine za RDP sesije u odjeljku Okruženje udaljene sesije u Konfiguraciji računara -\u003e Pravila -\u003e Administrativni predlošci -\u003e Windows komponente -\u003e Usluge udaljene radne površine -\u003e Domaćin sesije udaljene radne površine mora biti postavljen na Onemogućeno.

Optimizacija postavki upravitelja prozora radne površine

Parametri pronađeni u odjeljku Remote Session Enviroment u programu Computer Configuration -\u003e Pravila -\u003e Administrativni predlošci -\u003e Windows komponente -\u003e Desktop Window Manager kontrolirat će "lijep" prikaz glatko kliznih menija i slično. Postoje ih tri - Ne dozvoli animacije prozora, Ne dozvoli sastave radne površine i Ne dozvoli pozivanje Flip3D. Svi oni moraju biti prebačeni u Omogućeni način rada, tj. zapravo - onemogućite sve ove funkcije.

Onemogućite preusmjeravanje neiskorištenih uređaja

Ako ne planirate povezati određene klase uređaja (na primjer COM i LPT portovi) ili audio, ima smisla onemogućiti mogućnost njihovog preusmjeravanja sa strane servera. Tako da klijenti sa zadanim postavkama RDP klijenta ne troše vrijeme na povezivanje na neiskorištenu funkcionalnost. To se radi na istom mjestu kao i ostatak postavki servera, u Svojstvima RDP-Tcp, na kartici Client Settings (na istom mjestu gdje smo izvršili postavke s dubinom boje), odjeljku Redirection.

Postavljanje opšte logike za optimizaciju vizualnih RDP podataka

Opcija pod nazivom Optimizacija vizualnog iskustva za RDP sesije, pronađena u odjeljku Udaljena sesija okruženja pod Konfiguracija računara -\u003e Pravila -\u003e Administrativni predlošci -\u003e Windows komponente -\u003e Usluge udaljene radne površine -\u003e Domaćin sesije udaljene radne površine -\u003e Udaljeno okruženje sesije, kontrolira kako RDP će vizuelne podatke doživljavati - kao multimediju ili kao tekst. Ovo je, grubo rečeno, "nagovještaj" algoritmu kompresije kako se ponašati kompetentnije. Sukladno tome, za posao ćete ovaj parametar morati postaviti na Text, a ako želite puno lijepih flash-bannera, HTML5 i gledati video isječke, opcija Rich Multimedia je bolja.

RDP optimizacija kompresije

Kompresija u RDP-u je daleko napredovala. Od RDP 5.2, uključujući, postojao je podsistem kompresije („kompresor“) s internim imenom „Verzija 1“ - najjednostavnija i najlakša opcija u pogledu opterećenja procesora klijenta, ali najgora u pogledu opterećenja mrežnog prometa. RDP 6.0 je napravio „Verziju 2“, koja je malo poboljšana u pogledu efikasnosti kompresije. Zanima nas „Verzija 3“, koja radi samo kada je povezana na Windows Server 2008 i novije servere. Komprimira se bolje od bilo koga drugog, a troškovi procesorskog vremena, uzimajući u obzir snagu modernih računara, su beznačajni.

Dobitak kada je V3 uključen može, sudeći po testovima, doseći 60% i, generalno gledano, čak i bez testova, uočljiv je na oku.

Kako omogućiti optimalnu kompresiju u RDP-u

Ovo je postavka klijenta. Otvorite Konfiguracija računara -\u003e Pravila -\u003e Administrativni predlošci -\u003e Windows komponente -\u003e Usluge udaljene radne površine -\u003e Host sesije udaljene radne površine -\u003e Udaljeno okruženje sesije u željenom GPO-u, odaberite Postavi algoritam kompresije za parametar RDP podataka, omogućite ga i odaberite Optimiziraj da se koristi manja propusnost mreže.

Napomena: Mnogi se ljudi pitaju zašto na popisu postoji opcija „onemogući kompresiju“. To je neophodno kada vaše RDP sesije komprimira vanjski uređaj koji optimizira WAN veze, nešto poput Cisco WAAS. U drugim slučajevima, naravno, nema smisla onemogućavati kompresiju.

