Rdp aracılığıyla bir bilgisayara uzaktan erişimi yapılandırın. RDP'yi koruma ve optimize etme

Herhangi bir sistem yöneticisi, modern bilgisayar ağlarında yaygın olarak kullanılan bu protokolü bilir. Kullanarak, çalışan uzak bir makineye bağlanabilirsiniz. işletim sistemi Microsoft satırı. Masaüstüne, dosya sistemine vb. Erişiminiz olacak. Böylelikle, uzaktaki bir bilgisayarın ekranının arkasında fiziksel olarak bulunmaya gerek kalmadan ayarların ve önleyici tedbirlerin büyük kısmını gerçekleştirmek mümkün olacaktır.

Bu nedenle RDP protokolü, teknik uzmanların cephaneliğindeki ana bileşenlerden biridir. İş yerinizden ayrılmadan, ağdaki tüm mevcut bilgisayarları yönetebilir ve sorunları giderebilirsiniz.

Görünüm tarihi

RDP kısaltmasının anlamı olan Uzak Masaüstü Protokolü 1998'de ortaya çıktı. O zamanlar, bu tescilli uygulama düzeyindeki protokol, Windows NT 4.0 Terminal Server işletim sisteminin bir parçasıydı ve istemci-sunucu uygulamalarının uzaktan çalıştırılması fikrinin uygulanmasını mümkün kılıyordu. Anladığınız gibi, tüm iş yerlerine güçlü bilgisayarlar sağlamak her zaman mümkün olmuyor ve o uzak yıllarda bile verimlilik arzulanan çok şey bıraktı.

Bu sorunun çözümü aşağıdaki yapıdır: güçlü bir sunucu (veya bir sunucu kümesi) bilgi işlem işlemlerinin çoğunu gerçekleştirir ve düşük güçlü istemci bilgisayarlar / uygulamalar RDP protokolünü kullanarak ona bağlanır ve görevlerini yerine getirir. Böylece, sınırlı kaynaklarla bile son kullanıcı düğümlerinde karmaşık uygulamalar ve programlarla çalışmak mümkün hale geldi - sonuçta, ana yük sunucuya düştü ve istemci PC, monitördeki işlemin yalnızca ana sonucunu aldı.

RDP protokol açıklaması

Varsayılan olarak, bağlantı için 3389 numaralı TCP bağlantı noktası kullanılır
Yukarıda belirtildiği gibi, bağlandığında, uzak bir makinedeki dosyalarla çalışmak mümkündür.
Güvenliği sağlamak için 56 ve 128 bit anahtarlarla şifreleme uygulanmaktadır
Ayrıca güvenlik işlevleri için TLS protokollerinin yetenekleri kullanılır
Paylaşılan pano - uzaktaki bir makineden veri kopyalayabilir ve yerel PC'nize yapıştırabilirsiniz.
Yerel kaynakları uzak bir bilgisayara bağlama becerisi uygulandı.
RDP, yerel bilgisayar bağlantı noktalarına (seri ve paralel) erişim sağlar

Çalışma prensibi

RDP, TCP protokol yığınının işlevselliğine dayanır. Öncelikle, istemci ile sunucu arasında taşıma seviyesinde bir bağlantı kurulur. Ardından RDP oturumu başlatılır - bu aşamada ana parametreler üzerinde anlaşmaya varılır: şifreleme, bağlı cihazlar, grafik ayarları vb.

Her şey yapılandırıldıktan sonra, RDP oturumu tamamen kullanıma hazırdır. İstemci bilgisayar, klavyeden veya fareden komut göndermenin bir sonucu olarak sunucudan bir grafik görüntüsü (işlemlerin sonucu) alır.

Doğrulama

RDP güvenliği yapılandırılırsa, kimlik doğrulama şu şekilde gerçekleşir:

Bağlantı başlatılırken, bir çift RSA anahtarı oluşturulur
Ardından, özel bir genel anahtar sertifikası oluşturulur
İşletim sistemi, RSA sertifika imzalama işlemini bir anahtarla gerçekleştirir
Daha sonra, istemci sunucuya bağlanır, ondan bir sertifika alır ve eğer kontrolü geçerse, bir uzaktan kontrol oturumu başlatılır.

Nasıl başlanır

Windows XP, Vista, Seven gibi işletim sistemlerinde, Uzak Masaüstü Bağlantısı istemci yazılımı varsayılan olarak etkindir. Başlatmak için klavye kısayoluna basmanız gerekir Kazan + R, çevir mstsc ve bas Giriş.

RDP, hem yönetim amaçları hem de günlük işler için uzaktan erişim için kullanışlı, verimli ve pratik bir araçtır.

Uygulamalarının hemen hemen her yerde (çeşitli platformlar ve işletim sistemleri) olduğunu ve bunların birçoğunun olduğunu düşünürsek, yeteneklerini iyi anlamanız gerekir.

En azından birkaç nedenden dolayı bu gerekli olacaktır:

Genellikle, RDP yerine, basit bir nedenle başka bir çözüm (VNC, Citrix ICA) kullanılır - "yerleşik RDP'nin minimum olduğu ve hiçbir şey yapamayacağı" varsayılır.
Günümüzde moda olan bulut teknolojileriyle ilgili birçok çözümde (ofisleri "ince istemcilere" aktarmak ve basitçe terminal sunucularını düzenlemek), "RDP'nin yerleşik olduğu için kötü olduğu" görüşü var.
"RDP'nin VPN olmadan dışarıda açığa çıkarılamayacağı, kırılacağı" konusunda standart bir efsane vardır (efsanenin bir gerekçesi vardır, ancak çoktan geçmiştir).
Efsanelerden bahsettiğimiz için, "RDP'den Citrix'e geçtikten sonra trafik birkaç kez düşer" şeklinde bir görüş var. Sonuçta, sitrix pahalıdır, bu nedenle en az% 157 daha soğuktur.

Tüm bu efsaneler saçma ve NT 4.0 günlerinde geçerli olan modası geçmiş "iyi tavsiyeler" ile var olması için hiçbir neden olmayan düpedüz kurguların bir karışımıdır. BT tam bir bilim olduğu için, onu anlamanız gerekir. Yeni sürümlerin iyi ayarlanmış bir RDP protokolü, tüm yeni işlevleri dikkate alarak, uzaktan erişimi düzenlemek için oldukça iyi ve güvenilir bir araçtır.

