Uzak Masaüstü Protokolü RDP (Uzak Masaüstü Protokolü), bir Windows işletim sistemi çalıştıran bilgisayarların masaüstüne bir ağ aracılığıyla uzaktan erişim sağlar. İnce istemcileri Microsoft Terminal Hizmetleri çalıştıran bir Windows terminal sunucusuna bağlarken kullanılır. Microsoft tarafından geliştirildi.

Resmi destek RDP Windows Server 2008, Windows Server 2003, Windows Home Server, Windows XP Professional, Windows XP Media Center, Tablet PC Editions, Windows Vista Ultimate, Enterprise ve Business sürümlerine dahildir. Herşey windows sürümleri XP ve Vista istemci içerir uzak uygulama Masaüstü Bağlantısı (RDC).

RDP protokolünün temel özellikleri

• 128 veya 56 bit anahtar uzunluğu ile RC-4 şifrelemesini destekler
• TLS (Taşıma Katmanı Güvenliği) protokollerini destekler
• Akıllı kartları kullanarak kullanıcı kimlik doğrulaması (Microsoft Terminal Hizmetleri aracılığıyla sunucuda)
• Terminal sunucusu uygulamaları için yerel bilgisayar ses desteği
• Dosya Sistemi Yeniden Yönlendirme - uzak terminal sunucusundaki yerel bir bilgisayarın dosyalarıyla çalışmanıza olanak sağlar
• Yazıcı Yeniden Yönlendirme - uzak terminal sunucusunda çalışan uygulamalardan yerel bilgisayardaki bir yazıcıya yazdırmanıza olanak sağlar
• Bağlantı Noktası Yeniden Yönlendirme - uzak terminal sunucusunda çalışan uygulamalar için yerel bir bilgisayarın seri ve paralel bağlantı noktalarına erişimi açar
• Panoyu hem yerel bilgisayarda hem de uzak terminal sunucusunda paylaşma
• Ekran renk derinliği: 24, 16, 15 veya 8 bit

RDP protokol paketlerinin kendilerinin ağ üzerinden şifrelenmiş bir biçimde iletilmesine rağmen, ne sunucu tarafı ne de istemci tarafı iletilen ve alınanların karşılıklı kimlik doğrulamasını gerçekleştirmediğinden, terminal oturumu bir Ortadaki Adam saldırısına maruz kalabilir. veri paketleri. Bu nedenle, tamamen güvenli çözümler oluşturmak için Windows Server 2003 Service Pack 1'de sunulan RDP SSL korumasını kullanmanız gerekir.

RDP'nin altıncı sürümündeki yeni özellikler

• Uzak Uygulamalar. Bir terminal oturumu penceresi açmadan özel bir terminal oturumunda sunucudaki uygulamaların doğrudan başlatılması. Yerel bilgisayarın dosya ilişkilendirmeleri için destek - dosya adındaki uzantıya göre yerel bilgisayarda bir belgeyi açmak için sunucuda uygulamaları çalıştırma yeteneği.
• Sorunsuz Windows. Bir terminal sunucusunda bir uygulamanın başlatılmasıyla yerel bir bilgisayar penceresinin öykünmesi. Kullanıcı hesabı ayrıntılarıyla sunucuda otomatik kimlik doğrulama. Uygulama sona erdiğinde ilgili terminal oturumunun otomatik olarak sonlandırılması.
• Terminal Sunucusu Ağ Geçidi. Https protokolünü kullanan bir IIS ağ geçidi sunucusu aracılığıyla RDP bağlantılarını destekler. Kuruluşun yerel ağında ISS'nin arkasında bulunan bir terminal sunucusuna güvenli bir bağlantı sağlar.
• Windows Aero Glass. ClearType yazı tipi yumuşatma dahil Windows Aero Glass desteği.
• Windows Sunum Vakfı. .NET Framework 3.0 yüklü herhangi bir istemcide desteklenir.
• Windows Yönetim Araçları kullanılarak komut dosyası desteği de dahil olmak üzere tamamen özelleştirilebilir terminal hizmetleri.
• RDP istemcileri için geliştirilmiş bant genişliği yönetimi.
• Birden çok monitör desteği. Terminal oturumu ekranını birden çok monitöre bölme. Yalnızca Windows Vista sistemleriyle çalışır.
• Ekran renk derinliği: 32, 24, 16, 15 veya 8 bit

Herhangi bir sistem yöneticisi, modern bilgisayar ağlarında yaygın olarak kullanılan bu protokolü bilir. Bunu kullanarak, bir Microsoft işletim sistemi çalıştıran uzak bir makineye bağlanabilirsiniz. Masaüstüne, dosya sistemine vb. Erişiminiz olacak. Böylece, ayarların büyük bir kısmının gerçekleştirilmesi ve önleyici tedbirler, uzaktaki bir bilgisayarın ekranının arkasında fiziksel varlığa ihtiyaç duymadan.

Bu nedenle RDP protokolü, teknik uzmanların cephaneliğindeki ana bileşenlerden biridir. İş yerinizden ayrılmadan, ağdaki tüm mevcut bilgisayarları yönetebilir ve sorunları giderebilirsiniz.

Görünüm tarihi

RDP kısaltmasının anlamı olan Uzak Masaüstü Protokolü 1998'de ortaya çıktı. O zamanlar, bu tescilli uygulama düzeyindeki protokol, Windows NT 4.0 Terminal Server işletim sisteminin bir parçasıydı ve istemci-sunucu uygulamalarının uzaktan çalıştırılması fikrinin uygulanmasını mümkün kılıyordu. Anladığınız gibi, tüm iş yerlerine güçlü bilgisayarlar sağlamak her zaman mümkün olmuyor ve o uzak yıllarda bile verimlilik arzulanan çok şey bıraktı.

Bu sorunun çözümü aşağıdaki yapıdır: güçlü bir sunucu (veya bir sunucu kümesi) bilgi işlem işlemlerinin çoğunu gerçekleştirir ve düşük güçlü istemci bilgisayarlar / uygulamalar RDP protokolünü kullanarak ona bağlanır ve görevlerini yerine getirir. Böylece, sınırlı kaynaklarla bile son kullanıcı düğümlerinde karmaşık uygulamalar ve programlarla çalışmak mümkün hale geldi - sonuçta, ana yük sunucuya düştü ve istemci PC, monitördeki işlemin yalnızca ana sonucunu aldı.

RDP protokol açıklaması

• Varsayılan olarak, bağlantı için 3389 numaralı TCP bağlantı noktası kullanılır
• Yukarıda belirtildiği gibi, bağlandığında, uzak bir makinedeki dosyalarla çalışmak mümkündür.
• Güvenliği sağlamak için 56 ve 128 bit anahtarlarla şifreleme uygulanmaktadır
• Ayrıca güvenlik işlevleri için TLS protokollerinin yetenekleri kullanılır
• Paylaşılan pano - uzaktaki bir makineden veri kopyalayabilir ve yerel PC'nize yapıştırabilirsiniz.
• Yerel kaynakları uzak bir bilgisayara bağlama becerisi uygulandı.
• RDP, yerel bilgisayar bağlantı noktalarına (seri ve paralel) erişim sağlar

Çalışma prensibi

RDP, TCP protokol yığınının işlevselliğine dayanır. Öncelikle, istemci ile sunucu arasında taşıma seviyesinde bir bağlantı kurulur. Ardından RDP oturumu başlatılır - bu aşamada ana parametreler üzerinde anlaşmaya varılır: şifreleme, bağlı cihazlar, grafik ayarları vb.

Her şey yapılandırıldıktan sonra, RDP oturumu tamamen kullanıma hazırdır. İstemci bilgisayar, klavyeden veya fareden komut göndermenin bir sonucu olarak sunucudan bir grafik görüntüsü (işlemlerin sonucu) alır.

Doğrulama

RDP güvenliği yapılandırılırsa, kimlik doğrulama şu şekilde gerçekleşir:

1. Bağlantı başlatılırken, bir çift RSA anahtarı oluşturulur
2. Ardından, özel bir genel anahtar sertifikası oluşturulur
3. İşletim sistemi, RSA sertifika imzalama işlemini bir anahtarla gerçekleştirir
4. Daha sonra, istemci sunucuya bağlanır, ondan bir sertifika alır ve eğer kontrolü geçerse, bir uzaktan kontrol oturumu başlatılır.

