Rdp-ээр компьютерт алсын хандалтыг тохируулах. RDP-ийг хамгаалах, оновчтой болгох

Орчин үеийн компьютерийн сүлжээнд өргөн хэрэглэгддэг энэхүү протоколыг ямар ч системийн администратор мэддэг. Үүнийг ашиглан та ажиллаж байгаа алсын машинтай холбогдох боломжтой үйлдлийн систем Microsoft-ийн шугам. Та ширээний компьютер, файлын систем гэх мэтийг үзэх боломжтой болно. Тиймээс алсын компьютерын дэлгэцийн ард бие махбодийн шаардлагагүйгээр тохиргоо, урьдчилан сэргийлэх арга хэмжээний дийлэнх хэсгийг хийх боломжтой болно.

Тиймээс RDP протокол нь техникийн мэргэжилтнүүдийн зэвсгийн үндсэн бүрэлдэхүүн хэсгүүдийн нэг юм. Ажлын байраа орхилгүйгээр та сүлжээнд байгаа бүх компьютерийг удирдах, асуудлыг шийдвэрлэх боломжтой.

Гадаад төрх байдлын түүх

RDP гэсэн товчлол гэсэн үг болох Remote Desktop Protocol нь 1998 онд гарч ирсэн. Тухайн үед энэхүү өмчийн хэрэглээний түвшний протокол нь Windows NT 4.0 Terminal Server үйлдлийн системийн нэг хэсэг байсан бөгөөд клиент-серверийн програмуудыг алсаас ажиллуулах санааг хэрэгжүүлэх боломжтой болсон. Таны ойлгож байгаагаар бүх ажлын байрыг хүчирхэг компьютерээр хангах нь тэр бүр боломжгүй байдаг бөгөөд тэр ч байтугай алс холын жилүүдэд бүтээмж нь хүссэн зүйлээ үлдээдэг байв.

Энэ асуудлыг шийдвэрлэх шийдэл нь дараахь бүтээн байгуулалт юм: хүчирхэг сервер (эсвэл серверийн кластер) нь тооцоолох үйл ажиллагааны дийлэнх хэсгийг гүйцэтгэдэг бөгөөд бага хүчин чадалтай клиент компьютер / програмууд RDP протокол ашиглан түүнтэй холбогдож, даалгавраа гүйцэтгэдэг. Тиймээс хязгаарлагдмал нөөцтэй байсан ч эцсийн хэрэглэгчийн зангилаанууд дээр нарийн төвөгтэй програмууд болон програмуудтай ажиллах боломжтой болсон тул эцсийн эцэст сервер дээр үндсэн ачаалал унаж, үйлчлүүлэгч компьютер нь зөвхөн үйлдлийн үндсэн үр дүнг хүлээн авсан болно.

RDP протоколын тодорхойлолт

  • Анхдагч байдлаар TCP порт 3389 холболтод ашиглагддаг
  • Дээр дурдсанчлан холбогдсон үед алсын төхөөрөмж дээрх файлуудтай ажиллах боломжтой болно
  • Аюулгүй байдлыг хангахын тулд шифрлэлтийг 56 ба 128 битийн түлхүүрээр хэрэгжүүлдэг
  • Аюулгүй байдлын функцүүдийн хувьд TLS протоколуудын чадварыг ашигладаг
  • Хуваалцах санах ой - та алсын төхөөрөмжөөс өгөгдлийг хуулж, өөрийн компьютер дээр буулгах боломжтой.
  • Орон нутгийн нөөцийг алсын компьютерт холбох чадварыг хэрэгжүүлсэн.
  • RDP нь локал компьютерийн портууд руу нэвтрэх боломжийг олгодог (цуваа ба зэрэгцээ)

Үйл ажиллагааны зарчим

RDP нь TCP протоколын стекийн үйл ажиллагаанд суурилдаг. Юуны өмнө үйлчлүүлэгч ба серверийн хооронд тээврийн түвшинд холболт үүсдэг. Дараа нь RDP сесс эхлэв - энэ үе шатанд үндсэн параметрүүдийг тохиролцсон болно: шифрлэлт, холбогдсон төхөөрөмжүүд, график тохиргоо гэх мэт.

Бүх зүйл тохируулагдсаны дараа RDP сесс дуусахад бэлэн болно. Үйлчлүүлэгч компьютер нь гараас эсвэл хулганаар командыг илгээсний үр дүнд бий болсон график дүрсийг серверээс (үйл ажиллагааны үр дүн) хүлээн авдаг.

Баталгаажуулалт

Хэрэв RDP аюулгүй байдлыг тохируулсан бол нэвтрэлт танилт дараах байдлаар явагдана.

  1. Холболтыг эхлүүлэх үед хос RSA товчлуурууд үүсдэг
  2. Дараа нь нийтийн түлхүүрийн тусгай гэрчилгээг бий болгоно
  3. Үйлдлийн систем нь RSA гэрчилгээнд гарын үсэг зурах үйл явцыг түлхүүрээр явуулдаг
  4. Дараа нь, үйлчлүүлэгч сервертэй холбогдож, гэрчилгээг нь авдаг бөгөөд хэрэв энэ нь шалгалтаас давсан бол алсын удирдлагатай сесс эхлэнэ.

Хэрхэн эхлэх вэ?

Windows XP, Vista, Seven гэх мэт үйлдлийн системүүдэд Remote Desktop Connection клиент програмыг анхдагчаар идэвхжүүлдэг. Үүнийг эхлүүлэхийн тулд та товчлуурын товчлуурыг дарах хэрэгтэй Win + R, залгах mstsc дарна уу Оруулна уу.

RDP нь удирдлагын болон өдөр тутмын ажилд алсын зайнаас хандах тохиромжтой, үр ашигтай, практик хэрэгсэл юм.


Түүний хэрэгжилт бараг хаа сайгүй байдаг (янз бүрийн платформууд ба үйлдлийн системүүд), тэдгээрийн олонх нь байдаг тул та түүний чадварыг сайн ойлгох хэрэгтэй.

Наад зах нь энэ нь хэд хэдэн шалтгааны улмаас шаардлагатай болно.

  • Ихэнхдээ RDP-ийн оронд өөр нэг шийдлийг ашигладаг (VNC, Citrix ICA) нь энгийн шалтгаанаар "баригдсан RDP нь хамгийн бага бөгөөд юу ч хийж чадахгүй" гэж үздэг.
  • Өнөөгийн моодны технологитой холбоотой олон шийдлүүдэд (оффисоо "туранхай үйлчлүүлэгчид" шилжүүлэх, ердөө л терминалын серверүүдийг зохион байгуулах гэх мэт) "RDP нь суулгагдсан тул муу юм" гэсэн ойлголт байдаг.
  • “RDP нь VPN-гүй гадуур ил гарах боломжгүй, завсарлага” гэсэн домог байдаг (домог үндэслэлтэй боловч хуучирсан байсан).
  • Тэд домог ярьж эхэлснээс хойш “RDP-ээс Citrix руу шилжсэний дараа замын хөдөлгөөн хоёр дахин буурдаг” гэсэн ойлголт байдаг. Эцсийн эцэст, citrix нь үнэтэй тул дор хаяж 157% сэрүүн байдаг.

