RDP ulanishini oching. RDP siqishni optimallashtirish. RDP-da optimal siqishni qanday yoqish mumkin

Masofadagi ish stoli protokoli RDP (Remote Desktop Protocol) Windows operatsion tizimida ishlaydigan kompyuterlarning ish stoliga tarmoq orqali masofaviy kirishni ta'minlaydi. Microsoft Terminal Services-ni boshqaradigan Windows terminal serveriga ingichka mijozlarni ulashda foydalaniladi. Microsoft tomonidan ishlab chiqilgan.

Rasmiy qo'llab-quvvatlash RDP Windows Server 2008, Windows Server 2003, Windows Home Server, Windows XP Professional, Windows XP Media Center, Tablet PC Editions, Windows Vista Ultimate, Enterprise va Business nashrlariga kiritilgan. Hammasi windows versiyalari XP va Vista mijozlarni o'z ichiga oladi masofaviy dastur Ish stoliga ulanish (RDC).

RDP protokolining asosiy xususiyatlari

  • 128 yoki 56 bitli kalit uzunlikdagi RC-4 shifrlashni qo'llab-quvvatlaydi
  • TLS (Transport Layer Security) protokolini qo'llab-quvvatlash
  • Smart kartalar yordamida foydalanuvchi autentifikatsiyasi (serverda Microsoft Terminal Services orqali)
  • Terminal server dasturlari uchun mahalliy kompyuter audio yordami
  • Fayl tizimini qayta yo'naltirish - masofaviy terminal serverida mahalliy kompyuter fayllari bilan ishlashga imkon beradi
  • Printer Redirection - masofaviy terminal serverida ishlaydigan dasturlardan printerni mahalliy kompyuterda chop etishga imkon beradi
  • Portni qayta yo'naltirish - masofaviy terminal serverida ishlaydigan dasturlar uchun mahalliy kompyuterning ketma-ket va parallel portlariga kirishni ochadi
  • Buferni mahalliy kompyuterda ham, masofaviy terminal serverida ham almashish
  • Displey rang chuqurligi: 24, 16, 15 yoki 8 bit

RDP protokoli paketlarining o'zi tarmoq orqali shifrlangan shaklda uzatilishiga qaramay, terminal sessiyasining o'zi Man In the Middle hujumiga duch kelishi mumkin, chunki na server tomoni, na mijoz tomoni uzatilgan va qabul qilingan o'zaro autentifikatsiyani amalga oshirmaydi. ma'lumotlar paketlari. Shuning uchun to'liq xavfsiz echimlarni yaratish uchun Windows Server 2003 Service Pack 1-da kiritilgan RDP SSL himoyasidan foydalanishingiz kerak.

RDP-ning oltinchi versiyasida taqdim etilgan yangi xususiyatlar

  • Masofaviy dasturlar. Serverda dasturlarni terminal sessiyasi oynasini ochmasdan ajratilgan terminal sessiyasida to'g'ridan-to'g'ri ishga tushirish. Mahalliy kompyuterning fayl assotsiatsiyasini qo'llab-quvvatlash - fayl nomidagi kengaytmaga muvofiq mahalliy kompyuterda hujjatni ochish uchun serverda dasturlarni ishga tushirish qobiliyati.
  • Choksiz Windows. Ilovani terminal serverida ishga tushirish bilan mahalliy kompyuter oynasini taqlid qilish. Foydalanuvchi hisobi ma'lumotlari bilan serverda avtomatik autentifikatsiya. Ilova tugagandan so'ng tegishli terminal sessiyasini avtomatik ravishda to'xtatish.
  • Server shlyuzi. Https protokoli yordamida RDP ulanishlarini IIS shluzi serveri orqali qo'llab-quvvatlaydi. Korxonaning mahalliy tarmog'idagi XKS ortida joylashgan terminal serveriga xavfsiz ulanishni ta'minlaydi.
  • Windows Aero Glass. Windows Aero Glass-ni qo'llab-quvvatlash, shu jumladan ClearType shriftini tekislashni.
  • Windows taqdimot fondi. .NET Framework 3.0 o'rnatilgan har qanday mijozda qo'llab-quvvatlanadi.
  • Windows Management Instrumentation yordamida skriptni qo'llab-quvvatlashni o'z ichiga olgan to'liq sozlanadigan terminal xizmatlari.
  • RDP mijozlari uchun tarmoqli kengligi boshqaruvi yaxshilandi.
  • Ko'p monitorlarni qo'llab-quvvatlash. Terminal sessiyasining ekranini bir nechta monitorlarga bo'lish. Faqat Windows Vista tizimlari bilan ishlaydi.
  • Displey rang chuqurligi: 32, 24, 16, 15 yoki 8 bit

Zamonaviy kompyuter tarmoqlarida keng qo'llaniladigan ushbu protokol har qanday tizim ma'muriga ma'lum. Undan foydalanib, siz Microsoft operatsion tizimida ishlaydigan uzoqdagi mashinaga ulanishingiz mumkin. Siz ish stoliga, fayl tizimiga va boshqalarga kirishingiz mumkin. Shunday qilib, sozlamalarning asosiy qismini bajarish mumkin bo'ladi profilaktika choralariuzoqdan kompyuterning ekrani orqasida jismonan mavjud bo'lishga hojat yo'q.