Nasıl başlanır

İÇİNDE işletim sistemleriWindows XP, Vista, Seven, Uzak Masaüstü Bağlantısı gibi istemci yazılımı varsayılan olarak etkindir. Başlatmak için klavye kısayoluna basmanız gerekir Kazan + R, çevir mstsc ve bas Giriş.

Bu makale, RDP protokolünün yapısı ve güvenliğine ayrılmış bir dizi makale açar. Bu serideki ilk makale, protokolün tasarımını, kullanımını ve temel teknolojilerini analiz eder.

Bu makale, RDP protokolünün yapısı ve güvenliğine ayrılmış bir dizi makale açar. Bu serideki ilk makale, protokolün tasarımını, kullanımını ve temel teknolojilerini analiz eder.

Aşağıdaki makaleler aşağıdaki konuları ayrıntılı olarak ele alacaktır:

• Uzak Masaüstü güvenlik alt sisteminin çalışması
• RDP'de hizmet bilgisi değişim biçimi
• Terminal Sunucusu Güvenlik Açıkları ve Çözümleri
• RDP protokolünü kullanarak kullanıcı hesaplarının seçimi (bu alanda Positive Technologies tarafından geliştirilmiştir)

RDP geçmişi

Uzak Masaüstü protokolü, Windows sunucularına ve iş istasyonlarına uzaktan erişim sağlamak için Microsoft tarafından oluşturulmuştur. RDP, daha az güçlü birçok iş istasyonuna sahip yüksek performanslı bir terminal sunucusunun kaynaklarından yararlanmak için tasarlanmıştır. Terminal Server (sürüm 4.0) ilk olarak 1998'de Windows NT 4.0 Terminal Server'ın bir parçası olarak bu yazının yazıldığı sırada (Ocak 2009) ortaya çıktı. en son sürüm Terminal Server sürüm 6.1, Windows 2008 Server ve Windows Vista SP1 dağıtımlarında bulunur. Şu anda, RDP, Windows ailesinin sistemleri için ana uzaktan erişim protokolüdür ve hem Microsoft OS hem de Linux, FreeBSD, MAC OS X, vb. İçin istemci uygulamaları mevcuttur.

RDP'nin tarihi hakkında konuşurken, Citrix'ten bahsedilemez. Citrix Systems, 1990'larda çok kullanıcılı sistemler ve uzaktan erişim teknolojilerinde uzmanlaşmıştır. İçin bir lisans satın aldıktan sonra kaynak kodları 1995 yılında Windows NT 3.51, bu şirket Windows NT'nin WinFrame olarak bilinen çok kullanıcılı bir sürümünü yayınladı. 1997 yılında, Citrix Systems ve Microsoft, Citrix teknolojisine dayalı Windows NT 4.0 çok kullanıcılı ortamı temel alan bir anlaşma imzaladı. Buna karşılık, Citrix Systems tam teşekküllü bir işletim sistemi dağıtmayı reddetti ve Microsoft ürünleri için uzantılar geliştirme ve uygulama hakkını aldı. Bu uzantılara başlangıçta MetaFrame adı verildi. İnce istemcilerin Citrix uygulama sunucusuyla etkileşimi için bir uygulama protokolü olan ICA (Bağımsız Hesaplama Mimarisi) hakları Citrix Systems'da kaldı ve Microsoft RDP protokolü ITU T.120'ye dayanıyordu.

Şu anda Citrix ve Microsoft arasındaki ana rekabet, küçük ve orta ölçekli işletmeler için uygulama sunucuları alanında. Geleneksel olarak, Terminal Hizmetlerine dayalı çözümler az sayıda benzer sunucuya ve benzer yapılandırmalara sahip sistemlerde kazanırken, Citrix Systems karmaşık ve yüksek performanslı sistemler için pazarda sağlam bir şekilde yer edinmiştir. Citrix'ten küçük sistemler için hafif çözümlerin piyasaya sürülmesi ve Microsoft'tan Terminal Hizmetleri işlevselliğinin sürekli olarak genişletilmesi rekabet gücünü artırıyor.

Bu çözümlerin faydalarını ele alalım.

Terminal Hizmetleri güçlü yönleri:

• Uygulama sunucusunun istemci tarafı için uygulamaları yüklemek kolaydır
• Kullanıcı oturumlarının merkezi bakımı
• Yalnızca Terminal Hizmetleri için bir lisans gerektirir

Citrix çözümlerinin güçlü yönleri:

• Ölçeklemesi kolay
• Rahat yönetim ve izleme
• Erişim kontrol politikası
• Üçüncü kişi kurumsal ürünleri için destek (IBM WebSphere, BEA WebLogic)

Terminal Hizmetlerini kullanan ağ cihazı

Microsoft, RDP kullanmanın iki modunu önerir:

• yönetim için (Uzaktan yönetim modu)
• uygulama sunucusuna erişmek için (Terminal Sunucusu modu)

Yönetici modunda RDP

Bu tür bir bağlantı, tüm modern Microsoft işletim sistemleri tarafından kullanılır. Windows'un sunucu sürümleri aynı anda iki uzak bağlantı ve bir yerel oturum açmayı desteklerken, istemci sürümleri yalnızca bir oturum açmayı (yerel veya uzak) destekler. İzin için uzak bağlantılar iş istasyonunun özelliklerinde masaüstüne uzaktan erişimi etkinleştirmeniz gerekir.

Terminal Sunucusu Erişim Modunda RDP

Bu mod yalnızca Windows'un sunucu sürümlerinde kullanılabilir. Bu durumda, uzak bağlantıların sayısı sınırlı değildir, ancak Lisans sunucusunu yapılandırmanız ve ardından etkinleştirmeniz gerekir. Lisans sunucusu, bir terminal sunucusuna veya ayrı bir ağ düğümüne kurulabilir. Bir terminal sunucusuna uzaktan erişim, yalnızca Lisans sunucusuna uygun lisanslar yüklendikten sonra kullanılabilir.

Bir terminal sunucuları kümesi ve yük dengeleme kullanıldığında, özel bir bağlantı sunucusu (Session Directory Service) gereklidir. Bu sunucu dağıtılmış bir ortamda çalışan terminal sunucularında oturum açmaya ve yeniden oturum açmaya izin veren kullanıcı oturumlarını dizine ekler.

RDP nasıl çalışır?

Uzak Masaüstü, TCP tabanlı bir uygulama protokolüdür. Bağlantı, taşıma düzeyinde kurulduktan sonra, içinde çeşitli veri aktarım parametrelerinin görüşüldüğü bir RDP oturumu başlatılır. Başlatma aşamasının başarıyla tamamlanmasının ardından, terminal sunucusu istemciye grafik çıktısı göndermeye başlar ve klavye ve fareden giriş için bekler. Grafik çıktısı, grafik ekranın tam bir kopyası olabilir, bir görüntü olarak iletilebilir ve grafik ilkelleri (dikdörtgen, çizgi, elips, metin vb.) Çizmek için komutlar olabilir. İlkelleri kullanarak çıktının aktarılması, trafiği önemli ölçüde kaydettiği için RDP protokolü için bir önceliktir; ve görüntü yalnızca başka türlü bir nedenden ötürü imkansızsa iletilir (RDP oturumunun kurulumu sırasında ilkellerin iletiminin parametreleri üzerinde anlaşmak mümkün değildi). RDP istemcisi, alınan komutları işler ve görüntüleri grafik alt sistemini kullanarak görüntüler. Varsayılan olarak, kullanıcı girişi klavye tarama kodları kullanılarak iletilir. Bir tuşa basma ve bırakma sinyali, özel bir bayrak kullanılarak ayrı ayrı iletilir.

RDP, ek işlevsellik sağlamak için kullanılabilen tek bir bağlantı içinde birden çok sanal kanalı destekler:

• bir yazıcı veya seri bağlantı noktası kullanarak
• dosya sistemi yeniden yönlendirmesi
• pano ile çalışma desteği
• ses alt sisteminin kullanımı

Sanal kanalların özellikleri, bağlantı kurulum aşamasında görüşülür.