Эдгээр бүх домог бол утгагүй зүйл бөгөөд NT 4.0-ийн үед хамааралтай хоцрогдсон "сайн зөвлөгөө", мөн оршин тогтнох шалтгаангүй шууд уран зохиолын холимог юм. МТ бол яг нарийн шинжлэх ухаан тул та үүнийг олж мэдэх хэрэгтэй. Бүх шинэ ажиллагааг харгалзан шинэ хувилбаруудын сайн тохируулсан RDP протокол нь алсын хандалтыг зохион байгуулахад нэлээд сайн, найдвартай хэрэгсэл юм.

Тиймээс бид дараахь зүйлийг шийдвэрлэх болно.

  • RDP хувилбарын талаар товч дурьдах
  • RDP сессийн хамгаалалтын горимыг тохируулах
  • RDP-ийн шифрлэлтийг тохируулах
  • Тодорхой адаптер ба порт руу холбох
    • Стандарт портыг хүссэн порт болгон өөрчил
    • Олон сүлжээний адаптеруудад тусдаа RDP тохиргоог хийх
  • NLA-г идэвхжүүлж байна
    • NLA ба Windows XP
    • XP дээр CredSSP-ийг хэрхэн идэвхжүүлэх вэ
  • RDP-ийн гэрчилгээг зөв сонгох
  • RDP холболтыг хоосон нууц үгээр хаах
  • RDP хурдны оновчлол
  • RDP шахалтын оновчлол
    • Ерөнхий RDP шахалтыг тохируулах
    • RDP аудио шахалтыг тохируулах
  • RDP мэдээллийн урсгалын харьцааг оновчтой болгох
  • RDP-ийн аюулгүй RPC холбоог шаарддаг

Эхэлцгээе.

RDP протоколын хувилбарууд

Протокол нь NT 4.0-ээс эхлэн нэлээд урт түүхтэй. Бид түүхэн дэлгэрэнгүй мэдээллийг энгийн шалтгаанаар орхих болно.Одоохондоо зөвхөн Windows Vista SP1 дээр байдаг RDP 7.0 хувилбарын талаар ярих нь утга учиртай юм. Windows Server 2008 бөгөөд SP3 болон шинэчлэгдсэн RDP клиент суулгаж (KB 969084 холбоос дээр байрладаг) Windows XP дээр үнэгүй нэмж оруулах боломжтой. Таныг дор хаяж Windows XP-тэй гэж бодож байгаа бөгөөд хамгийн сүүлийн үеийн Service Pack-ийг суулгасан / суулгаж болох бөгөөд Windows 2000 SP2 дээрх RDP-ийн давуу талыг NT 4.0 SP5-тай харьцуулж цаг хугацаа алдахгүй байх гэж бодож байна.

RDP хуралдааны хамгаалалтын горимыг тохируулах

Үндсэндээ энэ бол даалгаврын хамгийн хялбар хэсэг юм. Доод шугам нь дараах байдалтай байна. RDP-ийн янз бүрийн хувилбарууд нь сессийг баталгаажуулах хоёр үндсэн механизмыг ашигладаг - суурилуулсан RDP ба TLS дээр сессийг "боох". Угсарсан төхөөрөмж нь хангалттай аюулгүй биш бөгөөд “RDP нь зөвхөн VPN-д гадна байж болно” гэсэн зөвлөмжийг оруулсан болно. Тиймээс TLS дэмжлэгийг үргэлж идэвхжүүлээрэй. Энэ бол таны эхлэх ёстой хамгийн бага хэмжээ юм. Зөвхөн хязгаарлалт нь серверийн хувилбар нь Windows Server 2003 SP1 болон RDP клиент 5.2 ба түүнээс дээш хувилбараас доогуур биш байх болно, гэхдээ 2011 оны эцсээр үүнийг шийдэж болно гэж бодож байна.

TLS дээр RDP-ийг хэрхэн идэвхжүүлэх вэ

Үргэлж л хэд хэдэн сонголт байдаг. Эхнийх нь Бүлгийн бодлогоор дамжуулан идэвхжүүлэх явдал юм. Үүнийг хийхийн тулд зорилтот бүлгийн бодлогын объект руу (сайн, эсвэл гэрийн ажлын станц дээрээ gpedit.msc-ийг орон нутгийн хэмжээнд ажиллуулна уу) очоод "Компьютерийн тохиргоо" -\u003e "Захиргааны загвар" -\u003e "Windows-ийн бүрэлдэхүүн хэсгүүд" -\u003e "Алсын десктопын хуралдааны хост" -ыг сонгоно уу. ”-\u003e“ Аюулгүй байдал ”, зөвхөн SSL (TLS 1.0) -ийг сонгон алсын холболтын параметрийн аюулгүй байдлын тодорхой түвшинг ашиглахыг шаардана. Та мөн илүү зөөлөн яриа хэлэлцээрийг сонгож болно, гэхдээ би үүнийг зөвлөхгүй одоогоор аюулгүй байдлын зөвшөөрөгдсөн түвшингээс доогуур байна. Лондоны ойролцоох дата төвд онцгой үнэ цэнэтэй өгөгдлийг авчирч өгөөд анхдагч RDP-тэй очих нь тэг бөгөөд асуудал хайж буй хэрэг гэж би хувийн үүлийг бүтээсэн хүний \u200b\u200bхувьд хэлж чадна.

Энэ нь илүү хялбар бөгөөд хялбар байдаг - Remote Desktop Session Host Configuration snap-in-ийг нээнэ үү (mmc-д байгаа эсвэл Захиргааны хэрэгсэл -\u003e Desktop Remote Desktop Connections цэсэнд бэлэн байгаа), жагсаалтаас Connections командыг сонгоно уу. хүссэн холболт (ихэвчлэн энэ нь нэг бөгөөд RDP-Tcp гэж нэрлэгддэг) бөгөөд Properties, дараа нь General табыг нээгээд хүссэн аюулгүй байдлын давхаргыг сонгоно уу.

TLS ажиллахын тулд тоон гэрчилгээ шаардагдана (дор хаяж серверийн талаас). Ихэнхдээ энэ нь аль хэдийн байдаг (автоматаар үүсгэгддэг), байгаа эсэхийг шалгаарай, дараа нь яаж сайн болгох талаар ярилцъя. Одоохондоо танд зүгээр л хэрэгтэй байна, эс тэгвэл та холбогдох боломжгүй болно.

RDP-ийн шифрлэлтийг тохируулах

4 шифрлэлтийн тохиргоог тохируулах боломжтой болно. Тэд тус бүрийг авч үзье.

RDP бага шифрлэлтийн горим

Хамгийн их "үгүй" горим. Аймшигтай цаг үе, RDP 5.x-ийн хувилбарууд. 56-битийн DES эсвэл 40-битийн RC2 шифрлэлтийн талаар тохиролцох боломжтой бөгөөд одоогоор тийм ч ноцтой биш байна. Шаардлагагүй, аюултай. Жишээлбэл, хэрэв та үүнийг идэвхжүүлсэн бол TLS-г идэвхжүүлэхгүй болно, учир нь TLS нь энэ сонголтыг санал болгож буй сул шифрүүдийн талаар хэлэлцээр хийхээс аль хэдийн татгалзах болно.