Bu nedenle, biz ilgileneceğiz:

RDP versiyonundan kısa bir söz
RDP oturumunun koruma modunu yapılandırma
RDP için şifrelemeyi yapılandırma
Belirli bir adaptöre ve bağlantı noktasına bağlanma
- Standart bağlantı noktasını istenen bağlantı noktasıyla değiştirin
- Birden çok ağ bağdaştırıcısı için ayrı RDP ayarları yapmak
NLA'yı etkinleştirme
- NLA ve Windows XP
- XP'de CredSSP nasıl etkinleştirilir
RDP için doğru sertifikayı seçme
Boş parolalı hesaplara RDP bağlantılarını engelleme
RDP hız optimizasyonu
RDP sıkıştırma optimizasyonu
- Genel kurmak rDP sıkıştırması
- RDP ses sıkıştırmayı yapılandırma
RDP veri akışlarının oranını optimize etme
Etkinleştirme RDP için güvenli RPC iletişimi gerektir

Başlayalım.

RDP protokol sürümleri

Protokolün NT 4.0'dan başlayarak oldukça uzun bir geçmişi vardır. Basit bir nedenden ötürü tarihsel ayrıntıları bir kenara bırakacağız - şu anda yalnızca Windows Vista SP1'de bulunan RDP 7.0 sürümü hakkında konuşmak mantıklı geliyor. Windows Server 2008 ve Windows XP'ye SP3 ve güncellenmiş bir RDP istemcisi yüklenerek ücretsiz olarak eklenebilir (KB 969084 bağlantısında bulunur). En azından Windows XP'ye sahip olduğunuzu ve en son Hizmet Paketine sahip olduğunuzu / yükleyebileceğinizi ve Windows 2000 SP2'de NT 4.0 SP5'e göre RDP'nin avantajlarını tartışarak zamanınızı boşa harcamadığınızı varsayıyorum.

RDP Oturum Koruma Modunu Yapılandırma

Temelde bu, görevin en kolay kısmıdır. Alt satır aşağıdaki gibidir. RDP'nin farklı sürümleri, oturumu güvence altına almak için iki ana mekanizma kullanır - yerleşik RDP ve oturumu TLS'de "sarma". Yerleşik yeterince güvenli değil ve "RDP yalnızca VPN'de dışarıda olabilir" önerisi bununla ilgili. Bu nedenle, her zaman TLS desteğini etkinleştirin. Bu, başlamanız gereken minimum değerdir. Tek sınırlama, sunucu sürümünün Windows Server 2003 SP1 ve RDP istemcisi 5.2 ve üstü sürümlerinden düşük olmaması olacaktır, ancak 2011 sonunda çözülebileceğini düşünüyorum.

TLS üzerinden RDP nasıl etkinleştirilir

Her zaman olduğu gibi, birkaç seçenek var. İlki, Grup İlkesi aracılığıyla etkinleştirmedir. Bunu yapmak için, hedef grup ilke nesnesine gidin (iyi veya ev iş istasyonunuzda yerel olarak gpedit.msc çalıştırın) ve "Bilgisayar Yapılandırması" -\u003e "Yönetim Şablonları" -\u003e "Windows Bileşenleri" -\u003e "Uzak Masaüstü Oturum Ana Bilgisayarı" nı seçin ”-\u003e“ Güvenlik ”ve orada, yalnızca SSL'yi (TLS 1.0) seçerek Uzak bağlantılar için belirli güvenlik katmanının kullanılmasını gerektir parametresini etkinleştirin. Daha yumuşak Pazarlığı da seçebilirsiniz, ancak bunu tavsiye etmem çünkü şu anda kabul edilebilir güvenlik seviyesinin altında kalmaktadır. Yeterince yüksek güvenlik seviyesine sahip özel bulutlar yaratmış bir kişi olarak, özellikle değerli verileri Londra yakınlarındaki bir veri merkezine getirip oraya varsayılan RDP ile gitmenin noktasının sıfır olduğunu ve bir sorun arayışı olduğunu söyleyebilirim.

Daha kolay ve daha kolaydır - Uzak Masaüstü Oturum Ana Bilgisayarı Yapılandırması ek bileşenini açın (mmc'de bulunur veya Yönetimsel Araçlar -\u003e Uzak Masaüstü Bağlantıları menüsünde hazırdır), listeden Bağlantılar'ı seçin istenen bağlantı (genellikle bir tanesidir ve RDP-Tcp olarak adlandırılır) ve Özellikler'i açın, ardından Genel sekmesini açın ve orada istenen Güvenlik Katmanını seçin.

TLS'nin çalışması için dijital bir sertifika gereklidir (en azından sunucu tarafından). Genellikle zaten oradadır (otomatik olarak oluşturulur), orada olduğundan emin olun, nasıl daha iyi hale getireceğimiz hakkında konuşacağız. Şimdilik sadece ona ihtiyacın var, yoksa bağlanamazsın.

RDP için şifrelemeyi yapılandırma

Yapılandırma için 4 şifreleme seçeneği mevcut olacaktır. Her birini düşünelim.

RDP Düşük Şifreleme Modu

En "hayır" modu. RDP 5.x'in korkunç zamanlarının ve sürümlerinin mirası. Şu anda ciddi olmayan 56-bit DES veya 40-bit RC2 şifrelemesinde anlaşabilir. Gerekli değil ve tehlikeli. Örneğin, etkinleştirirseniz, TLS etkinleştirilmeyecektir, çünkü TLS, bu seçeneğin sunduğu zayıf şifreleri müzakere etmeyi zaten reddedecek.

RDP İstemcisi Uyumlu Şifreleme Modu

İkinci "hayır" modu. RDP 5.x'in korkunç zamanlarının ve sürümlerinin mirası. 128 bit RC4'ü deneyecek, ancak hemen DES / RC2'yi kabul edecek. Gerekli değil ve tehlikeli. Ayrıca TLS uyumlu değildir.