RDP'yi koruma

RDP protokolü belirtimi, iki güvenlik yaklaşımından birini sağlar:

• Standart RDP Güvenliği (yerleşik güvenlik alt sistemi)
• Gelişmiş RDP Güvenliği (harici güvenlik alt sistemi)

Standart RDP Güvenliği

Bu yaklaşımla, kimlik doğrulama, şifreleme ve bütünlük, RDP protokolü aracılığıyla gerçekleştirilir.

Doğrulama

Sunucu kimlik doğrulaması şu şekilde yapılır:

1. Sistem başladığında, bir çift RSA anahtarı oluşturulur
2. Genel anahtarın Tescilli Sertifikası üretilir
3. Sertifika, işletim sistemine gömülü bir RSA anahtarıyla imzalanır (herhangi bir RDP istemcisi, bu yerleşik RSA anahtarının genel anahtarını içerir).
4. İstemci, terminal sunucusuna bağlanır ve bir Tescilli Sertifika alır
5. İstemci sertifikayı doğrular ve sunucunun genel anahtarını alır (bu anahtar daha sonra şifreleme parametrelerini görüşmek için kullanılır)

İstemci kimlik doğrulaması, bir kullanıcı adı ve şifre girilerek yapılır.

Şifreleme

Şifreleme algoritması olarak akış şifreleme RC4 seçilir. İşletim sisteminin sürümüne bağlı olarak, 40 ila 168 bit arasında farklı anahtar uzunlukları mevcuttur.

Winodws işletim sistemleri için maksimum anahtar uzunluğu:

• Windows 2000 Sunucusu - 56 bit
• Windows XP, Windows 2003 Sunucusu - 128 bit
• Windows Vista, Windows 2008 Sunucusu - 168 bit

Bir bağlantı kurarken, uzunluk üzerinde anlaştıktan sonra, iki farklı anahtar oluşturulur: istemciden ve sunucudan verileri şifrelemek için.

Bütünlük

Mesaj bütünlüğü, MD5 ve SHA1 algoritmalarına dayalı Mesaj Kimlik Doğrulama Kodu (MAC) oluşturma algoritması kullanılarak elde edilir.

Windows 2003 Server'dan başlayarak, Federal Bilgi İşleme Standardı (FIPS) 140-1 ile uyumluluk için, bütünlüğü sağlamak için yalnızca SHA1 kullanarak mesaj şifreleme ve MAC oluşturma algoritması için 3DES kullanmak mümkündür.

Gelişmiş RDP Güvenliği

Bu yaklaşım, harici güvenlik modüllerini kullanır:

• TLS 1.0
• CredSSP

TLS, Windows 2003 Sunucusundan itibaren kullanılabilir, ancak yalnızca RDP istemcisi destekliyorsa kullanılabilir. TLS desteği, RDP istemci sürüm 6.0'dan beri eklenmiştir.

TLS kullanılırken, sunucu sertifikası Terminal Sercives kullanılarak oluşturulabilir veya Windows deposundan mevcut bir sertifikayı seçebilirsiniz.

CredSSP protokolü TLS, Kerberos ve NTLM işlevselliğinin bir kombinasyonudur.

CredSSP protokolünün ana avantajlarını ele alalım:

• Çok sayıda bağlantıyla terminal sunucusu kaynaklarını koruyan tam teşekküllü bir RDP bağlantısı kurmadan önce uzak bir sistemde oturum açma izninin kontrol edilmesi
• Güçlü Kimlik Doğrulama ve TLS Şifreleme
• Kerberos veya NTLM Kullanarak Tek Oturum Açmayı Kullanma

CredSSP özellikleri yalnızca Windows Vista ve Windows 2008 Server işletim sistemlerinde kullanılabilir. Bu protokol, terminal sunucusu ayarlarında (Windows 2008 Sunucusu) veya uzaktan erişim ayarlarında (Windows Vista) Ağ Düzeyinde Kimlik Doğrulama Kullan bayrağıyla etkinleştirilir.

Terminal Hizmetleri lisanslama şeması

Hafif istemci modunda uygulamalara erişmek için RDP kullanırken, özel bir lisans sunucusu yapılandırılmalıdır.

Kalıcı istemci lisansları, yalnızca etkinleştirme prosedürü tamamlandıktan sonra sunucuya yüklenebilir; geçişinden önce, sınırlı bir geçerlilik süresine sahip geçici lisanslar vermek mümkündür. Etkinleştirmeden sonra, lisans sunucusuna sahipliğini ve gerçekliğini doğrulayan bir dijital sertifika verilir. Bu sertifikayı kullanarak, lisans sunucusu Microsoft Clearinghouse veritabanıyla sonraki işlemleri gerçekleştirebilir ve terminal sunucusu için kalıcı CAL'leri kabul edebilir.

İstemci lisans türleri:

• geçici lisans (Geçici Terminal Sunucusu CAL)
• cihaz lisansı (Cihaz Terminal Sunucusu CAL)
• kullanıcı lisansı (Kullanıcı Terminal Sunucusu CAL)
• harici kullanıcılar için lisans (Harici Terminal Sunucusu Bağlayıcısı)

Geçici lisans

Bu tür lisans, istemciye terminal sunucusuna ilk bağlantıda verilir, lisans 90 gün boyunca geçerlidir. Başarılı bir şekilde oturum açtıktan sonra, istemci geçici lisansla çalışmaya devam eder ve terminalin bir sonraki bağlanışında terminal sunucusu, mağazada mevcutsa geçici lisansı kalıcı lisansla değiştirmeye çalışır.

Cihaz lisansı

Bu lisans, uygulama sunucusuna bağlanan her fiziksel cihaz için verilir. Lisans geçerlilik süresi, 52 ile 89 gün arasında rastgele belirlenir. Son kullanma tarihinden 7 gün önce terminal sunucusu, bir istemci her bağlandığında lisans sunucusundan lisansı yenilemeye çalışır.

Kullanıcı lisansı

Kullanıcı bazında lisanslama, kullanıcıların çeşitli cihazlardan bağlanmasına izin vererek ek esneklik sağlar. Terminal Hizmetlerinin mevcut uygulamasında, kullanıcı lisanslarının kullanımı üzerinde herhangi bir kontrol yoktur, örn. Lisans sunucusundaki mevcut lisansların sayısı, yeni kullanıcılar bağlandığında azalmaz. Yetersiz sayıda CAL lisansı kullanmak Microsoft lisans sözleşmesini ihlal eder. Aygıt MEHL'lerini ve Kullanıcı MEHL'lerini aynı Terminal Sunucusunda aynı anda kullanmak için, sunucunun kullanıcı lisanslama modu için yapılandırılması gerekir.

Harici Kullanıcı Lisansı

Bu, harici kullanıcıları kurumsal terminal sunucusuna bağlamak için özel bir lisans türüdür. Bu lisans, bağlantıların sayısına sınırlama getirmez, ancak, kullanıcı sözleşmesine (EULA) göre, harici bağlantılar için terminal sunucusunun adanmış olması gerekir, bu da kurumsal kullanıcılardan oturumlara hizmet vermek için kullanılmasına izin vermez. Yüksek fiyat nedeniyle, bu tür bir lisans yaygın olarak kullanılmadı.

Lisans sunucusu için iki rolden biri yüklenebilir:

• Etki Alanı veya Çalışma Grubu Lisans sunucusu
• Tüm Kurumsal Lisans Sunucusu

Roller, lisans sunucusunu bulma şekillerinde farklılık gösterir: Enterprise rolünü kullanırken, terminal sunucusu Active Directory'de lisans sunucusunu arar, aksi takdirde arama bir NetBIOS yayın isteği kullanılarak gerçekleştirilir. Bulunan her sunucu, bir RPC isteği kullanılarak doğruluk açısından kontrol edilir.