RDP Client нийцтэй шифрлэх горим

Хоёр дахь "үгүй" горим. Аймшигтай цаг үе, RDP 5.x-ийн хувилбарууд. 128 битийн RC4 хүртэл туршиж үзэх боловч DES / RC2-тэй шууд тохиролцох болно. Шаардлагагүй, аюултай. Мөн TLS нийцэхгүй байна.

RDP-ийн өндөр шифрлэлтийн горим

Зөвшөөрөгдсөн хамгийн бага горим. Хамгийн багадаа 128 бит RC4 шаарддаг. Windows 2000 Server w / HEP-ээс эхлээд бүх серверүүдтэй ажилладаг.

RDP FIPS140-1 шифрлэлтийн горим

Яг юу хэрэгтэй байна. Орчин үеийн тэгш хэмтэй алгоритмуудыг дэмжих бөгөөд RC2, RC4, дан DES-ийг шууд дэмжихгүй бөгөөд Message Authentication Code (MAC) -ийн бүрэн бүтэн байдлыг тооцоолохдоо MD5 биш SHA-1-ийг ашиглах болно. Энэ сонголтыг үргэлж идэвхжүүлээрэй, яагаад 3DES, AES эсвэл SHA-1 боломжгүй сервер хайж олох нь бараг боломжгүй юм.

Энэ тохиргоог хаана хийсэн бэ? Remote Desktop Session Host Configuration snap-in-ийг нээгээд (mmc-д байгаа эсвэл Захиргааны хэрэгсэл -\u003e Desktop Remote Desktop Connections цэсэнд бэлэн байгаа), Connections жагсаалтаас хүссэн холболтоо сонгоно уу (ихэвчлэн энэ нь нэг бөгөөд RDP-Tcp гэж нэрлэдэг) Properties-ийг нээгээд General tab-г нээгээд шаардлагатай шифрлэлтийн түвшинг сонгоно уу.

RDP-ийг тодорхой адаптер ба порт руу холбоно уу

Серверийг аюулгүй, урьдчилан таамаглаж ажиллахын тулд (жишээлбэл, шинэ, шинээр нэмэгдсэн сүлжээний адаптераас холболтыг хүлээн авч эхлэхгүй), RDP серверийн үйлчилгээ аль интерфейс дээр холболтыг хүлээн авах ёстойг тодорхой зааж өгөх шаардлагатай. Нэмж дурдахад, сервер холболтыг сонсдог портыг солих нь ихэвчлэн ашигтай байдаг. Мэдээжийн хэрэг та RDP-тэй серверийг зарим гарцаар дамжуулан нийтлэх замаар хийж болох боловч үүнийг ашиглахгүйгээр хийж болно. Бодит байдал дээр ийм энгийн мэт санагдах үйлдлүүд нь танил болсон портуудыг өөр "хүчирхэг хэрэгсэл" -ээр шалгадаг тэнэг скрипдкидүүдийн хувийг эрс багасгах болно.

RDP үйлчилгээг тодорхой сүлжээний адаптертай хэрхэн холбох эсвэл өөр өөр адаптеруудад өөр өөр тохиргоотой олон RDP хийх

Remote Desktop Session Host Configuration snap-in-ийг нээгээд (mmc-д байгаа эсвэл Захиргааны хэрэгсэл -\u003e Desktop Remote Desktop Connections цэсэнд бэлэн байгаа), Connections жагсаалтаас хүссэн холболтоо сонгоно уу (ихэвчлэн энэ нь нэг бөгөөд RDP-Tcp гэж нэрлэдэг) Properties-ийг нээгээд дараа нь Network Interfaces табыг нээнэ үү ... Үүн дээр та холболтыг хүлээх тодорхой интерфэйсийг сонгож, зэрэгцээ сешнүүдийн тоог хязгаарлаж болно.

Хэрэв танд олон интерфейс байгаа бол танд боломжтой 5-аас 2-ыг нь холбож өгөх шаардлагатай бол анхдагч RDP-Tcp-ийг нэг адаптерт холбоод дараа нь Action цэс рүү ороод Create New командыг сонгоно уу. Тэнд холболт. Холболт нь бүх интерфэйсүүд дээр эсвэл нэг дээр нь сонсох боломжтой бөгөөд N интерфэйсүүдийг сонсох шаардлагатай тохиолдолд N холболт үүсгэх шаардлагатай болно.

Үүний дагуу, хэрэв танд "RDP нь нэг порт дээрх нэг интерфэйсийг, нөгөө портод нөгөө програмыг сонсох болно" гэсэн даалгавар байгаа бол үүнийг ижил аргаар шийдэж болно - та бүх адаптеруудаас анхдагч RDP-Tcp-ийг тайлж, тодорхой, дараа нь шинэ RDP холболт үүсгэж, хүссэн сүлжээний интерфэйстэй холбоно уу.

RDP үйлчилгээг анхдагч порт руу хэрхэн холбох вэ?

Анхдагч порт нь 3389 TCP юм. Дашрамд хэлэхэд, үүнийг пакет шүүлтүүртээ идэвхжүүлэхээ бүү мартаарай. Хэрэв та өөр зүйл хүсч байвал бүртгэлийн түлхүүр рүү очих хэрэгтэй

HKEY_LOCAL_MACHINE \\ System \\ CurrentControlSet \\ Control \\ Terminal Server \\ WinStations \\ RDP-Tcp

мөн PortNumber утгыг засах хэрэгтэй. Боомтыг дүүргэхтэй холбоотой зөрчилдөөнийг хянах нь таны ухамсарт хамаатай гэдгийг санаарай, тэр таны томилсон боомт завгүй байгааг олж мэдээд тэр хаана ч "үсрэх" боломжгүй болно.

NLA - Сүлжээний түвшний баталгаажуулалтыг асаагаарай

NLA функц нь NT 6.0 дээр гарч ирсэн бөгөөд дараа нь XP-д зориулж SP3 суулгаж өмнөх OS хувилбарт хэсэгчлэн ашиглах боломжийг нэмж оруулсан.
Энэ функцын мөн чанар нь маш энгийн. RDP хувилбаруудад холбогдсон үед 6.0 хүртэл байна RDP үйлчлүүлэгч баталгаажуулахын өмнө нэвтрэх цонхыг харуулах хэрэгтэй - i.e. эхлээд шоу, дараа нь тэр системд нэвтрэхийг хичээх болно. Энэ нь энгийн эмзэг байдлыг бий болгодог - серверийг "шинэ сесс эхлүүлэхийг оролдъё" гэсэн олон тооны хүсэлтээр хэт их ачаалах боломжтой бөгөөд энэ нь сесс үүсгэн хэрэглэгч нэвтрэхийг хүлээх замаар бүх хүсэлтэд хариу өгөх болно. Үнэндээ энэ бол DoS-ийн чадвар юм. Үүнийг яаж шийдвэрлэх вэ? Бид үйлчлүүлэгчээс аль болох эрт итгэмжлэх жуух бичгээ хүсэх схемийг гаргаж ирэх нь логик юм. Оновчтой - домэйн дэх kerberos шиг зүйл. Үүнийг хийсэн. NLA нь дараахь хоёр зорилтыг агуулдаг

  • Терминал сесс эхлүүлэхээс өмнө үйлчлүүлэгчийг баталгаажуулдаг.
  • Орон нутгийн үйлчлүүлэгч SSP-ийн өгөгдлийг сервер рүү шилжүүлэх боломжтой болно, өөрөөр хэлбэл. Single Sign-On ажиллаж эхэлдэг.