RDP Yüksek Şifreleme Modu

İzin verilen minimum mod. En az 128 bit RC4 gerektirir. HEP ile Windows 2000 Sunucusundan başlayarak tüm sunucularla çalışır.

RDP FIPS140-1 Şifreleme Modu

Tam olarak ne gerekli. Modern simetrik algoritmaları destekleyecek ve RC2, RC4, tek DES'i açıkça desteklemeyecek ve ayrıca Mesaj Kimlik Doğrulama Kodu (MAC) bütünlük hesaplaması için MD5 yerine SHA-1 kullanımını zorlayacaktır. Her zaman bu seçeneği etkinleştirin, 3DES, AES veya SHA-1 yapamayan bir sunucu bulmak neredeyse imkansızdır.

Bu ayar nerede yapılır? Uzak Masaüstü Oturumu Ana Bilgisayar Yapılandırması ek bileşenini açın (mmc'de bulunur veya Yönetimsel Araçlar -\u003e Uzak Masaüstü Bağlantıları menüsünde hazır bulunur), Bağlantılar listesinden istenen bağlantıyı seçin (genellikle birdir ve RDP-Tcp olarak adlandırılır) ve Özellikler'i açın, ardından Genel sekmesini ve orada gerekli Şifreleme Düzeyini seçin.

RDP'yi belirli bir adaptöre ve bağlantı noktasına bağlayın

Sunucunun güvenli ve öngörülebilir şekilde çalışması için (örneğin, yeni, yeni eklenen bir ağ bağdaştırıcısından gelen bağlantıları kabul etmeye başlamaması), RDP sunucu hizmetinin hangi arabirimlerde bağlantıları kabul etmesi gerektiğini açıkça belirtmek gerekir. Ayrıca, sunucunun bağlantıları dinlediği bağlantı noktasını değiştirmek genellikle yararlıdır. Elbette bunu, bir ağ geçidi aracılığıyla RDP'li bir sunucu yayınlayarak yapabilirsiniz, ancak bunu onsuz da yapabilirsiniz. Gerçekte bu tür görünüşte temel eylemler, iyi bilinen bağlantı noktalarını kontrol etmek için başka bir "güçlü araç" kullanan aptal-scriptkiddilerin yüzdesini önemli ölçüde azaltacaktır.

RDP hizmetini belirli bir ağ bağdaştırıcısına bağlama veya farklı bağdaştırıcılar için farklı ayarlarla birden çok RDP yapma

Uzak Masaüstü Oturumu Ana Bilgisayar Yapılandırması ek bileşenini açın (mmc'de bulunur veya Yönetimsel Araçlar -\u003e Uzak Masaüstü Bağlantıları menüsünde hazır bulunur), Bağlantılar listesinden istenen bağlantıyı seçin (genellikle birdir ve RDP-Tcp olarak adlandırılır) ve Özellikler'i, ardından Ağ Arayüzleri sekmesini açın ... İçinde, bir bağlantı için bekleyeceğiniz belirli bir arabirim seçebilir ve paralel oturumların sayısını sınırlayabilirsiniz.

Çok sayıda arabiriminiz varsa ve örneğin mevcut 5'ten 2'si üzerinden bağlanabilmeniz gerekiyorsa, varsayılan RDP-Tcp'yi bir adaptöre bağlamanız, ardından Eylem menüsüne gidip Yeni Oluştur'u seçmeniz gerekir. Orada bağlantı. Bir bağlantı, tüm arabirimlerde veya birinde dinleyebilir ve N arabirimi dinlemesi gerektiğinde, N bağlantı oluşturmanız gerekir.

Buna göre, "Böylece RDP bir bağlantı noktasında bir arabirimde ve diğerinde - diğerinde dinler" göreviniz varsa, bu aynı şekilde çözülebilir - varsayılan RDP-Tcp'yi tüm bağdaştırıcılardan çözer ve belirli bir tane, sonra - yeni bir RDP bağlantısı oluşturun ve ayrıca istenen ağ arayüzüne bağlanın.

RDP hizmeti varsayılan olmayan bir bağlantı noktasına nasıl bağlanır

Varsayılan bağlantı noktası 3389 TCP'dir. Bu arada, paket filtrenizde etkinleştirmeyi unutmayın. Peki, başka bir şey istiyorsanız, kayıt defteri anahtarına gitmeniz gerekir.

HKEY_LOCAL_MACHINE \\ System \\ CurrentControlSet \\ Control \\ Terminal Sunucusu \\ WinStations \\ RDP-Tcp

ve içindeki PortNumber değerini düzeltin. Liman doluluğu açısından çatışmaları takip etmenin vicdanınızda olduğunu unutmayın, kendisi belirlediğiniz limanın meşgul olduğunu keşfettikten sonra hiçbir yere "atlayamayacak".

NLA - Ağ Düzeyinde Kimlik Doğrulama'yı açın

NLA işlevi NT 6.0'da ortaya çıktı ve daha sonra XP için SP3'ü yükleyerek önceki işletim sistemi sürümünde kısmen kullanma yeteneği ekledi.
Bu işlevin özü oldukça basittir. RDP sürümlerinde 6.0'a kadar bağlantı yapıldığında RDP istemcisi kimlik doğrulamadan önce, oturum açma penceresini göstermeniz gerekir - ör. Önce göster, sonra sisteme girmeye çalışacak. Bu, basit bir güvenlik açığı yaratır - sunucu, bir dizi "yeni bir oturum başlatma denememe izin ver" istekleriyle aşırı yüklenebilir ve bir oturum oluşturup kullanıcının oturum açmasını bekleyerek tüm isteklere yanıt vermeye zorlanır. Aslında bu bir DoS özelliğidir. Bununla nasıl başa çıkabilirsiniz? Mantıklı ki, amacı müşteriden kimlik bilgilerini olabildiğince erken talep etmek olacak bir şema bulmamız gerekiyor. Optimal - etki alanındaki kerberolar gibi bir şey. Bu bitti. NLA'nın iki amacı vardır:

İstemci, bir terminal oturumu başlatmadan önce doğrulanır.
Yerel istemci SSP'nin verilerini sunucuya aktarmak mümkün hale gelir, yani. Tek Oturum Açma çalışmaya başlar.

