Konfigurasi akses jarak jauh ke komputer melalui rdp. Melindungi dan mengoptimalkan RDP

Setiap administrator sistem mengetahui protokol ini, yang banyak digunakan di jaringan komputer modern. Dengan menggunakannya, Anda dapat terhubung ke mesin jarak jauh yang sedang berjalan sistem operasi garis Microsoft. Anda akan memiliki akses ke desktop, sistem file, dan sebagainya. Dengan demikian, sebagian besar pengaturan dan tindakan pencegahan dapat dilakukan, tanpa perlu kehadiran fisik di belakang layar PC jarak jauh.

Itulah mengapa protokol RDP adalah salah satu komponen utama dalam gudang spesialis teknis. Tanpa meninggalkan tempat kerja Anda, Anda dapat mengelola semua komputer yang tersedia di jaringan, dan memecahkan masalah.

Sejarah penampilan

Remote Desktop Protocol, singkatan dari RDP, muncul pada tahun 1998. Pada saat itu, protokol tingkat aplikasi berpemilik ini adalah bagian dari sistem operasi Windows NT 4.0 Terminal Server, dan memungkinkan untuk mengimplementasikan gagasan operasi jarak jauh aplikasi klien-server. Seperti yang Anda pahami, tidak selalu mungkin untuk menyediakan semua tempat kerja dengan komputer yang kuat, dan bahkan di tahun-tahun yang jauh itu, kinerja tidak banyak yang diinginkan.

Solusi untuk masalah ini adalah konstruksi berikut: server yang kuat (atau sekelompok server) melakukan sebagian besar operasi komputasi, dan komputer / aplikasi klien berdaya rendah terhubung dengannya menggunakan protokol RDP dan menjalankan tugasnya. Dengan demikian, menjadi mungkin untuk bekerja dengan aplikasi dan program yang kompleks pada node pengguna akhir, bahkan dengan sumber daya yang terbatas - bagaimanapun juga, beban utama jatuh pada server, dan PC klien hanya menerima hasil utama dari operasi pada monitor.

Deskripsi protokol RDP

  • Secara default, TCP port 3389 digunakan untuk koneksi
  • Seperti disebutkan di atas, saat menghubungkan, dimungkinkan untuk bekerja dengan file pada mesin jarak jauh.
  • Untuk keamanan, enkripsi diimplementasikan dengan kunci 56 dan 128 bit
  • Juga untuk fungsi keamanan, kapabilitas protokol TLS digunakan
  • Papan klip bersama - Anda dapat menyalin data dari mesin jarak jauh dan menempelkannya ke PC lokal Anda.
  • Menerapkan kemampuan untuk menghubungkan sumber daya lokal ke PC jarak jauh.
  • RDP menyediakan akses ke port komputer lokal (serial dan paralel)

Prinsip operasi

RDP didasarkan pada fungsionalitas tumpukan protokol TCP. Pertama-tama, koneksi dibuat antara klien dan server di tingkat pengangkutan. Kemudian sesi RDP dimulai - pada tahap ini, parameter utama disepakati: enkripsi, perangkat yang terhubung, pengaturan grafik, dll.

Setelah semuanya dikonfigurasi, sesi RDP benar-benar siap untuk digunakan. PC klien menerima gambar grafik dari server (hasil operasi) yang terjadi sebagai akibat pengiriman perintah dari keyboard atau mouse.

Autentikasi

Jika keamanan RDP dikonfigurasi, otentikasi terjadi sebagai berikut:

  1. Saat menginisialisasi koneksi, sepasang kunci RSA dibuat
  2. Selanjutnya, sertifikat kunci publik khusus dibuat
  3. Sistem operasi melakukan proses penandatanganan sertifikat RSA dengan sebuah kunci
  4. Selanjutnya, klien terhubung ke server, menerima sertifikat darinya, dan jika lolos pemeriksaan, sesi kendali jarak jauh diinisialisasi

Bagaimana memulainya

Dalam sistem operasi seperti Windows XP, Vista, Seven, perangkat lunak klien Remote Desktop Connection diaktifkan secara default. Untuk meluncurkannya, Anda perlu menekan pintasan keyboard Menangkan + R, panggil mstsc dan tekan Memasukkan.

RDP adalah alat yang nyaman, efisien dan praktis untuk akses jarak jauh baik untuk keperluan administrasi maupun untuk pekerjaan sehari-hari.


Mengingat implementasinya hampir di mana-mana (berbagai platform dan OS), dan jumlahnya banyak, Anda perlu memiliki pemahaman yang baik tentang kemampuannya.

Paling tidak, ini diperlukan karena sejumlah alasan:

  • Seringkali, alih-alih RDP, solusi lain digunakan (VNC, Citrix ICA) untuk alasan sederhana - diasumsikan bahwa “RDP bawaan minimal dan tidak dapat melakukan apa-apa”.
  • Dalam banyak solusi yang terkait dengan teknologi cloud yang sekarang modis (mentransfer kantor ke "klien tipis", dan hanya mengatur server terminal), ada pendapat bahwa "RDP buruk karena sudah ada di dalamnya".
  • Ada mitos standar tentang fakta bahwa "RDP tidak dapat diekspos di luar tanpa VPN, breakout" (mitos tersebut memiliki pembenaran, tetapi sudah lama ketinggalan zaman).
  • Nah, karena kita berbicara tentang mitos, ada pendapat bahwa “Setelah beralih dari RDP ke Citrix, lalu lintas turun beberapa kali”. Bagaimanapun, citrix mahal, oleh karena itu setidaknya 157% lebih dingin.

