กำหนดค่าการเข้าถึงคอมพิวเตอร์ระยะไกลผ่าน rdp การปกป้องและเพิ่มประสิทธิภาพ RDP

ผู้ดูแลระบบทุกคนรู้จักโปรโตคอลนี้ซึ่งใช้กันอย่างแพร่หลายในเครือข่ายคอมพิวเตอร์สมัยใหม่ ใช้มันคุณสามารถเชื่อมต่อกับเครื่องระยะไกลที่กำลังทำงานอยู่ ระบบปฏิบัติการ สาย Microsoft. คุณจะสามารถเข้าถึงเดสก์ท็อประบบไฟล์และอื่น ๆ ดังนั้นจึงเป็นไปได้ที่จะดำเนินการตั้งค่าและมาตรการป้องกันจำนวนมากโดยไม่จำเป็นต้องมีตัวตนอยู่ด้านหลังหน้าจอของพีซีระยะไกล

นั่นคือเหตุผลที่โปรโตคอล RDP เป็นหนึ่งในองค์ประกอบหลักในคลังแสงของผู้เชี่ยวชาญด้านเทคนิค คุณสามารถจัดการคอมพิวเตอร์ทั้งหมดที่มีอยู่ในเครือข่ายและแก้ไขปัญหาได้โดยไม่ต้องออกจากที่ทำงาน

ประวัติความเป็นมา

โพรโทคอลเดสก์ท็อประยะไกลซึ่งเป็นคำย่อของ RDP ปรากฏในปี 1998 ในเวลานั้นโปรโตคอลระดับแอปพลิเคชันที่เป็นกรรมสิทธิ์นี้เป็นส่วนหนึ่งของระบบปฏิบัติการ Windows NT 4.0 Terminal Server และทำให้สามารถใช้แนวคิดการทำงานระยะไกลของแอปพลิเคชันไคลเอนต์เซิร์ฟเวอร์ได้ ตามที่คุณเข้าใจเป็นไปไม่ได้เสมอไปที่จะจัดหาสถานที่ทำงานทั้งหมดด้วยคอมพิวเตอร์ที่มีประสิทธิภาพและแม้ในช่วงหลายปีที่ผ่านมาประสิทธิภาพการทำงานก็ยังคงเป็นที่ต้องการอยู่มาก

วิธีแก้ปัญหานี้คือโครงสร้างต่อไปนี้: เซิร์ฟเวอร์ที่มีประสิทธิภาพ (หรือคลัสเตอร์ของเซิร์ฟเวอร์) ดำเนินการประมวลผลจำนวนมากและคอมพิวเตอร์ไคลเอนต์ / แอปพลิเคชันที่ใช้พลังงานต่ำจะเชื่อมต่อกับเซิร์ฟเวอร์โดยใช้โปรโตคอล RDP และดำเนินการตามภารกิจ ดังนั้นจึงเป็นไปได้ที่จะทำงานกับแอปพลิเคชันและโปรแกรมที่ซับซ้อนบนโหนดของผู้ใช้ปลายทางแม้ว่าจะมีทรัพยากรที่ จำกัด ก็ตาม แต่ภาระหลักก็ตกลงบนเซิร์ฟเวอร์และพีซีไคลเอนต์ได้รับเฉพาะผลลัพธ์หลักของการทำงานบนจอภาพเท่านั้น

คำอธิบายโปรโตคอล RDP

  • โดยค่าเริ่มต้นพอร์ต TCP 3389 ใช้สำหรับการเชื่อมต่อ
  • ดังที่ได้กล่าวมาแล้วเมื่อเชื่อมต่อคุณสามารถทำงานกับไฟล์บนเครื่องระยะไกลได้
  • เพื่อความปลอดภัยการเข้ารหัสจะใช้คีย์ 56 และ 128 บิต
  • นอกจากนี้สำหรับฟังก์ชันการรักษาความปลอดภัยจะใช้ความสามารถของโปรโตคอล TLS
  • คลิปบอร์ดที่ใช้ร่วมกัน - คุณสามารถคัดลอกข้อมูลจากเครื่องระยะไกลและวางลงในเครื่องพีซีของคุณได้
  • ใช้ความสามารถในการเชื่อมต่อทรัพยากรท้องถิ่นกับพีซีระยะไกล
  • RDP ให้การเข้าถึงพอร์ตคอมพิวเตอร์ภายใน (อนุกรมและขนาน)

หลักการทำงาน

RDP ขึ้นอยู่กับการทำงานของสแต็กโปรโตคอล TCP ก่อนอื่นการเชื่อมต่อถูกสร้างขึ้นระหว่างไคลเอนต์และเซิร์ฟเวอร์ที่ระดับการขนส่ง จากนั้นเซสชัน RDP จะเริ่มขึ้น - ในขั้นตอนนี้จะมีการตกลงพารามิเตอร์หลัก ได้แก่ การเข้ารหัสอุปกรณ์ที่เชื่อมต่อการตั้งค่ากราฟิก ฯลฯ

เมื่อกำหนดค่าทุกอย่างแล้วเซสชัน RDP ก็พร้อมใช้งานอย่างสมบูรณ์ พีซีไคลเอนต์ได้รับภาพกราฟิกจากเซิร์ฟเวอร์ (ผลของการดำเนินการ) ที่เกิดขึ้นจากการส่งคำสั่งจากแป้นพิมพ์หรือเมาส์

การรับรองความถูกต้อง

หากกำหนดค่าความปลอดภัย RDP การรับรองความถูกต้องจะเกิดขึ้นดังนี้:

  1. เมื่อเริ่มต้นการเชื่อมต่อจะมีการสร้างคีย์ RSA ขึ้นมาคู่หนึ่ง
  2. ถัดไปจะมีการสร้างใบรับรองคีย์สาธารณะพิเศษ
  3. ระบบปฏิบัติการดำเนินการขั้นตอนการลงนามใบรับรอง RSA ด้วยคีย์
  4. ถัดไปไคลเอนต์เชื่อมต่อกับเซิร์ฟเวอร์รับใบรับรองจากเซิร์ฟเวอร์และหากผ่านการตรวจสอบเซสชันการควบคุมระยะไกลจะเริ่มต้น

วิธีการเริ่มต้น

ในระบบปฏิบัติการเช่น Windows XP, Vista, Seven, ซอฟต์แวร์ไคลเอ็นต์ Remote Desktop Connection จะเปิดใช้งานโดยค่าเริ่มต้น ในการเปิดใช้งานคุณต้องกดแป้นพิมพ์ลัด ชนะ + ร, โทร mstsc แล้วกด ป้อน.

RDP เป็นเครื่องมือที่สะดวกมีประสิทธิภาพและใช้งานได้จริงสำหรับการเข้าถึงระยะไกลทั้งเพื่อวัตถุประสงค์ในการดูแลระบบและสำหรับงานประจำวัน


เมื่อพิจารณาว่าการนำไปใช้งานนั้นมีอยู่เกือบทุกที่ (แพลตฟอร์มและระบบปฏิบัติการต่างๆ) และมีหลายแพลตฟอร์มคุณต้องมีความเข้าใจในความสามารถของมันเป็นอย่างดี

อย่างน้อยก็จำเป็นด้วยเหตุผลหลายประการ:

  • บ่อยครั้งแทนที่จะใช้ RDP จะมีการใช้โซลูชันอื่น (VNC, Citrix ICA) ด้วยเหตุผลง่ายๆ - สันนิษฐานว่า "RDP ในตัวมีน้อยและไม่สามารถทำอะไรได้เลย"
  • ในหลาย ๆ โซลูชันที่เกี่ยวข้องกับเทคโนโลยีคลาวด์ที่ทันสมัยในปัจจุบัน (การถ่ายโอนสำนักงานไปยัง "ไคลเอนต์แบบบาง" และเพียงแค่จัดระเบียบเซิร์ฟเวอร์เทอร์มินัล) มีความเห็นว่า "RDP ไม่ดีเนื่องจากมีอยู่ในตัว"
  • มีตำนานมาตรฐานเกี่ยวกับความจริงที่ว่า“ RDP ไม่สามารถเปิดเผยภายนอกได้หากไม่มี VPN การฝ่าวงล้อม” (ตำนานมีเหตุผล แต่ล้าสมัยไปนานแล้ว)
  • ตั้งแต่พวกเขาเริ่มพูดถึงตำนานมีความเห็นว่า“ หลังจากเปลี่ยนจาก RDP เป็น Citrix ปริมาณการใช้งานจะลดลงสองสามครั้ง” ท้ายที่สุดซิทริกซ์มีราคาแพงดังนั้นอย่างน้อย 157% จึงเย็นกว่า