Bu, yeni bir güvenlik sağlayıcısı - CredSSP aracılığıyla uygulanır. Teknik özelliklerini okuyabilirsiniz, basitçe söylemek gerekirse, bu işlevi her zaman etkinleştirmelisiniz. Tabii ki, çalışması için gerekli olduğu göz önüne alındığında:

İstemci işletim sistemi (bağlantının yapıldığı) Windows XP SP3 veya üzeriydi.
Sunucu işletim sistemi (bağlantının olacağı) Windows Server 2008 ve üzeriydi.

Not: Windows Server 2003 çekirdeği XP'den daha yeni olmasına rağmen (5.2'ye karşı 5.1), Windows XP için NLA desteği ekleyen ancak Windows Server 2003 için olmayan bir güncelleme vardır. Yani, en erişilebilir sürüm olan Windows Server 2003 R2 SP2'den tüm yamalarla bağlansanız bile, NLA gerektiren bir sunucuya bağlanamaz ve NLA'yı destekleyen bir sunucu olamazsınız. Ne yazık ki.

NLA, RDP sunucu tarafından nasıl etkinleştirilir?

Grup İlkesi aracılığıyla tüm sunucularda NLA'yı etkinleştirmek en iyisidir. Bunu yapmak için, hedef grup ilke nesnesine gidin ve "Bilgisayar Yapılandırması" -\u003e "Yönetim Şablonları" -\u003e "Windows Bileşenleri" -\u003e "Uzak Masaüstü Oturum Ana Bilgisayarı" -\u003e "Güvenlik" öğesini seçin ve orada Ağ Katmanı Kimlik Doğrulamasını kullanarak uzaktan bağlantıları parametreleyin.

Yerel olarak da etkinleştirebilirsiniz. Bu, Özellikler alt menüsünü (standart bir Bilgisayar alt menüsü) çağırarak ve orada bir seçimin yapılacağı Uzak sekmesini seçerek yapılır. üç seçenek - bu ana bilgisayara RDP aracılığıyla bağlantıları reddedin, herhangi bir RDP aracılığıyla bağlantılara izin verin, yalnızca NLA ile izin verin. Her zaman NLA seçeneğini etkinleştirin, bu öncelikle sunucuyu korur.

NLA ve Windows XP

Windows XP'niz varsa, bu işlevi de kullanabilirsiniz. "NLA için en azından bir ıslığa ihtiyacınız var, Microsoft bunu yükseltmek için yaptı" ifadesi yanlıştır. Service Pack 3, yerel SSP tarafından tutulan istemci kimlik bilgilerini sunucuya devretmek için bir CredSSP uygulaması ekler. Yani, basitçe söylemek gerekirse, Windows XP'den NT 6.0+ ile sistemlere bağlanmak mümkün olacak şekilde özel olarak yapılmıştır. Bu işlevle Windows XP SP3'ün kendisine bağlanamazsınız, NLA desteği kısmi olacaktır (bu nedenle, Windows XP'den NLA kullanarak istemcileri bağlama desteğine sahip bir RDP sunucusu standart yöntemler kullanılarak yapılamaz, Windows XP yalnızca NLA uyumlu bir istemci olacaktır ).

Not: NLA, NT 6.0'dan beri piyasadadır ve RDP 6.0 adı verilen bir teknoloji yığınının parçasıdır. XP için 3. hizmet paketi sadece RDP 6.0'ı değil, oldukça olumlu olan RDP 7.0'ı yükleme becerisini de beraberinde getiriyor (örneğin, 6.0'dan farklı olarak RDP 7.0'da, EasyPrint, çift yönlü ses ve bir RDP istemcisini çeviren diğer bazı şeyler var. Windows XP'de tüm paketler oldukça pratik bir sisteme dönüşür). Bu arada bu, herkesi Windows XP'den kötü, kötü ıslığa yükseltmeye o kadar çok zorlayan kötü Microsoft ile ilgilidir ki, 2001 ürünü için ücretsiz hizmet paketinde bile, ıslık gelenden daha yeni bir RDP alt sistemi diktim 2006'da çıktı.

Service Pack 3'ün şifreleme sağlayıcısının yeni bir dll'sini eklemesine rağmen, bunu içermediğinden, bu işlevselliğin açıkça etkinleştirilmesi gerekir.

XP'de CredSSP nasıl etkinleştirilir

Bir kez daha - bu işlem kesinlikle Service Pack 3'ün Windows XP'ye yüklenmesinden sonra gerçekleştirilir ve NLA kullanarak RDP 6.1 aracılığıyla diğer sunuculara bağlanabilmek için görüşmemiz bağlamında gereklidir.

Birinci adım - Güvenlik Paketleri listesinin genişletilmesi.
Bunu yapmak için kayıt defteri anahtarını açacağız

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsa

ve içindeki Güvenlik Paketleri değerini bulun. Sağ tıklayın ve "Değiştir" i seçin (İkili Verileri Değiştirmeyin, sadece Değiştirin). Her satırda paket adı gibi bir liste olacaktır. Oraya tspkg eklememiz gerekiyor. Gerisi bırakılmalı. Ekleme yeri kritik değildir.

İkinci adım, kütüphaneyi bağlamaktır.
Anahtar farklı olacak:

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ SecurityProviders

İçinde, SecurityProviders değerini bulmanız (önceki durumda olduğu gibi, bunun bir alt anahtar değil, bir değer olduğunu unutmayın) ve bunu, yalnızca credssp.dll ekleyerek benzetme yoluyla değiştirmeniz gerekecektir. Listenin geri kalanına yine dokunulmasına gerek yok.

Artık kayıt defteri düzenleyicisini kapatabilirsiniz. Bu işlemlerden sonra sistemin yeniden başlatılması gerekir. Kripto sağlayıcıları kesinlikle hareket halindeyken kabul etmeyecek bir şeydir ve bu kötüden daha iyidir.