Semua mitos ini tidak masuk akal dan merupakan campuran dari "nasihat baik" kuno yang relevan di zaman NT 4.0, serta fiksi langsung yang tidak memiliki alasan untuk ada. Karena IT adalah ilmu pasti, Anda perlu mengetahuinya. Protokol RDP versi baru yang disesuaikan dengan baik, dengan mempertimbangkan semua fungsi baru, adalah alat yang cukup bagus dan andal untuk mengatur akses jarak jauh.

Oleh karena itu, kami akan menangani:

  • Penyebutan singkat tentang versi RDP
  • Mengonfigurasi mode perlindungan sesi RDP
  • Mengonfigurasi enkripsi untuk RDP
  • Mengikat ke adaptor dan port tertentu
    • Ubah port standar ke yang diinginkan
    • Membuat pengaturan RDP terpisah untuk beberapa adapter jaringan
  • Mengaktifkan NLA
    • NLA dan Windows XP
    • Cara mengaktifkan CredSSP di XP
  • Memilih sertifikat yang tepat untuk RDP
  • Memblokir koneksi RDP ke akun dengan kata sandi kosong
  • Optimalisasi kecepatan RDP
  • Optimasi kompresi RDP
    • Mengonfigurasi kompresi RDP umum
    • Mengonfigurasi kompresi audio RDP
  • Mengoptimalkan rasio aliran data RDP
  • Mengaktifkan Memerlukan komunikasi RPC aman untuk RDP

Mari kita mulai.

Versi protokol RDP

Protokol ini memiliki sejarah yang cukup panjang, dimulai dengan NT 4.0. Kami akan mengesampingkan detail historis untuk alasan sederhana - saat ini masuk akal untuk berbicara hanya tentang versi RDP 7.0, yang ada di Windows Vista SP1 / Server Windows 2008 dan dapat ditambahkan ke Windows XP secara gratis dengan menginstal SP3 dan klien RDP yang diperbarui (ditemukan melalui tautan ke KB 969084). Saya berasumsi bahwa Anda memiliki setidaknya Windows XP, dan Anda telah / dapat menginstal Service Pack terbaru dan jangan buang waktu Anda untuk mendiskusikan keuntungan RDP di Windows 2000 SP2 dibandingkan NT 4.0 SP5.

Mengonfigurasi Mode Perlindungan Sesi RDP

Pada dasarnya, ini adalah bagian tugas yang paling mudah. Intinya adalah sebagai berikut. Versi RDP yang berbeda menggunakan dua mekanisme utama untuk mengamankan sesi - RDP built-in dan "membungkus" sesi di TLS. Built-in tidak cukup aman, dan rekomendasi "RDP hanya bisa di luar di VPN" adalah tentang itu. Oleh karena itu, selalu aktifkan dukungan TLS. Ini adalah nilai minimum yang harus Anda mulai. Satu-satunya batasan adalah bahwa versi server tidak lebih rendah dari Windows Server 2003 SP1 dan klien adalah RDP 5.2 dan lebih tinggi, tetapi saya pikir ini pada akhir tahun 2011 cukup dapat dipecahkan.

Cara mengaktifkan RDP melalui TLS

Seperti biasa, ada beberapa opsi. Yang pertama adalah mengaktifkan melalui Group Policy. Untuk melakukan ini, buka objek kebijakan grup target (yah, atau jalankan gpedit.msc secara lokal di workstation rumah Anda) dan pilih "Konfigurasi Komputer" -\u003e "Template Administratif" -\u003e "Komponen Windows" -\u003e "Host Sesi Desktop Jarak Jauh "-\u003e" Keamanan "dan di sana aktifkan Memerlukan penggunaan lapisan keamanan khusus untuk parameter koneksi jarak jauh dengan memilih hanya SSL (TLS 1.0). Anda juga dapat memilih Negotiate yang lebih lembut, tetapi saya tidak akan merekomendasikannya karena saat ini masih klise di bawah tingkat keamanan yang dapat diterima. Sebagai orang yang membuat awan pribadi dengan tingkat keamanan yang cukup tinggi, saya dapat mengatakan bahwa tujuan membawa data yang sangat berharga ke pusat data dekat London dan pergi ke sana dengan RDP default adalah nol dan merupakan pencarian masalah.

Lebih mudah dan lebih mudah - buka snap-in Konfigurasi Host Sesi Desktop Jarak Jauh (ditemukan di mmc atau siap di Alat Administratif -\u003e menu Koneksi Desktop Jarak Jauh), pilih Koneksi dari daftar koneksi yang diinginkan (biasanya satu dan disebut RDP-Tcp), dan buka Properties, lalu tab General dan pilih Security Layer yang diinginkan di sana.

Agar TLS berfungsi, diperlukan sertifikat digital (setidaknya dari sisi server). Biasanya sudah ada (dibuat otomatis), pastikan sudah ada, nanti kita bahas bagaimana cara membuatnya bagus. Untuk saat ini, Anda hanya membutuhkannya, jika tidak, Anda tidak akan dapat terhubung.

Mengonfigurasi enkripsi untuk RDP

4 opsi enkripsi akan tersedia untuk konfigurasi. Mari kita pertimbangkan masing-masing.

Mode Enkripsi Rendah RDP

Mode paling "tidak". Warisan dari masa-masa sulit dan versi RDP 5.x. Dapat menegosiasikan enkripsi DES 56-bit atau RC2 40-bit, yang tidak serius saat ini. Tidak dibutuhkan dan berbahaya. Misalnya jika Anda mengaktifkannya, maka TLS tidak akan diaktifkan, karena TLS akan menolak untuk menegosiasikan cipher lemah yang ditawarkan opsi ini.

