Konfigūruokite nuotolinę prieigą prie KPP kompiuterio. Apsaugome ir optimizuojame KPP

Šis protokolas, plačiai naudojamas šiuolaikiniame skaičiavimo tinkluose, žino bet kurį sistemos administratorių. Naudojant jį, galite prisijungti prie nuotolinio įrenginio operacinė sistema "Microsoft" linija. Jums bus prieinama darbalaukio, failų sistema ir pan. Taigi bus galima atlikti didžiąją dalį nustatymų ir prevencinių priemonių, nereikalaujant fizinio buvimo už nuotolinio kompiuterio ekrane.

Štai kodėl KPP protokolas yra vienas iš pagrindinių techninių specialistų arsenalo sudedamųjų dalių. Nepalikdami savo darbo vietos, galite tvarkyti visus turimus tinklo kompiuterius, pašalinti iškilusias problemas.

Istorija

Nuotolinio darbalaukio protokolas, ir taip RDP santrumpa yra iššifruojama, pasirodė tolime 1998 m. Šis taikymo lygio patentuotas protokolas, tuo metu, buvo "Windows NT 4.0" terminalo serverio dalis, ir leido idėją apie nuotoliniu būdu veikiančias kliento serverio programas. Kaip suprantate, ne visada galima pateikti visas darbo vietas su galingais kompiuteriais, o tose tolimose metų spektaklis paliekamas labai pageidaujamas.

Šis šios problemos dizainas yra toks dizainas: galingas serveris (arba serverio klasteris) atlieka masinę skaičiavimo operacijų masę, o mažos galios kliento kompiuteriai / programos yra prijungtos prie jo naudojant RDP protokolą, atlikti savo užduotis. Taigi, galutiniuose vartotojų mazguose, buvo galima dirbti su sudėtingomis programomis ir programomis, net jei yra ribotų išteklių - galų gale, pagrindinė apkrova serveryje ir kliento kompiuteris gavo tik pagrindinį operacijos rezultatus monitorius.

KDP protokolo aprašymas

Pagal nutylėjimą, TCP prievadas 3389 yra naudojamas prisijungti
Kaip jau minėta pirmiau, kai sujungta, galima dirbti su nuotolinio įrenginio failais.
Įdiegti šifravimas ir 56 ir 128 bitų raktai, siekiant užtikrinti saugumą
Taip pat naudojami saugumo funkcijoms, naudojami TLS protokolai.
Bendra iškarpinė - galite kopijuoti duomenis ir nuotolinius įrenginius ir įdėkite juos į vietinį kompiuterį.
Įgyvendino galimybę prijungti vietinius išteklius į nuotolinį kompiuterį.
RDP suteikia prieigą prie vietinių kompiuterių prievadų (serijos ir lygiagrečiai)

Veikimo principas

RDP protokolas yra TCP protokolo stekų funkcija. Visų pirma, ryšys yra įsteigtas tarp kliento ir serverio transporto lygiu. Tada inicijuojama KPP sesija - šiame etape pagrindiniai parametrai yra nuoseklūs: šifravimo prijungti įrenginiai, grafikos parametrai ir pan.

Po visko konfigūruojamos, KPP sesija yra visiškai paruoštas darbui. Grafinis vaizdas (operacijų rezultatas) ateina į kliento kompiuterį iš serverio, kuris atsiranda kaip siunčiant komandas iš klaviatūros ar pelės rezultatas.

Autentifikavimas

Jei sukonfigūruojama KPP protokolo apsaugos sistema, autentifikavimas įvyksta taip:

Inicijuojant ryšį, suformuota RSA raktų pora
Be to, sukurtas specialus atviro rakto sertifikatas.
Operacinė sistema atlieka parašo sertifikato RSA rakto procesą
Be to, klientas prisijungia prie serverio, gauna sertifikatą iš jo, ir jei jis yra išbandytas, nuotolinio valdymo pultas yra inicijuotas.

Kaip pradėti

Operacinėse sistemose, pvz., "Windows XP", "Vista", "Seven", numatytoji kliento programinė įranga gali būti įjungta nuotolinio darbalaukio ryšiu. Norėdami pradėti, reikia paspausti klaviatūros nuorodą. Laimėti + R., surinkti mstsc. ir paspauskite. Įveskite.

KPP protokolas yra patogi, veiksminga ir praktinė nuotolinės prieigos priemonė abiem administravimo tikslais ir kasdieniam darbui.

Atsižvelgiant į tai, kad jos įgyvendinimas yra beveik visur (įvairios platformos ir OS), ir yra daug iš jų, jums reikia gerai pristatyti.

Bent jau reikės dėl daugelio priežasčių:

Dažnai vietoj KPP naudojamas kitas sprendimas (VNC, Citrix ICA) dėl paprastos priežasties - daroma prielaida, kad "built-in RDP minimalus ir nežino, kaip."
Daugeliu sprendimų, susijusių su madomis, dabar yra debesų technologijos (biurų vertimas "ploni klientai", ir tik terminalų serverių organizavimas), yra nuomonė, kad "KPP yra bloga, nes integruota".
Yra standartinis mitas apie tai, kad "KPP negalima eksponuoti be VPN, sumušė" (mitas turi pagrindimą, tačiau ilgą laiką nebuvo svarbi).
Na, kadangi mitai kalbėjo apie mitus - tai yra nuomonė, kad "vyksta su Citirix eismo pora kartų lašai." Galų gale, "Citrix" yra brangus, todėl ne mažiau kaip 157% aušintuvas.