Gelişmiş Teknolojiler Terminal Hizmetleri

Uygulama sunucularına yönelik çözümler Microsoft tarafından aktif olarak tanıtılmaktadır, işlevsellik genişletilmektedir, ek modüller tanıtılmaktadır. En gelişmiş teknolojiler, küresel ağlarda terminal sunucusunun çalışmasından sorumlu uygulamaların ve bileşenlerin kurulumunu basitleştirenlerdir.

Windows 2008 Server için Terminal Hizmetleri aşağıdaki yetenekleri sunar.

RDP, aşağıdakiler için uygun, verimli ve pratik bir araçtır: uzaktan erişim hem yönetim amaçlı hem de günlük işler için.

Uygulamalarının hemen hemen her yerde (çeşitli platformlar ve işletim sistemleri) olduğunu ve bunların birçoğunun olduğunu düşünürsek, yeteneklerini iyi anlamanız gerekir.

En azından birkaç nedenden dolayı bu gerekli olacaktır:

• Genellikle, RDP yerine, basit bir nedenle başka bir çözüm (VNC, Citrix ICA) kullanılır - "yerleşik RDP'nin minimum olduğu ve hiçbir şey yapamayacağı" varsayılır.
• Günümüzde moda olan bulut teknolojileriyle ilgili birçok çözümde (ofisleri "ince istemcilere" aktarmak ve basitçe terminal sunucularını düzenlemek), "RDP'nin yerleşik olduğu için kötü olduğu" görüşü var.
• "RDP'nin VPN olmadan dışarıda açığa çıkarılamayacağı, kırılacağı" konusunda standart bir efsane vardır (efsanenin bir gerekçesi vardır, ancak çoktan geçmiştir).
• Efsanelerden bahsettiğimiz için, "RDP'den Citrix'e geçtikten sonra trafik birkaç kez düşer" şeklinde bir görüş var. Sonuçta, sitrix pahalıdır, bu nedenle en az% 157 daha soğuktur.

Tüm bu efsaneler saçma ve NT 4.0 günlerinde geçerli olan modası geçmiş "iyi tavsiyeler" ile var olması için hiçbir neden olmayan düpedüz kurguların bir karışımıdır. BT tam bir bilim olduğu için, onu anlamanız gerekir. Yeni sürümlerin iyi ayarlanmış bir RDP protokolü, tüm yeni işlevleri dikkate alarak, uzaktan erişimi düzenlemek için oldukça iyi ve güvenilir bir araçtır.

Bu nedenle, biz ilgileneceğiz:

• RDP versiyonundan kısa bir söz
• RDP oturumunun koruma modunu yapılandırma
• RDP için şifrelemeyi yapılandırma
• Belirli bir adaptöre ve bağlantı noktasına bağlanma
  • Standart bağlantı noktasını istenen bağlantı noktasıyla değiştirin
  • Birden çok ağ bağdaştırıcısı için ayrı RDP ayarları yapmak
• NLA'yı etkinleştirme
  • NLA ve Windows XP
  • XP'de CredSSP nasıl etkinleştirilir
• RDP için doğru sertifikayı seçme
• Boş parolalı hesaplara RDP bağlantılarını engelleme
• RDP hız optimizasyonu
• RDP sıkıştırma optimizasyonu
  • Genel RDP sıkıştırmasını yapılandırma
  • RDP ses sıkıştırmayı yapılandırma
• RDP veri akışlarının oranını optimize etme
• Etkinleştirme RDP için güvenli RPC iletişimi gerektir

Başlayalım.

RDP protokol sürümleri

Protokolün NT 4.0'dan başlayarak oldukça uzun bir geçmişi vardır. Basit bir nedenden ötürü tarihsel ayrıntıları bir kenara bırakacağız - şu anda yalnızca Windows Vista SP1 / Windows Server 2008'de bulunan ve SP3 ve Windows XP'ye ücretsiz olarak eklenen RDP 7.0 sürümünden bahsetmek mantıklı geliyor. güncellenmiş RDP istemcisi (KB 969084 bağlantısında bulunur). En azından Windows XP'ye sahip olduğunuzu ve en son Hizmet Paketine sahip olduğunuzu / yükleyebileceğinizi ve Windows 2000 SP2'de NT 4.0 SP5'e göre RDP'nin avantajlarını tartışarak zamanınızı boşa harcamadığınızı varsayıyorum.

RDP Oturum Koruma Modunu Yapılandırma

Temelde bu, görevin en kolay kısmıdır. Alt satır aşağıdaki gibidir. RDP'nin farklı sürümleri, oturumu güvence altına almak için iki ana mekanizma kullanır - yerleşik RDP ve oturumu TLS'de "sarma". Yerleşik yeterince güvenli değil ve "RDP yalnızca VPN'de dışarıda olabilir" önerisi bununla ilgili. Bu nedenle, her zaman TLS desteğini etkinleştirin. Bu, başlamanız gereken minimum değerdir. Tek sınırlama, sunucu sürümünün Windows Server 2003 SP1 ve RDP istemcisi 5.2 ve üstü sürümlerinden düşük olmaması olacak, ancak 2011 sonunda çözülebileceğini düşünüyorum.

TLS üzerinden RDP nasıl etkinleştirilir

Her zaman olduğu gibi, birkaç seçenek var. Birincisi, Grup İlkesi aracılığıyla etkinleştirmedir. Bunu yapmak için, hedef grup ilke nesnesine gidin (iyi veya ev iş istasyonunuzda yerel olarak gpedit.msc çalıştırın) ve "Bilgisayar Yapılandırması" -\u003e "Yönetim Şablonları" -\u003e "Windows Bileşenleri" -\u003e "Uzak Masaüstü Oturum Ana Bilgisayarı" nı seçin ”-\u003e“ Güvenlik ”ve orada, yalnızca SSL'yi (TLS 1.0) seçerek Uzak bağlantılar için belirli güvenlik katmanının kullanılmasını gerektir parametresini etkinleştirin. Daha yumuşak Pazarlığı da seçebilirsiniz, ancak bunu tavsiye etmem çünkü şu anda kabul edilebilir güvenlik seviyesinin altında kalmaktadır. Yeterince yüksek güvenlik seviyesine sahip özel bulutlar oluşturan bir kişi olarak, özellikle değerli verileri Londra yakınlarındaki bir veri merkezine getirip oraya varsayılan RDP ile gitmenin noktasının sıfır olduğunu ve bir sorun arayışı olduğunu söyleyebilirim.

Daha kolay ve daha kolaydır - Uzak Masaüstü Oturum Ana Bilgisayarı Yapılandırması ek bileşenini açın (mmc'de bulunur veya Yönetimsel Araçlar -\u003e Uzak Masaüstü Bağlantıları menüsünde hazırdır), listeden Bağlantılar'ı seçin istenen bağlantı (genellikle bir tanesidir ve RDP-Tcp olarak adlandırılır) ve Özellikler'i açın, ardından Genel sekmesini açın ve orada istenen Güvenlik Katmanını seçin.

TLS'nin çalışması için dijital bir sertifika gereklidir (en azından sunucu tarafından). Genellikle zaten oradadır (otomatik olarak oluşturulur), orada olduğundan emin olun, nasıl daha iyi hale getireceğimiz hakkında konuşacağız. Şimdilik sadece ona ihtiyacın var, yoksa bağlanamazsın.

RDP için şifrelemeyi yapılandırma

Yapılandırma için 4 şifreleme seçeneği mevcut olacaktır. Her birini düşünelim.

RDP Düşük Şifreleme Modu

En "hayır" modu. RDP 5.x'in korkunç zamanlarının ve sürümlerinin mirası. Şu anda ciddi olmayan 56-bit DES veya 40-bit RC2 şifrelemesinde anlaşabilir. Gerekli değil ve tehlikeli. Örneğin, etkinleştirirseniz, TLS etkinleştirilmeyecektir, çünkü TLS, bu seçeneğin sunduğu zayıf şifreleri müzakere etmeyi zaten reddedecek.

RDP İstemcisi Uyumlu Şifreleme Modu

İkinci "hayır" modu. RDP 5.x'in korkunç zamanlarının ve sürümlerinin mirası. 128 bit RC4'ü deneyecek, ancak hemen DES / RC2'yi kabul edecek. Gerekli değil ve tehlikeli. Ayrıca TLS uyumlu değildir.