Mode Enkripsi yang Kompatibel dengan Klien RDP

Mode "tidak" kedua. Warisan masa-masa mengerikan dan versi RDP 5.x. Akan mencoba hingga 128 bit RC4, tetapi langsung menyetujui DES / RC2. Tidak dibutuhkan dan berbahaya. Juga tidak kompatibel dengan TLS.

Mode Enkripsi Tinggi RDP

Mode minimum yang diizinkan. Membutuhkan setidaknya 128 bit RC4. Bekerja dengan semua server mulai dari Windows 2000 Server w / HEP.

Mode Enkripsi FIPS140-1 RDP

Persis apa yang dibutuhkan. Akan mendukung algoritme simetris modern dan tidak secara eksplisit mendukung RC2, RC4, DES tunggal, dan juga akan memaksa penggunaan SHA-1 daripada MD5 untuk komputasi integritas Message Authentication Code (MAC). Selalu aktifkan opsi ini, menemukan server yang tidak dapat 3DES, AES atau SHA-1 hampir tidak mungkin.

Di mana pengaturan ini dilakukan? Buka snap-in Konfigurasi Host Sesi Desktop Jarak Jauh (ditemukan di mmc atau siap pakai di Alat Administratif -\u003e menu Koneksi Desktop Jarak Jauh), pilih koneksi yang diinginkan dari daftar Koneksi (biasanya satu dan disebut RDP-Tcp) , dan buka Properties, lalu tab General dan di sana pilih Tingkat Enkripsi yang diperlukan.

Ikat RDP ke adaptor dan port tertentu

Agar server bekerja dengan aman dan dapat diprediksi (misalnya, server tidak mulai menerima koneksi dari adaptor jaringan yang baru ditambahkan), perlu untuk secara eksplisit menunjukkan pada antarmuka mana layanan server RDP harus menerima koneksi. Selain itu, sering kali berguna untuk mengganti port tempat server mendengarkan koneksi. Tentu saja, Anda dapat melakukan ini dengan menerbitkan server dengan RDP melalui beberapa gateway, tetapi Anda dapat melakukannya tanpanya. Tindakan yang tampaknya mendasar pada kenyataannya akan secara signifikan mengurangi persentase idiot-scriptkiddis yang menggunakan "alat canggih" lain untuk memeriksa port terkenal.

Cara mengikat layanan RDP ke adaptor jaringan tertentu atau melakukan beberapa RDP dengan pengaturan berbeda untuk adaptor berbeda

Buka snap-in Konfigurasi Host Sesi Desktop Jarak Jauh (ditemukan di mmc atau siap pakai di Alat Administratif -\u003e menu Koneksi Desktop Jarak Jauh), pilih koneksi yang diinginkan dari daftar Koneksi (biasanya satu dan disebut RDP-Tcp) , dan buka Properties, lalu tab Network Interfaces ... Di dalamnya, Anda dapat memilih satu antarmuka tertentu untuk menunggu koneksi, ditambah membatasi jumlah sesi paralel.

Jika Anda memiliki banyak antarmuka, dan Anda perlu, katakanlah, untuk dapat terhubung melalui 2 dari 5 yang tersedia, maka Anda perlu mengikat RDP-Tcp default ke satu adaptor, lalu pergi ke menu Tindakan dan pilih Buat Baru Koneksi di sana. Sebuah koneksi dapat mendengarkan baik pada semua antarmuka, atau pada satu antarmuka, dan jika diperlukan untuk mendengarkan pada antarmuka N, Anda harus membuat koneksi N.

Karenanya, jika Anda memiliki tugas “Sehingga RDP mendengarkan pada satu antarmuka di satu port, dan di sisi lain - di port lain”, ini dapat diselesaikan dengan cara yang sama - Anda melepaskan RDP-Tcp default dari semua adaptor dan mengikat ke yang spesifik, setelah - buat koneksi RDP- baru dan juga ikat ke antarmuka jaringan yang diinginkan.

Cara mengikat layanan RDP ke port non-default

Port default adalah 3389 TCP. Omong-omong, jangan lupa untuk mengaktifkannya di filter paket Anda. Nah, jika Anda menginginkan sesuatu yang lain, Anda harus pergi ke kunci registri

HKEY_LOCAL_MACHINE \\ System \\ CurrentControlSet \\ Control \\ Terminal Server \\ WinStations \\ RDP-Tcp

dan perbaiki nilai PortNumber di dalamnya. Perlu diingat bahwa pelacakan konflik dalam hal penggunaan pelabuhan ada di hati nurani Anda, dia sendiri, setelah menemukan bahwa pelabuhan yang Anda tunjuk sibuk, tidak akan dapat "melompat" ke mana pun.

Aktifkan NLA - Otentikasi Tingkat Jaringan

Fungsi NLA muncul di NT 6.0, dan kemudian menambahkan kemampuan untuk menggunakannya sebagian di versi OS sebelumnya dengan menginstal SP3 untuk XP.
Inti dari fungsi ini cukup sederhana. Dalam versi RDP hingga 6.0 saat terhubung melalui Klien RDP sebelum autentikasi, Anda perlu menampilkan jendela login - mis. pertunjukan pertama, dan kemudian dia akan mencoba masuk ke sistem. Ini menciptakan kerentanan sederhana - server dapat kelebihan beban dengan sekumpulan permintaan "biarkan saya mencoba memulai sesi baru", dan itu akan dipaksa untuk menanggapi semua permintaan dengan membuat sesi dan menunggu pengguna untuk masuk. Sebenarnya, ini adalah kemampuan DoS. Bagaimana Anda bisa mengatasi ini? Adalah logis bahwa kita perlu membuat skema, yang tujuannya adalah meminta kredensial dari klien sedini mungkin. Optimal - sesuatu seperti kerberos di domain. Ini sudah selesai. NLA memiliki dua tujuan:

  • Klien diautentikasi sebelum memulai sesi terminal.
  • Menjadi mungkin untuk mentransfer data SSP klien lokal ke server, mis. Sistem Masuk Tunggal mulai bekerja.