ตำนานทั้งหมดนี้เป็นเรื่องไร้สาระและเป็นส่วนผสมของ "คำแนะนำที่ดี" ที่ล้าสมัยซึ่งเกี่ยวข้องในสมัยของ NT 4.0 ตลอดจนเรื่องสมมติที่ไม่มีเหตุผล เนื่องจากไอทีเป็นศาสตร์ที่แน่นอนคุณจึงต้องคิดให้ออก โปรโตคอล RDP เวอร์ชันใหม่ที่ได้รับการปรับแต่งมาเป็นอย่างดีโดยคำนึงถึงฟังก์ชันการทำงานใหม่ทั้งหมดเป็นเครื่องมือที่ค่อนข้างดีและเชื่อถือได้ในการจัดการการเข้าถึงระยะไกล

ดังนั้นเราจะจัดการกับ:

  • การกล่าวถึงเวอร์ชัน RDP โดยย่อ
  • การกำหนดค่าโหมดการป้องกันของเซสชัน RDP
  • การกำหนดค่าการเข้ารหัสสำหรับ RDP
  • เชื่อมโยงกับอะแดปเตอร์และพอร์ตเฉพาะ
    • เปลี่ยนพอร์ตมาตรฐานเป็นพอร์ตที่ต้องการ
    • ทำการตั้งค่า RDP แยกกันสำหรับอะแดปเตอร์เครือข่ายหลายตัว
  • การเปิดใช้งาน NLA
    • NLA และ Windows XP
    • วิธีเปิดใช้งาน CredSSP ใน XP
  • การเลือกใบรับรองที่เหมาะสมสำหรับ RDP
  • การบล็อกการเชื่อมต่อ RDP ไปยังบัญชีด้วยรหัสผ่านว่างเปล่า
  • การเพิ่มประสิทธิภาพความเร็ว RDP
  • การเพิ่มประสิทธิภาพการบีบอัด RDP
    • การกำหนดค่าการบีบอัด RDP ทั่วไป
    • การกำหนดค่าการบีบอัดเสียง RDP
  • การปรับอัตราส่วนของสตรีมข้อมูล RDP ให้เหมาะสม
  • การเปิดใช้งานต้องการการสื่อสาร RPC ที่ปลอดภัยสำหรับ RDP

มาเริ่มกันเลย.

เวอร์ชันโปรโตคอล RDP

โปรโตคอลนี้มีประวัติยาวนานพอสมควรโดยเริ่มจาก NT 4.0 เราจะทิ้งรายละเอียดทางประวัติศาสตร์ไว้ด้วยเหตุผลง่ายๆ - ในขณะนี้มันสมเหตุสมผลแล้วที่จะพูดถึงเฉพาะรุ่น RDP 7.0 ซึ่งอยู่ใน Windows Vista SP1 / Windows Server 2008 และสามารถเพิ่มลงใน Windows XP ได้ฟรีโดยติดตั้ง SP3 และไคลเอนต์ RDP ที่อัปเดตแล้ว (อยู่ที่ลิงค์ไปยัง KB 969084) ฉันคิดว่าคุณมี Windows XP เป็นอย่างน้อยและคุณมี / สามารถติดตั้ง Service Pack ล่าสุดได้และไม่ต้องเสียเวลาพูดคุยถึงข้อดีของ RDP ใน Windows 2000 SP2 บน NT 4.0 SP5

การกำหนดค่าโหมดป้องกันเซสชัน RDP

โดยทั่วไปนี่เป็นส่วนที่ง่ายที่สุดของงาน บรรทัดล่างมีดังนี้ RDP เวอร์ชันต่างๆใช้กลไกหลักสองอย่างในการรักษาความปลอดภัยเซสชัน - RDP ในตัวและ "ตัด" เซสชันใน TLS ในตัวไม่ปลอดภัยเพียงพอและคำแนะนำ“ RDP สามารถอยู่ภายนอกได้ใน VPN เท่านั้น” นั้นเกี่ยวกับเรื่องนี้ ดังนั้นให้เปิดใช้งานการสนับสนุน TLS เสมอ นี่คือขั้นต่ำที่คุณควรเริ่มต้นด้วย ข้อ จำกัด เพียงอย่างเดียวคือเวอร์ชันของเซิร์ฟเวอร์ไม่ต่ำกว่า Windows Server 2003 SP1 และไคลเอนต์ RDP 5.2 ขึ้นไป แต่ฉันคิดว่าสิ่งนี้ในตอนท้ายของปี 2011 นั้นสามารถแก้ไขได้

วิธีเปิดใช้งาน RDP ผ่าน TLS

เช่นเคยมีหลายตัวเลือก อย่างแรกคือการเปิดใช้งานผ่านนโยบายกลุ่ม ในการดำเนินการนี้ให้ไปที่วัตถุนโยบายกลุ่มเป้าหมาย (หรือเรียกใช้ gpedit.msc บนเวิร์กสเตชันที่บ้านของคุณ) แล้วเลือก“ การกำหนดค่าคอมพิวเตอร์” -\u003e“ เทมเพลตการดูแลระบบ” -\u003e“ ส่วนประกอบของ Windows” -\u003e“ โฮสต์เซสชันเดสก์ท็อประยะไกล ” -\u003e“ ความปลอดภัย” และเปิดใช้งานต้องใช้เลเยอร์ความปลอดภัยเฉพาะสำหรับพารามิเตอร์การเชื่อมต่อระยะไกลโดยเลือก SSL (TLS 1.0) เท่านั้น นอกจากนี้คุณยังสามารถเลือกการเจรจาที่นุ่มนวลขึ้นได้ แต่ฉันไม่อยากแนะนำเพราะ ในขณะนี้มีความซ้ำซากต่ำกว่าระดับความปลอดภัยที่ยอมรับได้ ในฐานะคนที่สร้างคลาวด์ส่วนตัวที่มีระดับความปลอดภัยสูงเพียงพอฉันสามารถพูดได้ว่าจุดที่นำข้อมูลที่มีค่าโดยเฉพาะไปยังศูนย์ข้อมูลใกล้ลอนดอนและไปที่นั่นโดยค่าเริ่มต้น RDP เป็นศูนย์และเป็นการค้นหาปัญหา

ง่ายขึ้นและง่ายขึ้น - เปิดสแนปอินการกำหนดค่าโฮสต์เซสชันเดสก์ท็อประยะไกล (พบใน mmc หรือพร้อมใช้งานในเมนู Administrative Tools -\u003e Remote Desktop Connections) เลือก Connections จากรายการ การเชื่อมต่อที่ต้องการ (โดยปกติจะเป็นหนึ่งและเรียกว่า RDP-Tcp) และเปิด Properties จากนั้นแท็บ General และเลือก Security Layer ที่ต้องการ

เพื่อให้ TLS ทำงานได้จำเป็นต้องมีใบรับรองดิจิทัล (อย่างน้อยจากฝั่งเซิร์ฟเวอร์) โดยปกติจะมีอยู่แล้ว (สร้างขึ้นโดยอัตโนมัติ) ตรวจสอบให้แน่ใจว่ามีอยู่แล้วเราจะพูดถึงวิธีทำให้ดีในภายหลัง ตอนนี้คุณแค่ต้องการมันมิฉะนั้นคุณจะไม่สามารถเชื่อมต่อได้

การกำหนดค่าการเข้ารหัสสำหรับ RDP

4 ตัวเลือกการเข้ารหัสจะพร้อมใช้งานสำหรับการกำหนดค่า ลองพิจารณาแต่ละข้อ

โหมดการเข้ารหัส RDP ต่ำ

โหมด "ไม่" มากที่สุด มรดกแห่งช่วงเวลาที่เลวร้ายและเวอร์ชันของ RDP 5.x. สามารถต่อรองการเข้ารหัส DES 56 บิตหรือ 40 บิต RC2 ซึ่งไม่ร้ายแรงในขณะนี้ ไม่จำเป็นและเป็นอันตราย ตัวอย่างเช่นหากคุณเปิดใช้งาน TLS จะไม่ถูกเปิดใช้งานเนื่องจาก TLS จะปฏิเสธที่จะเจรจาต่อรองการเข้ารหัสที่มีตัวเลือกนี้เสนอ