RDP Yüksek Şifreleme Modu

İzin verilen minimum mod. En az 128 bit RC4 gerektirir. HEP ile Windows 2000 Sunucusundan başlayarak tüm sunucularla çalışır.

RDP FIPS140-1 Şifreleme Modu

Tam olarak ne gerekli. Modern simetrik algoritmaları destekleyecek ve RC2, RC4, tek DES'i açıkça desteklemeyecek ve ayrıca Mesaj Kimlik Doğrulama Kodu (MAC) bütünlük hesaplaması için MD5 yerine SHA-1 kullanımını zorlayacaktır. Her zaman bu seçeneği etkinleştirin, 3DES, AES veya SHA-1 yapamayan bir sunucu bulmak neredeyse imkansızdır.

Bu ayar nerede yapılır? Uzak Masaüstü Oturumu Ana Bilgisayar Yapılandırması ek bileşenini açın (mmc'de bulunur veya Yönetimsel Araçlar -\u003e Uzak Masaüstü Bağlantıları menüsünde hazır bulunur), Bağlantılar listesinden istenen bağlantıyı seçin (genellikle birdir ve RDP-Tcp olarak adlandırılır) ve Özellikler'i, ardından Genel sekmesini açın ve orada gerekli Şifreleme Düzeyini seçin.

RDP'yi belirli bir adaptöre ve bağlantı noktasına bağlayın

Sunucunun güvenli ve öngörülebilir şekilde çalışması için (örneğin, yeni, yeni eklenen bir ağ bağdaştırıcısından gelen bağlantıları kabul etmeye başlamaması), RDP sunucu hizmetinin hangi arabirimlerde bağlantıları kabul etmesi gerektiğini açıkça belirtmeniz gerekir. Ayrıca, sunucunun bağlantıları dinlediği bağlantı noktasını değiştirmek genellikle yararlıdır. Elbette bunu, bir ağ geçidi aracılığıyla RDP'li bir sunucu yayınlayarak yapabilirsiniz, ancak bunu onsuz da yapabilirsiniz. Gerçekte bu tür temel gibi görünen eylemler, iyi bilinen bağlantı noktalarını başka bir "güçlü araç" ile kontrol eden aptal scriptkiddilerin yüzdesini önemli ölçüde azaltacaktır.

RDP hizmetini belirli bir ağ bağdaştırıcısına bağlama veya farklı bağdaştırıcılar için farklı ayarlarla birden çok RDP yapma

Uzak Masaüstü Oturumu Ana Bilgisayar Yapılandırması ek bileşenini açın (mmc'de bulunur veya Yönetimsel Araçlar -\u003e Uzak Masaüstü Bağlantıları menüsünde hazır bulunur), Bağlantılar listesinden istenen bağlantıyı seçin (genellikle birdir ve RDP-Tcp olarak adlandırılır) ve Özellikler'i, ardından Ağ Arayüzleri sekmesini açın ... İçinde, bir bağlantı için bekleyeceğiniz belirli bir arabirim seçebilir ve paralel oturumların sayısını sınırlayabilirsiniz.

Çok sayıda arabiriminiz varsa ve örneğin mevcut 5'ten 2'si üzerinden bağlanabilmeniz gerekiyorsa, varsayılan RDP-Tcp'yi bir adaptöre bağlamanız, ardından Eylem menüsüne gidip Yeni Oluştur'u seçmeniz gerekir. Orada bağlantı. Bir bağlantı, tüm arabirimlerde veya birinde dinleyebilir ve N arabirimi dinlemesi gerektiğinde, N bağlantı oluşturmanız gerekir.

Buna göre, "Böylece RDP bir bağlantı noktasında bir arabirimde ve diğerinde başka bir arabirimde dinler" göreviniz varsa, bu aynı şekilde çözülebilir - varsayılan RDP-Tcp'yi tüm bağdaştırıcılardan çözer ve bir belirli bir, sonra - yeni bir RDP bağlantısı oluşturun ve ayrıca istenen ağ arayüzüne bağlanın.

RDP hizmetini varsayılan olmayan bağlantı noktasına nasıl bağlanır

Varsayılan bağlantı noktası 3389 TCP'dir. Bu arada, paket filtrenizde etkinleştirmeyi unutmayın. Peki, başka bir şey istiyorsanız, kayıt defteri anahtarına gitmeniz gerekir.

HKEY_LOCAL_MACHINE \\ System \\ CurrentControlSet \\ Control \\ Terminal Sunucusu \\ WinStations \\ RDP-Tcp

ve içindeki PortNumber değerini düzeltin. Liman doluluğu açısından çatışmaları takip etmenin vicdanınızda olduğunu unutmayın, kendisi belirlediğiniz limanın meşgul olduğunu keşfettikten sonra hiçbir yere "atlayamayacak".

NLA - Ağ Düzeyinde Kimlik Doğrulama'yı açın

NLA işlevi NT 6.0'da ortaya çıktı ve daha sonra XP için SP3'ü yükleyerek önceki işletim sistemi sürümünde kısmen kullanma yeteneği ekledi.
Bu işlevin özü oldukça basittir. RDP sürümlerinde 6.0'a kadar bağlantı yapıldığında RDP istemcisi kimlik doğrulamadan önce, oturum açma penceresini göstermeniz gerekir - ör. Önce göster, sonra sisteme girmeye çalışacak. Bu, basit bir güvenlik açığı yaratır - sunucu, bir dizi "yeni bir oturum başlatma denememe izin ver" istekleriyle aşırı yüklenebilir ve bir oturum oluşturup kullanıcının oturum açmasını bekleyerek tüm isteklere yanıt vermeye zorlanır. Aslında bu bir DoS özelliğidir. Bununla nasıl başa çıkabilirsiniz? Mantıklı ki, amacı müşteriden kimlik bilgilerini olabildiğince erken talep etmek olacak bir şema bulmamız gerekiyor. Optimal - etki alanındaki kerberolar gibi bir şey. Bu bitti. NLA'nın iki amacı vardır:

• İstemci, bir terminal oturumu başlatmadan önce doğrulanır.
• Yerel istemci SSP'nin verilerini sunucuya aktarmak mümkün hale gelir, yani. Tek Oturum Açma çalışmaya başlar.

Bu, yeni bir güvenlik sağlayıcısı olan CredSSP aracılığıyla uygulanır. Teknik özelliklerini okuyabilirsiniz, basitçe söylemek gerekirse, bu işlevi her zaman etkinleştirmelisiniz. Tabii ki, çalışması için gerekli olduğu göz önüne alındığında:

• İstemci işletim sistemi (bağlantının yapıldığı) Windows XP SP3 veya üzeriydi.
• Sunucu işletim sistemi (bağlantının olacağı) Windows Server 2008 ve üzeriydi.

Not: Windows Server 2003 çekirdeği XP'den daha yeni olmasına rağmen (5.2'ye karşı 5.1), Windows XP için NLA desteği ekleyen ancak Windows Server 2003 için olmayan bir güncelleme vardır. Yani, en erişilebilir sürümden - Windows Server 2003 R2 SP2'den tüm yamalarla bağlansanız bile, NLA gerektiren bir sunucuya bağlanamaz ve NLA'yı destekleyen bir sunucu olamazsınız. Ne yazık ki.

NLA, RDP sunucu tarafından nasıl etkinleştirilir?

Grup İlkesi aracılığıyla tüm sunucularda NLA'yı etkinleştirmek en iyisidir. Bunu yapmak için, hedef grup ilke nesnesine gidin ve "Bilgisayar Yapılandırması" -\u003e "Yönetim Şablonları" -\u003e "Windows Bileşenleri" -\u003e "Uzak Masaüstü Oturum Ana Bilgisayarı" -\u003e "Güvenlik" seçeneklerini seçin ve burada Kullanıcı kimlik doğrulaması gerektir seçeneğini etkinleştirin. Parametre, Ağ Katmanı Kimlik Doğrulaması kullanarak uzak bağlantılar.