Visi šie mitai yra nesąmonės ir pasenusių "Delometries" mišinys, atitinkantis NT 4.0 metu, taip pat atviros fantastikos, kuri neturi jokios priežasties egzistuoti. Kadangi tai yra tiksli mokslas, jums reikia išsiaiškinti. Gerai sukonfigūruotas RDP protokolas naujų versijų, atsižvelgiant į visus naujus funkcijas, yra gana gera ir patikima priemonė organizuoti nuotolinę prieigą.

Todėl mes padarysime:

Trumpai nuoroda į KPP versiją
KDP sesijos apsaugos režimo nustatymas
Šifravimo sąranka KPP
Privalomas su konkrečiu adapteriu ir prievadu
- Mes pakeisime standartinį prievadą į norimą
- Padarome "Split RDP" nustatymus keliems tinklo adapteriams
NLA.
- NLA ir Windows XP
- Kaip įjungti "CredsSp" XP
Renkantis RDP tinkamą sertifikatą
Blokavimo RDP jungčių sąskaitos su tuščiu slaptažodžiu
KPP greičio optimizavimas
Kompresijos optimizavimas KPP.
- Tinkinti bendrai kompresijos KPP.
- Pritaikyti RDP garso srautą
RDP duomenų srautų optimizavimas
Prireikus reikalauti saugaus RPC komunikacijos KPP

Tęskime.

KDP protokolo versijos

Protokolas turi pakankamai ilgos istorijos, pradedant nuo NT 4.0. Mes paliksime istorines detales paprasta priežastimi - šiuo metu yra prasminga kalbėti tik apie RDP 7.0 versiją, kuri yra "Windows Vista SP1 / "Windows" serveris 2008 m. Ir pridėjote "Windows XP" įdiegti SP3 ir atnaujintą KPP klientą (susietą su KB 969084). Manau, kad turite bent "Windows XP", ir jūs turite nustatyti / galite įdėti naujausią paslaugų paketą ir nepadarykite laiko aptarti RDP privalumus Windows 2000 SP2 prieš NT 4.0 SP5.

KDP sesijos apsaugos režimo nustatymas

Iš esmės tai yra paprasčiausia užduoties dalis. Esmė yra tokia. Įvairiose KPP versijose naudojami du pagrindiniai sesijos apsaugos mechanizmai - įterpti į KPP ir "vyniojimo" sesiją TLS. Įmontuotas nėra pakankamai saugus, o rekomendacija "KPP gali būti tik VPN" - apie tai. Todėl visada įjunkite TLS palaikymą. Tai yra minimalus, nuo kurio turėtumėte pradėti. Apribojimai bus, nebent serverio versija yra ne mažesnė nei "Windows Server 2003 SP1" ir KPP 5.2 klientas ir aukščiau, bet atrodo, kad tai yra gana išspręsta 2011 m. Pabaigoje.

Kaip įjungti RDP per TLS

Parinktys, kaip visada, keli. Pirmasis - įtraukti per grupės politiką. Norėdami tai padaryti, eikite į tikslinės grupės politikos objektą (gerai arba lokaliai savo namų darbo vietoje, paleiskite GPEDIT.MSC) ir nuosekliai pasirinkite "Kompiuterių konfigūracija" -\u003e "Administraciniai šablonai" -\u003e "Windows Components" -\u003e "Nuotolinis Desktop Session Host "-\u003e" Saugumas "ir ten, kad būtų galima naudoti specifinį apsaugos sluoksnį nuotolinio ryšio parinkties, atrenkant jame SSL (TLS 1.0). Galite pasirinkti minkštesnę derybas, tačiau nenorėčiau rekomenduoti, nes Šiuo metu jis yra žemiau priimtino saugumo lygio. Kaip asmuo, kuris sukūrė privačius debesis su pakankamai aukštu saugumo lygiu, galiu pasakyti, kad labai vertingi duomenys į duomenų centrą pagal Londoną ir ten vyksta su nutylėju KPP - nuliui ir yra problemų ieškojimas.

Galite ir lengviau - atidarykite nuotolinio darbalaukio sesijos kompiuterį "Configuration Snap-in" (rasti MMC arba pasiruošę pasirinkti darbalaukio ryšius iš "Connections" meniu iš jungčių sąrašo norimą ryšį (Paprastai jis vadinamas RDP-TCP) ir atidarykite savybes, po - skirtuką Bendra ir pasirinkite norimą saugos sluoksnį.

Norėdami dirbti TLS, reikalingas skaitmeninis sertifikatas (bent jau iš serverio pusės). Paprastai tai jau yra (automatiškai generuoja), įsitikinkite, kad jo buvimas, apie tai, kaip tai padaryti, pasikalbėkime po. Iki šiol būtina, kad jis būtų tiesiog, kitaip jis neveiks.

Konfigūruoti šifravimą KPP

Konfigūravimui bus prieinama 4 šifravimo galimybės. Apsvarstykite kiekvieną iš jų.

RDP mažas šifravimo režimas

Labiausiai "ne". Siaubingų laikų ir KPP versijų palikimas 5.x. Jis gali koordinuoti šifravimą pagal 56 bitų des arba 40k bitų RC2 pagrindu, kuris šiuo metu yra ne rimtas. Nereikia ir pavojinga. Pavyzdžiui, jei jį įjungiate, TLS neįsijungs, nes TLS jau atsisakys koordinuoti tokius silpnus šifrus, kurie siūlo šią parinktį.

RDP kliento suderinamas šifravimo režimas

Antrasis "ne" režimas. Siaubingų laikų ir KPP versijų palikimas 5.x. Bando 128 bitų RC4, bet nedelsiant susitarti dėl DES / RC2. Nereikia ir pavojinga. Taip pat nesuderinama su TLS.