โหมดเข้ารหัสที่เข้ากันได้กับไคลเอนต์ RDP

โหมด“ ไม่” ที่สอง มรดกแห่งช่วงเวลาที่เลวร้ายและเวอร์ชันของ RDP 5.x. จะพยายามสูงสุด 128 บิต RC4 แต่ตกลง DES / RC2 ทันที ไม่จำเป็นและเป็นอันตราย ยังไม่รองรับ TLS

RDP โหมดการเข้ารหัสสูง

โหมดขั้นต่ำที่อนุญาต ต้องการ RC4 อย่างน้อย 128 บิต ทำงานร่วมกับเซิร์ฟเวอร์ทั้งหมดที่เริ่มต้นจาก Windows 2000 Server w / HEP

RDP FIPS140-1 โหมดการเข้ารหัส

สิ่งที่จำเป็น จะสนับสนุนอัลกอริธึมแบบสมมาตรที่ทันสมัยและจะไม่สนับสนุน RC2, RC4, DES เดี่ยวอย่างชัดเจนและยังบังคับให้ใช้ SHA-1 แทน MD5 สำหรับการคำนวณความสมบูรณ์ของ Message Authentication Code (MAC) เปิดใช้งานตัวเลือกนี้เสมอการค้นหาเซิร์ฟเวอร์ที่ไม่สามารถ 3DES, AES หรือ SHA-1 นั้นแทบจะเป็นไปไม่ได้

การตั้งค่านี้เสร็จสิ้นเมื่อใด เปิดสแน็ปอินคอนฟิกูเรชันโฮสต์เซสชันเดสก์ท็อประยะไกล (พบใน mmc หรือสำเร็จรูปในเมนูเครื่องมือการดูแลระบบ -\u003e การเชื่อมต่อเดสก์ท็อประยะไกล) เลือกการเชื่อมต่อที่ต้องการจากรายการการเชื่อมต่อ (โดยปกติจะเป็นรายการเดียวและเรียกว่า RDP-Tcp) และเปิดคุณสมบัติจากนั้นแท็บทั่วไปจากนั้นเลือกระดับการเข้ารหัสที่ต้องการ

ผูก RDP เข้ากับอะแด็ปเตอร์และพอร์ตเฉพาะ

เพื่อให้เซิร์ฟเวอร์ทำงานได้อย่างปลอดภัยและคาดการณ์ได้ (ตัวอย่างเช่นเซิร์ฟเวอร์ไม่เริ่มยอมรับการเชื่อมต่อจากอะแดปเตอร์เครือข่ายใหม่ที่เพิ่มใหม่) คุณต้องระบุอย่างชัดเจนว่าอินเทอร์เฟซใดที่บริการเซิร์ฟเวอร์ RDP ควรยอมรับการเชื่อมต่อ นอกจากนี้การสลับพอร์ตที่เซิร์ฟเวอร์รับฟังการเชื่อมต่อมักเป็นประโยชน์ แน่นอนคุณสามารถทำได้โดยการเผยแพร่เซิร์ฟเวอร์ที่มี RDP ผ่านเกตเวย์บางตัว แต่คุณสามารถทำได้โดยไม่ต้องใช้มัน การกระทำพื้นฐานที่ดูเหมือนจะเป็นจริงในความเป็นจริงจะช่วยลดเปอร์เซ็นต์ของ scriptkiddis ผู้โง่เขลาที่ตรวจสอบพอร์ตที่รู้จักกันดีด้วย "เครื่องมือที่มีประสิทธิภาพ" อื่น

วิธีผูกบริการ RDP เข้ากับอะแดปเตอร์เครือข่ายเฉพาะหรือทำ RDP หลายตัวด้วยการตั้งค่าที่แตกต่างกันสำหรับอะแดปเตอร์ที่แตกต่างกัน

เปิดสแน็ปอินคอนฟิกูเรชันโฮสต์เซสชันเดสก์ท็อประยะไกล (พบใน mmc หรือสำเร็จรูปในเมนูเครื่องมือการดูแลระบบ -\u003e การเชื่อมต่อเดสก์ท็อประยะไกล) เลือกการเชื่อมต่อที่ต้องการจากรายการการเชื่อมต่อ (โดยปกติจะเป็นรายการเดียวและเรียกว่า RDP-Tcp) แล้วเปิด Properties จากนั้นแท็บ Network Interfaces ... ในนั้นคุณสามารถเลือกอินเทอร์เฟซเฉพาะหนึ่งรายการที่จะรอการเชื่อมต่อและ จำกัด จำนวนเซสชันคู่ขนาน

หากคุณมีอินเทอร์เฟซจำนวนมากและต้องการให้สามารถเชื่อมต่อผ่าน 2 ใน 5 อินเทอร์เฟซที่มีอยู่คุณจะต้องผูก RDP-Tcp เริ่มต้นกับอะแดปเตอร์หนึ่งตัวจากนั้นไปที่เมนู Action และเลือก Create New การเชื่อมต่อที่นั่น การเชื่อมต่อสามารถรับฟังได้บนอินเทอร์เฟซทั้งหมดหรือแบบต่อเดียวและในกรณีที่จำเป็นสำหรับการฟังบนอินเทอร์เฟซ N คุณจะต้องสร้างการเชื่อมต่อ N

ดังนั้นหากคุณมีภารกิจ "เพื่อให้ RDP ฟังบนอินเทอร์เฟซหนึ่งบนพอร์ตหนึ่งและอีกพอร์ตหนึ่ง - อีกพอร์ตหนึ่ง" ก็สามารถแก้ไขได้ในลักษณะเดียวกัน - คุณปลด RDP-Tcp เริ่มต้นจากอะแดปเตอร์ทั้งหมดและเชื่อมโยงกับ เฉพาะหลังจาก - สร้างการเชื่อมต่อ RDP ใหม่และเชื่อมโยงกับอินเทอร์เฟซเครือข่ายที่ต้องการ

วิธีผูกบริการ RDP กับพอร์ตที่ไม่ใช่ค่าเริ่มต้น

พอร์ตเริ่มต้นคือ 3389 TCP อย่างไรก็ตามอย่าลืมเปิดใช้งานในตัวกรองแพ็คเก็ตของคุณ ถ้าคุณต้องการอย่างอื่นคุณต้องไปที่คีย์รีจิสทรี

HKEY_LOCAL_MACHINE \\ System \\ CurrentControlSet \\ Control \\ Terminal Server \\ WinStations \\ RDP-Tcp

และแก้ไขค่า PortNumber ในนั้น โปรดทราบว่าการติดตามความขัดแย้งในแง่ของการครอบครองท่าเรือนั้นขึ้นอยู่กับความรู้สึกผิดชอบชั่วดีของคุณเขาเองเมื่อพบว่าท่าเรือที่คุณกำหนดไม่ว่างจะไม่สามารถ "กระโดด" ไปที่ใดก็ได้

เปิด NLA - การตรวจสอบสิทธิ์ระดับเครือข่าย

ฟังก์ชัน NLA ปรากฏใน NT 6.0 และต่อมาได้เพิ่มความสามารถในการใช้งานบางส่วนในระบบปฏิบัติการเวอร์ชันก่อนหน้าโดยการติดตั้ง SP3 สำหรับ XP
สาระสำคัญของฟังก์ชันนี้ค่อนข้างง่าย ในเวอร์ชัน RDP สูงสุด 6.0 เมื่อเชื่อมต่อผ่าน ไคลเอนต์ RDP ก่อนการตรวจสอบสิทธิ์คุณต้องแสดงหน้าต่างเข้าสู่ระบบ - นั่นคือ แสดงครั้งแรกจากนั้นเขาจะพยายามเข้าสู่ระบบ สิ่งนี้ก่อให้เกิดช่องโหว่ง่ายๆ - เซิร์ฟเวอร์สามารถรับภาระมากเกินไปด้วยคำขอ“ ให้ฉันลองเริ่มเซสชันใหม่” จำนวนมากและจะถูกบังคับให้ตอบกลับคำขอทั้งหมดโดยสร้างเซสชันและรอให้ผู้ใช้เข้าสู่ระบบ อันที่จริงนี่คือความสามารถ DoS คุณจะจัดการกับเรื่องนี้ได้อย่างไร? เป็นเรื่องที่สมเหตุสมผลที่เราต้องจัดทำโครงร่างขึ้นมาโดยมีจุดประสงค์เพื่อขอข้อมูลรับรองจากลูกค้าโดยเร็วที่สุด เหมาะสมที่สุด - บางอย่างเช่น kerberos ในโดเมน แค่นี้ก็เสร็จแล้ว สนช. มีวัตถุประสงค์ 2 ประการคือ