Ini diimplementasikan melalui penyedia keamanan baru - CredSSP. Anda dapat membaca spesifikasi teknisnya, secara sederhana, Anda harus selalu mengaktifkan fungsi ini. Tentu saja, mengingat bahwa untuk pekerjaannya perlu:

  • OS klien (yang digunakan untuk membuat sambungan) adalah Windows XP SP3 atau lebih tinggi.
  • OS server (yang akan dihubungkan) adalah Windows Server 2008 ke atas.

Catatan: Meskipun kernel Windows Server 2003 lebih baru dari XP (5.2 vs. 5.1), ada pembaruan untuk Windows XP yang menambahkan dukungan NLA, tetapi tidak untuk Windows Server 2003. Artinya, meskipun Anda terhubung dari versi yang paling dapat diakses - Windows Server 2003 R2 SP2 dengan semua patch, Anda tidak akan dapat terhubung ke server yang memerlukan NLA dan menjadi server yang mendukung NLA. Sayang.

Bagaimana NLA diaktifkan dari sisi server RDP

Cara terbaik adalah mengaktifkan NLA di semua server melalui Kebijakan Grup. Untuk melakukan ini, pergi ke objek kebijakan grup target dan pilih "Konfigurasi Komputer" -\u003e "Template Administratif" -\u003e "Komponen Windows" -\u003e "Host Sesi Desktop Jarak Jauh" -\u003e "Keamanan" dan di sana aktifkan otentikasi pengguna Diperlukan untuk parameter koneksi jarak jauh dengan menggunakan Network Layer Authentication.

Anda juga dapat mengaktifkannya secara lokal. Ini dilakukan dengan memanggil submenu Properties (submenu Komputer standar) dan memilih tab Remote di sana, di mana akan ada pilihan dari tiga opsi - tolak koneksi melalui RDP ke host ini, izinkan koneksi melalui RDP apa pun, izinkan hanya dengan NLA. Selalu aktifkan opsi NLA, ini terutama melindungi server.

NLA dan Windows XP

Jika Anda memiliki Windows XP, Anda juga dapat menggunakan fungsi ini. Pernyataan umum "NLA membutuhkan setidaknya whist, Microsoft melakukannya untuk meningkatkan" adalah salah. Paket Layanan 3 menambahkan implementasi CredSSP untuk mendelegasikan kredensial klien yang dipegang oleh SSP lokal ke server. Artinya, sederhananya, itu dibuat khusus sehingga dari Windows XP dimungkinkan untuk terhubung ke sistem dengan NT 6.0+. Tidak mungkin untuk menyambung ke Windows XP SP3 sendiri dengan fungsi ini, dukungan NLA akan sebagian (oleh karena itu, server RDP dengan dukungan untuk menghubungkan klien menggunakan NLA dari Windows XP tidak dapat dibuat menggunakan metode standar, Windows XP hanya akan menjadi Klien yang kompatibel dengan NLA).

Catatan: NLA telah ada sejak NT 6.0, dan merupakan bagian dari tumpukan teknologi yang disebut RDP 6.0. Paket layanan ke-3 untuk XP tidak hanya menghadirkan RDP 6.0, tetapi kemampuan untuk menginstal RDP 7.0, yang cukup positif (misalnya, di RDP 7.0, tidak seperti 6.0, ada EasyPrint, audio dua arah, dan beberapa hal lain yang mengubah klien RDP pada Windows XP dengan semua pembungkus menjadi sistem yang cukup praktis). Ini adalah tentang Microsoft yang buruk, yang sangat memaksa setiap orang untuk meningkatkan dari Windows XP ke whist buruk-buruk, bahkan dalam paket layanan gratis untuk produk tahun 2001, saya menjahit subsistem RDP yang lebih baru daripada yang datang di whist yang dirilis pada 2006.

Fungsi ini perlu diaktifkan secara eksplisit, karena meskipun Service Pack 3 menambahkan dll baru dari penyedia kriptografi, itu tidak termasuk.

Cara mengaktifkan CredSSP di XP

Sekali lagi, operasi ini dilakukan secara ketat setelah menginstal Service Pack 3 pada Windows XP dan dalam konteks percakapan kita diperlukan sehingga memungkinkan untuk terhubung ke server lain melalui RDP 6.1 menggunakan NLA.

Langkah satu - memperluas daftar Paket Keamanan.
Untuk melakukan ini, kami akan membuka kunci registri

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsa

dan temukan nilai Paket Keamanan di dalamnya. Klik kanan dan pilih "Modify" (bukan Modify Binary Data, hanya Modify). Akan ada daftar seperti "nama paket di setiap baris". Kita perlu menambahkan tspkg di sana. Sisanya harus ditinggalkan. Tempat penambahan tidak penting.

Langkah kedua adalah menghubungkan perpustakaan.
Kuncinya akan berbeda:

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ SecurityProviders

Di dalamnya, Anda perlu menemukan nilai SecurityProviders (perhatikan, seperti dalam kasus sebelumnya, ini bukan subkunci, tetapi nilai), dan memodifikasinya dengan analogi, hanya menambahkan credssp.dll. Sisa daftar, sekali lagi, tidak perlu disentuh.

Sekarang Anda dapat menutup editor registri. Setelah operasi ini, sistem harus di-boot ulang. Penyedia crypto adalah hal yang pasti tidak akan diambil saat dalam perjalanan, dan ini lebih baik daripada buruk.