RDP didelis šifravimo režimas

Minimalus leistinas režimas. Jam reikės bent 128 dvejetainio RC4. Veikia su visais serveriais, pradedant Windows 2000 serverio w / hep.

RDP FIPS140-1 šifravimo režimas

Būtent tai, ko reikia. Jis rems šiuolaikinius simetrinius algoritmus ir aiškiai nepalaiko RC2, RC4, vieno des, ir taip pat priversti naudoti vientisumą (pranešimo autentiškumo kodą - Mac) SHA-1 algoritmas, o ne MD5. Įtraukti šią parinktį visada yra rasti serverį, kuris nežino, kaip 3DES, AES arba SHA-1 yra beveik nerealu.

Kur yra šis nustatymas? Atidarykite nuotolinio darbalaukio sesijos konfigūraciją (rasti MMC arba pasiruošę rodyti administracinius įrankius -\u003e Nuotolinio darbalaukio ryšio meniu iš jungčių sąrašo iš jungčių sąrašo (paprastai jis vadinamas RDP-TCP) ir atviros savybės, po generalinio savybių ir bendrai ir pasirinksite norimą šifravimo lygį.

Pareikšti KPP į konkretų adapterį ir prievadą

Norint serveris saugiai dirbti ir nuspėjamai (pavyzdžiui, jis nepradėjo imtis ryšių iš naujo, šviežiai įdiegto tinklo adapterio), būtina nurodyti aiškioje formoje, kuriai sąsajos KDP serveris turi gauti ryšius. Be to, dažnai naudinga perjungti prievadą, kuriame serveris klauso ryšio. Žinoma, galite tai padaryti ir paskelbti serverį su KPP per vartai, bet be jo. Tokia, atrodo, kad pagrindiniai veiksmai realybėje pastebimai sumažins skriptų kvailių procentinę dalį, kuri yra išbandyta kitame "galingi" Galingi "" Wellknown "uostai.

Kaip sujungti KPP paslaugą į konkretų tinklo adapterį arba padaryti kelis RDP su skirtingais nustatymais skirtingiems adapteriams

Atidarykite nuotolinio darbalaukio sesijos konfigūraciją (surasti MMC arba pasiruošę rodyti meniu administravimo įrankių -\u003e Nuotolinio darbalaukio jungtys, pasirinkite norimą ryšį nuo jungčių sąrašo (tai paprastai yra vienas vadinamas RDP-TCP) ir atviros savybės po - Tinklo sąsajos skirtuką. Jame galite pasirinkti vieną konkrečią sąsają, kurioje norite tikėtis ryšių, plius apriboti lygiagrečių sesijų skaičių.

Jei turite daug sąsajų, ir jums reikia, pasakykime, kad galite prisijungti per 2 iš 5, tada jums reikės susieti esamą RDP-TCP į vieną adapterį, įvedę veiksmo meniu ir pasirinkite Sukurti naują ryšį . Ryšys gali klausytis visų sąsajų ar vienos, ir tuo atveju, kai būtina, kad jis klausėsi N sąsajos, turite sukurti N jungtis.

Atitinkamai, jei turite užduotį "klausytis vienos KPP sąsajos viename uoste, o kita - kita," jis išspręsta taip pat - nuspręsite numatytąjį RDP-TCP iš visų adapterių ir kaklaraiščio į konkretų, po - sukurti naują RDP ryšį ir taip pat susieti reikiamą tinklo sąsają.

Kaip susieti KPP paslaugą į ne numatytuosius prievadus

Numatytasis prievadas yra 3389 TCP. Beje, nepamirškite išspręsti jį partijos filtru. Na, jei norite, kad kitas - jums reikia eiti į registro raktą

HKEY_LOCAL_MACHINE System CurrentControlset \\ tEATING \\ t

ir išspręsti jį su pornumerio verte. Apsvarstykite, kad konfliktų stebėjimas, kalbant apie uostų įdarbinimą - savo sąžinę, jis pats, nuspręsdamas, kad jūsų paskirtas uostas yra užimtas, negalės "šokinėti" bet kur.

Įjunkite NLA - tinklo lygio autentifikavimą

NLA funkcija pasirodo NL 6.0, o vėliau ji pridedama prie galimybės jį naudoti ankstesnėje SP3 nustatymo versijoje XP.
Šios funkcijos esmė yra gana paprasta. KDP versijose iki 6,0 prijungus RDP klientas Prieš autentifikavimą reikia parodyti prisijungimo langą - i.e. Iš pradžių parodyti, tada jis bandys prisijungti. Tai sukuria paprastą pažeidžiamumą - serveris gali būti perkrautas pakuotėmis užklausų "ir aš bandysiu pradėti naują sesiją", ir jis bus priverstas patenkinti sesiją ir tikisi vartotojo sąnaudos. Tiesą sakant, tai yra galimybė DOS. Kaip galiu kovoti su šiuo? Logiška, kad turite sugalvoti schemą, kurio tikslas bus kuo greičiau paprašyti kliento įgaliojimų. Optimaliai - taip, kad domene yra kažkas panašaus į Kerberos. Tai buvo padaryta. NLA sprendžia dvi užduotis:

Klientas yra patvirtintas tol, kol pradedama terminalo sesija.
Yra galimybė perkelti vietinį kliento SSP duomenis į serverį, t. Y. Vieno prisijungimo pradžia pradeda veikti.