Shuning uchun RDP protokoli texnik mutaxassislar arsenalining asosiy tarkibiy qismlaridan biridir. Ish joyingizdan chiqmasdan, siz tarmoqdagi barcha mavjud kompyuterlarni boshqarishingiz va yuzaga kelgan muammolarni bartaraf etishingiz mumkin.

Tashqi ko'rinish tarixi

Uzoq ish stoli protokoli, ya'ni RDP qisqartmasi shu tarzda joylashgan bo'lib, 1998 yilda paydo bo'lgan. O'sha paytda, ushbu xususiy dastur darajasidagi protokol Windows NT 4.0 Terminal Server operatsion tizimining bir qismi edi va mijoz-server dasturlarining masofadan ishlashi g'oyasini amalga oshirishga imkon berdi. Siz tushunganingizdek, barcha ish joylarini qudratli kompyuterlar bilan ta'minlash har doim ham mumkin emas, hatto o'sha uzoq yillarda ham hosildorlik ko'p narsalarni kutib turardi.

Ushbu muammoning echimi quyidagi qurilish: kuchli server (yoki serverlar klasteri) hisoblash operatsiyalarining asosiy qismini bajaradi va kam quvvatli mijoz kompyuterlari / dasturlari RDP protokoli yordamida unga ulanadi va o'z vazifalarini bajaradi. Shunday qilib, oxirgi foydalanuvchi tugunlarida, hatto cheklangan resurslar bilan ham murakkab dasturlar va dasturlar bilan ishlash mumkin bo'ldi - axir, asosiy yuk serverga tushdi va mijoz-kompyuter monitorda ishlashning faqat asosiy natijasini oldi .

RDP protokolining tavsifi

  • Odatiy bo'lib, ulanish uchun TCP port 3389 ishlatiladi
  • Yuqorida ta'kidlab o'tilganidek, ulanganda, uzoqdagi mashinada fayllar bilan ishlash mumkin.
  • Xavfsizlikni ta'minlash uchun shifrlash 56 va 128 bitli kalitlar bilan amalga oshiriladi
  • Shuningdek, xavfsizlik funktsiyalari uchun TLS protokollarining imkoniyatlaridan foydalaniladi
  • Umumiy almashish buferi - siz masofadagi kompyuterdan ma'lumotlarni nusxalashingiz va o'zingizning shaxsiy kompyuteringizga joylashtirishingiz mumkin.
  • Mahalliy resurslarni masofaviy kompyuterga ulash qobiliyatini amalga oshirdi.
  • RDP mahalliy kompyuter portlariga kirishni ta'minlaydi (ketma-ket va parallel)

Ish printsipi

RDP TCP protokoli stekasining ishlashiga asoslangan. Avvalo, mijoz va server o'rtasida transport darajasida aloqa o'rnatiladi. Keyin RDP sessiyasi boshlanadi - bu bosqichda asosiy parametrlar kelishilgan: shifrlash, ulangan qurilmalar, grafik sozlamalari va hk.

Har bir narsa o'rnatilgandan so'ng, RDP sessiyasi to'liq tayyor. Mijoz shaxsiy kompyuter serverdan klaviatura yoki sichqonchadan buyruqlar yuborish natijasida yuzaga keladigan grafik tasvirni (operatsiyalar natijasi) oladi.

Autentifikatsiya

Agar RDP xavfsizligi sozlangan bo'lsa, autentifikatsiya quyidagicha amalga oshiriladi:

  1. Ulanishni ishga tushirishda bir juft RSA tugmachasi hosil bo'ladi
  2. Keyin maxsus ochiq kalit sertifikati yaratiladi
  3. Operatsion tizim RSA sertifikatini kalit bilan imzolash jarayonini olib boradi
  4. Keyinchalik, mijoz serverga ulanadi, undan sertifikat oladi va agar u tekshiruvdan o'tsa, masofadan boshqarish sessiyasi ishga tushiriladi

Qanday boshlash kerak

IN operatsion tizimlarWindows XP, Vista, Seven, Remote Desktop Connection mijoz dasturlari sukut bo'yicha yoqilgan. Uni ishga tushirish uchun klaviatura yorlig'ini bosish kerak Win + R, tering mstsc va tugmasini bosing Kirish.

Ushbu maqola RDP protokolining tuzilishi va xavfsizligiga bag'ishlangan bir qator maqolalarni ochadi. Ushbu seriyadagi birinchi maqola ushbu protokolning dizayni, ishlatilishi va asosiy texnologiyalarini tahlil qiladi.

Ushbu maqola RDP protokolining tuzilishi va xavfsizligiga bag'ishlangan bir qator maqolalarni ochadi. Ushbu seriyadagi birinchi maqola ushbu protokolning dizayni, ishlatilishi va asosiy texnologiyalarini tahlil qiladi.