Postavljanje kompresije audio toka

RDP 7.0 donosi izvrsnu sposobnost podešavanja kvaliteta kompresije dolaznog audio toka (tj. Zvuka koji ide od servera do klijenta). Ovo je vrlo korisno - na primjer, ako radite na terminal serveru, pored svih usluga koje zvuče kao „poruka je stigla na ICQ“, druge nisu posebno planirane. Nema smisla prenositi nekomprimovani zvuk CD kvaliteta sa servera ako vam nije potreban za rad. U skladu s tim, morate prilagoditi razinu kompresije audio toka.
Ovaj će se parametar zvati Ograniči kvalitetu reprodukcije zvuka i nalazi se u odjeljku Preusmjeravanje uređaja i resursa Konfiguracije računara -\u003e Pravila -\u003e Administrativni predlošci -\u003e Windows komponente -\u003e Usluge udaljene radne površine -\u003e Domaćin sesije udaljene radne površine. Bit će tri mogućnosti:

  • Visoko - zvuk će se nekomprimovati. Generalno. Odnosno, potpadaće pod opću kompresiju RDP protokola, ali specifična (gubitak) audio kompresija neće biti izvedena.
  • Srednja - kompresija će se prilagoditi kanalu kako ne bi povećala kašnjenje prijenosa podataka.
  • Dinamično - kompresija će se dinamički prilagoditi kanalu tako da kašnjenje ne prelazi 150 ms.

Odaberite pravu. Kao što vidite, za uredski posao bolje je odabrati Dynamic.

Optimizacija odnosa tokova podataka u RDP-u

Promet RDP sesije nije monolitan. Suprotno tome, prilično je jasno podijeljen na tokove podataka preusmjerenih uređaja (na primjer, kopiranje datoteke s lokalnog hosta na terminalni poslužitelj), audio tok, primitivni tok naredbe za prikazivanje (RDP pokušava poslati naredbe za generiranje primitiva , i prenosi bitmape u krajnjem slučaju), kao i ulazni tokovi uređaja (miš i tastatura).

Može se utjecati na međusobni odnos ovih tokova i logiku izračunavanja (odnosa) (vrsta lokalnog QoS-a). Da biste to učinili, idite na ključ registra sa strane servera

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ TermDD

i tamo kreirajte četiri ključa za početak (ako ih nema):

  • FlowControlDisable
  • FlowControlDisplayBandwidth
  • FlowControlChannelBandwidth
  • FlowControlChargePostCompression

Tip za sve - DWORD 32. Funkcionalnost tipki bit će sljedeća.
Ključ FlowControlDisable odredit će da li se uopće koristi prioritizacija. Ako navedete jedan, prioritet će biti onemogućen, ako je nula - omogućen. Uključite ga.
Ključevi FlowControlDisplayBandwidth i FlowControlChannelBandwidth odredit će odnos između dva toka podataka:

  • Tok interakcije korisnika (slika + uređaji za unos)
  • Ostali podaci (blok uređaji, međuspremnik i sve ostalo)

Vrijednosti ovih ključeva same po sebi nisu kritične; presudno je kako se odnose. Odnosno, ako FlowControlDisplayBandwidth učinite jednakim, a FlowControlChannelBandwidth jednakim četiri, omjer će biti 1: 4, a 20% propusnosti dodijelit će se toku interakcije korisnika, a 80% za ostatak. Ako napravite 15 i 60, rezultat će biti identičan, jer je omjer isti.
Tipka FlowControlChargePostCompression odredit će kada se izračunava ovaj omjer - prije ili poslije kompresije. Nula je prije kompresije, jedna je nakon.

Preporučujem da koristite obrazac „naš je udaljeni server daleko i svi se na njega povezuju putem RDP-a i u uredu i 1C radi“ da biste postavili omjer 1: 1 i pročitali ga nakon kompresije. Iz iskustva, ovo zaista može pomoći u situaciji „ispisa velikog dokumenta s terminalnog poslužitelja na lokalni printer“. Ali ovo nije dogma - pokušajte, glavni alat - znanje o tome kako se računa i kako funkcionira - već imate.

Omogućavanje Zahtijevajte sigurnu RPC komunikaciju za RDP

Ova postavka radi slično postavkama za Sigurni RPC, koja su u odjeljku Sigurnost Grupnih pravila i primjenjuju se na čitav sistem, samo što ga je lakše konfigurirati. Omogućavanjem ovog parametra učinit ćete enkripciju obaveznom za sve klijentske RPC zahtjeve (ovisno o postavkama sistema, „donja traka“ šifriranja bit će različita - RC4 / DES ili, ako je omogućen FIPS-140, - 3DES / AES) i koristite najmanje NTLMv2 za poziv udaljene procedure provjere autentičnosti. Uvijek omogući ovu opciju. Postoji mit da to ne funkcionira u nedomenskom okruženju. To nije slučaj, a jačanje RPC sigurnosti neće nikoga povrijediti.