Memilih sertifikat yang tepat untuk RDP

Jika Anda memiliki kesempatan untuk menggunakan sertifikat non-default untuk RDP, maka lebih baik menggunakannya. Ini tidak akan memengaruhi keamanan sesi itu sendiri, tetapi akan memengaruhi keamanan dan kegunaan koneksi. Sertifikat yang paling baik digunakan harus mencakup poin-poin berikut:

  • Nama (dalam subjek atau SAN) yang cocok dengan nama yang dimasukkan oleh klien yang terhubung ke server, karakter demi karakter.
  • Ekstensi CDP normal yang menunjuk ke CRL yang berfungsi (sebaiknya setidaknya dua - OCSP dan statis).
  • Ukuran kunci yang diinginkan adalah 2048 bit. Lebih banyak mungkin, tapi ingat batasan XP / 2003 CAPI2.
  • Jangan bereksperimen dengan algoritme tanda tangan / hashing jika Anda memerlukan koneksi samping XP / 2003. Singkatnya, pilih SHA-1, itu sudah cukup.

Saya akan membahas lebih banyak tentang masalah sertifikat khusus untuk server RDP.

Template sertifikat khusus untuk server RDP

Akan ideal jika sertifikat untuk RDP dibuat tidak berdasarkan template biasa (seperti Server Web) dan di bidang Kebijakan Aplikasi (yang dalam sertifikat akan lebih umum disebut Enchanced Key Usage - EKU), Autentikasi Klien standar dan Nilai Otentikasi Server, tetapi tambahkan template Anda sendiri, di mana akan ada satu, khusus, tidak ditambahkan dengan nilai metode standar aplikasi - Otentikasi Remote Desktop. Nilai Kebijakan Aplikasi ini harus dibuat secara manual, OID-nya adalah 1.3.6.1.4.1.311.54.1.2, nah, setelah itu, Anda sudah dapat membuat templat sertifikat baru, yang menjadi dasarnya Anda dapat menerbitkan sertifikat itu. ditargetkan untuk Server RDP.

Untuk sepenuhnya mengotomatiskan operasi ini, berikan template baru nama yang dapat diprediksi - misalnya, "RDPServerCert" - dan buka objek Kebijakan Grup, dan di sana buka Konfigurasi Komputer -\u003e Kebijakan -\u003e Template Administratif -\u003e Komponen Windows -\u003e Layanan Desktop Jarak Jauh -\u003e Host Sesi Desktop Jarak Jauh -\u003e Keamanan. Pilih parameter Template Sertifikat Otentikasi Server dan aktifkan, dan di bidang nilai masukkan nama - kami membuat RDPServerCert. Sekarang, jika RDP diaktifkan pada mereka, semua host domain yang termasuk dalam kebijakan ini akan masuk ke Otoritas Sertifikasi sendiri, meminta sertifikat berdasarkan template yang ditentukan jika mereka tidak memiliki sertifikat, dan secara otomatis menjadikannya default untuk melindungi koneksi RDP . Sederhana, nyaman, efektif.

Blokir koneksi melalui akun RDP dengan kata sandi kosong

Agak sepele, tetapi Anda tidak perlu melupakannya.
Untuk memblokir koneksi akun tanpa kata sandi ke RDP, buka pengaturan objek kebijakan grup: Konfigurasi Komputer -\u003e Pengaturan Windows -\u003e Pengaturan Keamanan -\u003e Kebijakan Lokal -\u003e Opsi Keamanan dan setel "Akun: Batasi penggunaan akun lokal kosong password untuk konsol logon saja ”Untuk Diaktifkan. Luangkan waktu untuk memeriksa apakah memang demikian.

Konfigurasi ACL untuk Koneksi RDP

Secara default, Anda harus memiliki izin akses pengguna atau akses tamu untuk menyambung ke server RDP.
Grup Administrator lokal dan Pengguna Desktop Jarak Jauh memiliki izin ini. Cara terbaik adalah menggunakan grup Pengguna Desktop Jarak Jauh untuk mengontrol akses ke server RDP, menambahkan grup domain yang diperlukan ke dalamnya, daripada pengguna individu. Ubah konten tab Keamanan di pengaturan Properti untuk RDP-Tcp hanya sebagai upaya terakhir, terbaik dari semuanya dengan menambahkan grup "Nama host RDP yang Diblokir", yang secara eksplisit menolak akses RDP ke host yang ditentukan.

Optimalisasi kecepatan RDP

Mengoptimalkan kecepatan RDP adalah topik yang cukup luas, jadi saya akan memecahnya menjadi beberapa bagian. Ini akan mencakup metode-metode yang akan mengurangi beban pada protokol sebelum kompresi dan sebelum mengoptimalkan lapisan jaringan.

Chroma (kedalaman bit)

Di RDP 7.0 dan yang lebih baru, tersedia opsi 32, 16 dan 8 bit. Jika kita berbicara tentang pekerjaan, maka 16 bit sudah cukup untuk itu. Ini secara signifikan akan mengurangi beban pada saluran, apalagi, terkadang lebih dari 2 kali, yang mengejutkan, tetapi benar. 8 bit, tentu saja, juga memungkinkan, tetapi akan terlihat sangat menakutkan. 16 bit dapat diterima dengan sempurna.

Catatan: Sambungan 8-bit tidak lagi tersedia di Windows Server 2008 R2.

Aktifkan parameter Batas Kedalaman Warna Maksimum di server, atau lakukan hal yang sama di pengaturan klien RDP.

