Seadistage arvuti kaugjuurdepääs RDP kaudu. RDP kaitsmine ja optimeerimine

Seda kaasaegsetes arvutivõrkudes laialt kasutatavat protokolli teab iga süsteemiadministraator. Selle abil saate luua ühenduse töötava kaugmasinaga operatsioonisüsteem Microsofti rida. Teil on juurdepääs töölauale, failisüsteemile ja nii edasi. Seega on võimalik põhiosa seadetest ja ennetusmeetmetest läbi viia, ilma et oleks vaja füüsilist kohalolekut kaugarvuti ekraani taga.

Seetõttu on RDP protokoll tehniliste spetsialistide arsenalis üks peamisi komponente. Töökohalt lahkumata saate hallata kõiki võrgus olevaid arvuteid ja tõrkeid lahendada.

Välimuse ajalugu

Kaugtöölaua protokoll, mis on lühend RDP, ilmus juba 1998. aastal. Sel ajal oli see varalise rakenduse taseme protokoll osa Windows NT 4.0 Terminal Serveri operatsioonisüsteemist ja võimaldas rakendada kliendi-serveri rakenduste kaugtöö ideed. Nagu aru saate, pole alati võimalik kõiki töökohti pakkuda võimsate arvutitega ja isegi neil kaugetel aastatel jättis tootlikkus palju soovida.

Selle probleemi lahenduseks on järgmine ehitus: võimas server (või serverite klaster) täidab suurema osa arvutustoimingutest ning väikese energiatarbega klientarvutid / rakendused ühendavad sellega RDP-protokolli abil ja täidavad nende ülesandeid. Seega sai lõppkasutaja sõlmedel võimalik töötada ka keerukate rakenduste ja programmidega, isegi piiratud ressurssidega - lõppkokkuvõttes langes põhikoormus serverisse ja kliendi arvuti sai monitoril ainult operatsiooni põhitulemuse .

RDP protokolli kirjeldus

  • Vaikimisi kasutatakse ühenduse loomiseks TCP-porti 3389
  • Nagu eespool mainitud, on ühenduse loomisel võimalik töötada kaugmasinas olevate failidega.
  • Turvalisuse tagamiseks rakendatakse krüptimist 56- ja 128-bitiste võtmetega
  • Ka turvafunktsioonide jaoks kasutatakse TLS-protokollide võimalusi
  • Jagatud lõikelauale - saate andmeid kopeerida kaugarvutist ja kleepida kohalikku arvutisse.
  • Rakendas võimalust ühendada kohalikud ressursid kaugarvutiga.
  • RDP võimaldab juurdepääsu kohalikele arvutipordidele (järjestikused ja paralleelsed)

Toimimispõhimõte

RDP põhineb TCP protokollivirna funktsionaalsusel. Kõigepealt luuakse ühendus kliendi ja serveri vahel transporditasandil. Seejärel alustatakse RDP seanssi - selles etapis lepitakse kokku peamised parameetrid: krüptimine, ühendatud seadmed, graafikaseaded jne.

Kui kõik on paika pandud, on RDP seanss täiesti valmis minema. Kliendi arvuti saab serverilt graafilise pildi (operatsioonide tulemus), mis ilmneb klaviatuurilt või hiirelt käskude saatmise tulemusena.

Autentimine

Kui RDP turvalisus on konfigureeritud, toimub autentimine järgmiselt:

  1. Ühenduse initsialiseerimisel luuakse paar RSA võtit
  2. Järgmisena luuakse spetsiaalne avaliku võtme sertifikaat
  3. Operatsioonisüsteem viib RSA sertifikaadi võtmega allkirjastamise protsessi läbi
  4. Järgmisena loob klient ühenduse serveriga, saab sellest sertifikaadi ja kui see kontrolli läbib, lähtestatakse kaugjuhtimisseanss

Kuidas alustada

Operatsioonisüsteemides, nagu Windows XP, Vista, Seven, on kaugtöölaua ühenduse kliendi tarkvara vaikimisi lubatud. Selle käivitamiseks peate vajutama klaviatuuri otseteed Win + R, helistage mstsc ja vajutage Sisenema.

RDP on mugav, tõhus ja praktiline tööriist kaugjuurdepääsu jaoks nii halduse kui ka igapäevatöö jaoks.


Arvestades, et selle rakendused on peaaegu kõikjal (erinevad platvormid ja operatsioonisüsteemid) ning neid on palju, peate selle võimalustest hästi aru saama.

Vähemalt on see vajalik mitmel põhjusel:

  • Sageli kasutatakse RDP asemel muud lahendust (VNC, Citrix ICA) lihtsal põhjusel - eeldatakse, et "sisseehitatud RDP on minimaalne ja ei saa midagi teha".
  • Paljudes nüüd moes olevate pilvetehnoloogiatega seotud lahendustes (kontorite üleviimine õhukestele klientidele ja lihtsalt terminaliserverite korraldamine) on arvamusel, et "RDP on halb, kuna see on sisseehitatud".
  • On levinud müüt selle kohta, et „RDP-d ei saa väljas paljastada ilma VPN -ita, läbimurdeta” (müüdil on põhjendus, kuid see on juba ammu aegunud).
  • Noh, kuna nad hakkasid rääkima müütidest, on arvamus, et "pärast RDP-lt Citrixile üleminekut langeb liiklus paar korda". Lõppude lõpuks on citrix kallis, seetõttu vähemalt 157% jahedam.