  • ไคลเอ็นต์ได้รับการพิสูจน์ตัวตนก่อนเริ่มเซสชันเทอร์มินัล
  • เป็นไปได้ที่จะถ่ายโอนข้อมูลของ SSP ไคลเอ็นต์ภายในไปยังเซิร์ฟเวอร์นั่นคือ Single Sign-On เริ่มทำงาน

สิ่งนี้ดำเนินการผ่านผู้ให้บริการความปลอดภัยรายใหม่ - CredSSP คุณสามารถอ่านข้อกำหนดทางเทคนิคของมันได้กล่าวง่ายๆก็คือคุณควรเปิดใช้งานฟังก์ชันนี้เสมอ แน่นอนว่าสำหรับการทำงานมีความจำเป็นที่:

  • ระบบปฏิบัติการไคลเอ็นต์ (ระบบที่ใช้ในการเชื่อมต่อ) คือ Windows XP SP3 หรือสูงกว่า
  • ระบบปฏิบัติการเซิร์ฟเวอร์ (ระบบที่ใช้ในการเชื่อมต่อ) คือ Windows Server 2008 ขึ้นไป

หมายเหตุ: แม้ว่าเคอร์เนล Windows Server 2003 จะใหม่กว่า XP (5.2 เทียบกับ 5.1) แต่ก็มีการอัปเดตสำหรับ Windows XP ที่เพิ่มการสนับสนุน NLA แต่ไม่ใช่สำหรับ Windows Server 2003 นั่นคือแม้ว่าคุณจะเชื่อมต่อจากเวอร์ชันที่สามารถเข้าถึงได้มากที่สุด - Windows Server 2003 R2 SP2 กับแพตช์ทั้งหมดคุณจะไม่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ที่ต้องใช้ NLA และเป็นเซิร์ฟเวอร์ที่รองรับ NLA อนิจจา.

วิธีการเปิดใช้งาน NLA จากฝั่งเซิร์ฟเวอร์ RDP

ที่ดีที่สุดคือเปิดใช้งาน NLA บนเซิร์ฟเวอร์ทั้งหมดผ่านนโยบายกลุ่ม ในการดำเนินการนี้ให้ไปที่วัตถุนโยบายกลุ่มเป้าหมายและเลือก“ การกำหนดค่าคอมพิวเตอร์” -\u003e“ เทมเพลตการดูแลระบบ” -\u003e“ ส่วนประกอบของ Windows” -\u003e“ โฮสต์เซสชันเดสก์ท็อประยะไกล” -\u003e“ ความปลอดภัย” จากนั้นเปิดใช้งานการตรวจสอบสิทธิ์ผู้ใช้สำหรับ พารามิเตอร์การเชื่อมต่อระยะไกลโดยใช้ Network Layer Authentication

คุณยังสามารถเปิดใช้งานภายในเครื่องได้อีกด้วย ทำได้โดยการเรียกเมนูย่อย Properties (เมนูย่อยคอมพิวเตอร์มาตรฐาน) และเลือกแท็บ Remote ที่นั่นซึ่งจะมีให้เลือกจาก สามตัวเลือก - ปฏิเสธการเชื่อมต่อผ่าน RDP ไปยังโฮสต์นี้อนุญาตการเชื่อมต่อผ่าน RDP ใด ๆ อนุญาตเฉพาะกับ NLA เปิดใช้งานตัวเลือก NLA เสมอซึ่งจะช่วยปกป้องเซิร์ฟเวอร์เป็นหลัก

NLA และ Windows XP

หากคุณมี Windows XP คุณสามารถใช้ฟังก์ชันนี้ได้ ข้อความทั่วไป“ สำหรับ NLA คุณต้องมีวิสต์เป็นอย่างน้อยไมโครซอฟท์ก็ทำเพื่ออัปเกรด” เป็นเท็จ Service Pack 3 เพิ่มการใช้งาน CredSSP เพื่อมอบหมายข้อมูลประจำตัวของไคลเอ็นต์ที่ถือโดย SSP ภายในไปยังเซิร์ฟเวอร์ กล่าวคือมันถูกสร้างขึ้นมาเป็นพิเศษเพื่อให้จาก Windows XP สามารถเชื่อมต่อกับระบบที่มี NT 6.0+ ได้ คุณไม่สามารถเชื่อมต่อกับ Windows XP SP3 ด้วยฟังก์ชันนี้การสนับสนุน NLA จะเป็นเพียงบางส่วน (ดังนั้นเซิร์ฟเวอร์ RDP ที่รองรับการเชื่อมต่อไคลเอนต์โดยใช้ NLA จาก Windows XP ไม่สามารถทำได้โดยใช้วิธีการมาตรฐาน Windows XP จะเป็นไคลเอนต์ที่เข้ากันได้กับ NLA เท่านั้น ).

หมายเหตุ: NLA มีมาตั้งแต่ NT 6.0 และเป็นส่วนหนึ่งของกลุ่มเทคโนโลยีที่เรียกว่า RDP 6.0 เซอร์วิสแพ็คที่ 3 สำหรับ XP ไม่เพียง แต่นำเสนอ RDP 6.0 แต่ความสามารถในการติดตั้ง RDP 7.0 ซึ่งค่อนข้างเป็นบวก (เช่นใน RDP 7.0 ซึ่งแตกต่างจาก 6.0 คือมี EasyPrint เสียงแบบสองทิศทางและสิ่งอื่น ๆ ที่ทำให้ไคลเอนต์ RDP บน Windows XP ด้วยการรวมเข้ากับระบบที่ใช้งานได้จริง) นี่เป็นวิธีการเกี่ยวกับ Microsoft ที่ไม่ดีซึ่งบังคับให้ทุกคนต้องอัปเกรดจาก Windows XP เป็นเสียงที่ไม่ดีและไม่ดีแม้ใน service pack ฟรีสำหรับผลิตภัณฑ์ปี 2001 ฉันก็เย็บระบบย่อย RDP ที่ใหม่กว่าระบบย่อยที่มาในผิวปากนั้น เปิดตัวในปี 2549

จำเป็นต้องเปิดใช้งานฟังก์ชันนี้อย่างชัดเจนเนื่องจากแม้ว่า Service Pack 3 จะเพิ่ม dll ใหม่ของผู้ให้บริการการเข้ารหัส แต่ก็ไม่ได้รวมไว้ด้วย

วิธีเปิดใช้งาน CredSSP ใน XP

อีกครั้ง - การดำเนินการนี้ดำเนินการอย่างเคร่งครัดหลังจากติดตั้ง Service Pack 3 บน Windows XP และในบริบทของการสนทนาของเราเป็นสิ่งจำเป็นเพื่อให้สามารถเชื่อมต่อกับเซิร์ฟเวอร์อื่นผ่าน RDP 6.1 โดยใช้ NLA

ขั้นตอนที่หนึ่ง - ขยายรายการแพ็คเกจความปลอดภัย
ในการดำเนินการนี้เราจะเปิดคีย์รีจิสทรี

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsa

และค้นหาค่าแพ็คเกจความปลอดภัยในนั้น คลิกขวาและเลือก“ Modify” (ไม่ใช่ Modify Binary Data เพียงแค่ Modify) จะมีรายการเช่น "ชื่อแพ็กเกจในแต่ละบรรทัด" เราต้องเติม tspkg ที่นั่น ส่วนที่เหลือต้องปล่อยทิ้งไว้ สถานที่ต่อเติมไม่สำคัญ

ขั้นตอนที่สองคือการเชื่อมต่อไลบรารี
คีย์จะแตกต่างกัน:

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ SecurityProviders

ในนั้นคุณจะต้องค้นหาค่า SecurityProviders (โปรดทราบว่าในกรณีก่อนหน้านี้ไม่ใช่คีย์ย่อย แต่เป็นค่า) และแก้ไขโดยการเปรียบเทียบโดยเพิ่ม credssp.dll เท่านั้น ส่วนที่เหลือของรายการอีกครั้งไม่จำเป็นต้องสัมผัส