Nonaktifkan ClearType

Saat Anda menonaktifkan ClearType, protokol RDP tidak mengirimkan gambar, tetapi perintah untuk menggambar karakter. Saat diaktifkan, ini membuat gambar dari sisi server, mengompresnya dan mengirimkannya ke klien. Ini dijamin beberapa kali kurang efektif, jadi menonaktifkan ClearType akan sangat mempercepat proses kerja dan mengurangi waktu respons. Anda sendiri akan terkejut betapa banyaknya.

Ini dapat dilakukan baik di tingkat pengaturan klien dan di sisi server (Jangan izinkan parameter penghalusan font di bagian Lingkungan Sesi Jarak Jauh di Konfigurasi Komputer -\u003e Kebijakan -\u003e Template Administratif -\u003e Komponen Windows -\u003e Layanan Desktop Jarak Jauh -\u003e Host Sesi Desktop Jarak Jauh).

Hapus wallpaper

Penghapusan Berlakukan parameter Wallpaper RD di bagian Lingkungan Sesi Jarak Jauh di Konfigurasi Komputer -\u003e Kebijakan -\u003e Template Administratif -\u003e Komponen Windows -\u003e Layanan Desktop Jarak Jauh -\u003e Host Sesi Desktop Jarak Jauh akan secara dramatis memperbaiki situasi dengan menggambar ulang layar sesi terminal. Pengguna tanpa kucing di desktop bertahan secara normal, itu dicentang.

Aktifkan dan konfigurasikan cache gambar

Jika klien sudah cukup memori akses acak, masuk akal untuk mengaktifkan dan mengonfigurasi cache bitmap. Ini akan memenangkan hingga 20-50% bandwidth. Untuk menginstal, Anda harus memasukkan kunci

HKEY_CURRENT_USER \\ SOFTWARE \\ Microsoft \\ Terminal Server Client \\

dan buat parameter BitmapPersistCacheSize dan BitmapCacheSize di sana, keduanya tipe DWORD 32.
Parameter BitmapPersistCacheSize menentukan ukuran cache disk, dalam kilobyte. Standarnya adalah 10. Masuk akal untuk meningkatkan parameter ini menjadi setidaknya 1000.
Parameter BitmapCacheSize menentukan ukuran cache dalam RAM dalam kilobyte. Nilai default-nya adalah 1500. Masuk akal untuk meningkatkan parameter ini menjadi setidaknya 5000. Ini hanya akan menjadi 5 megabyte per sesi klien, dengan skala RAM modern ini tidak signifikan, dan bahkan jika itu mengarah pada peningkatan kinerja 10%, itu akan melunasi. Omong-omong, parameter yang sama dapat diperbaiki dalam file .rdp; jika Anda menyimpan koneksi RDP Anda, dan kemudian membuka file dengan notepad, maka di antara parameter Anda dapat menambahkan sesuatu seperti bitmapcachesize: i: 5000, di mana 5000 adalah cache 5MB.

Nonaktifkan Komposisi Desktop

Komposisi Desktop menghadirkan segala macam "kesenangan" seperti Aero dan teman-temannya dan secara nyata memakan bandwidth. Ini tidak perlu dan berbahaya untuk pekerjaan. Parameter Izinkan komposisi desktop untuk Sesi RDP di bagian Lingkungan Sesi Jarak Jauh di Konfigurasi Komputer -\u003e Kebijakan -\u003e Template Administratif -\u003e Komponen Windows -\u003e Layanan Desktop Jarak Jauh -\u003e Host Sesi Desktop Jarak Jauh harus disetel ke Dinonaktifkan.

Mengoptimalkan Pengaturan Desktop Window Manager

Parameter yang ditemukan di bagian Remote Session Enviroment di Computer Configuration -\u003e Policies -\u003e Administrative Templates -\u003e Windows Components -\u003e Desktop Window Manager akan mengontrol tampilan "bagus" dari menu geser yang mulus dan sejenisnya. Ada tiga di antaranya - Jangan izinkan animasi jendela, Jangan izinkan komposisi desktop, dan Jangan izinkan pemanggilan Flip3D. Semuanya harus dialihkan ke mode Diaktifkan, mis. sebenarnya - nonaktifkan semua fungsi ini.

Nonaktifkan pengalihan perangkat yang tidak digunakan

Jika Anda tidak berencana untuk menghubungkan kelas perangkat tertentu (misalnya, COM dan port LPT), atau audio, masuk akal untuk menonaktifkan kemampuan untuk mengarahkan mereka dari sisi server. Sehingga klien dengan pengaturan Klien RDP default tidak membuang waktu koneksi untuk menyetujui fungsionalitas yang tidak digunakan. Ini dilakukan di tempat yang sama dengan pengaturan server lainnya, di Properti RDP-Tcp, tab Pengaturan Klien (di tempat yang sama di mana kami membuat pengaturan dengan kedalaman warna), bagian Redirection.

Menyiapkan logika umum untuk mengoptimalkan RDP data visual

Opsi yang disebut Optimalkan pengalaman visual untuk sesi RDP, ditemukan di bawah Remote Session Enviroment di bawah Computer Configuration -\u003e Policies -\u003e Administrative Templates -\u003e Windows Components -\u003e Remote Desktop Services -\u003e Remote Desktop Session Host -\u003e Remote Session Enviroment, akan mengontrol bagaimana caranya RDP akan melihat data visual - sebagai multimedia atau sebagai teks. Ini, secara kasar, adalah "petunjuk" untuk algoritma kompresi bagaimana berperilaku lebih kompeten. Karenanya, untuk pekerjaan, Anda perlu menyetel parameter ini ke Teks, dan jika Anda ingin banyak flash-banner yang indah, HTML5, dan menonton klip video, opsi Multimedia lebih baik.