Kõik need müüdid on jama ja segu aegunud "headest nõuannetest", mis olid aktuaalsed NT 4.0 päevil, samuti otsestest väljamõeldistest, millel pole põhjust eksisteerida. Kuna IT on täppisteadus, peate selle välja mõtlema. Uute versioonide korralikult häälestatud RDP-protokoll, võttes arvesse kõiki uusi funktsioone, on kaugjuurdepääsu korraldamiseks üsna hea ja usaldusväärne tööriist.

Seetõttu tegeleme järgmisega:

  • Lühike mainimine RDP versioonist
  • RDP seansi kaitserežiimi konfigureerimine
  • Krüptimise konfigureerimine RDP jaoks
  • Seondudes konkreetse adapteri ja pordiga
    • Muutke standardport soovitud porti
    • Mitme võrguadapteri jaoks eraldi RDP-sätete tegemine
  • NLA lubamine
    • NLA ja Windows XP
    • Kuidas lubada CredSSP XP-s
  • RDP jaoks õige sertifikaadi valimine
  • RDP-ühenduste blokeerimine tühja parooliga kontodel
  • RDP kiiruse optimeerimine
  • RDP tihendamise optimeerimine
  • RDP andmevoogude suhte optimeerimine
  • Võimaldab nõuda RDP jaoks turvalist RPC-sidet

Alustame.

RDP-protokolli versioonid

Protokollil on üsna pikk ajalugu, alustades NT 4.0-st. Jätame ajaloolised üksikasjad kõrvale lihtsal põhjusel - praegu on mõttekas rääkida ainult RDP 7.0 versioonist, mis on Windows Vista hoolduspaketis SP1 / Windows Server 2008 ja seda saab Windows XP-le tasuta lisada, installides SP3 ja värskendatud RDP-kliendi (leitud lingi kaudu failile KB 969084). Eeldan, et teil on vähemalt Windows XP ja et teil on / saate installida uusima hoolduspaketi ja ärge raisake oma aega arutamaks Windows 2000 SP2 RDP eeliseid NT 4.0 SP5 ees.

RDP seansikaitse režiimi konfigureerimine

Põhimõtteliselt on see ülesande kõige lihtsam osa. Alumine rida on järgmine. RDP erinevates versioonides kasutatakse seansi kindlustamiseks kahte peamist mehhanismi - sisseehitatud RDP ja seansi "mähkimine" TLS-i. Sisseehitatud seade pole piisavalt turvaline ja sellega on seotud soovitus „RDP saab olla väljaspool ainult VPN-i”. Seetõttu lubage alati TLS-tugi. See on miinimum, millest peaksite alustama. Ainsad piirangud on see, et serveri versioon ei ole madalam kui Windows Server 2003 SP1 ja klient on RDP 5.2 ja uuem, kuid minu arvates on see 2011. aasta lõpus üsna lahendatav.

RDP lubamine TLS-i kaudu

Nagu alati, on mitu võimalust. Esimene on lubamine grupipoliitika kaudu. Selleks minge sihtrühma poliitikaobjektile (noh, või käivitage gpedit.msc kohapeal oma koduses tööjaamas) ja valige seejärel „Arvuti konfiguratsioon” -\u003e „Haldusmallid” -\u003e „Windowsi komponendid” -\u003e „Kaugtöölaua seanss Host ”-\u003e„ Security ”ja lubavad seal nõuda konkreetse turvakihi kasutamist kaugühenduste parameetri jaoks, valides ainult SSL (TLS 1.0). Võite valida ka pehmema läbirääkimise, kuid ma ei soovitaks seda, sest Praegu on see lubatust madalamal tasemel. Inimesena, kes lõi piisavalt kõrge turvalisuse tasemega privaatpilved, võin öelda, et eriti väärtuslike andmete Londoni lähedale andmekeskusesse toomise ja vaikimisi RDP-ga mineku mõte on null ja see on probleemide otsimine.

See on lihtsam ja lihtsam - avage kaugtöölaua seansi hosti seadistamise lisandmoodul (leitud mmc-s või valmis menüüs Administratiivsed tööriistad -\u003e Kaugtöölaua ühendused), valige loendist Ühendused vajalik ühendus (tavaliselt on see üks ja seda nimetatakse RDP-Tcp-ks) ja avage Atribuudid, seejärel vahekaart Üldine ja valige seal soovitud turbekiht.

TLS-i toimimiseks on vaja digitaalset sertifikaati (vähemalt serveri poolelt). Tavaliselt on see juba olemas (genereeritakse automaatselt), veenduge, et see oleks olemas, räägime sellest, kuidas seda hiljem hea teha. Praegu vajate seda lihtsalt, muidu ei saa te ühendust.

Krüptimise konfigureerimine RDP jaoks

Konfigureerimiseks on saadaval 4 krüptimisvalikut. Vaatleme neid kõiki.

RDP madala krüptimisrežiim

Kõige "ei" režiim. Kohutavate aegade ja RDP 5.x versioonide pärand. Oskab pidada läbirääkimisi 56-bitise DES või 40-bitise RC2 põhjal krüptimise üle, mis pole praegu tõsine. Pole vajalik ja ohtlik. Näiteks kui lubate selle, siis TLS-i ei lubata, kuna TLS keeldub juba läbirääkimistest selle võimaluse pakutavate nõrkade šifrite üle.