Үүнийг CredSSP аюулгүй байдлын шинэ үйлчилгээ үзүүлэгчээр дамжуулан хэрэгжүүлдэг. Та түүний техникийн үзүүлэлтийг уншиж болно, энгийнээр хэлбэл энэ функцийг үргэлж идэвхжүүлж байх ёстой. Мэдээжийн хэрэг, түүний ажлын хувьд дараахь зүйлийг хийх шаардлагатай байна.

  • Үйлчлүүлэгчийн үйлдлийн систем (холболт хийгдсэн) нь Windows XP SP3 эсвэл түүнээс дээш хувилбар байсан.
  • Серверийн OS (холболтын холболт) нь Windows Server 2008 ба түүнээс дээшхи хувилбар байв.

Тэмдэглэл: Windows Server 2003 цөм нь XP (5.2 ба 5.1) -ээс шинэ боловч Windows XP-ийн хувьд NLA дэмжлэгийг нэмж оруулсан боловч Windows Server 2003-т зориулагдаагүй шинэчлэлт байна. Өөрөөр хэлбэл, та хамгийн хүртээмжтэй хувилбар болох Windows Server 2003 R2 SP2-ээс бүх нөхөөсүүдтэй холбогдсон ч гэсэн NLA шаарддаг сервертэй холбогдож NLA-г дэмждэг сервер байх боломжгүй болно. Харамсалтай нь.

RDP серверийн талаас NLA-г хэрхэн идэвхжүүлдэг вэ

Бүлгийн бодлогоор дамжуулан бүх серверүүд дээр NLA-г идэвхжүүлэх нь хамгийн сайн арга юм. Үүнийг хийхийн тулд зорилтот бүлгийн бодлогын объект руу очоод "Компьютерийн тохиргоо" -\u003e "Захиргааны загварууд" -\u003e "Windows бүрэлдэхүүн хэсгүүд" -\u003e "Алсын десктопын суулгалтын хост" -\u003e "Аюулгүй байдал" гэсэн хэсгүүдийг сонгоод хэрэглэгчийн баталгаажуулалтыг шаардахыг идэвхжүүлнэ үү. сүлжээний давхаргын баталгаажуулалтыг ашиглан параметрийн алсын холболтууд.

Та мөн үүнийг дотооддоо идэвхжүүлж болно. Үүнийг Properties дэд цэс рүү залгаж (ердийн Компьютерийн дэд цэс), тэндээс Алсын табыг сонгоод, тэндээс сонголт хийх боломжтой. гурван сонголт - RDP-ээр энэ хост руу холболтыг үгүйсгэх, ямар ч RDP-ээр холболт хийхийг зөвшөөрөх, зөвхөн NLA-тай зөвшөөрөх. NLA сонголтыг үргэлж идэвхжүүлээрэй, энэ нь үндсэндээ серверийг хамгаалдаг.

NLA ба Windows XP

Хэрэв танд Windows XP байгаа бол та энэ функцийг ашиглаж болно. Нийтлэг мэдэгдэл “NLA-ийн хувьд танд дор хаяж шүгэл хэрэгтэй, үүнийг шинэчлэхийн тулд Майкрософт хийсэн” гэсэн нь худлаа юм. Service Pack 3 нь сервер дээр орон нутгийн SSP-ийн эзэмшдэг үйлчлүүлэгчийн итгэмжлэлийг шилжүүлэхийн тулд CredSSP-ийн хэрэгжилтийг нэмж өгдөг. Энэ нь энгийнээр хэлбэл, Windows XP-ээс NT 6.0+ системтэй холбогдох боломжтой байхаар тусгайлан хийсэн болно. Энэ функцээр та Windows XP SP3-тэй өөрөө холбогдох боломжгүй болно, NLA дэмжлэг хэсэгчлэн байх болно (тиймээс Windows XP-ээс NLA ашиглан үйлчлүүлэгчдийг холбох дэмжлэгтэй RDP серверийг ердийн аргуудыг ашиглан хийх боломжгүй, Windows XP нь зөвхөн NLA нийцтэй үйлчлүүлэгч).

Тэмдэглэл: NLA нь NT 6.0-ээс хойш бий болсон бөгөөд RDP 6.0 нэртэй технологийн багц юм. XP-ийн 3 дахь үйлчилгээний багц нь зөвхөн RDP 6.0-г төдийгүй RDP 7.0-ийг суулгах чадварыг авчирдаг бөгөөд энэ нь нэлээд эерэг байдаг (жишээлбэл, RDP 7.0 дээр 6.0-ээс ялгаатай нь EasyPrint, хоёр чиглэлт аудио болон RDP клиентийг эргүүлдэг бусад зүйлс байдаг. Windows XP дээр бүх боодол нь нэлээд практик системд орно). Энэ бол муу Microsoft-ийн тухай бөгөөд Windows XP-ээс муу, муу whist болгон шинэчлэхийг маш ихээр албадаж байсан тул 2001 оны бүтээгдэхүүний үнэгүй үйлчилгээний багцад ч гэсэн би RDP дэд системийг оёж байснаас илүү шинэ RDP дэд системийг оёсон юм. 2006 онд гарсан.

Service Pack 3 нь криптографын үйлчилгээ үзүүлэгчийн шинэ DLL-ийг нэмж оруулсан боловч үүнийг оруулаагүй тул энэ ажиллагааг тодорхой байдлаар идэвхжүүлэх шаардлагатай байна.

XP дээр CredSSP-ийг хэрхэн идэвхжүүлэх вэ

Дахин хэлэхэд энэ үйлдлийг Windows XP дээр Service Pack 3 суулгасны дараа чандлан хийгддэг бөгөөд бидний ярианы хүрээнд NLA ашиглан RDP 6.1-ээр бусад серверүүдтэй холбогдох боломжтой байх шаардлагатай.

Нэгдүгээр алхам - Аюулгүй байдлын багцуудын жагсаалтыг өргөжүүлэх.
Үүнийг хийхийн тулд бид бүртгэлийн түлхүүрийг нээх болно

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsa

аюулгүй байдлын багцуудын утгыг олох. Хулганы баруун товчийг дараад "Өөрчлөх" -ийг сонго (Хоёртын өгөгдлийг өөрчлөх биш, зөвхөн өөрчлөх). “Мөр бүр дээр багцын нэр” гэх мэт жагсаалт байх болно. Бид тэнд tspkg нэмэх хэрэгтэй. Үлдсэнийг нь үлдээх ёстой. Нэмэх газар нь чухал биш юм.

Хоёрдахь алхам бол номын санг бэхлэх явдал юм.
Түлхүүр нь өөр өөр байх болно:

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ SecurityProviders

Үүнд та SecurityProviders-ийн утгыг олох хэрэгтэй (өмнөх тохиолдлын адил энэ нь дэд түлхүүр биш харин утга болохыг анхаарна уу), аналогоор өөрчлөх хэрэгтэй бөгөөд зөвхөн credssp.dll нэмэх хэрэгтэй. Жагсаалтын үлдсэн хэсэгт дахин хүрэх шаардлагагүй болно.