ตอนนี้คุณสามารถปิดตัวแก้ไขรีจิสทรีได้ หลังจากการดำเนินการเหล่านี้ระบบจะต้องรีบูต ผู้ให้บริการ Crypto เป็นสิ่งที่จะไม่เกิดขึ้นในระหว่างการเดินทางและนี่เป็นสิ่งที่ดีมากกว่าไม่ดี

การเลือกใบรับรองที่เหมาะสมสำหรับ RDP

หากคุณมีโอกาสใช้ใบรับรองที่ไม่ใช่ค่าเริ่มต้นสำหรับ RDP จะเป็นการดีกว่าที่จะใช้ สิ่งนี้จะไม่ส่งผลต่อความปลอดภัยของเซสชันดังกล่าว แต่จะส่งผลต่อความปลอดภัยและการใช้งานการเชื่อมต่อ ใบรับรองที่ใช้ดีที่สุดควรมีประเด็นต่อไปนี้:

  • ชื่อ (ในหัวเรื่องหรือ SAN) ที่ตรงกับชื่อที่ไคลเอ็นต์ป้อนที่เชื่อมต่อกับเซิร์ฟเวอร์ทีละอักขระ
  • ส่วนขยาย CDP ปกติที่ชี้ไปที่ CRL ที่ใช้งานได้ (ควรมีอย่างน้อยสอง OCSP และคงที่)
  • ขนาดคีย์ที่ต้องการคือ 2048 บิต เป็นไปได้มากขึ้น แต่จำข้อ จำกัด ของ XP / 2003 CAPI2
  • อย่าทดลองกับอัลกอริทึมลายเซ็น / แฮชหากคุณต้องการการเชื่อมต่อด้าน XP / 2003 ในระยะสั้นให้เลือก SHA-1 ก็เพียงพอแล้ว

ฉันจะพูดถึงเรื่องใบรับรองพิเศษสำหรับเซิร์ฟเวอร์ RDP อีกเล็กน้อย

เทมเพลตใบรับรองพิเศษสำหรับเซิร์ฟเวอร์ RDP

จะเป็นการดีอย่างยิ่งหากใบรับรองสำหรับ RDP ไม่ได้สร้างขึ้นจากเทมเพลตทั่วไป (เช่น Web Server) และในฟิลด์ Application Policy (ซึ่งในใบรับรองจะเรียกกันทั่วไปว่า Enchanced Key Usage - EKU) การรับรองความถูกต้องของไคลเอ็นต์มาตรฐานและ ค่าการรับรองความถูกต้องของเซิร์ฟเวอร์ แต่เพิ่มเทมเพลตของคุณเองซึ่งจะมีค่าวิธีการมาตรฐานของแอปพลิเคชันแบบพิเศษที่ไม่ได้เพิ่มขึ้นมา - Remote Desktop Authentication ค่านโยบายแอปพลิเคชันนี้จะต้องสร้างขึ้นด้วยตนเอง OID จะเป็น 1.3.6.1.4.1.311.54.1.2 หลังจากนั้นคุณสามารถสร้างเทมเพลตใบรับรองใหม่ได้แล้วซึ่งคุณสามารถออกใบรับรองที่ ถูกกำหนดเป้าหมายสำหรับเซิร์ฟเวอร์ RDP

ในการทำให้การดำเนินการนี้เป็นไปโดยอัตโนมัติโดยสมบูรณ์ให้ตั้งชื่อที่คาดเดาได้ให้กับเทมเพลตใหม่ตัวอย่างเช่น "RDPServerCert" และไปที่วัตถุนโยบายกลุ่มจากนั้นเปิดการกำหนดค่าคอมพิวเตอร์ -\u003e นโยบาย -\u003e เทมเพลตการดูแลระบบ -\u003e ส่วนประกอบของ Windows -\u003e บริการเดสก์ท็อประยะไกล -\u003e โฮสต์เซสชันเดสก์ท็อประยะไกล -\u003e ความปลอดภัย เลือกพารามิเตอร์ Server Authentication Certificate Template และเปิดใช้งานและในฟิลด์ค่าให้ป้อนชื่อ - เราสร้าง RDPServerCert ตอนนี้หากเปิดใช้งาน RDP โฮสต์โดเมนทั้งหมดที่อยู่ภายใต้นโยบายนี้จะไปที่ผู้ออกใบรับรองเองขอใบรับรองตามเทมเพลตที่ระบุหากไม่มีใบรับรองและกำหนดให้เป็นค่าเริ่มต้นโดยอัตโนมัติเพื่อป้องกันการเชื่อมต่อ RDP . ง่ายสะดวกมีประสิทธิภาพ

บล็อกการเชื่อมต่อผ่านบัญชี RDP ด้วยรหัสผ่านว่างเปล่า

เรื่องเล็ก ๆ น้อย ๆ แต่คุณไม่จำเป็นต้องลืมมัน
หากต้องการบล็อกการเชื่อมต่อของบัญชีที่ไม่มีรหัสผ่านไปยัง RDP ให้ไปที่การตั้งค่าของวัตถุนโยบายกลุ่ม: การกำหนดค่าคอมพิวเตอร์ -\u003e การตั้งค่า Windows -\u003e การตั้งค่าความปลอดภัย -\u003e นโยบายท้องถิ่น -\u003e ตัวเลือกความปลอดภัยและตั้งค่า "บัญชี: จำกัด การใช้บัญชีภายในที่ว่างเปล่า รหัสผ่านเพื่อเข้าสู่ระบบคอนโซลเท่านั้น” เพื่อเปิดใช้งาน อย่าขี้เกียจที่จะตรวจสอบว่าเป็นเช่นนั้น

การกำหนดค่า ACL สำหรับการเชื่อมต่อ RDP

โดยค่าเริ่มต้นคุณต้องมีสิทธิ์การเข้าถึงของผู้ใช้อย่างชัดเจนหรือสิทธิ์การเข้าถึงของผู้เยี่ยมชมเพื่อเชื่อมต่อกับเซิร์ฟเวอร์ RDP
กลุ่มผู้ดูแลระบบภายในและผู้ใช้เดสก์ท็อประยะไกลมีสิทธิ์นี้ ที่ดีที่สุดคือใช้กลุ่มผู้ใช้เดสก์ท็อประยะไกลเพื่อควบคุมการเข้าถึงเซิร์ฟเวอร์ RDP โดยเพิ่มกลุ่มโดเมนที่จำเป็นลงไปแทนที่จะเป็นผู้ใช้แต่ละคน แก้ไขเนื้อหาของแท็บความปลอดภัยในการตั้งค่าคุณสมบัติสำหรับ RDP-Tcp เป็นทางเลือกสุดท้ายเท่านั้นที่ดีที่สุดคือการเพิ่มกลุ่ม“ RDP Blocked hostname” ซึ่งปฏิเสธการเข้าถึง RDP อย่างชัดเจนไปยังโหนดที่ระบุ

การเพิ่มประสิทธิภาพความเร็ว RDP

การเพิ่มประสิทธิภาพความเร็ว RDP เป็นหัวข้อที่ค่อนข้างครอบคลุมดังนั้นฉันจะแบ่งมันออกเป็นส่วน ๆ ซึ่งจะรวมถึงวิธีการเหล่านั้นที่จะลดภาระของโปรโตคอลก่อนการบีบอัดและก่อนที่จะปรับแต่งเลเยอร์เครือข่ายให้เหมาะสม

Chroma (ความลึกบิต)

ใน RDP 7.0 ขึ้นไปจะมีตัวเลือก 32, 16 และ 8 บิต ถ้าเรากำลังพูดถึงงาน 16 บิตก็เพียงพอแล้ว สิ่งนี้จะช่วยลดภาระในช่องได้อย่างมากยิ่งไปกว่านั้นบางครั้งมากกว่า 2 ครั้งซึ่งน่าแปลกใจ แต่ก็จริง แน่นอนว่า 8 บิตก็เป็นไปได้เช่นกัน แต่มันจะดูเจ็บปวดอย่างน่ากลัว 16 บิตเป็นที่ยอมรับอย่างสมบูรณ์

หมายเหตุ: การเชื่อมต่อแบบ 8 บิตไม่สามารถใช้ได้อีกต่อไปใน Windows Server 2008 R2

เปิดใช้งานพารามิเตอร์ Limit Maximum Color Depth บนเซิร์ฟเวอร์หรือทำเช่นเดียวกันในการตั้งค่าไคลเอ็นต์ RDP