RDP kliendi ühilduv krüptimisrežiim

Teine on režiim "ei". RDP 5.x kohutavate aegade pärand ja versioonid. Proovib kuni 128-bitist RC4, kuid nõustub kohe DES / RC2-ga. Pole vajalik ja ohtlik. Samuti ei ühildu TLS-iga.

RDP kõrge krüptimisrežiim

Minimaalne lubatud režiim. Nõuab vähemalt 128-bitist RC4. Töötab kõigi serveritega alates Windows 2000 Serverist ja HEP-ist.

RDP FIPS140-1 krüptimisrežiim

Täpselt seda, mida vaja on. Toetab tänapäevaseid sümmeetrilisi algoritme ega toeta selgesõnaliselt RC2, RC4, ühte DES ja sunnib sõnumi autentimiskoodi (MAC) terviklikkuse arvutamisel kasutama pigem SHA-1 kui MD5. Lülitage see valik alati sisse, on peaaegu võimatu leida serverit, mis ei saaks 3DES, AES ega SHA-1.

Kus see seade on tehtud? Avage kaugtöölaua seansi hosti seadistamise lisandmoodul (leitud mmc-s või valmis menüüs Administratiivsed tööriistad -\u003e Kaugtöölaua ühendused), valige loendist Ühendused soovitud ühendus (tavaliselt on see üks ja seda nimetatakse RDP-Tcp-ks) ja avage Atribuudid, seejärel vahekaart Üldine ja valige vajalik krüptimistase.

Seostage RDP konkreetse adapteri ja pordiga

Selleks, et server töötaks ohutult ja prognoositavalt (näiteks ei alusta ühenduse vastuvõtmist uuelt värskelt lisatud võrguadapterilt), peate selgelt määrama, millistel liidestel peaks RDP-serveriteenus ühendusi aktsepteerima. Lisaks on sageli kasulik vahetada porti, millel server ühendusi kuulab. Muidugi saate seda teha avaldades RDP-ga serveri mingisuguse lüüsi kaudu, kuid saate seda teha ka ilma. Sellised esmapilgul näivad põhitoimingud vähendavad oluliselt idiootide-scriptkiddide protsenti, kes kasutavad mõnda muud „võimsat tööriista” tuntud pordide kontrollimiseks.

Kuidas siduda RDP-teenus konkreetse võrguadapteriga või teha mitu RDP-d erinevate seadistustega erinevate adapterite jaoks

Avage kaugtöölaua seansi hosti seadistamise lisandmoodul (leitud mmc-s või valmis menüüs Administratiivsed tööriistad -\u003e Kaugtöölaua ühendused), valige loendist Ühendused soovitud ühendus (tavaliselt on see üks ja seda nimetatakse RDP-Tcp-ks) ja avage Atribuudid, seejärel vahekaart Võrguliidesed ... Selles saate valida ühe konkreetse liidese, kus ühendust oodata, pluss piirata paralleelsete seansside arvu.

Kui teil on palju liideseid ja peate ütlema, et saaksite ühendada 2-st viiest saadaolevast, peate seoma vaikimisi RDP-Tcp ühe adapteriga, seejärel minge menüüsse Toiming ja valige Loo uus Ühendus seal. Ühendus võib kuulata kas kõigil liidestel või ühel ja juhul, kui see on vajalik N-liidesel kuulamiseks, peate looma N-ühendust.

Vastavalt sellele, kui teil on ülesanne „Nii et RDP kuulab ühte liidest ühes pordis ja teist - teises”, saab selle lahendada samamoodi - seotakse vaikimisi RDP-Tcp kõikidest adapteritest ja seotakse konkreetne, pärast - loo uus RDP-ühendus ja seo ka soovitud võrguliidesega.

Kuidas siduda RDP-teenus vaikepordiga

Vaikimisi port on 3389 TCP. Muide, ärge unustage seda oma pakettfiltris lubada. Noh, kui soovite midagi muud, peate minema registrivõtme juurde

HKEY_LOCAL_MACHINE \\ System \\ CurrentControlSet \\ Control \\ Terminal Server \\ WinStations \\ RDP-Tcp

ja parandage selles olev väärtus PortNumber. Pidage meeles, et sadamate hõivamisega seotud konfliktide jälgimine on teie südametunnistusel. Ta ise, kui avastab, et teie määratud sadam on hõivatud, ei saa kuhugi hüpata.

Lülitage sisse NLA - võrgutaseme autentimine

NLA-funktsioon ilmus NT 6.0-s ja lisas hiljem võimaluse seda osaliselt kasutada eelmises OS-i versioonis, installides SP3 XP-le.
Selle funktsiooni olemus on üsna lihtne. RDP versioonides kuni 6.0, kui see on ühendatud RDP klient enne autentimist peate kuvama sisselogimisakna - st. esimene saade ja siis proovib ta süsteemi siseneda. See loob lihtsa haavatavuse - serveri saab üle koormata hulga „lubage mul proovida uue seansi algust“ taotlustega ja see on sunnitud vastama kõigile taotlustele seansi loomisega ja ootama kasutaja sisselogimist. Tegelikult on see DoS-võime. Kuidas saate sellega toime tulla? On loogiline, et peame välja mõtlema skeemi, mille eesmärk on võimalikult varakult kliendilt mandaatide küsimine. Optimaalne - midagi sellist nagu kerberod domeenis. See sai tehtud. NLA-l on kaks eesmärki:

  • Klient autentitakse enne terminaliseansi algatamist.
  • Võimalikuks on kohaliku kliendi SSP andmete edastamine serverisse, s.t. Ühekordne sisselogimine hakkab tööle.