Yerel olarak da etkinleştirebilirsiniz. Bu, Özellikler alt menüsünü (standart bir Bilgisayar alt menüsü) çağırarak ve orada bir seçimin yapılacağı Uzak sekmesini seçerek yapılır. üç seçenek - bu ana bilgisayara RDP aracılığıyla bağlantıları reddedin, herhangi bir RDP aracılığıyla bağlantılara izin verin, yalnızca NLA ile izin verin. Her zaman NLA seçeneğini etkinleştirin, bu öncelikle sunucuyu korur.

NLA ve Windows XP

Windows XP'niz varsa, bu işlevi de kullanabilirsiniz. "NLA için en azından bir ıslığa ihtiyacınız var, Microsoft bunu yükseltmek için yaptı" ifadesi yanlıştır. Service Pack 3, yerel SSP tarafından tutulan istemci kimlik bilgilerini sunucuya devretmek için bir CredSSP uygulaması ekler. Yani, basitçe söylemek gerekirse, Windows XP'den NT 6.0+ ile sistemlere bağlanmak mümkün olacak şekilde özel olarak yapılmıştır. Bu işlevle Windows XP SP3'ün kendisine bağlanamayacaksınız, NLA desteği kısmi olacaktır (bu nedenle, Windows XP'den NLA kullanan istemcileri bağlama desteğine sahip bir RDP sunucusu normal yöntemler kullanılarak yapılamaz, Windows XP yalnızca NLA uyumlu bir istemci).

Not: NLA, NT 6.0'dan beri piyasadadır ve RDP 6.0 adı verilen bir teknoloji yığınının parçasıdır. XP için 3. hizmet paketi yalnızca RDP 6.0'ı değil, oldukça olumlu olan RDP 7.0'ı yükleme becerisini de getiriyor (örneğin, 6.0'dan farklı olarak RDP 7.0'da, EasyPrint, çift yönlü ses ve bir RDP istemcisini döndüren diğer bazı şeyler var. Windows XP'de tüm paketler oldukça pratik bir sisteme dönüşür). Bu arada, herkesi Windows XP'den kötü, kötü ıslığa yükseltmeye o kadar çok zorlayan kötü Microsoft ile ilgilidir ki, 2001 ürünü için ücretsiz hizmet paketinde bile, ıslık gelenden daha yeni bir RDP alt sistemi diktim. 2006 yılında piyasaya sürüldü.

Service Pack 3'ün kriptografik sağlayıcının yeni bir dll'sini eklemesine rağmen, bunu içermediğinden, bu işlevselliği açıkça etkinleştirmek gerekir.

XP'de CredSSP nasıl etkinleştirilir

Bir kez daha - bu işlem kesinlikle Service Pack 3'ü Windows XP'ye yükledikten sonra gerçekleştirilir ve konuşmamız bağlamında NLA kullanarak RDP 6.1 aracılığıyla diğer sunuculara bağlanmanın mümkün olması için gereklidir.

Birinci adım - Güvenlik Paketleri listesinin genişletilmesi.
Bunu yapmak için kayıt defteri anahtarını açacağız

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsa

ve içindeki Güvenlik Paketleri değerini bulun. Sağ tıklayın ve "Değiştir" i seçin (İkili Verileri Değiştirmeyin, sadece Değiştirin). Her satırda paket adı gibi bir liste olacaktır. Oraya tspkg eklememiz gerekiyor. Gerisi bırakılmalı. Ekleme yeri kritik değildir.

İkinci adım, kütüphaneyi bağlamaktır.
Anahtar farklı olacak:

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ SecurityProviders

İçinde, SecurityProviders değerini bulmanız (önceki durumda olduğu gibi, bunun bir alt anahtar değil, bir değer olduğunu unutmayın) ve bunu, yalnızca credssp.dll ekleyerek benzetme yoluyla değiştirmeniz gerekecektir. Listenin geri kalanına yine dokunulmasına gerek yok.

Artık kayıt defteri düzenleyicisini kapatabilirsiniz. Bu işlemlerden sonra sistemin yeniden başlatılması gerekir. Kripto sağlayıcıları, kesinlikle hareket halindeyken kabul etmeyecek bir şeydir ve bu, kötü olmaktan çok iyidir.

RDP için doğru sertifikayı seçme

RDP için varsayılan olmayan bir sertifika kullanma fırsatınız varsa, kullanmak daha iyidir. Bu, oturumun güvenliğini etkilemeyecek, ancak bağlantının güvenliğini ve kullanılabilirliğini etkileyecektir. En iyi kullanılan sertifika aşağıdaki noktaları içermelidir:

• Sunucuya bağlanan istemcinin girdiği adla karakter karakter eşleşen bir ad (konu veya SAN içinde).
• Çalışan bir CRL'yi gösteren normal CDP uzantısı (tercihen en az iki - OCSP ve statik).
• İstenen anahtar boyutu 2048 bittir. Daha fazlası mümkündür, ancak XP / 2003 CAPI2 sınırlamalarını unutmayın.
• XP / 2003 yan bağlantılarına ihtiyacınız varsa imza / karma algoritmaları denemeyin. Kısacası - SHA-1'i seçin, bu kadar yeter.

RDP sunucusu için özel bir sertifika konusunda biraz daha duracağım.

RDP sunucuları için özel sertifika şablonu

RDP için sertifikanın, normal bir şablona (Web Sunucusu gibi) ve Uygulama Politikası alanına (sertifikada daha yaygın olarak Gelişmiş Anahtar Kullanımı - EKU olarak adlandırılacaktır) standart İstemci Kimlik Doğrulaması ve Sunucu Kimlik Doğrulaması değerleri, ancak uygulama değerinin standart yollarla eklenmediği tek, özel bir şablonun olacağı kendi şablonunuzu ekleyin - Uzak Masaüstü Kimlik Doğrulaması. Bu Uygulama Politikası değerinin manuel olarak oluşturulması gerekecek, OID'si 1.3.6.1.4.1.311.54.1.2 olacaktır, bundan sonra, bir sertifikanın verildiği temelde yeni bir sertifika şablonu oluşturabilirsiniz. RDP Sunucusu için hedeflenmiştir.

Bu işlemi tamamen otomatikleştirmek için, yeni şablona öngörülebilir bir ad verin - örneğin, "RDPServerCert" - ve Grup İlkesi nesnesine gidin ve burada Bilgisayar Yapılandırması -\u003e İlkeler -\u003e Yönetim Şablonları -\u003e Windows Bileşenleri -\u003e Uzak Masaüstü Hizmetleri'ni açın -\u003e Uzak Masaüstü Oturum Ana Bilgisayarı -\u003e Güvenlik. Sunucu Kimlik Doğrulama Sertifika Şablonu parametresini seçin ve etkinleştirin ve değer alanına bir ad girin - RDPServerCert yaptık. Şimdi, RDP etkinleştirilmişse, bu ilkeye giren tüm etki alanı ana bilgisayarları kendileri Sertifika Yetkilisine gidecek, sertifikaları yoksa belirtilen şablona dayalı bir sertifika talep edecek ve RDP bağlantılarını korumak için otomatik olarak varsayılan yapacaktır. . Basit, kullanışlı, etkili.

Boş şifreyle RDP hesapları üzerinden bağlantıları engelleyin

Bir önemsememek, ama unutmana gerek yok.
Parolasız hesapların RDP'ye bağlanmasını engellemek için, grup ilkesi nesnesinin ayarlarına gidin: Bilgisayar Yapılandırması -\u003e Windows Ayarları -\u003e Güvenlik Ayarları -\u003e Yerel İlkeler -\u003e Güvenlik Seçenekleri ve "Hesaplar: Yerel hesap kullanımını boş sınırla yalnızca konsolda oturum açma parolaları ”Etkinleştirildi. Durumun bu olup olmadığını kontrol etmek için zaman ayırın.