Optimasi kompresi RDP

Kompresi dalam RDP telah berkembang pesat. Mulai RDP 5.2 inklusif, ada subsistem kompresi ("kompresor") dengan nama internal "Versi 1" - opsi paling sederhana dan termudah dalam hal beban prosesor klien, tetapi yang terburuk dalam hal beban lalu lintas jaringan. RDP 6.0 membuat "Versi 2", yang sedikit ditingkatkan dalam hal efisiensi kompresi. Kami tertarik dengan "Versi 3", yang hanya berfungsi saat terhubung ke Windows Server 2008 dan server yang lebih baru. Ini kompres lebih baik daripada orang lain, dan biaya waktu prosesor, dengan mempertimbangkan kekuatan komputer modern, tidak signifikan.

Keuntungan ketika V3 dihidupkan bisa, dilihat dari tesnya, mencapai 60% dan, secara umum, bahkan tanpa tes, terlihat oleh mata.

Cara mengaktifkan kompresi optimal di RDP

Ini adalah pengaturan klien. Buka Konfigurasi Komputer -\u003e Kebijakan -\u003e Template Administratif -\u003e Komponen Windows -\u003e Layanan Desktop Jarak Jauh -\u003e Host Sesi Desktop Jarak Jauh -\u003e Lingkungan Sesi Jarak Jauh di objek kebijakan grup yang diinginkan, pilih Set algoritme kompresi untuk parameter data RDP di sana, aktifkan dan pilih Optimalkan untuk menggunakan lebih sedikit bandwidth jaringan.

Catatan: Banyak orang bertanya-tanya mengapa ada opsi "nonaktifkan kompresi" dalam daftar. Ini diperlukan ketika sesi RDP Anda dikompresi oleh perangkat eksternal yang mengoptimalkan koneksi WAN, seperti Cisco WAAS. Dalam kasus lain, tentu saja, menonaktifkan kompresi tidak masuk akal.

Mengatur kompresi aliran audio

RDP 7.0 menghadirkan kemampuan luar biasa untuk menyesuaikan kualitas kompresi aliran audio yang masuk (yaitu audio yang berpindah dari server ke klien). Ini sangat berguna - misalnya, jika Anda bekerja di server terminal, selain semua layanan terdengar seperti "pesan telah tiba di ICQ", yang lain tidak terlalu direncanakan. Tidak masuk akal untuk mentransfer suara berkualitas CD yang tidak terkompresi dari server jika tidak diperlukan untuk pekerjaan. Karenanya, Anda perlu menyesuaikan tingkat kompresi streaming audio.
Parameter ini akan disebut Batasi kualitas pemutaran audio dan terletak di bagian Perangkat dan Pengalihan Sumber Daya pada Konfigurasi Komputer -\u003e Kebijakan -\u003e Template Administratif -\u003e Komponen Windows -\u003e Layanan Desktop Jarak Jauh -\u003e Host Sesi Desktop Jarak Jauh. Akan ada tiga opsi:

  • Tinggi - suara tidak akan terkompresi. Sama sekali. Artinya, ini akan tunduk pada kompresi umum protokol RDP, tetapi kompresi audio tertentu (lossy) tidak akan dilakukan.
  • Sedang - kompresi akan beradaptasi dengan saluran agar tidak meningkatkan penundaan transmisi data.
  • Dinamis - kompresi secara dinamis akan beradaptasi dengan saluran sehingga penundaan tidak melebihi 150ms.

Pilih yang benar. Seperti yang Anda lihat, lebih baik memilih Dinamis untuk pekerjaan kantor.

Mengoptimalkan rasio aliran data di RDP

Lalu lintas sesi RDP tidak monolitik. Sebaliknya, ini cukup jelas dibagi menjadi aliran data perangkat yang diarahkan (misalnya, menyalin file dari host lokal ke server terminal), aliran audio, aliran perintah rendering primitif (RDP mencoba mengirimkan perintah untuk rendering primitif , dan mentransfer bitmap sebagai pilihan terakhir), dan perangkat mengalirkan input (mouse dan keyboard).

Hubungan timbal balik aliran ini dan logika perhitungan (hubungan) nya (semacam QoS lokal) dapat dipengaruhi. Untuk melakukan ini, buka kunci registri dari sisi server

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ TermDD

dan buat empat kunci di sana untuk memulai (jika tidak ada):

  • FlowControlDisable
  • FlowControlDisplayBandwidth
  • FlowControlChannelBandwidth
  • FlowControlChargePostCompression

Ketik untuk semua - DWORD 32. Fungsi tombol adalah sebagai berikut.
Tombol FlowControlDisable akan menentukan apakah prioritas digunakan sama sekali. Jika Anda menentukan satu, prioritas akan dinonaktifkan, jika nol - diaktifkan. Hidupkan.
Tombol FlowControlDisplayBandwidth dan FlowControlChannelBandwidth akan menentukan hubungan antara dua aliran data:

  • Alur interaksi pengguna (gambar + perangkat masukan)
  • Data lain (blokir perangkat, clipboard, dan lainnya)

Nilai dari kunci ini sendiri tidak kritis; bagaimana mereka berhubungan sangatlah penting. Artinya, jika Anda membuat FlowControlDisplayBandwidth sama dengan satu, dan FlowControlChannelBandwidth sama dengan empat, maka rasionya akan menjadi 1: 4, dan 20% bandwidth akan dialokasikan ke aliran interaksi pengguna, dan 80% sisanya. Jika Anda melakukan 15 dan 60, hasilnya akan sama, karena rasionya sama.
Tombol FlowControlChargePostCompression akan menentukan kapan rasio ini dihitung - sebelum atau setelah kompresi. Nol sebelum kompresi, satu setelah.