Та одоо бүртгэлийн редакторыг хааж болно. Эдгээр үйлдлүүдийн дараа системийг дахин ачаалах шаардлагатай. Крипто үйлчилгээ үзүүлэгчид бол явахад сонгогдохгүй зүйл бөгөөд энэ нь муугаас илүү сайн зүйл юм.

RDP-ийн гэрчилгээг зөв сонгох

Хэрэв танд RDP-д зориулж стандарт бус гэрчилгээ ашиглах боломж байгаа бол үүнийг ашиглах нь дээр. Энэ нь сессийн аюулгүй байдалд нөлөөлөхгүй боловч холболтын аюулгүй байдал, ашиглалтад нөлөөлнө. Хамгийн сайн ашигладаг гэрчилгээ нь дараахь зүйлийг агуулсан байх ёстой.

  • Сервертэй холбогдож буй үйлчлүүлэгчийн оруулсан нэрэнд тохирох нэр (тэмдэгтээр эсвэл SAN дээр).
  • Хэвийн CDP өргөтгөл нь ажлын CRL руу чиглүүлдэг (хамгийн багадаа хоёроос илүүгүй - OCSP ба статик).
  • Хүссэн түлхүүрийн хэмжээ нь 2048 бит юм. Илүү их зүйл боломжтой боловч XP / 2003 CAPI2-ийн хязгаарлалтыг санаарай.
  • Хэрэв танд XP / 2003 талын холболт хэрэгтэй бол гарын үсэг / хэшийн алгоритмаар туршилт хийж болохгүй. Товчхондоо SHA-1-ийг сонго, хангалттай.

RDP серверийн тусгай гэрчилгээ олгох асуудлыг би илүү нарийвчлан авч үзэх болно.

RDP серверүүдэд зориулсан гэрчилгээний тусгай загвар

RDP-ийн гэрчилгээг ердийн загвар (вэб сервер гэх мэт) дээр үндэслэн хийгээгүй бөгөөд програмын талбарт (гэрчилгээнд ихэвчлэн Enchanced Key Usage - EKU гэж нэрлэгдэх болно) стандарт үйлчлүүлэгчийн баталгаажуулалт, Серверийн баталгаажуулалтын утга, гэхдээ өөрийн загварыг нэмж оруулаарай, үүнд програмын стандарт аргаар нэмэгдээгүй цорын ганц, тусгай програм байх болно - Алсын десктопын баталгаажуулалт. Энэхүү хэрэглээний бодлогын утгыг гараар үүсгэх шаардлагатай бөгөөд түүний OID нь 1.3.6.1.4.1.311.54.1.2 байх бөгөөд үүний дараа та гэрчилгээний шинэ загвар үүсгэж болох бөгөөд үүнд гэрчилгээ олгоно. нь RDP сервер рүү чиглэсэн байдаг.

Энэ ажиллагааг бүрэн автоматжуулахын тулд шинэ загварт урьдчилан таамаглаж болохуйц нэр өгч, жишээлбэл, "RDPServerCert" гэж нэрлээд Group Policy объект руу ороод Computer Configuration -\u003e Policies -\u003e Administrative Templates -\u003e Windows Components -\u003e Remote Desktop Services-ийг нээнэ үү. -\u003e Алсын Ширээний Сесс Хост -\u003e Аюулгүй байдал. Серверийн баталгаажуулалтын гэрчилгээний загвар параметрийг сонгоод идэвхжүүлээд утгын талбарт нэр оруулна уу - бид RDPServerCert хийсэн. Одоо тэдгээрт RDP-г идэвхжүүлсэн бол энэхүү бодлогын хүрээнд багтсан бүх домэйн хостууд өөрсдөө Гэрчилгээжүүлэх газар дээр очиж, гэрчилгээгүй бол заасан загварт үндэслэн гэрчилгээ авахыг хүсч, RDP холболтыг хамгаалахын тулд автоматаар анхдагчаар тохируулах болно. . Энгийн, тохиромжтой, үр дүнтэй.

Хоосон нууц үгээр RDP дансаар дамжуулан холболтыг хаах

Хөнгөн зүйл, гэхдээ та үүнийг мартах шаардлагагүй.
RDP руу нэвтрэх нууц үггүй акаунтуудыг хаахын тулд бүлгийн бодлогын объектын тохиргоо руу орно уу: Компьютерийн тохиргоо -\u003e Windows-ийн тохиргоо -\u003e Аюулгүй байдлын тохиргоо -\u003e Орон нутгийн бодлого -\u003e Аюулгүй байдлын сонголтууд "Бүртгэлүүд: Орон нутгийн дансны хоосон зайг хязгаарлах. зөвхөн консол руу нэвтрэх нууц үгийг "To Enabled. Ийм тохиолдол байгаа эсэхийг шалгахдаа залхуурах хэрэггүй.

RDP холболтын ACL-ийг тохируулах

Анхдагч байдлаар та RDP сервертэй холбогдохын тулд хэрэглэгчийн хандалт эсвэл зочин хандалтын тодорхой зөвшөөрөлтэй байх ёстой.
Орон нутгийн Администраторууд болон Алсын Ширээний Хэрэглэгчдийн бүлгүүдэд энэ зөвшөөрөл байна. RDP сервер рүү хандах хандалтыг хянахын тулд Remote Desktop Users бүлгийг ашиглах нь хамгийн сайн арга юм. RDP-Tcp-ийн Properties тохиргоон дахь Security tab-ийн агуулгыг зөвхөн эцсийн арга хэлбэрээр өөрчлөх хэрэгтэй. Хамгийн сайн нь RDP-ийг заасан хост руу шууд нэвтрэхийг хориглосон "RDP Blocked hostname" бүлгийг нэмж оруулаарай.

RDP хурдны оновчлол

RDP хурдыг оновчтой болгох нь нэлээд өргөн хүрээтэй сэдэв тул би үүнийг хэсэг хэсгүүдэд хуваах болно. Үүнд шахахаас өмнө болон сүлжээний түвшинг оновчтой болгохоос өмнө протокол дээрх ачааллыг бууруулах аргуудыг багтаах болно.

Хром (битийн гүн)

RDP 7.0 ба түүнээс дээш хувилбаруудад 32, 16 ба 8 битийн сонголтууд боломжтой. Хэрэв бид ажлын талаар ярьж байгаа бол 16 бит хангалттай байх болно. Энэ нь суваг дээрх ачааллыг мэдэгдэхүйц бууруулах болно, үүнээс гадна заримдаа 2 дахин их байдаг нь гайхмаар боловч үнэн юм. Мэдээжийн хэрэг 8 бит нь бас боломжтой, гэхдээ энэ нь маш аймшигтай харагдах болно. 16 битийг бүрэн хүлээн зөвшөөрдөг.

Тэмдэглэл: Windows Server 2008 R2 дээр 8 битийн холболтууд байхгүй болсон.

Сервер дээрх Limit Maximum Color Depth параметрийг идэвхжүүл, эсвэл RDP клиентийн тохиргоонд ижил зүйлийг хий.