Ovo je postavka servera. Otvorite Konfiguracija računara -\u003e Pravila -\u003e Administrativni predlošci -\u003e Windows komponente -\u003e Usluge udaljene radne površine -\u003e Domaćin sesije udaljene radne površine -\u003e Sigurnost u željenom GPO-u, tamo odaberite parametar Zahtijevaj sigurnu RPC komunikaciju i omogućite ga.

Protokol udaljene radne površine RDP (Remote Desktop Protocol) omogućava daljinski pristup mrežnoj radnoj površini računara koji rade pod operativnim sistemom Windows. Koristi se prilikom povezivanja tankih klijenata sa Windows terminal serverom na kojem je pokrenut Microsoft Terminal Services. Razvio Microsoft.

Zvanična podrška RDP uključeno u izdanja Windows Server 2008, Windows Server 2003, Windows Home Server, Windows XP Professional, Windows XP Media Center, Tablet PC Edition, Windows Vista Ultimate, Enterprise i Business izdanja. Sve windows verzije XP i Vista uključuju klijenta udaljena aplikacija Veza sa radnom površinom (RDC).

Ključne karakteristike RDP protokola

  • Podržava RC-4 šifriranje sa 128 ili 56 bitnom dužinom ključa
  • Podrška TLS (Transport Layer Security) protokola
  • Autentifikacija korisnika pomoću pametnih kartica (na serveru putem Microsoft Terminal Services)
  • Podrška za zvuk lokalnog računara za aplikacije terminalnih servera
  • Preusmjeravanje sistema datoteka - omogućava vam rad s datotekama lokalnog računara na udaljenom terminalnom serveru
  • Preusmjeravanje pisača - omogućava vam ispis na printer na lokalnom računaru iz aplikacija pokrenutih na udaljenom terminalnom serveru
  • Preusmjeravanje porta - otvara pristup serijskim i paralelnim portovima lokalnog računara za programe koji se izvode na udaljenom terminalnom serveru
  • Dijeljenje međuspremnika i na lokalnom računaru i na udaljenom poslužitelju terminala
  • Prikaz dubine boje: 24, 16, 15 ili 8 bita

Uprkos činjenici da se sami paketi RDP protokola prenose mrežom u šifriranom obliku, sama sesija terminala može biti izložena napadu Čovjek u sredini, jer ni strana servera ni klijentska strana ne izvršavaju međusobnu provjeru autentičnosti prenesenih i primljenih paketi podataka. Zbog toga za izgradnju potpuno sigurnih rješenja morate koristiti RDP SSL zaštitu uvedenu u Windows Server 2003 servisnom paketu 1.

Nove funkcije predstavljene u šestoj verziji RDP-a

  • Udaljene aplikacije. Direktno pokretanje aplikacija na serveru u namjenskoj terminalskoj sesiji bez otvaranja prozora terminalne sesije. Podrška za udruživanje datoteka lokalnog računara - mogućnost pokretanja aplikacija na serveru za otvaranje dokumenta na lokalnom računaru u skladu s ekstenzijom u imenu datoteke.
  • Bešavni prozori. Emulacija prozora lokalnog računara s pokretanjem aplikacije na terminalnom serveru. Automatska provjera autentičnosti na serveru s detaljima korisničkog računa. Automatsko prekidanje odgovarajuće sesije terminala kada se aplikacija završava.
  • Terminal Server Gateway. Podržava RDP veze putem IIS gateway servera koristeći https protokol. Pruža sigurnu vezu s terminalnim poslužiteljem koji se nalazi iza ISS-a u lokalnoj mreži preduzeća.
  • Windows Aero Glass. Podrška za Windows Aero Glass, uključujući zaglađivanje fontova ClearType.
  • Windows Presentation Foundation. Podržava se na bilo kojem klijentu s instaliranim .NET Framework 3.0.
  • Potpuno prilagodljive terminalne usluge, uključujući podršku za skripte pomoću Windows Management Instrumentationa.
  • Poboljšano upravljanje propusnom širinom za RDP klijente.
  • Podrška za više monitora. Dijeljenje zaslona sesije terminala na više monitora. Radi samo sa sistemima Windows Vista.
  • Prikaz dubine boje: 32, 24, 16, 15 ili 8 bita


Preporučeno za čitanje