Jis įgyvendinamas per naują saugumo teikėją - "CredsSP". Galima perskaityti savo techninę specifikaciją, bet kalbant lengviau, visada turite įtraukti šią funkciją. Žinoma, atsižvelgiant į tai, kad jos darbas būtina:

"Client OS" (tas, su kuriuo eina ryšys), buvo "Windows XP" SP3 ir aukščiau.
Serverio OS (vienas, su kuriuo bus ryšys) buvo "Windows Server 2008 ir Aukščiau".

Pastaba: Nepaisant to, kad "Windows Server 2003" branduolys yra naujesnis nei XP (5.2 prieš 5.1), "Windows XP" yra naujinimas, kuris prideda NLA palaikymą ir "Windows Server 2003" - Nr. Tai yra, jei netgi prisijungiate iš labiausiai prieinamos versijos - "Windows Server 2003 R2 SP2" su visais pleistru, negalėsite prisijungti prie serverio, kuriam reikia NLA, ir būti serveriu, kuris palaiko NLA. Deja.

Kaip NLA yra įjungtas RDP serveris

Geriausia įjungti NLA visuose serveriuose per grupės politiką. Norėdami tai padaryti, eikite į tikslinės grupės politikos objektą ir nuosekliai pasirinkite "Kompiuterių konfigūracija" -\u003e "Administraciniai šablonai" -\u003e "Windows Components" -\u003e "Nuotolinio darbalaukio sesijos šeimininkas" -\u003e "Saugumas" ir įdarbinkite reikalaujamą vartotojo autentifikavimą Dėl parametro nuotolinio ryšio naudojant tinklo sluoksnio autentifikavimą.

Galite įjungti lokaliai. Tai daroma skambinant savybės submeniu (standartinis submeniu iš kompiuterio) ir pasirinkite nuotolinį skirtuką, kuriame bus pasirinkta trys parinktys - Norėdami uždrausti ryšius su KPP į šį kompiuterį, leisti jungtis su jokiu KPP, leisti tik NLA. Visada įjunkite parinktį NLA, pirmiausia apsaugo serverį.

NLA ir Windows XP

Jei turite "Windows XP", taip pat galite naudoti šią funkciją. Bendras pareiškimas "NLA, jums reikia bent" Vista ", šis" Microsoft "padarė" False ". 3 pakeitimų pakete yra pridedamas "CredsSP" įgyvendinimas, leidžiantis deleguoti kliento įgaliojimus, kuriuos vietinis SSP turi, į serverį. Tie. Lengviau sakydamas, tai yra konkrečiai, kad "Windows XP" būtų prijungtas prie sistemų su NT 6.0+. "Windows XP SP3" savaime nebus galima prisijungti prie šios funkcijos, NLA palaikymas bus dalinis (todėl RDP serveris su palaikymu kliento ryšiui naudojant "NLA" iš "Windows XP", kad galėtumėte reguliariai dirbti, "Windows XP" bus tik NLA suderinamas klientas).

Pastaba: NLA pasirodo su "NT 6.0" ir yra dalis technologijų paketo, vadinamo KPP 6.0 paketo. 3-oji paslauga XP atneša ne tik KPP 6.0, bet gebėjimas įdiegti KPP 7.0, kuri yra gana teigiama (pavyzdžiui, KPP 7.0 Yra, skirtingai 6,0, easyprint, dvikrypčio garso ir kai kurių kitų gabalų, kurie paverčia KPP klientą "Windows XP" su visomis sąžiningos sistemos cheminėmis medžiagomis). Tai žodis apie blogą "Microsoft", kuris taip siaubingai privertė visus atnaujinti su "Windows XP" į blogą "Pretext Vista", kuri jau yra nemokama techninė prekyba produkto 2001, siuvėjo naujesnį KPP posistemį, nei tai, kas nuvyko į "Vista" 2006 m.

Būtina įtraukti šią funkciją, nes, nepaisant to, kad 3 Paslaugų paketas prideda naują Dll CryptoProder, ji neįtraukia.

Kaip įjungti "CredsSp" XP

Dar kartą - ši operacija atliekama griežtai įdiegus 3 pakeitimų paketą "Windows XP" ir mūsų pokalbio kontekste reikalingas norint prisijungti prie kitų KPP 6.1 Serveriai, naudodami NLA.

Žingsnis yra pirmasis - išplėsti saugumo paketų sąrašą.
Norėdami tai padaryti, mes veiksime registro raktą

HKEY_LOCAL_MACHINE SYSTEM SANCECTIONTROLSET \\ t

ir mes jį surasime saugumo paketų vertę. Paspauskite dešinįjį mygtuką ir pasirinkite "Modifikuoti" (ne modifikuoti dvejetainius duomenis, bet tiesiog keisti). Bus "kiekvienos eilutės paketo pavadinimo" sąrašas. Turime pridėti TSPKG. Likusi dalis turi būti palikta. Įtraukimo vieta yra nekritinė.

Antrasis žingsnis yra piešti biblioteką.
Svarbiausia bus kitokia:

HKEY_LOCAL_MACHINE \\ t

Būtina rasti saugumo priemonių vertę (pranešimas, kaip ir ankstesniame atveju, tai nėra raktas, bet vertė) ir modifikuoti jį analogiškai, tik pridedant kreditus ..dll. Likusi dalis yra sąraše, dar kartą nereikia paliesti.

Dabar registro redaktorius gali būti uždarytas. Po šių operacijų sistema turės būti įkrauta, nes "CryptoProovers" - tai dalykas, kuris tiksliai nėra paimtas kelyje, ir tai yra gana gera nei blogai.