ClearType-г идэвхгүйжүүл

ClearType-г идэвхгүй болгосон тохиолдолд RDP протокол нь зураг биш харин тэмдэгт зурах командыг дамжуулдаг. Идэвхжүүлсэн үед энэ нь серверийн талаас дүрс гаргаж, шахаж, клиент рүү илгээдэг. Энэ нь үр дүнгээс хэд дахин бага байх баталгаатай тул ClearType-ийг идэвхгүй болгосноор ажлын явцыг ихээхэн хурдасгаж, хариу өгөх хугацааг багасгах болно. Та өөрөө хичнээн их гайхах болно.

Үүнийг үйлчлүүлэгчийн тохиргооны түвшинд болон серверийн талд хийж болно (Компьютерийн тохиргоо -\u003e Бодлого -\u003e Захиргааны загвар -\u003e Windows-ийн бүрэлдэхүүн хэсэг -\u003e Алсын ширээний үйлчилгээ -\u003e Remote Session Enviroment хэсэгт битгий фонтыг тэгшлэх параметрийг бүү зөвшөөр. Алсын Ширээний Сесс Хост).

Ханын зургийг арилгах

Компьютерийн тохиргоо -\u003e Бодлого -\u003e Захиргааны загвар -\u003e Windows-ийн бүрэлдэхүүн хэсгүүд -\u003e Алсын десктопын үйлчилгээ -\u003e Алсын десктопын хост хост-ийн Remote Session Enviroment хэсэгт RD Wallpaper параметрийг зайлуулах нь терминалын сесс дэлгэцийг дахин зурах нөхцөл байдлыг эрс сайжруулах болно. Ширээний муургүй хэрэглэгчид хэвийн амьдардаг бөгөөд үүнийг шалгадаг.

Зургийн кэшийг асаагаад тохируулна уу

Хэрэв үйлчлүүлэгчид хангалттай байвал санамсаргүй хандалт санах ой, bitmap кэшийг идэвхжүүлж тохируулах нь утга учиртай юм. Энэ нь зурвасын өргөний 20-50% -ийг ялах болно. Суулгахын тулд та түлхүүрийг оруулах шаардлагатай болно

HKEY_CURRENT_USER \\ SOFTWARE \\ Microsoft \\ Terminal Server Client \\

мөн BitmapPersistCacheSize ба BitmapCacheSize параметрүүдийг тэнд хоёуланг нь DWORD 32 хэлбэрээр үүсгээрэй.
BitmapPersistCacheSize параметр нь дискний кэшийн хэмжээг килобайтаар тодорхойлдог. Анхдагч нь 10. Энэ параметрийг дор хаяж 1000 болгох нь утга учиртай юм.
BitmapCacheSize параметр нь RAM дээрх кэшийн килобайт дахь хэмжээг тодорхойлно. Анхдагч утга нь 1500. Энэ параметрийг дор хаяж 5000 болгон нэмэгдүүлэх нь утга учиртай. Энэ нь үйлчлүүлэгчийн сесс тутамд ердөө 5 мегабайт байх бөгөөд орчин үеийн RAM-ийн масштабтай байх нь ач холбогдолгүй бөгөөд 10% -ийн ашиг олоход хүргэсэн ч гэсэн төлөх. Дашрамд хэлэхэд ижил параметрийг .rdp файлд засах боломжтой; Хэрэв та RDP холболтоо хадгалж, дараа нь файлыг тэмдэглэлийн дэвтэрээр нээвэл параметрүүдийн дунд bitmapcacheize гэх мэт зүйлийг нэмж болно: i: 5000, энд 5000 нь 5MB кэш юм.

Ширээний найрлагыг идэвхгүй болгох

Ширээний найрлага нь Aero болон түүний найзууд гэх мэт бүх төрлийн "нарийн ширийн зүйлийг" авчирдаг бөгөөд зурвасын өргөнийг илт иддэг. Энэ нь шаардлагагүй бөгөөд ажилд хортой юм. Компьютерийн тохиргоо -\u003e Бодлогууд -\u003e Захиргааны загварууд -\u003e Windows-ийн бүрэлдэхүүн хэсгүүд -\u003e Алсын ширээний үйлчилгээ -\u003e Алсын десктопын суулгалтын хост дахь RDP Sessions-ийн ширээний найрлагыг зөвшөөрөхийг идэвхгүйжүүлсэн байх ёстой.

Ширээний цонхны менежерийн тохиргоог оновчтой болгох

Компьютерийн тохиргоо -\u003e Бодлого -\u003e Захиргааны загвар -\u003e Windows-ийн бүрэлдэхүүн хэсгүүд -\u003e Ширээний цонхны менежерийн Алсын сесс орчны хэсэгт байгаа параметрүүд нь гөлгөр гулсах цэснүүдийн "сайхан" дэлгэцийг хянах болно. Тэдгээрийн гурав нь байдаг - Цонхны хөдөлгөөнт дүрс, Ширээний найрлага, Flip3D дуудлагыг бүү зөвшөөр. Тэд бүгдээрээ Enabled горимд шилжсэн байх ёстой, i.e. үнэндээ - эдгээр бүх функцийг идэвхгүй болго.

Ашиглагдаагүй төхөөрөмжүүдийг дахин чиглүүлэхийг идэвхгүй болгох

Хэрэв та тодорхой ангиллын төхөөрөмжүүд (жишээлбэл, COM ба LPT портууд) эсвэл аудио холболт хийхээр төлөвлөөгүй бол тэдгээрийг серверийн талаас дахин чиглүүлэх чадварыг идэвхгүй болгох нь утга учиртай юм. RDP Client-ийн анхдагч тохиргоотой үйлчлүүлэгчид ашиглагдаагүй функцийг тохиролцохын тулд холболтын цагийг үрэхгүй байхын тулд. Үүнийг бусад серверийн тохиргоотой ижил газар, RDP-Tcp-ийн Properties, Client Settings таб (бид өнгөний гүнтэй тохиргоог хийсэн газар), Redirection хэсэг дээр хийгддэг.

RDP харааны өгөгдлийг оновчтой болгох ерөнхий логикийг тохируулах

Компьютерийн тохиргоо -\u003e Бодлогууд -\u003e Захиргааны загварууд -\u003e Windows-ийн бүрэлдэхүүн хэсгүүд -\u003e Алсын ширээний үйлчилгээнүүд\u003e Remote Desktop Session Host -\u003e Remote Session Enviroment гэсэн RDP сессуудад зориулсан визуал туршлагыг сайжруулах сонголтыг хэрхэн хянах болно. RDP нь визуал өгөгдлийг мультимедиа эсвэл текст хэлбэрээр хүлээн авах болно. Энэ нь шахам алгоритмийг хэрхэн илүү чадварлаг авч явах тухай "сануулга" юм. Үүний дагуу ажлын хувьд та энэ параметрийг Текст болгон тохируулах шаардлагатай бөгөөд хэрэв та олон сайхан флаш баннер, HTML5, видео клип үзэхийг хүсвэл Rich Multimedia сонголт илүү дээр юм.