ปิดใช้งาน ClearType

เมื่อคุณปิดใช้งาน ClearType โปรโตคอล RDP จะส่งไม่ใช่รูปภาพ แต่เป็นคำสั่งสำหรับการวาดอักขระ เมื่อเปิดใช้งานจะแสดงภาพจากฝั่งเซิร์ฟเวอร์บีบอัดและส่งไปยังไคลเอนต์ ซึ่งรับประกันได้ว่าจะมีประสิทธิภาพน้อยลงหลายเท่าดังนั้นการปิด ClearType จะช่วยเร่งกระบวนการทำงานและลดเวลาในการตอบสนอง คุณเองจะแปลกใจมากแค่ไหน

ซึ่งสามารถทำได้ทั้งในระดับการตั้งค่าไคลเอนต์และบนฝั่งเซิร์ฟเวอร์ (ไม่อนุญาตให้ใช้พารามิเตอร์การปรับแบบอักษรให้เรียบในส่วนสภาวะแวดล้อมเซสชันระยะไกลในการกำหนดค่าคอมพิวเตอร์ -\u003e นโยบาย -\u003e เทมเพลตการดูแลระบบ -\u003e ส่วนประกอบของ Windows -\u003e บริการเดสก์ท็อประยะไกล -\u003e โฮสต์เซสชันเดสก์ท็อประยะไกล)

ลบวอลเปเปอร์

บังคับใช้การลบพารามิเตอร์ RD Wallpaper ในส่วนสภาพแวดล้อมของเซสชันระยะไกลในการกำหนดค่าคอมพิวเตอร์ -\u003e นโยบาย -\u003e เทมเพลตการดูแลระบบ -\u003e ส่วนประกอบของ Windows -\u003e บริการเดสก์ท็อประยะไกล -\u003e โฮสต์เซสชันเดสก์ท็อประยะไกลจะช่วยปรับปรุงสถานการณ์ได้อย่างมากด้วยการวาดหน้าจอเซสชันเทอร์มินัลใหม่ ผู้ใช้ที่ไม่มีแมวบนเดสก์ท็อปอยู่รอดได้ตามปกติจะมีการตรวจสอบ

เปิดและกำหนดค่าการแคชรูปภาพ

หากลูกค้ามีเพียงพอ หน่วยความจำเข้าถึงโดยสุ่มควรเปิดใช้งานและกำหนดค่าการแคชบิตแมป สิ่งนี้จะชนะได้ถึง 20-50% ของแบนด์วิดท์ ในการติดตั้งคุณจะต้องป้อนคีย์

HKEY_CURRENT_USER \\ SOFTWARE \\ Microsoft \\ Terminal Server Client \\

และสร้างพารามิเตอร์ BitmapPersistCacheSize และ BitmapCacheSize ที่นั่นทั้ง DWORD 32 ประเภท
พารามิเตอร์ BitmapPersistCacheSize ระบุขนาดเป็นกิโลไบต์ของดิสก์แคช ค่าเริ่มต้นคือ 10 ควรเพิ่มพารามิเตอร์นี้เป็นอย่างน้อย 1,000
พารามิเตอร์ BitmapCacheSize ระบุขนาดเป็นกิโลไบต์ของแคชใน RAM ค่าดีฟอลต์คือ 1500 ควรเพิ่มพารามิเตอร์นี้เป็นอย่างน้อย 5,000 ซึ่งจะเป็นเพียง 5 เมกะไบต์ต่อเซสชันไคลเอ็นต์โดยสเกล RAM ที่ทันสมัยจะไม่มีนัยสำคัญและแม้ว่าจะนำไปสู่การเพิ่มประสิทธิภาพ 10% แต่ก็จะ จ่ายออก. อย่างไรก็ตามพารามิเตอร์เดียวกันนี้สามารถแก้ไขได้ในไฟล์. rdp หากคุณบันทึกการเชื่อมต่อ RDP ของคุณจากนั้นเปิดไฟล์ด้วย notepad จากนั้นคุณสามารถเพิ่มบางอย่างเช่น bitmapcachesize: i: 5000 โดยที่ 5,000 คือแคช 5MB

ปิดการใช้งานองค์ประกอบเดสก์ท็อป

การจัดองค์ประกอบเดสก์ท็อปนำเสนอ "สิ่งแปลกใหม่" ทุกประเภทเช่น Aero และเพื่อนของเขาและเห็นได้ชัดว่ากินแบนด์วิดท์ สิ่งนี้ไม่จำเป็นและเป็นอันตรายต่อการทำงาน พารามิเตอร์ Allow desktop composition สำหรับ RDP Sessions ในส่วน Remote Session Enviroment ใน Computer Configuration -\u003e Policies -\u003e Administrative Templates -\u003e Windows Components -\u003e Remote Desktop Services -\u003e Remote Desktop Session Host ต้องตั้งค่าเป็น Disabled

การเพิ่มประสิทธิภาพการตั้งค่าตัวจัดการหน้าต่างเดสก์ท็อป

พารามิเตอร์ที่พบในส่วน Remote Session Enviroment ใน Computer Configuration -\u003e Policies -\u003e Administrative Templates -\u003e Windows Components -\u003e Desktop Window Manager จะควบคุมการแสดง "nice" ของเมนูเลื่อนอย่างราบรื่นและอื่น ๆ มีอยู่สามแบบ - ไม่อนุญาตให้ใช้ภาพเคลื่อนไหวในหน้าต่างไม่อนุญาตให้ใช้องค์ประกอบเดสก์ท็อปและไม่อนุญาตให้มีการเรียกใช้ Flip3D ทั้งหมดจะต้องเปลี่ยนเป็นโหมดเปิดใช้งานนั่นคือ ในความเป็นจริง - ปิดการใช้งานฟังก์ชันเหล่านี้ทั้งหมด

ปิดการเปลี่ยนเส้นทางอุปกรณ์ที่ไม่ได้ใช้

หากคุณไม่ได้วางแผนที่จะเชื่อมต่ออุปกรณ์บางคลาส (เช่นพอร์ต COM และ LPT) หรือเสียงควรปิดใช้งานความสามารถในการเปลี่ยนเส้นทางจากฝั่งเซิร์ฟเวอร์ เพื่อให้ไคลเอนต์ที่มีการตั้งค่าไคลเอนต์ RDP เริ่มต้นไม่ต้องเสียเวลาในการเชื่อมต่อกับการเจรจาต่อรองฟังก์ชันที่ไม่ได้ใช้ สิ่งนี้ทำได้ในที่เดียวกับการตั้งค่าเซิร์ฟเวอร์ที่เหลือในคุณสมบัติของ RDP-Tcp แท็บการตั้งค่าไคลเอนต์ (ในที่เดียวกับที่เราทำการตั้งค่าด้วยความลึกของสี) ส่วนการเปลี่ยนเส้นทาง

การตั้งค่าตรรกะทั่วไปสำหรับการเพิ่มประสิทธิภาพข้อมูลภาพ RDP

ตัวเลือกที่เรียกว่า Optimize visual experience สำหรับเซสชัน RDP ซึ่งอยู่ใน Remote Session Enviroment ภายใต้ Computer Configuration -\u003e Policies -\u003e Administrative Templates -\u003e Windows Components -\u003e Remote Desktop Services -\u003e Remote Desktop Session Host -\u003e Remote Session Enviroment จะควบคุมวิธีการ RDP จะรับรู้ข้อมูลภาพ - เป็นมัลติมีเดียหรือเป็นข้อความ โดยประมาณนี้เป็น "คำแนะนำ" สำหรับอัลกอริทึมการบีบอัดว่าจะทำงานอย่างไรให้มีประสิทธิภาพมากขึ้น ดังนั้นสำหรับการทำงานคุณจะต้องตั้งค่าพารามิเตอร์นี้เป็นข้อความและหากคุณต้องการแฟลชแบนเนอร์ที่สวยงาม HTML5 และดูคลิปวิดีโอตัวเลือก Rich Multimedia จะดีกว่า