RDP için doğru sertifikayı seçme

RDP için varsayılan olmayan bir sertifika kullanma fırsatınız varsa, onu kullanmak daha iyidir. Bu, oturumun güvenliğini etkilemeyecek, ancak bağlantının güvenliğini ve kullanılabilirliğini etkileyecektir. En iyi kullanılan sertifika aşağıdaki noktaları içermelidir:

Sunucuya bağlanan istemcinin girdiği adla karakter karakter eşleşen bir ad (konu veya SAN içinde).
Çalışan bir CRL'yi gösteren normal CDP uzantısı (tercihen en az iki - OCSP ve statik).
İstenen anahtar boyutu 2048 bittir. Daha fazlası mümkündür, ancak XP / 2003 CAPI2 sınırlamalarını unutmayın.
XP / 2003 yan bağlantılarına ihtiyacınız varsa imza / karma algoritmaları denemeyin. Kısacası SHA-1'i seçin, bu kadar yeter.

RDP sunucusu için özel bir sertifika konusunda biraz daha duracağım.

RDP sunucuları için özel sertifika şablonu

RDP için sertifikanın normal bir şablona (Web Sunucusu gibi) ve Uygulama Politikası alanına (sertifikada daha yaygın olarak Gelişmiş Anahtar Kullanımı - EKU olarak adlandırılacaktır) standart İstemci Kimlik Doğrulaması'na dayalı olarak yapılması ideal olacaktır ve Sunucu Kimlik Doğrulaması değerleri, ancak uygulamanın standart yöntemlerle eklenmemiş tek, özel bir değerinin bulunduğu kendi şablonunuzu ekleyin - Uzak Masaüstü Kimlik Doğrulaması. Bu Uygulama Politikası değerinin manuel olarak oluşturulması gerekecek, OID'si 1.3.6.1.4.1.311.54.1.2 olacaktır, bundan sonra, bir sertifikanın verildiği temelde yeni bir sertifika şablonu oluşturabilirsiniz. RDP Sunucusu için hedeflenmiştir.

Bu işlemi tamamen otomatikleştirmek için, yeni şablona öngörülebilir bir ad verin - örneğin, "RDPServerCert" - ve Grup İlkesi nesnesine gidin ve burada Bilgisayar Yapılandırması -\u003e İlkeler -\u003e Yönetim Şablonları -\u003e Windows Bileşenleri -\u003e Uzak Masaüstü Hizmetleri'ni açın -\u003e Uzak Masaüstü Oturum Ana Bilgisayarı -\u003e Güvenlik. Sunucu Kimlik Doğrulama Sertifikası Şablonu parametresini seçin ve etkinleştirin ve değer alanına bir ad girin - RDPServerCert yaptık. Şimdi, RDP etkinleştirilmişse, bu ilkeye giren tüm etki alanı ana bilgisayarları kendileri Sertifika Yetkilisine gidecek, sertifikaları yoksa belirtilen şablona dayalı bir sertifika talep edecek ve RDP bağlantılarını korumak için otomatik olarak varsayılan yapacaktır. . Basit, kullanışlı, etkili.

Boş şifreyle RDP hesapları üzerinden bağlantıları engelleyin

Bir önemsememek, ama unutmana gerek yok.
Parolasız hesapların RDP'ye bağlanmasını engellemek için, grup ilkesi nesnesinin ayarlarına gidin: Bilgisayar Yapılandırması -\u003e Windows Ayarları -\u003e Güvenlik Ayarları -\u003e Yerel İlkeler -\u003e Güvenlik Seçenekleri ve "Hesaplar: Yerel hesap kullanımını boş sınırla yalnızca konsolda oturum açma parolaları ”Etkinleştirildi. Durumun bu olup olmadığını kontrol etmek için tembel olmayın.

ACL'yi RDP Bağlantısı için Yapılandırma

Varsayılan olarak, bir RDP sunucusuna bağlanmak için açık Kullanıcı Erişimi veya Konuk Erişimi iznine sahip olmanız gerekir.
Yerel Yöneticiler ve Uzak Masaüstü Kullanıcıları grupları bu izne sahiptir. RDP sunucusuna erişimi kontrol etmek ve tek tek kullanıcılar yerine gerekli etki alanı gruplarını eklemek için Uzak Masaüstü Kullanıcıları grubunu kullanmak en iyisidir. RDP-Tcp için Özellikler ayarlarındaki Güvenlik sekmesinin içeriğini yalnızca son çare olarak değiştirin; en iyisi, belirtilen ana bilgisayara RDP erişimi açıkça reddedilen "RDP Engellenen ana bilgisayar adı" grubunu ekleyerek.

RDP hız optimizasyonu

RDP hızını optimize etmek oldukça kapsamlı bir konudur, bu yüzden onu parçalara ayıracağım. Bu, sıkıştırmadan önce ve ağ katmanını optimize etmeden önce protokol üzerindeki yükü azaltacak yöntemleri içerecektir.

Chroma (bit derinliği)

RDP 7.0 ve üstünde 32, 16 ve 8 bit seçenekleri mevcuttur. İşten bahsediyorsak, 16 bit bunun için yeterli olacaktır. Bu, kanal üzerindeki yükü önemli ölçüde azaltacaktır, ayrıca bazen 2 kattan fazla, bu şaşırtıcı, ancak doğrudur. Tabii ki 8 bit de mümkündür, ancak acı verici derecede korkutucu görünecektir. 16 bit tamamen kabul edilebilir.

Not: 8 bit bağlantılar artık Windows Server 2008 R2'de mevcut değildir.

Sunucuda Maksimum Renk Derinliğini Sınırla parametresini etkinleştirin veya aynısını RDP istemci ayarlarında yapın.

ClearType'ı devre dışı bırakın

ClearType'ı devre dışı bıraktığınızda, RDP protokolü bir resim değil, karakter çizme komutları gönderir. Etkinleştirildiğinde, sunucu tarafından bir görüntü oluşturur, sıkıştırır ve istemciye gönderir. Bunun birkaç kat daha az etkili olacağı garanti edilir, bu nedenle ClearType'ın devre dışı bırakılması iş sürecini önemli ölçüde hızlandıracak ve yanıt süresini azaltacaktır. Kendine ne kadar şaşıracaksın.