RDP шахалтын оновчлол

RDP-ийн шахалт нь урт замыг туулсан. RDP 5.2-ийг багтаасан байдлаар "Хувилбар 1" дотоод нэртэй шахалтын дэд систем ("компрессор") байсан бөгөөд энэ нь клиент процессорын ачааллын хувьд хамгийн хялбар бөгөөд хамгийн хялбар сонголт боловч сүлжээний траффикийн ачааллын хувьд хамгийн муу үзүүлэлт юм. RDP 6.0 нь "Хувилбар 2" -ыг хийсэн бөгөөд бага зэрэг сайжруулсан боловч шахалтын үр ашгийн хувьд сайжирсан. Бид Windows Server 2008 ба түүнээс дээшхи серверүүдтэй холбогдсон үед л ажилладаг “Хувилбар 3” -ыг сонирхож байна. Энэ нь бусадтай харьцуулахад илүү сайн шахагддаг бөгөөд орчин үеийн компьютеруудын хүчийг харгалзан үзэхэд процессорын цаг хугацааны өртөг нь ач холбогдолгүй юм.

V3-ийг асаахад ашиг нь туршилтаас харахад 60% -д хүрч, ерөнхийдөө тестгүйгээр ч гэсэн нүдэнд мэдэгдэхүйц мэдрэгддэг.

RDP дээр оновчтой шахалтыг хэрхэн идэвхжүүлэх вэ

Энэ бол үйлчлүүлэгчийн тохиргоо юм. Хүссэн бүлгийн бодлогын объектод Компьютерийн тохиргоо -\u003e Бодлогууд -\u003e Захиргааны маягтууд -\u003e Windows бүрэлдэхүүн хэсэг -\u003e Алсын ширээний үйлчилгээ -\u003e Remote Desktop Session Host -\u003e Remote Session Enviroment програмыг нээж, RDP өгөгдлийн параметрийн Set шахалтын алгоритмыг сонгоод идэвхжүүлж, сүлжээний зурвасын өргөнийг бага ашиглахын тулд Optimize-г сонго.

Тэмдэглэл: Жагсаалтад яагаад "шахалтыг идэвхгүй болгох" сонголт байдаг юм бол гэж олон хүмүүс гайхдаг. Энэ нь таны RDP сессүүд Cisco WAAS гэх мэт WAN холболтыг оновчтой болгодог гадны төхөөрөмжөөр шахагдсан тохиолдолд шаардлагатай болно. Мэдээжийн хэрэг бусад тохиолдолд шахалтыг идэвхгүй болгох нь утгагүй юм.

Аудио урсгалын шахалтыг тохируулах

RDP 7.0 нь ирж буй аудио урсгалын шахалтын чанарыг тохируулах маш сайн чадварыг бий болгодог (өөрөөр хэлбэл серверээс клиент рүү шилжих аудио). Жишээлбэл, хэрэв та терминалын сервер дээр ажиллаж байгаа бол бүх үйлчилгээнээс гадна "мессеж ICQ-д ирсэн" гэх мэт сонсогдож байвал бусад нь тийм ч их төлөвлөгдөөгүй болно. Ажилд ашиглах шаардлагагүй бол шахсан CD чанарын аудио серверээс дамжуулах нь утгагүй юм. Үүний дагуу та аудио урсгалын шахалтын түвшинг тохируулах хэрэгтэй.
Энэ параметр нь аудио тоглуулах чанарыг хязгаарлах гэж нэрлэгдэх бөгөөд Компьютерийн тохиргоо -\u003e Бодлого -\u003e Захиргааны загвар -\u003e Windows-ийн бүрэлдэхүүн хэсгүүд -\u003e Алсын ширээний үйлчилгээ -\u003e Алсын десктопын хост хост-ийн Төхөөрөмж ба нөөцийг дахин чиглүүлэх хэсэгт байрлах болно. Гурван сонголт байх болно:

  • Өндөр - дуу чимээ шахагдаагүй болно. Бүх. Энэ нь RDP протоколын ерөнхий шахалтад орно, гэхдээ тодорхой (алдагдалтай) аудио шахалт хийгдэхгүй.
  • Дунд - шахалт нь өгөгдөл дамжуулах хугацааг нэмэгдүүлэхгүйн тулд суваг руу дасан зохицох болно.
  • Динамик - шахалт нь сувагт динамикаар дасан зохицох бөгөөд ингэснээр саатал нь 150 м-ээс хэтрэхгүй байх болно.

Зөвийг нь сонго. Таны харж байгаагаар Dynamic-ийг оффисын ажилд сонгох нь дээр.

RDP дахь мэдээллийн урсгалын харьцааг оновчтой болгох

RDP сесс траффик нь цул биш юм. Эсрэгээр, энэ нь чиглүүлэгдсэн төхөөрөмжүүдийн өгөгдлийн урсгалд (жишээлбэл, файлыг локал хостоос терминал сервер рүү хуулах), аудио урсгал, команд дамжуулах команд команд дамжуулахад нэлээд тодорхой хуваагддаг (RDP нь команд команд дамжуулах командыг дамжуулахыг хичээдэг. , мөн bitmaps-ийг эцсийн хувилбар болгон дамжуулдаг), төхөөрөмж оролт (хулгана ба гар) дамжуулдаг.

Эдгээр урсгалын харилцан хамаарал ба түүний (хамаарлын) тооцооллын логик (орон нутгийн QoS-ийн нэг төрөл) нөлөөлж болно. Үүнийг хийхийн тулд серверийн талаас бүртгэлийн түлхүүр рүү очно уу

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ TermDD

мөн эхлэх дөрвөн товчлуурыг үүсгэж (хэрэв байхгүй бол):

  • FlowControlDisable
  • FlowControlDisplayBandwidth
  • FlowControlChannelBandwidth
  • FlowControlChargePostCompression

Бүгдэд зориулж бичнэ үү - DWORD 32. Түлхүүрүүдийн ажиллагаа дараах байдалтай байна.
FlowControlDisable товчлуур нь тэргүүлэх чиглэлийг огт ашигладаг эсэхийг тодорхойлох болно. Хэрэв та нэгийг нь зааж өгсөн бол эрэмбэлэлтийг идэвхгүйжүүлнэ, тэгийг идэвхжүүлсэн бол. Үүнийг асаагаарай.
FlowControlDisplayBandwidth ба FlowControlChannelBandwidth товчлуурууд нь хоёр өгөгдлийн урсгалын хамаарлыг тодорхойлно.

  • Хэрэглэгчийн харилцан үйлчлэлийн урсгал (зураг + оролтын төхөөрөмж)
  • Бусад өгөгдөл (блок төхөөрөмж, санах ой болон бусад бүх зүйлийг)

Эдгээр түлхүүрүүдийн утга нь өөрөө чухал биш юм; тэд хоорондоо хэрхэн холбогддог нь маш чухал юм. Өөрөөр хэлбэл, хэрэв та FlowControlDisplayBandwidth-ийг нэгтэй тэнцүү болгож, FlowControlChannelBandwidth-ийг дөрөвтэй тэнцүү болговол харьцаа 1: 4 байх бөгөөд зурвасын өргөний 20% -ийг хэрэглэгчийн харилцан үйлчлэлийн урсгалд, үлдсэн хэсэгт нь 80% -ийг хуваарилах болно. Хэрэв та 15 ба 60-ийг хийвэл харьцаа ижил тул үр дүн нь ижил байх болно.
FlowControlChargePostCompression түлхүүр нь энэ харьцааг хэзээ тооцоолохыг шахахаас өмнө эсвэл дараа нь тодорхойлно. Тэг нь шахалтын өмнө, нэг нь дараа нь байдаг.