Seda rakendatakse uue turvapakkuja - CredSSP kaudu. Selle tehnilisi spetsifikatsioone saate lugeda, lihtsustatult öeldes, peate selle funktsiooni alati lubama. Muidugi, arvestades, et tema tööks peate:

  • Kliendi OS (see, millega ühendus luuakse) oli Windows XP SP3 või uuem.
  • Serveri OS (see, millega ühendus luuakse) oli Windows Server 2008 ja uuem.

Märkus. Kuigi Windows Server 2003 kernel on uuem kui XP (5.2 vs 5.1), on Windows XP jaoks olemas värskendus, mis lisab NLA tuge, kuid mitte Windows Server 2003 jaoks. See tähendab, et isegi kui ühendate kõige ligipääsetavamast versioonist - Windows Server 2003 R2 hoolduspaketi SP2 koos kõigi plaastritega, ei saa te ühendust luua serveriga, mis nõuab NLA-d, ja olla server, mis toetab NLA-d. Paraku.

Kuidas NLA on RDP-serveri poolel lubatud

Parim on lubada NLA kõigis serverites läbi rühmapoliitika. Selleks minge sihtrühma poliitikaobjektile ja valige seal „Computer Configuration” -\u003e „Administrative Templates” -\u003e „Windows Components” -\u003e „Remote Desktop Session Host” -\u003e „Security” ja lubage nõua kasutaja autentimist parameeter - kaugühendused võrgukihi autentimise abil.

Saate selle lubada ka kohapeal. Selleks helistage alammenüüsse Atribuudid (tavaline arvuti alammenüü Arvuti) ja valige seal vahekaart Kaug, kus saab valida kolm võimalust - keelata ühendused RDP kaudu selle hostiga, lubada ühendusi mis tahes RDP kaudu, lubada ainult NLA-ga. Lubage alati valik NLA-ga, see kaitseb peamiselt serverit.

NLA ja Windows XP

Kui teil on Windows XP, saate ka seda funktsiooni kasutada. Levinud väide „NLA vajab vähemalt vilet, Microsoft tegi seda uuendamiseks” on vale. Service Pack 3 lisab CredSSP-i rakenduse, et delegeerida serverisse kohaliku SSP-s olevad kliendimandaadid. St lihtsamalt öeldes tehti see spetsiaalselt nii, et Windows XP-st oli võimalik ühendada süsteemidega, millel oli NT 6.0+. Selle funktsiooniga ei saa te Windows XP hoolduspaketiga SP3 ühendust luua, NLA tugi on osaline (seetõttu ei saa RDP-serverit, mis toetab Windows XP-st NLA-d kasutavate klientide ühendamist, standardsete meetoditega, Windows XP on ainult NLA -ühilduv klient).

Märkus: NLA on olnud olemas alates NT 6.0-st ja on osa tehnoloogiast, mida nimetatakse RDP 6.0-ks. XP hoolduspaketi 3. hoolduspakett toob kaasa mitte ainult RDP 6.0, vaid ka võime installida RDP 7.0, mis on üsna positiivne (näiteks RDP 7.0-s on erinevalt 6.0-st EasyDPrint, kahesuunaline heli ja mõned muud asjad, mis muudavad RDP-kliendi Windows XP-s koos kõigi pakenditega üsna praktilisse süsteemi). See on muide halva Microsofti kohta, mis sundis kõiki nii kohutavalt Windows XP-lt üle minema halvale, halvale viksile, et isegi 2001. aasta toote tasuta hoolduspaketis õmblesin ma uuema RDP-alamsüsteemi kui see, mis sisse tuli mis ilmus 2006. aastal.

See funktsioon on vaja selgesõnaliselt lubada, kuna hoolimata asjaolust, et hoolduspakett Service Pack 3 lisab uue krüptograafiateenuse pakkuja, ei sisalda see seda.

Kuidas lubada CredSSP XP-s

Veelkord - see toiming viiakse läbi rangelt pärast hoolduspaketi Service Pack 3 installimist Windows XP-sse ja meie vestluse kontekstis on vaja, et NLA abil oleks võimalik RDP 6.1 kaudu ühenduse luua teiste serveritega.

Esimene samm - turbepakettide loendi laiendamine.
Selleks avame registrivõtme

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsa

ja leidke selles turvapakettide väärtus. Paremklõpsake ja valige „Muuda“ (mitte Muuda binaarandmeid, lihtsalt Muuda). Seal on nimekiri nagu "paketi nimi igal real". Peame sinna lisama tspkg. Ülejäänud tuleb jätta. Lisamise koht pole kriitiline.

Teine samm on raamatukogu ühendamine.
Võti on erinev:

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ SecurityProviders

Selles peate leidma väärtuse SecurityProviders (pange tähele, nagu ka eelmisel juhul, see pole alamvõti, vaid väärtus) ja muutke seda analoogia põhjal, lisades ainult credssp.dll. Ülejäänud loendit jällegi pole vaja puudutada.

Nüüd saate registriredaktori sulgeda. Pärast neid toiminguid tuleb süsteem taaskäivitada. Krüptopakkujad on asi, mida liikvel kindlasti ei võta ja see on pigem hea kui halb.