การเพิ่มประสิทธิภาพการบีบอัด RDP

การบีบอัดใน RDP มีมาอย่างยาวนาน ในขณะที่รวม RDP 5.2 มีระบบย่อยการบีบอัด ("คอมเพรสเซอร์") ที่มีชื่อภายใน "เวอร์ชัน 1" ซึ่งเป็นตัวเลือกที่ง่ายและสะดวกที่สุดในแง่ของการโหลดตัวประมวลผลไคลเอ็นต์ แต่แย่ที่สุดในแง่ของปริมาณการรับส่งข้อมูลเครือข่าย RDP 6.0 สร้าง“ เวอร์ชัน 2” ซึ่งได้รับการปรับปรุงเล็กน้อย แต่ได้รับการปรับปรุงในแง่ของประสิทธิภาพการบีบอัด เราสนใจ“ เวอร์ชัน 3” ซึ่งใช้งานได้เฉพาะเมื่อเชื่อมต่อกับเซิร์ฟเวอร์ Windows Server 2008 ขึ้นไป มันบีบอัดได้ดีกว่าใคร ๆ และต้นทุนของเวลาในการประมวลผลโดยคำนึงถึงพลังของคอมพิวเตอร์สมัยใหม่นั้นไม่มีนัยสำคัญ

ผลกำไรเมื่อเปิด V3 สามารถตัดสินโดยการทดสอบได้ถึง 60% และโดยทั่วไปแล้วแม้จะไม่มีการทดสอบก็จะเห็นได้ชัดเจนในสายตา

วิธีเปิดใช้งานการบีบอัดที่เหมาะสมที่สุดใน RDP

นี่คือการตั้งค่าไคลเอนต์ เปิดการกำหนดค่าคอมพิวเตอร์ -\u003e นโยบาย -\u003e เทมเพลตการดูแลระบบ -\u003e ส่วนประกอบของ Windows -\u003e บริการเดสก์ท็อประยะไกล -\u003e โฮสต์เซสชันเดสก์ท็อประยะไกล -\u003e สภาพแวดล้อมเซสชันระยะไกลในวัตถุนโยบายกลุ่มที่ต้องการเลือกพารามิเตอร์ตั้งค่าการบีบอัดสำหรับข้อมูล RDP เปิดใช้งานและ เลือกปรับให้เหมาะสมเพื่อใช้แบนด์วิดท์เครือข่ายน้อยลง

หมายเหตุ: หลายคนสงสัยว่าเหตุใดจึงมีตัวเลือก“ ปิดใช้งานการบีบอัด” ในรายการ สิ่งนี้จำเป็นเมื่อเซสชัน RDP ของคุณถูกบีบอัดโดยอุปกรณ์ภายนอกที่ปรับการเชื่อมต่อ WAN ให้เหมาะสมเช่น Cisco WAAS ในกรณีอื่น ๆ แน่นอนว่าการปิดใช้งานการบีบอัดนั้นไม่สมเหตุสมผล

การตั้งค่าการบีบอัดสตรีมเสียง

RDP 7.0 นำเสนอความสามารถที่ยอดเยี่ยมในการปรับคุณภาพการบีบอัดของสตรีมเสียงขาเข้า (เช่นเสียงที่ส่งจากเซิร์ฟเวอร์ไปยังไคลเอนต์) สิ่งนี้มีประโยชน์มากตัวอย่างเช่นหากคุณกำลังทำงานบนเซิร์ฟเวอร์เทอร์มินัลนอกจากบริการทั้งหมดจะมีเสียงเช่น“ ข้อความมาถึง ICQ แล้ว” แล้วบริการอื่น ๆ ก็ไม่ได้มีการวางแผนไว้เป็นพิเศษ ไม่มีเหตุผลที่จะถ่ายโอนเสียงคุณภาพซีดีที่ไม่มีการบีบอัดจากเซิร์ฟเวอร์หากคุณไม่ต้องการใช้งาน ดังนั้นคุณต้องปรับระดับการบีบอัดของสตรีมเสียง
พารามิเตอร์นี้จะเรียกว่า จำกัด คุณภาพการเล่นเสียงและอยู่ในส่วนการเปลี่ยนเส้นทางอุปกรณ์และทรัพยากรของการกำหนดค่าคอมพิวเตอร์ -\u003e นโยบาย -\u003e เทมเพลตการดูแลระบบ -\u003e ส่วนประกอบของ Windows -\u003e บริการเดสก์ท็อประยะไกล -\u003e โฮสต์เซสชันเดสก์ท็อประยะไกล จะมีสามตัวเลือก:

  • สูง - เสียงจะไม่มีการบีบอัด เลย. นั่นคือมันจะอยู่ภายใต้การบีบอัดทั่วไปของโปรโตคอล RDP แต่จะไม่มีการบีบอัดเสียงแบบเฉพาะเจาะจง (สูญเสีย)
  • ปานกลาง - การบีบอัดจะปรับให้เข้ากับช่องสัญญาณเพื่อไม่ให้เพิ่มความล่าช้าในการถ่ายโอนข้อมูล
  • ไดนามิก - การบีบอัดจะปรับให้เข้ากับช่องสัญญาณแบบไดนามิกเพื่อให้ความล่าช้าไม่เกิน 150 มิลลิวินาที

เลือกอันที่ใช่ อย่างที่คุณเห็นการเลือก Dynamic สำหรับงานสำนักงานจะดีกว่า

การปรับอัตราส่วนของสตรีมข้อมูลใน RDP ให้เหมาะสม

การรับส่งข้อมูลเซสชัน RDP ไม่ใช่เสาหิน ในทางตรงกันข้ามมันแบ่งออกเป็นสตรีมข้อมูลของอุปกรณ์ที่เปลี่ยนเส้นทางอย่างชัดเจน (ตัวอย่างเช่นการคัดลอกไฟล์จากโลคัลโฮสต์ไปยังเซิร์ฟเวอร์เทอร์มินัล) สตรีมเสียงสตรีมคำสั่งดั้งเดิม (RDP พยายามส่งคำสั่งสำหรับการแสดงผลดั้งเดิม และส่งบิตแมปเป็นทางเลือกสุดท้าย) และอินพุตสตรีมอุปกรณ์ (เมาส์และคีย์บอร์ด)

ความสัมพันธ์ซึ่งกันและกันของโฟลว์เหล่านี้และตรรกะของการคำนวณ (ความสัมพันธ์) (QoS ในพื้นที่) สามารถได้รับอิทธิพล โดยไปที่รีจิสตรีคีย์จากฝั่งเซิร์ฟเวอร์

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ TermDD

และสร้างสี่คีย์ที่นั่นเพื่อเริ่มต้นด้วย (หากไม่มี):

  • FlowControlDisable
  • FlowControlDisplayBandwidth
  • FlowControlChannelBandwidth
  • FlowControlChargePostCompression

พิมพ์ทั้งหมด - DWORD 32 การทำงานของคีย์จะเป็นดังนี้
คีย์ FlowControlDisable จะกำหนดว่าจะใช้การจัดลำดับความสำคัญหรือไม่ หากคุณระบุอย่างใดอย่างหนึ่งการจัดลำดับความสำคัญจะถูกปิดใช้งานหากเปิดใช้งานเป็นศูนย์ เปิด.
คีย์ FlowControlDisplayBandwidth และ FlowControlChannelBandwidth จะกำหนดความสัมพันธ์ระหว่างสตรีมข้อมูลทั้งสอง:

  • ขั้นตอนการโต้ตอบกับผู้ใช้ (รูปภาพ + อุปกรณ์อินพุต)
  • ข้อมูลอื่น ๆ (บล็อกอุปกรณ์คลิปบอร์ดและอื่น ๆ )

ค่าของคีย์เหล่านี้ไม่สำคัญ ความสัมพันธ์เป็นสิ่งสำคัญ นั่นคือถ้าคุณทำให้ FlowControlDisplayBandwidth เท่ากับหนึ่งและ FlowControlChannelBandwidth เท่ากับสี่อัตราส่วนจะเป็น 1: 4 และ 20% ของแบนด์วิดท์จะถูกจัดสรรให้กับขั้นตอนการโต้ตอบกับผู้ใช้และ 80% สำหรับส่วนที่เหลือ หากคุณทำ 15 และ 60 ผลลัพธ์จะเหมือนกันเนื่องจากอัตราส่วนเท่ากัน
คีย์ FlowControlChargePostCompression จะกำหนดเมื่อคำนวณอัตราส่วนนี้ก่อนหรือหลังการบีบอัด ศูนย์อยู่ก่อนการบีบอัดหนึ่งคือตามหลัง