Bu, hem istemci ayarları düzeyinde hem de sunucu tarafında yapılabilir (Bilgisayar Yapılandırması -\u003e İlkeler -\u003e Yönetim Şablonları -\u003e Windows Bileşenleri -\u003e Uzak Masaüstü Hizmetleri -\u003e Uzak Oturum Ortamı bölümündeki yazı tipi yumuşatmaya izin verme parametresi -\u003e Uzak Masaüstü Oturum Ana Bilgisayarı).

Duvar kağıdını kaldır

Bilgisayar Yapılandırması -\u003e İlkeler -\u003e Yönetim Şablonları -\u003e Windows Bileşenleri -\u003e Uzak Masaüstü Hizmetleri -\u003e Uzak Masaüstü Oturum Ana Bilgisayarı'ndaki Uzak Oturum Ortamı bölümündeki RD Duvar Kağıdı parametresini kaldırmaya zorla parametresi, terminal oturumu ekranını yeniden çizerek durumu önemli ölçüde iyileştirecektir. Masaüstünde kedisi olmayan kullanıcılar normal olarak hayatta kalır, kontrol edilir.

Görüntü önbelleğe almayı açın ve yapılandırın

Müşteri yeterince varsa rasgele erişim belleğibitmap önbelleğe almayı etkinleştirmek ve yapılandırmak mantıklıdır. Bu, bant genişliğinin% 20-50'sine kadar kazanacak. Yüklemek için anahtarı girmeniz gerekecek

HKEY_CURRENT_USER \\ SOFTWARE \\ Microsoft \\ Terminal Sunucu İstemcisi \\

ve burada her ikisi de DWORD 32 türü olan BitmapPersistCacheSize ve BitmapCacheSize parametrelerini oluşturun.
BitmapPersistCacheSize parametresi, disk önbelleğinin kilobayt cinsinden boyutunu belirtir. Varsayılan 10'dur. Bu parametrenin en az 1000'e yükseltilmesi mantıklıdır.
BitmapCacheSize parametresi, RAM'deki önbelleğin kilobayt cinsinden boyutunu belirtir. Varsayılan değer 1500'dür. Bu parametrenin en az 5000'e yükseltilmesi mantıklıdır. Bu, istemci oturumu başına yalnızca 5 megabayt olacaktır, modern RAM ölçekleri ile bu önemsizdir ve% 10'luk bir performans kazancı sağlasa bile, hesabı kapatmak. Bu arada, aynı parametre .rdp dosyasında düzeltilebilir; RDP bağlantınızı kaydedip ardından dosyayı not defteri ile açarsanız, parametreler arasına bitmapcachesize gibi bir şey ekleyebilirsiniz: i: 5000, burada 5000 5MB önbellektir.

Masaüstü Oluşturmayı Devre Dışı Bırak

Masaüstü Kompozisyonu, Aero ve arkadaşları gibi her tür "nezaket" i getiriyor ve bant genişliğini fark edilir şekilde tüketiyor. Bu gereksizdir ve iş için zararlıdır. Bilgisayar Yapılandırması -\u003e İlkeler -\u003e Yönetim Şablonları -\u003e Windows Bileşenleri -\u003e Uzak Masaüstü Hizmetleri -\u003e Uzak Masaüstü Oturum Ana Bilgisayarı'ndaki Uzak Oturum Ortamı bölümündeki RDP Oturumları için masaüstü kompozisyonuna izin ver parametresi Devre Dışı olarak ayarlanmalıdır.

Masaüstü Pencere Yöneticisi Ayarlarını Optimize Etme

Bilgisayar Yapılandırması -\u003e İlkeler -\u003e Yönetim Şablonları -\u003e Windows Bileşenleri -\u003e Masaüstü Pencere Yöneticisi içindeki Uzak Oturum Ortamı bölümünde bulunan parametreler, sorunsuz bir şekilde kayan menülerin ve benzerlerinin "güzel" görüntüsünü kontrol edecektir. Üç tane var - Pencere animasyonlarına izin verme, Masaüstü kompozisyonlarına izin verme ve Flip3D çağrısına izin verme. Hepsi Etkin moda geçirilmelidir, yani. aslında - tüm bu işlevleri devre dışı bırakın.

Kullanılmayan cihazları yeniden yönlendirmeyi devre dışı bırakın

Belirli cihaz sınıflarını (örneğin, COM ve LPT bağlantı noktaları) veya sesi bağlamayı planlamıyorsanız, bunları sunucu tarafından yeniden yönlendirme özelliğini devre dışı bırakmak mantıklıdır. Böylece, varsayılan RDP İstemci ayarlarına sahip istemciler, kullanılmayan işlevsellik konusunda pazarlık yapmak için bağlantı zamanını boşa harcamaz. Bu, sunucu ayarlarının geri kalanıyla aynı yerde, RDP-Tcp'nin Özellikleri'nde, İstemci Ayarları sekmesinde (renk derinliği ile ayarları yaptığımız yerde), Yeniden Yönlendirme bölümünde yapılır.

Görsel RDP verilerini optimize etmek için genel mantığı kurma

Bilgisayar Yapılandırması -\u003e İlkeler -\u003e Yönetim Şablonları -\u003e Windows Bileşenleri -\u003e Uzak Masaüstü Hizmetleri -\u003e Uzak Masaüstü Oturum Ana Bilgisayarı -\u003e Uzak Oturum Ortamı altında bulunan Uzak Oturum Ortamı altında bulunan RDP oturumları için görsel deneyimi optimize etme adlı bir seçenek, bunu nasıl kontrol edecek RDP, görsel verileri multimedya veya metin olarak algılayacaktır. Bu, kabaca konuşursak, sıkıştırma algoritmasına nasıl daha yetkin davranılacağına dair bir "ipucu" dur. Buna göre, iş için, bu parametreyi Metin olarak ayarlamanız gerekecek ve çok sayıda güzel flash banner, HTML5 ve video klipler izlemek istiyorsanız, Zengin Multimedya seçeneği daha iyidir.