RDP jaoks õige sertifikaadi valimine

Kui teil on võimalus RDP jaoks kasutada mitte-vaikesertifikaati, siis on parem seda kasutada. See ei mõjuta sessiooni turvalisust iseenesest, küll aga ühenduse turvalisust ja kasutatavust. Optimaalselt kasutatav sertifikaat peaks sisaldama järgmisi punkte:

  • Nimi (teemas või SAN-is), mis ühtib serveriga ühenduse loomise kliendi sisestatud nimega märkide kaupa.
  • Tavaline CDP laiendus, mis osutab toimivale CRL-ile (eelistatavalt vähemalt kaks - OCSP ja staatiline).
  • Soovitav võtme suurus on 2048 bitti. Veel on võimalik, kuid pidage meeles XP / 2003 CAPI2 piiranguid.
  • Kui vajate XP / 2003 külgühendusi, ärge katsetage signatuuri / räsimisalgoritmidega. Ühesõnaga, vali SHA-1, sellest piisab.

Ma peatun üksikasjalikumalt RDP-serveri jaoks spetsiaalse sertifikaadi väljaandmisel.

Spetsiaalne sertifikaadi mall RDP-serverite jaoks

See on ideaalne, kui RDP-sertifikaat ei põhine tavalisel mallil (näiteks veebiserver) ja väljal Rakenduspoliitika (mida sertifikaadis nimetatakse sagedamini laiendatud võtmekasutuseks - EKU) standardne kliendi autentimine ja Serveri autentimise väärtused, kuid lisage oma mall, milles on üks, spetsiaalne, standardse vahendi abil lisamata rakenduse väärtus - kaugtöölaua autentimine. See rakenduspoliitika väärtus tuleb luua käsitsi, selle OID on 1.3.6.1.4.1.311.54.1.2, noh, pärast seda saate juba luua uue sertifikaadi malli, mille alusel sertifikaat väljastatakse, mis on suunatud RDP-serverile.

Selle toimingu täielikuks automatiseerimiseks andke uuele mallile ennustatav nimi - näiteks “RDPServerCert” - ja minge rühmapoliitika objektile ning avage seal Arvuti konfiguratsioon -\u003e Poliitikad -\u003e Haldusmallid -\u003e Windowsi komponendid -\u003e Kaugtöölaua teenused -\u003e Kaugtöölaua seansi hosti -\u003e Turvalisus. Valige parameeter Serveri autentimissertifikaadi mall ja lubage see ning sisestage väärtuse väljale nimi - tegime RDPServerCert. Nüüd lähevad kõik selle reegli alla kuuluvad domeenihostid, kui RDP on neile lubatud, ise sertifitseerimisasutusele, taotlevad määratud mallil põhinevat sertifikaati, kui neil sertifikaati pole, ja muudavad selle vaikimisi RDP kaitsmiseks ühendused. Lihtne, mugav, tõhus.

Blokeerige tühja parooliga ühendused RDP-kontode kaudu

Pisiasi, kuid te ei pea seda unustama.
Paroolideta kontode ühenduse RDP-ga blokeerimiseks minge grupipoliitika objekti sättele: Arvuti konfiguratsioon -\u003e Windowsi seaded -\u003e Turvasätted -\u003e Kohalikud reeglid -\u003e Turvalisused ja määrake „Kontod: kohaliku konto kasutamise piiramine tühi paroolid ainult konsooli sisselogimiseks “To Enabled. Võtke aega, et kontrollida, kas see on nii.

ACL-i konfigureerimine RDP-ühenduse jaoks

Vaikimisi peab teil olema RDP-serveriga ühenduse loomiseks selgesõnaline kasutaja- või külastajaõigused.
See luba on kohalikel administraatoritel ja kaugtöölaua kasutajate rühmadel. RDP-serverile juurdepääsu kontrollimiseks on kõige parem kasutada kaugtöölaua kasutajate rühma, lisades sellele vajalikud domeenirühmad, mitte üksikud kasutajad. Muutke vahekaardi Turvalisus RDP-Tcp atribuutide sätetes ainult viimase abinõuna, kõige paremini lisades rühma „RDP blokeeritud hostinimi”, millele on selgesõnaliselt keelatud RDP juurdepääs määratud hostile.

RDP kiiruse optimeerimine

RDP kiiruse optimeerimine on üsna ulatuslik teema, nii et jaotan selle osadeks. See hõlmab meetodeid, mis vähendavad protokolli koormust enne tihendamist ja enne võrgukihi optimeerimist.

Chroma (biti sügavus)

RDP 7.0 ja uuemates versioonides on saadaval 32, 16 ja 8-bitised valikud. Kui räägime tööst, siis piisab selle jaoks 16 bitist. See vähendab oluliselt kanali koormust ja mõnikord rohkem kui 2 korda, mis on üllatav, kuid tõsi. Muidugi on ka 8-bitine võimalik, kuid see näeb välja valusalt õudne. 16 bitti on täiesti vastuvõetavad.

Märkus. Windows Server 2008 R2-s pole 8-bitised ühendused enam saadaval.

Lubage serveris parameetri Limit Maximum Color Depth parameeter või tehke sama RDP-kliendi sätetes.

Keela ClearType

Kui olete ClearType'i keelanud, ei edasta RDP-protokoll mitte pilti, vaid käske märkide joonistamiseks. Kui see on lubatud, renderdatakse see serveripoolne pilt, tihendatakse see ja saadetakse kliendile. See on garanteeritud mitu korda vähem efektiivne, nii et ClearType'i keelamine kiirendab oluliselt tööprotsessi ja lühendab reageerimisaega. Sa ise oled üllatunud, kui palju.