Pasirinkite tinkamą CDP sertifikatą

Jei turite galimybę naudoti ne numatytuosius CDP sertifikatą, geriau jį naudoti. Ji neturės įtakos sesijos saugumui, tačiau turės įtakos ryšio saugumui ir patogumui. Sertifikate, kuris yra optimaliai naudojamas turėtų būti taip:

Pavadinimas (temos ar SAN), kuris simbolizuoja su pavadinimu, kuris patenka į klientą prisijungti prie serverio.
Normalus CDP plėtinys, rodantis darbo CRL (pageidautina bent du - OCSP ir statinius).
Norimas raktų dydis yra 2048 bitai. Jūs galite ir daugiau, bet prisiminkite CAPI2 apribojimus XP / 2003.
Nenaudokite su parašu / maišymo algoritmų, jei reikia XP / 2003 ryšių. Trumpai tariant, pasirinkite SHA-1, tai yra pakankamai.

Išsamiau pasninkauja dėl specialaus sertifikato, skirto RDP serveriui.

Specialus sertifikato šablonas KPP serveriams

Idealiu atveju, jei KPP sertifikatas nėra pagrįstas įprastu šablonu (tipo žiniatinklio serveriu) ir turi paraiškų politikos srityje (kuris sertifikate bus labiau pažįstamas būti vadinamas enchated raktų naudojimo - EKU) standartinės vertės kliento Autentifikavimo ir serverio autentifikavimas ir pridėkite šabloną, kuris bus vienintelis, ypatingas, neprisideda prie standartinių metodų. Naudojimas - nuotolinio darbalaukio autentifikavimas. Ši paraiškos politikos vertė turės būti sukurta rankiniu būdu, jos OID bus 1.3.6.1.4.1.311.54.1.2, bet po jo jau galite padaryti naują sertifikato šabloną, remiantis tuo pagrindu ir atleiskite sertifikatą, skirtą "aštrinimui "Pagal RDP serverį.

Visiškai automatizuoti šią operaciją, atlikite naują šabloną nuspėjamą pavadinimą - pavyzdžiui, "RDpservercert" - ir eikite į grupės politikos objektą ir atidarykite kompiuterio konfigūraciją -\u003e Politika -\u003e Administraciniai šablonai -\u003e Windows Components -\u003e Nuotolinio darbalaukio paslaugos -\u003e Nuotolinio darbalaukio sesijos prieglobos -\u003e Saugumas. Pasirinkite serverio autentifikavimo sertifikato šabloną parametrą ir įjunkite jį ir įveskite vardą vertės lauke - mes padarėme rdpservercert. Dabar visi domeno šeimininkai, kuriems taikoma ši politika, bus įtrauktos į RDP pačių Eiti į sertifikavimo instituciją, prašyti sertifikato pagal nurodytą šabloną ir automatiškai, kad būtų apsaugoti KPP ryšius. Paprasta, patogi, efektyviai.

Blokuoti RDP jungčių sąskaitas su tuščiu slaptažodžiu

Smulkmena, ir jums nereikia pamiršti apie tai.
Norėdami užblokuoti sąskaitų ryšį be slaptažodžių į KPP, turite eiti į konfigūruoti grupės politikos objektą: Kompiuterių konfigūracija -\u003e Windows Settings -\u003e Apsaugos parametrai -\u003e Vietos politika -\u003e Apsaugos parinktys ir įdiegti "Paskyros: apriboti vietinę paskyros naudojimą tuščių slaptažodžių tik konsolės prisijungimui "įjungta. Nebūkite tingūs, kad patikrintumėte, ar tai yra.

ACL sąranka KPP ryšiui

Pagal nutylėjimą, prisijungti prie RDP serverio, turite turėti aiškią vartotojo prieigos ar svečių prieigos sprendimą.
Šis leidimas turi vietines administratorių ir nuotolinio darbalaukio naudotojų grupes. Geriausia naudoti nuotolinio darbalaukio naudotojų grupę valdyti prieigą prie RDP serverio, pridedant reikiamus domenų grupes į jį, o ne atskirus vartotojus. Skirtuokite Saugos skirtuko turinį į RDP-TCP savybių nustatymus Tik ekstremaliais atvejais, geriausia - pridedant grupės "Host pavadinimas RDP blokuotas", kuris yra aiškiai atsisakyta prieiga per KPP į nurodytą mazgo.

KPP greičio optimizavimas

KPP greičio optimizavimas yra gana didelė tema, todėl aš jį pasidalinu. Tai bus metodai, kurie sumažins protokolą prieš suspaudimą ir prieš optimizuojant tinklo sluoksnį.

Spalva (bitų gylis)

7.0 ir daugiau KPP ir daugiau galimybių yra 32.16 ir 8 bitai. Jei kalbame apie darbą, 16 bitų bus pakankamai. Tai žymiai sumažins kanalo apkrovą, o kartais daugiau nei 2 kartus, o tai yra stebina, bet tai. 8 bitai, žinoma, jūs taip pat galite, bet tai yra skausmingai baisu, kad atrodys. 16 bitai yra gana priimtini.

Pastaba: "Windows Server 2008 R2" nebėra 8 bitų jungtys.

Įgalinkite maksimalų spalvų gylio parinktį serveryje arba atlikite panašų veiksmą į KPP klientų nustatymus.

Atsijungti ClearType.

Kai turite Clearartype, RDP protokolas perduoda ne nuotrauką, bet simbolis traukia komandas. Įjungus vaizdą iš serverio pusės, suspaudžia ir perduoda klientą. Tai su garantija yra kelis kartus mažiau efektyvus, todėl "ClearType" išjungimas žymiai pagreitins darbo procesą ir sumažins atsako laiką. Nustebinkite save, kiek.