RDP sıkıştırma optimizasyonu

RDP'de sıkıştırma uzun bir yol kat etti. RDP 5.2 dahil olmak üzere, "Sürüm 1" dahili adıyla bir sıkıştırma alt sistemi ("sıkıştırıcı") vardı - istemci işlemci yükü açısından en basit ve en kolay seçenek, ancak ağ trafiği yükü açısından en kötüsü. RDP 6.0, sıkıştırma verimliliği açısından biraz geliştirilmiş olan "Sürüm 2" yi yaptı. Yalnızca Windows Server 2008 ve sonraki sunuculara bağlandığında çalışan "Sürüm 3" ile ilgileniyoruz. Herkesten daha iyi sıkıştırır ve modern bilgisayarların gücünü hesaba katarak işlemci süresinin maliyeti önemsizdir.

V3 açıldığında elde edilen kazanç, testlere göre% 60'a ulaşabilir ve genel olarak, testler olmadan bile gözle görülür şekilde fark edilebilir.

RDP'de optimum sıkıştırma nasıl etkinleştirilir

Bu bir müşteri ayarıdır. Bilgisayar Yapılandırmasını Aç -\u003e İlkeler -\u003e Yönetim Şablonları -\u003e Windows Bileşenleri -\u003e Uzak Masaüstü Hizmetleri -\u003e Uzak Masaüstü Oturum Ana Bilgisayarı -\u003e İstenilen grup ilkesi nesnesinde Uzak Oturum Ortamı, orada RDP veri parametresi için sıkıştırma algoritmasını ayarla'yı seçin, etkinleştirin ve daha az ağ bant genişliği kullanmak için Optimize et'i seçin.

Not: Birçok kişi listede neden "sıkıştırmayı devre dışı bırak" seçeneğinin olduğunu merak ediyor. Bu, RDP oturumlarınızın, Cisco WAAS gibi, WAN bağlantılarını optimize eden harici bir cihaz tarafından sıkıştırılması durumunda gereklidir. Diğer durumlarda, elbette, sıkıştırmayı devre dışı bırakmanın bir anlamı yoktur.

Ses akışı sıkıştırmasını ayarlama

RDP 7.0, gelen ses akışının (yani sunucudan istemciye giden ses) sıkıştırma kalitesini ayarlamak için mükemmel bir yetenek sunar. Bu oldukça kullanışlıdır - örneğin, bir terminal sunucusu üzerinde çalışıyorsanız, "mesaj ICQ'ya ulaştı" gibi tüm hizmet seslerine ek olarak, diğerleri özellikle planlanmamıştır. Çalışmak için ihtiyacınız yoksa, sıkıştırılmamış CD kalitesinde sesi sunucudan aktarmanın bir anlamı yoktur. Buna göre, ses akışının sıkıştırma seviyesini ayarlamanız gerekir.
Bu parametre, Ses yürütme kalitesini sınırla olarak adlandırılacak ve Bilgisayar Yapılandırması -\u003e İlkeler -\u003e Yönetim Şablonları -\u003e Windows Bileşenleri -\u003e Uzak Masaüstü Hizmetleri -\u003e Uzak Masaüstü Oturum Ana Bilgisayarı'nın Cihaz ve Kaynak Yeniden Yönlendirme bölümünde yer alacaktır. Üç seçenek olacak:

Yüksek - ses sıkıştırılmadan gidecek. Genellikle. Yani, RDP protokolünün genel sıkıştırması kapsamına girecek, ancak belirli ses sıkıştırması (kalite kaybı ile) yapılmayacaktır.
Orta - sıkıştırma, veri aktarım gecikmesini artırmamak için kanala uyum sağlayacaktır.
Dinamik - sıkıştırma, gecikme 150 ms'yi geçmeyecek şekilde kanala dinamik olarak uyum sağlar.

Doğru olanı seç. Gördüğünüz gibi ofis işleri için Dinamik'i seçmek daha iyi.

RDP'de veri akışlarının oranını optimize etme

RDP oturum trafiği monolitik değildir. Aksine, yönlendirilmiş cihazların veri akışlarına (örneğin, yerel bir ana bilgisayardan bir terminal sunucusuna bir dosyanın kopyalanması), bir ses akışına, bir işleme ilkel komut akışına (RDP, ilkelleri oluşturmak için komutları iletmeye çalışır. ve son çare olarak bit eşlemleri ve aygıt akış girişlerini (fare ve klavye) aktarır.

Bu akışların karşılıklı ilişkisi ve (ilişki) hesaplamasının mantığı (bir tür yerel QoS) etkilenebilir. Bunu yapmak için sunucu tarafında kayıt defteri anahtarına gidin

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ TermDD

ve başlamak için orada dört anahtar oluşturun (orada değilse):

FlowControlDisable
FlowControlDisplayBandwidth
FlowControlChannelBandwidth
FlowControlChargePostCompression

Tümünü yazın - DWORD 32. Anahtarların işlevselliği aşağıdaki gibi olacaktır.
FlowControlDisable anahtarı, önceliklendirmenin hiç kullanılıp kullanılmayacağını belirler. Birini belirtirseniz, sıfır etkinleştirilmişse önceliklendirme devre dışı bırakılır. Aç onu.
FlowControlDisplayBandwidth ve FlowControlChannelBandwidth anahtarları, iki veri akışı arasındaki ilişkiyi belirler:

Kullanıcı etkileşim akışı (görüntü + giriş cihazları)
Diğer veriler (blok cihazları, pano ve diğer her şey)

Bu anahtarların değerleri kritik değildir; nasıl ilişki kurdukları kritiktir. Diğer bir deyişle, FlowControlDisplayBandwidth'i bire ve FlowControlChannelBandwidth'i dörde eşit yaparsanız, oran 1: 4 olur ve bant genişliğinin% 20'si kullanıcı etkileşimi akışına ve% 80'i geri kalanı için ayrılır. 15 ve 60'ı yaparsanız, oran aynı olduğu için sonuç aynı olacaktır.
FlowControlChargePostCompression anahtarı, bu oranın ne zaman hesaplanacağını (sıkıştırmadan önce veya sonra) belirler. Sıfır sıkıştırmadan önce, biri sonra.