Seda saab teha nii kliendiseadete tasemel kui ka serveri poolel (parameeter Ära luba fondi silumist parameetri jaotises Kaugse seansi keskkond jaotises Arvuti konfiguratsioon -\u003e Poliitikad -\u003e Haldusmallid -\u003e Windowsi komponendid -\u003e Kaugtöölaua teenused -\u003e Kaugtöölaua seansi hosti).

Eemalda tapeet

Parameetri RD Taustpilt eemaldamise sundimine jaotises Kaugse seansi keskkond jaotises Arvuti konfiguratsioon -\u003e Poliitikad -\u003e Haldusmallid -\u003e Windowsi komponendid -\u003e Kaugtöölaua teenused -\u003e Kaugtöölaua seansi hosti parandab terminali seansi ekraani ümberjoonistamine olukorda dramaatiliselt. Kasutajad, kellel pole töölaual kasse, jäävad tavaliselt ellu, seda kontrollitakse.

Lülitage sisse ja konfigureerige piltide vahemällu salvestamine

Kui kliendil on piisavalt muutmälu, siis on mõttekas lubada ja konfigureerida bitikaardi vahemälu. See võidab kuni 20-50% ribalaiusest. Installimiseks peate sisestama võtme

HKEY_CURRENT_USER \\ SOFTWARE \\ Microsoft \\ Terminal Server Client \\

ja looge seal parameetrid BitmapPersistCacheSize ja BitmapCacheSize, mõlemad DWORD 32 tüübid.
Parameeter BitmapPersistCacheSize määrab ketta vahemälu suuruse kilobaitides. Vaikimisi on 10. Mõistlik on seda parameetrit suurendada vähemalt 1000-ni.
Parameeter BitmapCacheSize näitab RAM-i vahemälu suurust kilobaitides. Vaikeväärtus on 1500. Mõistlik on suurendada seda parameetrit vähemalt 5000-ni. See on ainult 5 megabaiti kliendiseansi kohta. Kaasaegse RAM-skaalaga on see ebaoluline ja isegi kui see toob kaasa 10% -lise jõudluse kasvu, on see ära maksma. Muide, sama parameetrit saab parandada .rdp-failis; kui salvestate RDP-ühenduse ja seejärel avate faili notepadiga, saate parameetrite hulka lisada midagi sellist nagu bitmapcacheize: i: 5000, kus 5000 on 5 MB vahemälu.

Keela töölaua koosseis

Töölauakompositsioon toob kaasa kõikvõimalikke "toredusi" nagu Aero ja tema sõbrad ning sööb märgatavalt ribalaiust. See on töö jaoks ebavajalik ja kahjulik. Parameetri Luba töölaua kompositsioon RDP seanssidele jaotises Kaugse seansi keskkond jaotises Arvuti konfiguratsioon -\u003e Poliitikad -\u003e Haldusmallid -\u003e Windowsi komponendid -\u003e Kaugtöölaua teenused -\u003e Kaugtöölaua seansi hosti peab olema Keelatud.

Töölaua aknahalduri sätete optimeerimine

Parameetrid, mis asuvad jaotises Remote Session Enviroment jaotises Computer Configuration -\u003e Policies -\u003e Administrative Templates -\u003e Windowsi komponendid -\u003e Desktop Window Manager, juhivad sujuvalt libisevate menüüde jms kuvamist. Neid on kolm - Ärge lubage aknaanimatsioone, Ärge lubage töölaua kompositsioone ja Ärge lubage Flip3D kutsumist. Kõik need tuleb lülitada režiimile Enabled, st. tegelikult - keelake kõik need funktsioonid.

Keelake kasutamata seadmete ümbersuunamine

Kui te ei plaani ühendada teatud klassi seadmeid (näiteks COM- ja LPT-pordid) ega heli, on mõttekas keelata võimalus neid serveripoolelt ümber suunata. Nii et RDP-kliendi vaikeseadetega kliendid ei raiska ühenduse aega kasutamata funktsionaalsuste üle läbirääkimistele. Seda tehakse samas kohas nagu ülejäänud serveri seaded, vahekaardil Kliendi sätted RDP-Tcp atribuudid (samas kohas, kus värvisügavusega sätted tegime), jaotises Suunamine.

Üldise loogika seadistamine visuaalsete RDP-andmete optimeerimiseks

Valik nimega Optimeeri visuaalne kogemus RDP-seanssidele, mis on leitud jaotisest Seansi kaugkeskkond jaotises Arvuti konfiguratsioon -\u003e Poliitikad -\u003e Haldusmallid -\u003e Windowsi komponendid -\u003e Kaugtöölaua teenused -\u003e Kaugtöölaua seansi hosti -\u003e Seansi kaugkeskkond - kontrollib seda, kuidas RDP tajub visuaalseid andmeid - multimeediumina või tekstina. See on jämedalt öeldes vihje tihendusalgoritmile, kuidas pädevamalt käituda. Seetõttu peate töö jaoks määrama selle parameetri väärtuseks Tekst ja kui soovite palju ilusaid välklibereid, HTML5-d ja videolõike, on parem valik Multimeedia.