Tai galima padaryti tiek kliento parametrų lygiu, tiek serverio pusėje (neleiskite šrifto išlyginimui nuotolinės sesijos aplinkoje Kompiuterių konfigūracija -\u003e Politika -\u003e Administraciniai šablonai -\u003e Windows Components -\u003e Nuotolinio darbalaukio paslaugos -\u003e Nuotolinis darbalaukis Sesijos priimančioji).

Pašalinti tapetą

Įgyvendinti RD ekrano užsklandą nuotolinės sesijos skyriuje "Computer Configuration" -\u003e Politika -\u003e Administraciniai šablonai -\u003e Windows Components -\u003e Nuotolinio darbalaukio paslaugos -\u003e Nuotolinio darbalaukio sesijos šeimininkas smarkiai pagerins situaciją su terminalo sesijos ekranu. Vartotojai be kabučių darbalaukyje išgyventi normaliai, patikrinta.

Įjunkite ir sukonfigūruokite vaizdo talpyklą

Jei klientui yra pakankamai atsitiktinės prieigos atmintis, Tai yra prasminga įjungti ir konfigūruoti bitmap caching. Tai bus naudinga iki 20-50% pralaidumo. Norėdami įdiegti, turėsite eiti į raktą

HKEY_CURRENT_USER programinę įrangą "Microsoft" terminalo serverio klientas \\ t

ir sukurti bitmappersistcachesize ir bitmapcacheze parametrus ten, tiek DWORD 32 tipai.
Bitmappersistcachesize parametras žymi dydžio kilobaitų disko talpykloje. Numatytoji vertė yra 10. Svarbu padidinti šį parametrą iki mažiausiai 1000.
Bitmapcachesize parametras nurodo talpyklos kilobaitų dydį RAM. Numatytoji vertė yra 1500. Svarbu padidinti šį parametrą bent iki 5000. Bus tik 5 megabaitai kliento sesijoje, su šiuolaikine RAM mastu, tai yra nereikšminga, ir net jei jis lemia laimėjimą 10 % našumo, jis atsipirks. Beje, tas pats parametras gali būti koreguojamas pagal V.RDP failą; Jei išsaugosite savo KPP ryšį ir atidarydami failą Notepad, tada parametrai gali būti pridėta kaip bitmapcachesize: I: 5000, kur 5000 yra 5MB talpykla.

Išjunkite darbalaukio kompoziciją

Darbalaukio kompozicija atneša visų rūšių "gražus" tipo aero ir jo draugų rūšių ir yra pastebimai valgo pralaidumą. Darbui jis nėra būtinas ir kenksmingas. Leisti darbalaukio kompozicijai nuotolinio posėdžio ant nuotolinio posėdžio skyriuje kompiuterio konfigūracija -\u003e Politika -\u003e Administraciniai šablonai -\u003e Windows Components -\u003e Nuotolinio darbalaukio paslaugos -\u003e Nuotolinio darbalaukio sesijos šeimininkas, turite nustatyti neįgalųjį parametrą.

Optimizuokite darbalaukio langų tvarkyklės parametrus

Parametrai nuotolinės sesijos aplinkoje Kompiuterių konfigūracija -\u003e Politika -\u003e Administraciniai šablonai -\u003e Windows Components -\u003e Darbalaukio langų tvarkyklė, valdys "gražią" sklandžiai paliekant meniu ir pan. Jų trys - neleidžia langų animacijų, neleiskite darbalaukio kompozicijų ir neleiskite "Flip3D" kvietimo. Visi jie turi būti perjungti į įjungtą režimą, t.y. Iš esmės išjunkite visas šias funkcijas.

Išjungti peradresuoti nepanaudotus įrenginius

Jei neplanuojate prijungti tam tikrų įrenginių klasių (pvz., COM ir LPT prievadų) arba garso, prasminga išjungti gebėjimą nukreipti juos iš serverio pusės. Taigi, kad klientai su numatytuosius nustatymus RDP kliento nepadarė prijungimo laiko deryboms dėl nepanaudotos funkcinės. Tai daroma toje pačioje vietoje, kur kiti savybės serverio nustatymai turi RDP-TCP, skirtuką "Client Settings" (ten, kur mes atlikome parametrus su spalvų gyliu), peradresavimo skyriuje.

Konfigūruokite bendrą vizualinių duomenų optimizavimo logiką

Parametras, vadinamas optimizuoti vizualinės patirties KDP sesijų, esančių nuotolinėje sesijoje aplinkoje Kompiuterių konfigūracija -\u003e Politika -\u003e Administraciniai šablonai -\u003e Windows Components -\u003e Nuotolinio darbalaukio paslaugos -\u003e Nuotolinio darbalaukio sesijos prieglobos -\u003e Nuotolinė sesija aplinka, kaip KPP suvoks vizualinius duomenis - kaip multimedija arba kaip tekstą. Tai, maždaug kalbant, "užuomina" suspaudimo algoritmas, kaip raštingo elgesio. Atitinkamai reikės nustatyti šį parametrą dirbti į darbą, ir jei norite daug gražių flash banerių, HTML5 ir peržiūrėti vaizdo įrašus - geresnę pasirinkimą turtinga multimedija.

Kompresijos optimizavimas KPP.

Suspaustas RDP praėjo ilgą vystymosi būdą. Pagal KPP 5.2, buvo įtraukus suspaudimo posistemis ("kompresorius"), turintis vidinį pavadinimą "1 versija" - lengviausia ir lengviausia galimybė pakrauti kliento procesorių, bet blogiausia, kalbant apie tinklo eismo apkrovą . KPP 6.0 pagaminta "2 versija", kuri buvo šiek tiek, bet pagerino suspaudimo efektyvumo parametrą. Mes esame suinteresuoti "3 versija", kuri veikia tik prisijungiant prie "Windows Server 2008" ir vyresniu. Jis išspręsta geriausia, o procesoriaus laiko sąnaudos, atsižvelgiant į šiuolaikinių kompiuterių pajėgumus, yra nereikšmingi.