1: 1 oranını ayarlamak ve sıkıştırmadan sonra okumak için "uzak sunucumuz uzakta ve herkes ona RDP üzerinden bağlanıyor ve ofiste ve 1C çalışıyor" biçimini kullanmanızı öneririm. Deneyimlerden bu, "büyük bir belgenin bir terminal sunucusundan yerel bir yazıcıya yazdırılması" durumunda gerçekten yardımcı olabilir. Ancak bu bir dogma değil - deneyin, ana araç - nasıl önemli olduğu ve çalıştığı hakkında bilgi - zaten sizde var.

RDP için güvenli RPC iletişimi gerektir seçeneğini etkinleştirin

Bu ayar, Grup İlkesinin Güvenlik bölümünde yer alan ve tüm sistemi etkileyen Güvenli RPC ayarlarına benzer şekilde çalışır, yalnızca yapılandırılması daha kolaydır. Bu parametreyi etkinleştirerek, tüm istemci RPC istekleri için şifrelemeyi zorunlu hale getireceksiniz (sistem ayarlarına bağlı olarak, şifreleme "alt çubuğu" farklı olacaktır - RC4 / DES veya FIPS-140 etkinleştirilirse, 3DES / AES) ve Uzaktan prosedür çağrısı kimlik doğrulaması için en az NTLMv2 kullanın. Bu seçeneği her zaman etkinleştirin. Etki alanı olmayan bir ortamda çalışmadığına dair bir efsane var. Durum böyle değil ve RPC güvenliğinin güçlendirilmesi kimseye zarar vermez.

Bu bir sunucu ayarıdır. İstenilen GPO'da Bilgisayar Yapılandırması -\u003e İlkeler -\u003e Yönetim Şablonları -\u003e Windows Bileşenleri -\u003e Uzak Masaüstü Hizmetleri -\u003e Uzak Masaüstü Oturum Ana Bilgisayarı -\u003e Güvenlik'i açın, orada Güvenli RPC iletişimi gerektir parametresini seçin ve etkinleştirin.

Uzak Masaüstü Protokolü RDP (Uzak Masaüstü Protokolü), bir Windows işletim sistemi çalıştıran bilgisayarların masaüstüne bir ağ aracılığıyla uzaktan erişim sağlar. İnce istemcileri Microsoft Terminal Hizmetleri çalıştıran bir Windows terminal sunucusuna bağlarken kullanılır. Microsoft tarafından geliştirildi.

Resmi destek RDP Windows Server 2008, Windows Server 2003, Windows Home Server, Windows XP Professional, Windows XP Media Center, Tablet PC Editions, Windows Vista Ultimate, Enterprise ve Business sürümlerine dahildir. Herşey windows sürümleri XP ve Vista istemci içerir uzak uygulama Masaüstü Bağlantısı (RDC).

RDP protokolünün temel özellikleri

128 veya 56 bit anahtar uzunluğu ile RC-4 şifrelemesini destekler
TLS (Taşıma Katmanı Güvenliği) protokollerini destekler
Akıllı kartları kullanarak kullanıcı kimlik doğrulaması (Microsoft Terminal Hizmetleri aracılığıyla sunucuda)
Terminal sunucusu uygulamaları için yerel bilgisayar ses desteği
Dosya Sistemi Yeniden Yönlendirme - uzak terminal sunucusundaki yerel bir bilgisayarın dosyalarıyla çalışmanıza olanak sağlar
Yazıcı Yeniden Yönlendirme - uzak terminal sunucusunda çalışan uygulamalardan yerel bilgisayardaki bir yazıcıya yazdırmanıza olanak sağlar
Bağlantı Noktası Yeniden Yönlendirme - uzak terminal sunucusunda çalışan uygulamalar için yerel bir bilgisayarın seri ve paralel bağlantı noktalarına erişimi açar
Panoyu hem yerel bilgisayarda hem de uzak terminal sunucusunda paylaşma
Ekran renk derinliği: 24, 16, 15 veya 8 bit

RDP protokol paketlerinin kendilerinin ağ üzerinden şifrelenmiş bir biçimde iletilmesine rağmen, ne sunucu tarafı ne de istemci tarafı iletilen ve alınanların karşılıklı kimlik doğrulamasını gerçekleştirmediğinden, terminal oturumu bir Ortadaki Adam saldırısına maruz kalabilir. veri paketleri. Bu nedenle, tamamen güvenli çözümler oluşturmak için Windows Server 2003 Service Pack 1'de sunulan RDP SSL korumasını kullanmanız gerekir.

RDP'nin altıncı sürümündeki yeni özellikler

Uzak Uygulamalar. Bir terminal oturumu penceresi açmadan, özel bir terminal oturumunda sunucudaki uygulamaların doğrudan başlatılması. Yerel bilgisayarın dosya ilişkilendirmeleri için destek - dosya adındaki uzantıya göre yerel bilgisayarda bir belgeyi açmak için sunucuda uygulama çalıştırma yeteneği.
Sorunsuz Windows. Bir terminal sunucusunda bir uygulamanın başlatılmasıyla yerel bir bilgisayar penceresinin öykünmesi. Kullanıcı hesabı ayrıntılarıyla sunucuda otomatik kimlik doğrulama. Uygulama sona erdiğinde ilgili terminal oturumunun otomatik olarak sonlandırılması.
Terminal Sunucusu Ağ Geçidi. Https protokolünü kullanan bir IIS ağ geçidi sunucusu aracılığıyla RDP bağlantılarını destekler. Kuruluşun yerel ağında ISS'nin arkasında bulunan bir terminal sunucusuna güvenli bir bağlantı sağlar.
Windows Aero Glass. ClearType yazı tipi yumuşatma dahil Windows Aero Glass desteği.
Windows Sunum Vakfı. .NET Framework 3.0 yüklü herhangi bir istemcide desteklenir.
Windows Yönetim Araçları kullanılarak komut dosyası desteği de dahil olmak üzere tamamen özelleştirilebilir terminal hizmetleri.
RDP istemcileri için geliştirilmiş bant genişliği yönetimi.
Birden çok monitör desteği. Terminal oturumu ekranını birden çok monitöre bölme. Yalnızca Windows Vista sistemleriyle çalışır.
Ekran renk derinliği: 32, 24, 16, 15 veya 8 bit