ACL'yi RDP Bağlantısı için Yapılandırma

Varsayılan olarak, bir RDP sunucusuna bağlanmak için açık Kullanıcı Erişimi veya Konuk Erişimi iznine sahip olmanız gerekir.
Yerel Yöneticiler ve Uzak Masaüstü Kullanıcıları grupları bu izne sahiptir. RDP sunucusuna erişimi kontrol etmek ve tek tek kullanıcılar yerine gerekli etki alanı gruplarını eklemek için Uzak Masaüstü Kullanıcıları grubunu kullanmak en iyisidir. RDP-Tcp için Özellikler ayarlarındaki Güvenlik sekmesinin içeriğini yalnızca son çare olarak değiştirin; en iyisi, belirtilen düğüme RDP erişimi açıkça reddedilen "RDP Engellenen ana bilgisayar adı" grubunu ekleyerek.

RDP hız optimizasyonu

RDP hızını optimize etmek oldukça kapsamlı bir konudur, bu yüzden onu parçalara ayıracağım. Bu, sıkıştırmadan önce ve ağ katmanını optimize etmeden önce protokol üzerindeki yükü azaltacak yöntemleri içerecektir.

Chroma (bit derinliği)

RDP 7.0 ve üzeri sürümlerde 32, 16 ve 8 bit seçenekleri mevcuttur. İşten bahsediyorsak, 16 bit bunun için yeterli olacaktır. Bu, kanal üzerindeki yükü önemli ölçüde azaltacaktır, ayrıca bazen 2 kattan fazla, bu şaşırtıcı, ancak doğrudur. Tabii ki 8 bit de mümkündür, ancak acı verici derecede korkutucu görünecektir. 16 bit tamamen kabul edilebilir.

Not: 8 bit bağlantılar artık Windows Server 2008 R2'de mevcut değildir.

Sunucuda Maksimum Renk Derinliğini Sınırla parametresini etkinleştirin veya aynısını RDP istemci ayarlarında yapın.

ClearType'ı devre dışı bırakın

ClearType'ı devre dışı bıraktığınızda, RDP protokolü bir resim iletmez, ancak karakter çizme komutları verir. Etkinleştirildiğinde, sunucu tarafından bir görüntü oluşturur, sıkıştırır ve istemciye gönderir. Bunun birkaç kat daha az etkili olacağı garanti edilir, bu nedenle ClearType'ın devre dışı bırakılması iş sürecini önemli ölçüde hızlandıracak ve yanıt süresini azaltacaktır. Kendine ne kadar şaşıracaksın.

Bu hem istemci ayarları düzeyinde hem de sunucu tarafında yapılabilir (Bilgisayar Yapılandırması -\u003e İlkeler -\u003e Yönetim Şablonları -\u003e Windows Bileşenleri -\u003e Uzak Masaüstü Hizmetleri -\u003e Uzak Oturum Ortamı bölümündeki yazı tipi yumuşatmaya izin verme seçeneği -\u003e Uzak Masaüstü Oturum Ana Bilgisayarı).

Duvar kağıdını kaldır

Bilgisayar Yapılandırması -\u003e İlkeler -\u003e Yönetim Şablonları -\u003e Windows Bileşenleri -\u003e Uzak Masaüstü Hizmetleri -\u003e Uzak Masaüstü Oturum Ana Bilgisayarı'ndaki Uzak Oturum Ortamı bölümündeki RD Duvar Kağıdı parametresini kaldırmaya zorla parametresi, terminal oturum ekranı yeniden çizimiyle durumu önemli ölçüde iyileştirecektir. Masaüstünde kedisi olmayan kullanıcılar normal olarak hayatta kalır, kontrol edilir.

Görüntü önbelleğe almayı açın ve yapılandırın

Müşteri yeterince varsa rasgele erişim belleğibitmap önbelleğe almayı etkinleştirmek ve yapılandırmak mantıklıdır. Bu, bant genişliğinin% 20-50'sine kadar kazanacaktır. Yüklemek için anahtarı girmeniz gerekecek

HKEY_CURRENT_USER \\ SOFTWARE \\ Microsoft \\ Terminal Sunucu İstemcisi \\

ve burada her ikisi de DWORD 32 türü olan BitmapPersistCacheSize ve BitmapCacheSize parametrelerini oluşturun.
BitmapPersistCacheSize parametresi, disk önbelleğinin kilobayt cinsinden boyutunu belirtir. Varsayılan 10'dur. Bu parametrenin en az 1000'e yükseltilmesi mantıklıdır.
BitmapCacheSize parametresi, RAM'deki önbelleğin kilobayt cinsinden boyutunu belirtir. Varsayılan değer 1500'dür. Bu parametrenin en az 5000'e yükseltilmesi mantıklıdır. Bu, istemci oturumu başına sadece 5 megabayt olacaktır, modern RAM ölçekleri ile bu önemsizdir ve% 10'luk bir performans kazancı sağlasa bile, hesabı kapatmak. Bu arada, aynı parametre .rdp dosyasında düzeltilebilir; RDP bağlantınızı kaydedip ardından dosyayı not defteri ile açarsanız, parametreler arasına bitmapcachesize gibi bir şey ekleyebilirsiniz: i: 5000, burada 5000 5MB önbellektir.

Masaüstü Oluşturmayı Devre Dışı Bırak

Desktop Composition, Aero ve arkadaşları gibi her tür "nezaket" i getiriyor ve bant genişliğini fark edilir şekilde tüketiyor. Bu gereksizdir ve iş için zararlıdır. Bilgisayar Yapılandırması -\u003e İlkeler -\u003e Yönetim Şablonları -\u003e Windows Bileşenleri -\u003e Uzak Masaüstü Hizmetleri -\u003e Uzak Masaüstü Oturum Ana Bilgisayarı'ndaki Uzak Oturum Ortamı bölümündeki RDP Oturumları için masaüstü kompozisyonuna izin ver parametresi Devre Dışı olarak ayarlanmalıdır.

Masaüstü Pencere Yöneticisi Ayarlarını Optimize Etme

Bilgisayar Yapılandırması -\u003e İlkeler -\u003e Yönetim Şablonları -\u003e Windows Bileşenleri -\u003e Masaüstü Pencere Yöneticisi içindeki Uzak Oturum Ortamı bölümünde bulunan parametreler, sorunsuz bir şekilde kayan menülerin ve benzerlerinin "güzel" görüntüsünü kontrol edecektir. Üç tane var - Pencere animasyonlarına izin verme, Masaüstü kompozisyonlarına izin verme ve Flip3D çağrısına izin verme. Hepsi Etkin moda geçirilmelidir, yani. aslında - tüm bu işlevleri devre dışı bırakın.

Kullanılmayan cihazları yeniden yönlendirmeyi devre dışı bırakın

Belirli aygıt sınıflarını (örneğin, COM ve LPT bağlantı noktaları) veya sesi bağlamayı planlamıyorsanız, bunları sunucu tarafından yeniden yönlendirme yeteneğini devre dışı bırakmak mantıklıdır. Böylece, varsayılan RDP İstemci ayarlarına sahip istemciler, kullanılmayan işlevler üzerinde anlaşmak için bağlantı süresini boşa harcamazlar. Bu, sunucu ayarlarının geri kalanıyla aynı yerde, RDP-Tcp'nin Özellikleri'nde, İstemci Ayarları sekmesinde (renk derinliği ile ayarları yaptığımız yerde), Yeniden Yönlendirme bölümünde yapılır.

Görsel RDP verilerini optimize etmek için genel mantığı kurma

Bilgisayar Yapılandırması -\u003e İlkeler -\u003e Yönetim Şablonları -\u003e Windows Bileşenleri -\u003e Uzak Masaüstü Hizmetleri -\u003e Uzak Masaüstü Oturum Ana Bilgisayarı -\u003e Uzak Oturum Ortamı altında bulunan Uzak Oturum Ortamı altında bulunan RDP oturumları için görsel deneyimi optimize etme adlı bir seçenek, bunu nasıl kontrol edecek RDP, görsel verileri multimedya veya metin olarak algılayacaktır. Bu, kabaca konuşursak, sıkıştırma algoritmasına nasıl daha yetkin davranılacağına dair bir "ipucu" dur. Buna göre, iş için, bu parametreyi Metin olarak ayarlamanız gerekecek ve çok sayıda güzel flash banner, HTML5 ve video klipler izlemek istiyorsanız, Zengin Multimedya seçeneği daha iyidir.