Laimėjimas, kai V3 yra įjungtas gegužės mėn., Sprendžiant bandymus, pasieks 60% ir apskritai ir be bandymų, pastebimai pastebimas ant akių.

Kaip įjungti optimalų suspaudimą KPP

Tai yra kliento sąranka. Atidarykite kompiuterio konfigūraciją norimos grupės politikos objektas -\u003e Administraciniai šablonai -\u003e "Windows" komponentai -\u003e Nuotolinio darbalaukio paslaugos -\u003e Nuotolinio darbalaukio sesijos prieglobos -\u003e Nuotolinės sesijos aplinka, pasirinkite Nustatyti suspaudimo algoritmą RDP duomenims, įjunkite jį ir pasirinkite optimizuotą Naudokite mažiau tinklo pralaidumo vertę.

Pastaba: Daugelis turi klausimą, kodėl sąraše yra "išjungti suspaudimo" parametras. Tai būtina tuo atveju, kai jūsų KPP sesijos išspausti išorinį įrenginį, kuris optimizuoja WAN ryšius, kažką panašaus į Cisco Waas. Kitais atvejais, žinoma, nėra prasmės išjungti suspaudimą.

Garso srauto suspaudimo nustatymas

RDP 7.0 atneša puikią galimybę koreguoti gaunamo garso srauto suspaudimo kokybę (i.e., garsą, kuris eina iš serverio į klientą). Tai yra gana naudinga - pavyzdžiui, jei dirbate terminalo serveryje, išskyrus bet kokius tipo aptarnavimo garsus "atėjo" ICQ "pranešimas" kiti nėra ypač planuojami. Nėra prasmės perkelti nesuspaustą CD-kokybės garsą iš serverio, jei tai nėra būtina darbui. Atitinkamai, jums reikia konfigūruoti garso srauto suspaudimo lygį.
Šis parametras bus vadinamas Limit Garso atkūrimo kokybė ir likti įrenginio ir išteklių peradresavimo skyriuje Kompiuterių konfigūracija -\u003e Politika -\u003e Administraciniai šablonai -\u003e Windows Components -\u003e Nuotolinio darbalaukio paslaugos -\u003e Nuotolinio darbalaukio sesijos šeimininkas. Bus trys galimybės:

Aukštas - garsas bus be suspaudimo. Iš viso. Tai reiškia, kad jis patenka į bendrą KPP protokolo suspaudimą, tačiau specifinis garso suspaudimas (su kokybės praradimu) nebus pagamintas.
Vidutinis - suspaudimas prisitaikys prie kanalo, kad nebūtų padidintos duomenų perdavimo vėlavimo.
Dinaminis - suspaudimas bus dinamiškai pritaikytas prie kanalo, kad vėlavimas neviršytų 150 ms.

Pasirinkite tinkamą. Kaip yra aišku, geriau pasirinkti dinamiką biuro darbui.

Duomenų srauto santykio optimizavimas KPP

KPP sesijos srautas nėra kietas. Priešingai, jis yra aiškiai suskirstytas į duomenų nukreiptų įtaisų srautus (pvz., Failo kopijavimas iš vietinio kompiuterio į terminalo serverį), garso srautą, brėžinio komandų srautą (KPP bando perduoti Komandos komandos brėžinių ir perduoda bitų kaip paskutinė išeitis), taip pat įrenginių srautų įvesties (pelės ir klaviatūros).

Dėl abipusio šių srautų santykio ir jo skaičiavimo logika (vietinių QoS) logika gali turėti įtakos. Norėdami tai padaryti, jums reikia įvesti registro raktą iš serverio

HKEY_LOCAL_MACHINE System CurrentControlset \\ t TRUMDDD

ir sukurti ten pradėti (jei nėra ten) keturi raktai:

Flowcontroldable.
"FlowcontroldisPlayBandwidth".
"Flowcontrolchannelbandwidth".
"FlowcontrolchargepostCompressChrisd"

Įveskite visus - DWORD 32. Raktų funkcionalumas bus toks.
Flowcontroldable raktas nustatys, ar prioritetas yra naudojamas visai. Jei nustatote įrenginį, prioritetas bus išjungtas, jei įjungtas nulis. Įjunkite jį.
"FlowcontroldisPlaybandwidth" ir "Flowcontrolhangenbandth" raktai ir "Flowcontrolchannelbandth" nustatys abipusį dviejų duomenų srautų santykį:

Vartotojo sąveikos srautas (vaizdo + įvesties įrenginiai)
Kiti duomenys (blokuoti įtaisai, iškarpinė ir visa kita)

Šių raktų vertės nėra kritiški; Kritiškai, kaip jie susiję. Tai yra, jei darote "FlowcontroldisPlayBandwidth" lygiavertį, o "FlowcontrolChannelbandwidth" yra keturi, tada santykis bus 1: 4, 20% pralaidumo bus išleistas vartotojui, o likusi dalis yra 80%. Jei darote 15 ir 60 - rezultatas bus identiškas, nes santykis yra tas pats.
Flowcontrolchargepostcompresin raktas nustatys, kada šis santykis yra laikomas suspausti arba po. Nulis yra prieš suspaudimą, vienas - po.