1: 1 харьцааг тогтоож, шахсаны дараа уншихын тулд "манай алсын сервер хол байгаа бөгөөд бүгд RDP, оффист холбогддог ба 1С ажилладаг" гэсэн хэлбэрийг ашиглахыг зөвлөж байна. Туршлагаас харахад энэ нь "том хэмжээний баримт бичгийг терминал серверээс орон нутгийн хэвлэгч рүү хэвлэх" нөхцөл байдалд үнэхээр тусалж чадна. Гэхдээ энэ бол dogma биш юм. Үүнийг туршиж үзээрэй, гол хэрэгсэл бол үүнийг хэрхэн тоолж, ажилладгийг мэддэг болно.

RDP-ийн аюулгүй RPC холбоог шаардахыг идэвхжүүлнэ үү

Энэ тохиргоо нь Бүлгийн Бодлогын Аюулгүй байдлын хэсэгт байгаа Secure RPC-ийн тохиргоотой адилхан ажилладаг бөгөөд бүхэл системд хамаатай бөгөөд үүнийг тохируулах нь илүү хялбар байдаг. Энэ параметрийг идэвхжүүлснээр та үйлчлүүлэгчийн RPC-ийн бүх хүсэлтэд шифрлэлтийг заавал хийх болно (системийн тохиргооноос хамааран шифрлэлтийн "доод мөр" нь өөр өөр байх болно - RC4 / DES эсвэл хэрэв FIPS-140 идэвхжсэн бол 3DES / AES) ба алсын зайнаас процедурын дуудлага хийхдээ дор хаяж NTLMv2 ашиглана уу. Энэ сонголтыг үргэлж идэвхжүүлээрэй. Домэйн бус орчинд ажиллахгүй гэсэн домог байдаг. Энэ нь тийм биш бөгөөд RPC-ийн аюулгүй байдлыг чангатгах нь хэн нэгэнд хохирол учруулахгүй.

Энэ бол серверийн тохиргоо юм. Компьютерийн тохиргоо -\u003e Бодлогууд -\u003e Захиргааны загварууд -\u003e Windows-ийн бүрэлдэхүүн хэсгүүд -\u003e Алсын ширээний үйлчилгээ -\u003e Алсын десктопын суулгалтын хост -\u003e Аюулгүй байдлыг хүссэн GPO дээр нээгээд тэндээс Шаардлагатай аюулгүй RPC холбооны параметрийг сонгоод идэвхжүүлнэ үү.

Алсын ширээний протокол RDP (Remote Desktop Protocol) нь Windows үйлдлийн систем ажиллуулж байгаа компьютеруудын десктоп руу сүлжээгээр дамжуулан алсаас нэвтрэх боломжийг олгодог. Microsoft Terminal Services-ийг ажиллуулж буй Windows терминал сервер рүү нимгэн клиентүүдийг холбоход ашигладаг. Майкрософт боловсруулсан.

Албан ёсны дэмжлэг RDP Windows Server 2008, Windows Server 2003, Windows Home Server, Windows XP Professional, Windows XP Media Center, Tablet PC Editions, Windows Vista Ultimate, Enterprise, Business хувилбаруудад багтсан болно. Бүгд windows хувилбарууд XP ба Vista-д үйлчлүүлэгч багтдаг алсын програм Ширээний холболт (RDC).

RDP протоколын гол шинж чанарууд

  • 128 эсвэл 56 битийн түлхүүрийн урттай RC-4 шифрлэлтийг дэмждэг
  • TLS (Transport Layer Security) протоколуудыг дэмждэг
  • Ухаалаг карт ашиглан хэрэглэгчийн баталгаажуулалт (Microsoft Terminal Services-ээр дамжуулан сервер дээр)
  • Терминал серверийн програмуудад зориулсан локал компьютерийн аудио дэмжлэг
  • File System Redirection - алсын терминалын сервер дээр локал компьютерийн файлуудтай ажиллах боломжийг танд олгоно
  • Printer Redirection - алсын терминалын сервер дээр ажилладаг програмуудаас локал компьютер дээр хэвлэгч рүү хэвлэх боломжийг олгодог
  • Port Redirection - алсын терминалын сервер дээр ажилладаг програмуудад зориулж локал компьютерийн цуваа болон зэрэгцээ портууд руу нэвтрэх боломжийг нээдэг
  • Санах ойн санах ойг локал компьютер болон алсын терминалын сервер дээр хуваалцах
  • Өнгөний гүнийг харуулах: 24, 16, 15 эсвэл 8 бит

RDP протоколын пакетууд өөрсдөө сүлжээгээр дамжин шифрлэгдсэн хэлбэрээр дамжуулагддаг хэдий ч терминал сесс өөрөө Man In the Middle халдлагад өртөх боломжтой, учир нь сервер тал болон үйлчлүүлэгч талууд дамжуулж хүлээн авсан харилцан баталгаажуулалтыг хийдэггүй. өгөгдлийн багц. Тиймээс бүрэн аюулгүй шийдлүүдийг бий болгохын тулд Windows Server 2003 Service Pack 1-д нэвтрүүлсэн RDP SSL хамгаалалтыг ашиглах ёстой.

RDP-ийн зургаа дахь хувилбар дахь шинэ боломжууд

  • Алсын програмууд. Сервер дээрх програмуудыг терминалын сесс цонхыг нээхгүйгээр тусгай зориулалтын терминал дээр шууд ажиллуулах. Локал компьютерын файлын холболтуудыг дэмжих - файлын нэр дээрх өргөтгөлийн дагуу локал компьютер дээр документ нээх сервер дээр програм ажиллуулах чадвар.
  • Seamless Windows. Терминал сервер дээр програм ажиллуулснаар локал компьютерийн цонхны эмуляц. Хэрэглэгчийн дансны дэлгэрэнгүй мэдээллийг сервер дээр автоматаар баталгаажуулах. Аппликешн дуусахад холбогдох терминалын сессийг автоматаар цуцлах.
  • Терминал серверийн гарц. Https протокол ашиглан RDS холболтыг IIS гарцын серверээр дамжуулан дэмждэг. Байгууллагын дотоод сүлжээнд ОУСС-ийн ард байрлах терминал сервертэй аюулгүй холболтоор хангадаг.
  • Windows Aero Glass. ClearType фонтыг тэгшлэх зэрэг Windows Aero Glass дэмжлэг.
  • Windows танилцуулах сан. .NET Framework 3.0 суулгасан бүх клиент дээр дэмжигддэг.
  • Windows Management Instrumentation ашиглан скриптийн дэмжлэгийг багтаасан бүрэн тохируулсан терминал үйлчилгээ.
  • RDP үйлчлүүлэгчдэд зориулсан зурвасын өргөний менежментийг сайжруулсан.
  • Олон тооны мониторуудад зориулсан дэмжлэг. Терминалын сесс дэлгэцийг олон монитор болгон хуваах. Зөвхөн Windows Vista системтэй ажилладаг.
  • Өнгөний гүнийг харуулах: 32, 24, 16, 15 эсвэл 8 бит


Бид уншихыг зөвлөж байна