RDP sıkıştırma optimizasyonu

RDP'deki sıkıştırma uzun bir yol kat etti. RDP 5.2 dahil olmak üzere, "Sürüm 1" dahili adıyla bir sıkıştırma alt sistemi ("sıkıştırıcı") vardı - istemci işlemci yükü açısından en basit ve en kolay seçenek, ancak ağ trafiği yükü açısından en kötüsü. RDP 6.0, biraz iyileştirilmiş, ancak sıkıştırma verimliliği açısından geliştirilmiş "Sürüm 2" yi yaptı. Yalnızca Windows Server 2008 ve sonraki sunuculara bağlandığında çalışan "Sürüm 3" ile ilgileniyoruz. Herkesten daha iyi sıkıştırır ve modern bilgisayarların gücünü hesaba katarak işlemci süresinin maliyeti önemsizdir.

V3 açıldığında elde edilen kazanç, testlere göre% 60'a ulaşabilir ve genel olarak, testler olmadan bile gözle görülür şekilde fark edilebilir.

RDP'de optimum sıkıştırma nasıl etkinleştirilir

Bu bir istemci ayarıdır. Bilgisayar Yapılandırmasını Aç -\u003e İlkeler -\u003e Yönetim Şablonları -\u003e Windows Bileşenleri -\u003e Uzak Masaüstü Hizmetleri -\u003e Uzak Masaüstü Oturum Ana Bilgisayarı -\u003e İstenilen grup ilkesi nesnesinde Uzak Oturum Ortamı, orada RDP veri parametresi için sıkıştırma algoritmasını ayarla'yı seçin, etkinleştirin ve daha az ağ bant genişliği kullanmak için Optimize et'i seçin.

Not: Birçok kişi listede neden "sıkıştırmayı devre dışı bırak" seçeneğinin olduğunu merak ediyor. Bu, RDP oturumlarınızın, Cisco WAAS gibi WAN bağlantılarını optimize eden harici bir cihaz tarafından sıkıştırılması durumunda gereklidir. Diğer durumlarda, elbette sıkıştırmayı devre dışı bırakmanın bir anlamı yoktur.

Ses akışı sıkıştırmasını ayarlama

RDP 7.0, gelen ses akışının (yani sunucudan istemciye giden ses) sıkıştırma kalitesini ayarlamak için mükemmel bir yetenek sunar. Bu oldukça kullanışlıdır - örneğin, bir terminal sunucusu üzerinde çalışıyorsanız, "mesaj ICQ'ya ulaştı" gibi tüm hizmet seslerine ek olarak, diğerleri özellikle planlanmamıştır. Çalışmak için ihtiyacınız yoksa, sıkıştırılmamış CD kalitesinde sesi sunucudan aktarmanın bir anlamı yoktur. Buna göre, ses akışının sıkıştırma seviyesini ayarlamanız gerekir.
Bu parametre, Ses yürütme kalitesini sınırla olarak adlandırılacak ve Bilgisayar Yapılandırması -\u003e İlkeler -\u003e Yönetim Şablonları -\u003e Windows Bileşenleri -\u003e Uzak Masaüstü Hizmetleri -\u003e Uzak Masaüstü Oturum Ana Bilgisayarı'nın Cihaz ve Kaynak Yeniden Yönlendirme bölümünde yer alacaktır. Üç seçenek olacak:

• Yüksek - ses sıkıştırılmadan gidecek. Genellikle. Yani, RDP protokolünün genel sıkıştırması kapsamına girecek, ancak belirli (kayıplı) ses sıkıştırması yapılmayacaktır.
• Orta - sıkıştırma, veri aktarım gecikmesini artırmamak için kanala uyum sağlayacaktır.
• Dinamik - sıkıştırma, gecikme 150 ms'yi geçmeyecek şekilde kanala dinamik olarak uyum sağlar.

Doğru olanı seç. Açıkça görüldüğü gibi, ofis işleri için Dinamik'i seçmek daha iyidir.

RDP'de veri akışlarının oranını optimize etme

RDP oturum trafiği monolitik değildir. Aksine, yeniden yönlendirilen cihazların veri akışlarına (örneğin, yerel bir ana bilgisayardan bir terminal sunucusuna bir dosya kopyalamak), bir ses akışına, bir işleme ilkel komut akışına (RDP, ilkelleri oluşturmak için komutları iletmeye çalışır. ve son çare olarak bit eşlemler ve aygıt akış girdisi (fare ve klavye) iletir.

Bu akışların karşılıklı ilişkisi ve (ilişki) hesaplamasının mantığı (bir tür yerel QoS) etkilenebilir. Bunu yapmak için sunucu tarafından kayıt defteri anahtarına gidin

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ TermDD

ve başlamak için orada dört anahtar oluşturun (orada değilse):

• FlowControlDisable
• FlowControlDisplayBandwidth
• FlowControlChannelBandwidth
• FlowControlChargePostCompression

Tümünü yazın - DWORD 32. Anahtarların işlevleri aşağıdaki gibi olacaktır.
FlowControlDisable anahtarı, önceliklendirmenin hiç kullanılıp kullanılmayacağını belirler. Birini belirtirseniz, sıfır etkinleştirilmişse önceliklendirme devre dışı bırakılır. Aç onu.
FlowControlDisplayBandwidth ve FlowControlChannelBandwidth anahtarları, iki veri akışı arasındaki ilişkiyi belirler:

• Kullanıcı etkileşim akışı (görüntü + giriş cihazları)
• Diğer veriler (blok cihazları, pano ve diğer her şey)

Bu anahtarların değerleri kritik değildir; nasıl ilişki kurdukları kritiktir. Yani, FlowControlDisplayBandwidth'i bire ve FlowControlChannelBandwidth'i dörde eşit yaparsanız, oran 1: 4 olur ve bant genişliğinin% 20'si kullanıcı etkileşim akışına ve% 80'i geri kalanı için ayrılır. 15 ve 60'ı yaparsanız, oran aynı olduğundan sonuç aynı olacaktır.
FlowControlChargePostCompression anahtarı, bu oranın ne zaman hesaplanacağını (sıkıştırmadan önce veya sonra) belirler. Sıfır sıkıştırmadan önce, biri sonra.

1: 1 oranını ayarlamak ve sıkıştırmadan sonra okumak için "uzak sunucumuz uzakta ve herkes ona RDP üzerinden bağlanıyor ve ofiste ve 1C çalışıyor" biçimini kullanmanızı öneririm. Deneyimlerden bu, "büyük bir belgenin bir terminal sunucusundan yerel bir yazıcıya yazdırılması" durumunda gerçekten yardımcı olabilir. Ancak bu bir dogma değil - deneyin, ana araç - nasıl önemli olduğu ve çalıştığı hakkında bilgi - zaten sizde var.

RDP için güvenli RPC iletişimi gerektir seçeneğini etkinleştirin

Bu ayar, Grup İlkesinin Güvenlik bölümünde bulunan ve tüm sisteme uygulanan Güvenli RPC ayarlarına benzer şekilde çalışır, yalnızca yapılandırılması daha kolaydır. Bu parametreyi etkinleştirerek, tüm istemci RPC talepleri için şifrelemeyi zorunlu hale getireceksiniz (sistem ayarlarına bağlı olarak, şifreleme "alt çubuğu" farklı olacaktır - RC4 / DES veya, FIPS-140 etkinleştirilmişse, - 3DES / AES) ve uzaktan prosedür çağrısı kimlik doğrulaması için en az NTLMv2 kullanın. Bu seçeneği her zaman etkinleştirin. Etki alanı olmayan bir ortamda çalışmadığına dair bir efsane var. Durum böyle değil ve RPC güvenliğinin güçlendirilmesi kimseye zarar vermez.

Bu bir sunucu ayarıdır. İstenilen GPO'da Bilgisayar Yapılandırması -\u003e İlkeler -\u003e Yönetim Şablonları -\u003e Windows Bileşenleri -\u003e Uzak Masaüstü Hizmetleri -\u003e Uzak Masaüstü Oturum Ana Bilgisayarı -\u003e Güvenlik'i açın, orada Güvenli RPC iletişimi gerektir parametresini seçin ve etkinleştirin.