Rekomenduoju naudoti rūšis "Mūsų nuotolinis serveris yra toli ir viskas apie KPP yra prijungtas prie jo ir biuro ir 1C darbo", kad būtų galima nustatyti 1: 1 santykį ir perskaitykite jį po suspaudimo. Pagal patirtį tai tikrai gali padėti situacijai "spausdinti didelį dokumentą iš terminalo serverio į vietinį spausdintuvą." Bet tai nėra dogma - pabandyti, pagrindinė priemonė yra žinios, kaip ji yra svarstoma ir veikia - jūs jau turite.

Įjunkite Reikalauti saugaus RPC komunikacijos KPP

Šis parametras galioja panašus į "Secure RPC" nustatymus, kurie yra grupės politikos saugumo skyriuje ir veikia visoje sistemoje, tik sukonfigūruota lengviau. Įjungus šią parinktį. Jūs atliksite šifravimą, reikalingą visiems kliento RPC užklausoms (priklausomai nuo "apatinės lentos" sistemos nustatymų, bus skirtingi - RC4 / des arba, jei įjungiami FIPS-140 - 3DES / AES) ir naudojimo atveju bent jau NTLMV2 už autentifikavimo nuotolinio proceso skambutį. Visada įtraukite šią parinktį. Yra mitas apie tai, kad jis neveikia ekstrahuotoje aplinkoje. Taip nėra, o RPC apsauga neleis visiems.

Tai serverio sąranka. Atidarykite kompiuterio konfigūraciją norimos grupės politikos objektas -\u003e Administraciniai šablonai -\u003e Windows Components -\u003e Nuotolinio darbalaukio paslaugos -\u003e Nuotolinio darbalaukio sesijos prieglobos -\u003e Saugumas, pasirinkite reikalaujamą saugų RPC komunikacijos parametrą ten ir įjunkite jį.

Nuotolinis darbalaukio protokolas KPP. Nuotolinis darbalaukio protokolas suteikia nuotolinę prieigą per tinklą į kompiuterio darbalaukį, kuriame veikia "Windows" operacinė sistema. Naudojamas prijungiant plonus klientus į "Windows" terminalo serverį su "Microsoft" terminalo paslaugomis. Sukurta "Microsoft".

Oficiali parama KPP. Įtraukta į "Windows Server 2008", "Windows Server 2003", "Windows" namų serverį, "Windows XP" "Windows XP Media Center", "Tablet PC Editions", "Windows Vista Ultimate", "Enterprise" ir verslo leidimus. Viskas "Windows" versija "XP" ir "Vista" apima klientą programos nuotolinis. Darbalaukio ryšys (RDC).

KPP pagrindinės funkcijos

Šifravimo palaikymas RC-4 algoritmui su raktiniu ilgiu 128 arba 56 bitais
TLS protokolo palaikymas (transporto sluoksnio saugumas)
Vartotojo autentifikavimas naudojant "Smart Cards" (serveryje per "Microsoft" terminalo paslaugų terminalo ryšių paslaugą)
Palaikykite garsą vietiniame kompiuteryje terminalo serverio programoms
Failų sistemos peradresavimas - leidžia dirbti su vietiniais kompiuterio failais nuotolinio terminalo serveryje
Spausdintuvo peradresavimas - leidžia spausdinti vietiniame kompiuteriniame spausdintuve iš nuotolinio terminalo serverio veikimo programų
Uosto peradresavimas - atveria prieigą prie serijos ir lygiagrečių vietinio kompiuterio uostų, skirtų nuotolinio terminalo serveryje
Dalijimasis iškarpine tiek vietiniame kompiuteryje ir nuotolinio terminalo serveryje
Rodyti spalvų gylį: 24, 16, 15 arba 8 bitų

Nepaisant to, kad RDP protcolio paketai patys perduodami per tinklą šifruotoje formoje, pati terminalo sesija gali būti veikianti vidutinio atakos žmogui, nes nei serverio dalis, nei klientas nepateikia abipusio perdavimo autentifikavimo ir gautus paketus su duomenimis. Todėl statyti visiškai apsaugotą sprendimą, turite naudoti KPP apsaugą SSL lygiu, kuris pasirodo "Windows Server 2003" 1 pakeitimų pakuotėje.

Naujos funkcijos, atsirandančios šeštoje RDP versijoje

Nuotolinės programos. Tiesioginis paraiškų paleidimas serveryje pasirinktoje terminalo sesijoje neatidarant terminalo sesijos lango. Parama vietiniams kompiuterių failų asociacijoms yra galimybė paleisti programas serveryje, kad atidarytumėte dokumentą vietiniame kompiuteryje pagal failo pavadinimo pratęsimą.
Besiūliai langai. Vietinio kompiuterio lango emuliacija su paraiškos pradžia terminalo serveryje. Automatinis autentifikavimas serveryje su vartotojo abonemento duomenimis. Automatinis atitinkamos terminalo sesijos užbaigimas baigus paraišką.
Terminalo serverio šliuzai. Palaikykite RDP jungtis per IIS serverio vartai naudojant HTTPS protokolą. Pateikia saugų ryšį su terminalo serveriu, esančiu ISS vietiniame įmonės tinkle.
"Windows Aero" stiklas. Palaikykite "Windows" "Aero" stiklą, įskaitant šrifto šriftą.
"Windows" pristatymo fondas. Palaikoma bet kokiems klientams su įdiegta .NET sistema 3.0.
Visiškai pritaikoma terminalo paslaugos, įskaitant paramą scenarijai naudojant "Windows Management Instrument".
Geresnis KPP klientų pralaidumo valdymas.
Parama keliems monitoriams. Atskiriant terminalo sesijos ekraną į keletą monitorių. Jis veikia tik su "Windows Vista" sistemomis.
Rodyti spalvų gylį: 32, 24, 16, 15, arba 8 bitai