RDP tihendamise optimeerimine

MAKis on tihendamine olnud pikk tee. Alates RDP 5.2-st (kaasa arvatud) oli olemas tihendamise alamsüsteem (“kompressor”) sisemise nimega “Version 1” - see on kliendi protsessori koormuse osas kõige lihtsam ja lihtsam variant, kuid võrguliikluse koormuse osas halvim. RDP 6.0 tegi “Versiooni 2”, mida pakendamise efektiivsuse osas veidi parandati. Meid huvitab versioon 3, mis töötab ainult siis, kui olete ühendatud Windows Server 2008 ja vanemate serveritega. See tihendab paremini kui keegi teine \u200b\u200bja protsessori ajakulu on tänapäevaste arvutite võimsust arvestades tähtsusetu.

Võimendus V3 sisselülitamisel võib testide põhjal otsustada, et see ulatub 60% -ni ja üldiselt on isegi testideta silmale märgatav.

Kuidas lubada optimaalset tihendamist RDP-s

See on kliendi seade. Avage soovitud GPO-s arvutikonfiguratsioon -\u003e reeglid -\u003e haldusmallid -\u003e Windowsi komponendid -\u003e kaugtöölauateenused -\u003e kaugtöölaua seansi hosti -\u003e kaugseansi keskkond, valige RDP-andmete parameetri jaoks pakkimise algoritmi määramine, lubage see ja valige Optimeeri vähem võrgu ribalaiust kasutada.

Märkus. Paljud inimesed imestavad, miks on loendis valik „blokeerida tihendamine”. See on vajalik, kui teie RDP-seansid tihendatakse välisseadmega, mis optimeerib WAN-ühendusi, näiteks Cisco WAAS. Muudel juhtudel pole muidugi mõtet tihendamist keelata.

Helivoo tihenduse määramine

RDP 7.0 annab suurepärase võimaluse reguleerida sissetuleva helivoo tihendamise kvaliteeti (st heli, mis läheb serverist kliendini). See on üsna kasulik - näiteks kui töötate terminaliserveris, siis lisaks kõigile teenusele kõlab nagu “ICQ-sse on saabunud sõnum”, pole teised eriti planeeritud. Ei ole mõtet serverist tihendamata CD-kvaliteediga heli edastada, kui te seda töö jaoks ei vaja. Vastavalt sellele peate reguleerima helivoo tihendustaset.
Seda parameetrit nimetatakse heli taasesituse kvaliteedi piiramiseks ja see asub jaotises Seadmete ja ressursside ümbersuunamine jaotises Arvuti seadistamine -\u003e Poliitikad -\u003e Haldusmallid -\u003e Windowsi komponendid -\u003e Kaugtöölaua teenused -\u003e Kaugtöölaua seansi hosti. Valikuid on kolm:

  • Kõrge - heli jääb tihendamata. Üldiselt. See tähendab, et see kuulub RDP-protokolli üldise tihendamise alla, kuid spetsiifilist (kadudega) heli tihendamist ei tehta.
  • Keskmine - tihendamine kohandub kanaliga, et mitte suurendada andmeedastuse viivitust.
  • Dünaamiline - tihendamine kohandub dünaamiliselt kanaliga, nii et viivitus ei ületa 150 ms.

Valige sobiv. Nagu näete, on kontoritöö jaoks parem valida Dynamic.

Andmevoogude suhte optimeerimine RDP-s

RDP seansi liiklus ei ole monoliitne. Vastupidi, see on üsna selgelt jagatud ümbersuunatud seadmete andmevoogudeks (näiteks faili kopeerimine kohalikust hostist terminaliserverisse), helivooguks, renderdamise primitiivseks käsuvooguks (RDP üritab edastada primitiivide renderdamiseks käske) ja edastab bittkaardid viimase võimalusena), samuti seadme voogude sisendi (hiir ja klaviatuur).

Mõjutada saab nende voogude vastastikust suhet ja selle (seose) arvutamise loogikat (mingi kohalik QoS). Selleks minge serveripoolsest registrivõtmest

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ TermDD

ja looge alustuseks neli võtit (kui neid pole):

  • FlowControlDisable
  • FlowControlDisplayBandwidth
  • FlowControlChannelBandwidth
  • FlowControlChargePostCompression

Tüüp kõigile - DWORD 32. Klahvide funktsionaalsus on järgmine.
Võti FlowControlDisable määrab, kas prioriseerimist üldse kasutatakse. Kui määrate ühe, keelatakse prioriseerimine, kui null on lubatud. Lülita sisse.
Klahvid FlowControlDisplayBandwidth ja FlowControlChannelBandwidth määravad suhe kahe andmevoo vahel:

  • Kasutaja suhtlusvoog (pilt + sisendseadmed)
  • Muud andmed (blokeerige seadmed, lõikelauale ja kõik muu)

Nende võtmete väärtused ise ei ole kriitilised; kuidas nad on seotud, on kriitiline. See tähendab, et kui määrate FlowControlDisplayBandwidth võrdseks ühe ja FlowControlChannelBandwidth neljaks, siis suhe on 1: 4 ja 20% ribalaiusest eraldatakse kasutaja suhtlemisvoogu ja ülejäänud 80%. Kui teete 15 ja 60, on tulemus identne, kuna suhe on sama.
FlowControlChargePostCompression võti määrab, millal see suhe arvutatakse - enne või pärast tihendamist. Null on enne kokkusurumist, üks on pärast.