Saya merekomendasikan untuk menggunakan formulir "server jarak jauh kami jauh dan semua orang terhubung melalui RDP dan di kantor dan 1C berfungsi" untuk mengatur rasio 1: 1 dan membacanya setelah kompresi. Dari pengalaman ini benar-benar dapat membantu dalam situasi "mencetak dokumen besar dari server terminal ke printer lokal". Tetapi ini bukan dogma - cobalah, alat utama - pengetahuan tentang bagaimana alat itu penting dan bekerja - sudah Anda miliki.

Aktifkan Memerlukan komunikasi RPC aman untuk RDP

Pengaturan ini berfungsi mirip dengan pengaturan untuk RPC Aman, yang ada di bagian Keamanan dari Kebijakan Grup dan berlaku untuk seluruh sistem, hanya saja lebih mudah untuk mengkonfigurasi. Dengan mengaktifkan parameter ini, Anda akan membuat enkripsi wajib untuk semua permintaan RPC klien (tergantung pada pengaturan sistem, "bilah bawah" enkripsi akan berbeda - RC4 / DES atau, jika FIPS-140 diaktifkan, 3DES / AES) dan gunakan setidaknya NTLMv2 untuk otentikasi panggilan prosedur jarak jauh. Selalu aktifkan opsi ini. Ada mitos bahwa itu tidak berfungsi di lingkungan non-domain. Ini tidak terjadi, dan memperkuat keamanan RPC tidak akan merugikan siapa pun.

Ini adalah pengaturan server. Buka Konfigurasi Komputer -\u003e Kebijakan -\u003e Template Administratif -\u003e Komponen Windows -\u003e Layanan Desktop Jarak Jauh -\u003e Host Sesi Desktop Jarak Jauh -\u003e Keamanan di objek kebijakan grup yang diinginkan, pilih Memerlukan parameter komunikasi RPC aman di sana dan aktifkan.

Protokol Desktop Jarak Jauh RDP (Remote Desktop Protocol) menyediakan akses jarak jauh melalui jaringan ke desktop komputer yang menjalankan sistem operasi Windows. Digunakan saat menyambungkan klien tipis ke server terminal Windows yang menjalankan Layanan Terminal Microsoft. Dikembangkan oleh Microsoft.

Dukungan resmi RDP disertakan dalam Windows Server 2008, Windows Server 2003, Windows Home Server, Windows XP Professional, Windows XP Media Center, Tablet PC Edition, Windows Vista Ultimate, Enterprise, dan Business edition. Semua versi Windows XP dan Vista menyertakan klien aplikasi jarak jauh Koneksi Desktop (RDC).

Fitur utama dari protokol RDP

  • Mendukung enkripsi RC-4 dengan panjang kunci 128 atau 56 bit
  • Mendukung protokol TLS (Transport Layer Security)
  • Otentikasi pengguna menggunakan kartu pintar (di server melalui Microsoft Terminal Services)
  • Dukungan audio komputer lokal untuk aplikasi server terminal
  • Pengalihan Sistem File - memungkinkan Anda untuk bekerja dengan file dari komputer lokal di server terminal jarak jauh
  • Pengalihan Printer - memungkinkan Anda untuk mencetak ke printer pada komputer lokal dari aplikasi yang berjalan pada server terminal jarak jauh
  • Port Redirection - membuka akses ke port serial dan paralel di komputer lokal untuk aplikasi yang berjalan di server terminal jarak jauh
  • Berbagi papan klip di komputer lokal dan di server terminal jarak jauh
  • Kedalaman warna tampilan: 24, 16, 15 atau 8 bit

Terlepas dari kenyataan bahwa paket protokol RDP itu sendiri ditransmisikan melalui jaringan dalam bentuk terenkripsi, sesi terminal itu sendiri dapat diekspos ke serangan Man In The Middle, karena baik sisi server maupun sisi klien tidak melakukan otentikasi timbal balik dari yang dikirim dan diterima. paket data. Oleh karena itu, untuk membuat solusi yang sepenuhnya aman, Anda harus menggunakan perlindungan SSL RDP yang diperkenalkan di Windows Server 2003 Paket Layanan 1.

Fitur baru di versi keenam RDP

  • Aplikasi Jarak Jauh. Peluncuran langsung aplikasi di server dalam sesi terminal khusus tanpa membuka jendela sesi terminal. Dukungan untuk asosiasi file komputer lokal - kemampuan untuk menjalankan aplikasi di server untuk membuka dokumen di komputer lokal sesuai dengan ekstensi dalam nama file.
  • Windows mulus. Emulasi jendela komputer lokal dengan peluncuran aplikasi di server terminal. Otentikasi otomatis di server dengan detail akun pengguna. Pengakhiran otomatis sesi terminal yang sesuai ketika aplikasi berakhir.
  • Gerbang Server Terminal. Mendukung koneksi RDP melalui server gateway IIS menggunakan protokol https. Menyediakan koneksi aman ke server terminal yang terletak di belakang ISS di jaringan lokal perusahaan.
  • Jendela Aero Glass. Dukungan Windows Aero Glass termasuk penghalusan font ClearType.
  • Yayasan Presentasi Windows. Didukung pada klien apa pun dengan .NET Framework 3.0 diinstal.
  • Layanan terminal yang dapat disesuaikan sepenuhnya termasuk dukungan skrip menggunakan Instrumentasi Manajemen Windows.
  • Peningkatan manajemen bandwidth untuk klien RDP.
  • Dukungan untuk banyak monitor. Membagi layar sesi terminal menjadi beberapa monitor. Bekerja dengan sistem Windows Vista saja.
  • Kedalaman warna tampilan: 32, 24, 16, 15 atau 8 bit


Kami merekomendasikan membaca