ฉันขอแนะนำให้ใช้แบบฟอร์ม "เซิร์ฟเวอร์ระยะไกลของเราอยู่ห่างไกลและทุกคนเชื่อมต่อกับเซิร์ฟเวอร์ผ่าน RDP และในสำนักงานและ 1C ทำงานได้" เพื่อกำหนดอัตราส่วน 1: 1 และอ่านหลังจากการบีบอัด จากประสบการณ์นี้สามารถช่วยในสถานการณ์ "การพิมพ์เอกสารขนาดใหญ่จากเซิร์ฟเวอร์เทอร์มินัลไปยังเครื่องพิมพ์ท้องถิ่น" ได้ แต่นี่ไม่ใช่ความเชื่อลองใช้เครื่องมือหลัก - ความรู้เกี่ยวกับวิธีการนับและการทำงาน - คุณมีอยู่แล้ว

เปิดใช้งานต้องการการสื่อสาร RPC ที่ปลอดภัยสำหรับ RDP

การตั้งค่านี้ทำงานคล้ายกับการตั้งค่าสำหรับ Secure RPC ซึ่งอยู่ในส่วนความปลอดภัยของนโยบายกลุ่มและใช้กับระบบทั้งหมดเพียงแค่กำหนดค่าได้ง่ายกว่า เมื่อเปิดใช้พารามิเตอร์นี้คุณจะต้องทำการเข้ารหัสสำหรับคำขอ RPC ของไคลเอ็นต์ทั้งหมด (ขึ้นอยู่กับการตั้งค่าระบบ "แถบด้านล่าง" ของการเข้ารหัสจะแตกต่างกัน - RC4 / DES หรือหากเปิดใช้งาน FIPS-140 3DES / AES) และ ใช้อย่างน้อย NTLMv2 สำหรับการเรียกโพรซีเดอร์ระยะไกลการพิสูจน์ตัวตน เปิดใช้งานตัวเลือกนี้เสมอ มีตำนานว่ามันไม่ทำงานในสภาพแวดล้อมที่ไม่ใช่โดเมน ไม่เป็นเช่นนั้นและการรักษาความปลอดภัย RPC ให้แข็งขึ้นจะไม่ทำร้ายใคร

นี่คือการตั้งค่าเซิร์ฟเวอร์ เปิดการกำหนดค่าคอมพิวเตอร์ -\u003e นโยบาย -\u003e เทมเพลตการดูแลระบบ -\u003e ส่วนประกอบของ Windows -\u003e บริการเดสก์ท็อประยะไกล -\u003e โฮสต์เซสชันเดสก์ท็อประยะไกล -\u003e ความปลอดภัยใน GPO ที่ต้องการเลือกพารามิเตอร์ต้องการการสื่อสาร RPC ที่ปลอดภัยที่นั่นและเปิดใช้งาน

โปรโตคอลเดสก์ท็อประยะไกล รปภ (Remote Desktop Protocol) ให้การเข้าถึงระยะไกลผ่านเครือข่ายไปยังเดสก์ท็อปของคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows ใช้เมื่อเชื่อมต่อไคลเอ็นต์แบบบางกับเซิร์ฟเวอร์เทอร์มินัลของ Windows ที่เรียกใช้ Microsoft Terminal Services พัฒนาโดย Microsoft

การสนับสนุนอย่างเป็นทางการ รปภ รวมอยู่ใน Windows Server 2008, Windows Server 2003, Windows Home Server, Windows XP Professional, Windows XP Media Center, Tablet PC Editions, Windows Vista Ultimate, Enterprise และ Business ทุกอย่าง เวอร์ชัน Windows XP และ Vista รวมถึงไคลเอนต์ แอประยะไกล การเชื่อมต่อเดสก์ท็อป (RDC)

คุณสมบัติหลักของโปรโตคอล RDP

  • รองรับการเข้ารหัส RC-4 ที่มีความยาวคีย์ 128 หรือ 56 บิต
  • รองรับโปรโตคอล TLS (Transport Layer Security)
  • การตรวจสอบผู้ใช้โดยใช้สมาร์ทการ์ด (บนเซิร์ฟเวอร์ผ่าน Microsoft Terminal Services)
  • รองรับระบบเสียงของคอมพิวเตอร์เฉพาะที่สำหรับแอพพลิเคชันเซิร์ฟเวอร์เทอร์มินัล
  • การเปลี่ยนเส้นทางระบบไฟล์ - ช่วยให้คุณสามารถทำงานกับไฟล์ของคอมพิวเตอร์ภายในเครื่องบนเซิร์ฟเวอร์เทอร์มินัลระยะไกล
  • การเปลี่ยนเส้นทางเครื่องพิมพ์ - ช่วยให้คุณสามารถพิมพ์ไปยังเครื่องพิมพ์บนคอมพิวเตอร์เฉพาะที่จากแอพพลิเคชั่นที่ทำงานบนเซิร์ฟเวอร์เทอร์มินัลระยะไกล
  • การเปลี่ยนเส้นทางพอร์ต - เปิดการเข้าถึงพอร์ตอนุกรมและพอร์ตขนานของคอมพิวเตอร์ในระบบสำหรับแอปพลิเคชันที่ทำงานบนเซิร์ฟเวอร์เทอร์มินัลระยะไกล
  • การแชร์คลิปบอร์ดทั้งบนคอมพิวเตอร์เฉพาะที่และบนเซิร์ฟเวอร์เทอร์มินัลระยะไกล
  • แสดงความลึกของสี: 24, 16, 15 หรือ 8 บิต

แม้ว่าแพ็กเก็ตโปรโตคอล RDP จะถูกส่งผ่านเครือข่ายในรูปแบบที่เข้ารหัส แต่เซสชันเทอร์มินัลเองก็สามารถสัมผัสกับการโจมตีแบบ Man In The Middle ได้เนื่องจากทั้งฝั่งเซิร์ฟเวอร์และฝั่งไคลเอ็นต์จะไม่ทำการตรวจสอบความถูกต้องร่วมกันของการส่งและรับ แพ็กเก็ตข้อมูล ดังนั้นในการสร้างโซลูชันที่มีความปลอดภัยอย่างสมบูรณ์คุณต้องใช้การป้องกัน RDP SSL ที่แนะนำใน Windows Server 2003 Service Pack 1

คุณลักษณะใหม่ใน RDP เวอร์ชันที่หก

  • แอปพลิเคชันระยะไกล เปิดแอปพลิเคชันบนเซิร์ฟเวอร์โดยตรงในเซสชันเทอร์มินัลเฉพาะโดยไม่ต้องเปิดหน้าต่างเซสชันเทอร์มินัล รองรับการเชื่อมโยงไฟล์ของคอมพิวเตอร์เฉพาะที่ - ความสามารถในการเรียกใช้แอปพลิเคชันบนเซิร์ฟเวอร์เพื่อเปิดเอกสารบนคอมพิวเตอร์ในระบบตามนามสกุลในชื่อไฟล์
  • Windows ที่ไร้รอยต่อ การจำลองหน้าต่างคอมพิวเตอร์เฉพาะที่ด้วยการเปิดตัวแอปพลิเคชันบนเซิร์ฟเวอร์เทอร์มินัล การรับรองความถูกต้องอัตโนมัติบนเซิร์ฟเวอร์พร้อมรายละเอียดบัญชีผู้ใช้ การสิ้นสุดเซสชันเทอร์มินัลที่เกี่ยวข้องโดยอัตโนมัติเมื่อแอปพลิเคชันออก
  • Terminal Server Gateway รองรับการเชื่อมต่อ RDP ผ่านเซิร์ฟเวอร์เกตเวย์ IIS โดยใช้โปรโตคอล https ให้การเชื่อมต่อที่ปลอดภัยกับเซิร์ฟเวอร์เทอร์มินัลที่อยู่ด้านหลัง ISS ในเครือข่ายท้องถิ่นขององค์กร
  • Windows Aero Glass รองรับ Windows Aero Glass รวมถึงการปรับแบบอักษร ClearType ให้เรียบ
  • Windows Presentation Foundation สนับสนุนบนไคลเอนต์ใด ๆ ที่ติดตั้ง. NET Framework 3.0
  • บริการเทอร์มินัลที่ปรับแต่งได้อย่างเต็มที่รวมถึงการสนับสนุนสคริปต์โดยใช้ Windows Management Instrumentation
  • ปรับปรุงการจัดการแบนด์วิดท์สำหรับไคลเอนต์ RDP
  • รองรับจอภาพหลายจอ การแบ่งหน้าจอเซสชันเทอร์มินัลออกเป็นจอภาพหลายจอ ใช้งานได้กับระบบ Windows Vista เท่านั้น
  • แสดงความลึกของสี: 32, 24, 16, 15 หรือ 8 บิต


เราขอแนะนำให้อ่าน