Suhte 1: 1 määramiseks ja pärast tihendamist lugemiseks soovitan kasutada vormi “meie kaugserver on kaugel ja kõik ühenduvad sellega RDP kaudu ning kontoris ja 1C töötab”. Kogemuste põhjal võib see tõesti aidata olukorras, kus „suur dokument trükitakse terminaliserverist kohalikku printerisse“. Kuid see pole dogma - proovige seda, peamine tööriist - teadmine, kuidas see loeb ja töötab - teil juba on.

Võimaldab nõuda RDP jaoks turvalist RPC-sidet

See seade töötab sarnaselt Secure RPC sätetega, mis on jaotises Turvalisus jaotises Turvalisus ja kehtivad kogu süsteemile, ainult et seda on lihtsam konfigureerida. Selle parameetri lubamisega muudate krüptimise kohustuslikuks kõigi klientide RPC-päringute jaoks (sõltuvalt süsteemi seadetest on krüptimise alumine riba erinev - RC4 / DES või, kui FIPS-140 on lubatud, - 3DES / AES) ja kasutage kaugprotseduurikõne autentimiseks vähemalt NTLMv2. Lubage see valik alati. On olemas müüt, et see ei tööta domeenivälises keskkonnas. See pole nii ja RPC turvalisuse karastamine ei tee kellelegi haiget.

See on serveri seade. Avage soovitud GPO-s Arvuti konfiguratsioon -\u003e Poliitikad -\u003e Haldusmallid -\u003e Windowsi komponendid -\u003e Kaugtöölaua teenused -\u003e Kaugtöölaua seansi hosti -\u003e Turvalisus, valige seal Nõua turvalist RPC-sideparameetrit ja lubage see.

Kaugtöölaua protokoll RDP (Kaugtöölaua protokoll) pakub võrgu kaudu kaugjuurdepääsu Windowsi operatsioonisüsteemiga arvutite töölauale. Kasutatakse õhukeste klientide ühendamisel Windowsi terminaliserveriga, kus töötab Microsoft Terminal Services. Välja töötanud Microsoft.

Ametlik tugi RDP kuuluvad Windows Server 2008, Windows Server 2003, Windows Home Server, Windows XP Professional, Windows XP Media Center, tahvelarvutiväljaanded, Windows Vista Ultimate, Enterprise ja Business väljaannetesse. Kõik windowsi versioonid XP ja Vista sisaldavad klienti kaugrakendus Töölauaühendus (RDC).

RDP-protokolli põhijooned

  • Toetab RC-4 krüptimist 128 või 56-bitise võtmepikkusega
  • TLS (Transport Layer Security) protokolli tugi
  • Kasutaja autentimine kiipkaartide abil (serveris Microsofti terminaliteenuste kaudu)
  • Kohalik arvuti heli tugi terminaliserveri rakendustele
  • Failisüsteemi ümbersuunamine - võimaldab töötada kohalike arvutifailidega kaugterminali serveris
  • Printeri ümbersuunamine - võimaldab printida kohaliku arvuti printerisse kaugterminaliserveris töötavatest rakendustest
  • Pordi ümbersuunamine - avab juurdepääsu kaugarvutites töötavate rakenduste jaoks kohaliku arvuti jada- ja paralleelportidele
  • Lõikepuhvri jagamine nii kohalikus arvutis kui ka kaugterminaliserveris
  • Ekraani värvi sügavus: 24, 16, 15 või 8 bitti

Hoolimata asjaolust, et RDP-protokolli pakette edastatakse võrgu kaudu krüpteeritud kujul, võib terminaliseanssi ise rünnata Man In The Middle, kuna serveri- ega kliendipool ei edasta edastatud ja vastuvõetud vastastikust autentimist. andmepaketid. Seetõttu peate täielikult turvaliste lahenduste loomiseks kasutama Windows Server 2003 Service Pack 1 sisse viidud RDP SSL-kaitset.

RDP kuuendas versioonis kasutusele võetud uued funktsioonid

  • Kaugrakendused. Rakenduste otsene käivitamine serveris spetsiaalses terminaliseansis ilma terminaliseansi akent avamata. Toetus kohaliku arvuti failiühendustele - võimalus käivitada serveris olevaid rakendusi, et avada kohalikus arvutis dokument vastavalt failinime laiendusele.
  • Õmblusteta Windows. Kohaliku arvuti akna jäljendamine koos rakenduse käivitamisega terminaliserveris. Automaatne autentimine serveris koos kasutajakonto üksikasjadega. Vastava terminaliseansi automaatne lõpetamine rakenduse lõppemisel.
  • Terminali serveri lüüs. Toetab RDP-ühendusi IIS-i lüüsiserveri kaudu, kasutades https-protokolli. Pakub turvalist ühendust ettevõtte kohalikus võrgus ISS-i taga asuva terminaliserveriga.
  • Windowsi Aero Glass. Windowsi Aero Glassi tugi, sealhulgas ClearType fondi silumine.
  • Windowsi esitluste sihtasutus. Toetatakse kõiki kliente, kellele on installitud .NET Framework 3.0.
  • Täielikult kohandatavad terminaliteenused, sealhulgas skripti tugi, kasutades Windowsi haldusinstrumente.
  • Täiustatud ribalaiuse haldamine RDP klientidele.
  • Mitme monitori tugi. Terminali seansi ekraani jagamine mitmeks kuvariks. Töötab ainult Windows Vista süsteemidega.
  • Ekraani värvi sügavus: 32, 24, 16, 15 või 8 bitti


Soovitatav lugeda