Quyidagi maqolalarda quyidagi masalalar batafsil yoritiladi:

  • Masofadagi ish stoli xavfsizligi quyi tizimining ishlashi
  • RDP-da ma'lumot almashish formati
  • Terminal serverining zaifliklari va ularni bartaraf etish vositalari
  • RDP protokoli yordamida foydalanuvchi hisoblarini tanlash (ushbu sohada Positive Technologies tomonidan ishlab chiqilgan)

RDP paydo bo'lish tarixi

Masofadagi ish stoli protokoli Microsoft tomonidan Windows serverlari va ish stantsiyalariga masofaviy kirishni ta'minlash uchun yaratilgan. RDP juda kam quvvatli ish stantsiyalari tomonidan yuqori samarali terminal-server resurslarini iste'mol qilish uchun mo'ljallangan. Terminal Server (4.0 versiyasi) birinchi marta 1998 yilda Windows NT 4.0 Terminal Serverning bir qismi sifatida paydo bo'lgan, ushbu yozuv yozilgan paytda (2009 yil yanvar) so'nggi versiyasi Terminal Server 6.1 versiyasi Windows 2008 Server va Windows Vista SP1 tarqatmalariga kiritilgan. Hozirda RDP Windows oilasi tizimlari uchun masofaviy kirishning asosiy protokoli bo'lib, mijoz dasturlari Microsoft OS va Linux, FreeBSD, MAC OS X va boshqalar uchun mavjud.

RDP paydo bo'lishi tarixi haqida gapirganda, Citrix haqida eslatib o'tmaslik mumkin emas. 1990-yillarda ko'p foydalanuvchi tizimlar va masofaviy erkin foydalanish texnologiyalariga ixtisoslashgan Citrix Systems. Uchun litsenziya sotib olgandan keyin manba kodlari Windows NT 3.51 1995 yilda ushbu kompaniya Windows NT-ning WinFrame nomi bilan mashhur bo'lgan ko'p foydalanuvchi versiyasini chiqardi. 1997 yilda Citrix Systems va Microsoft Windows NT 4.0 ning Citrix texnologiyasiga asoslangan ko'p foydalanuvchi muhitiga asoslangan shartnoma tuzdilar. O'z navbatida, Citrix Systems to'liq operatsion tizimni tarqatishdan bosh tortdi va Microsoft mahsulotlari uchun kengaytmalarni ishlab chiqish va amalga oshirish huquqini oldi. Ushbu kengaytmalar dastlab MetaFrame deb nomlangan. Yupqa mijozlarning Citrix dastur serveri bilan o'zaro aloqasi uchun dastur protokoli bo'lgan ICA (Mustaqil Hisoblash Arxitekturasi) ga huquqlar Citrix Systems-da qoldi va Microsoft RDP protokoli ITU T.120 asosida tuzildi.

Hozirgi vaqtda Citrix va Microsoft o'rtasidagi asosiy raqobat kichik va o'rta biznes uchun dastur serverlari sohasida. An'anaga ko'ra, Terminal xizmatlariga asoslangan echimlar bir xil turdagi va shunga o'xshash konfiguratsiyalardagi kam sonli serverlarga ega tizimlarda g'alaba qozonadi, Citrix Systems esa murakkab va yuqori mahsuldor tizimlar bozorida mustahkam o'rnashdi. Raqobat Citrix-dan kichik tizimlar uchun engil echimlarning chiqarilishi va Microsoft-dan Terminal Services funksiyalarining doimiy kengayishi bilan ta'minlanmoqda.

Keling, ushbu echimlarning afzalliklarini ko'rib chiqamiz.

Terminal xizmatlarining kuchli tomonlari:

  • Ilova serverining mijoz tomoni uchun dasturlarni o'rnatish oson
  • Foydalanuvchi sessiyalarining markazlashtirilgan texnik ta'minoti
  • Faqatgina Terminal xizmatlari uchun litsenziyani talab qiladi

Citrix echimlarining kuchli tomonlari:

  • O'lchash oson
  • Ma'muriyat va monitoringning qulayligi
  • Kirish nazorati siyosati
  • Uchinchi tomon korporativ mahsulotlarini qo'llab-quvvatlash (IBM WebSphere, BEA WebLogic)

Terminal xizmatlaridan foydalanadigan tarmoq qurilmasi

Microsoft RDP protokolidan foydalanishning ikkita rejimini taklif qiladi:

  • boshqarish uchun (Masofadan boshqarish rejimi)
  • dastur serveriga kirish uchun (Terminal Server rejimi)

RDP administrator rejimida


Ushbu turdagi ulanishdan barcha zamonaviy Microsoft operatsion tizimlari foydalanadi. Windows-ning server versiyalari bir vaqtning o'zida ikkita masofaviy ulanishni va bitta lokal kirishni qo'llab-quvvatlaydi, mijoz versiyalari esa faqat bitta tizimga kirishni (mahalliy yoki masofadan turib) qo'llab-quvvatlaydi. Ruxsat uchun masofaviy ulanishlar ish stantsiyasining xususiyatlarida ish stoliga masofaviy kirishni yoqishingiz kerak.

Terminal serveriga kirish rejimida RDP


Ushbu rejim faqat Windows-ning server versiyalarida mavjud. Bunday holda, masofaviy ulanishlar soni cheklanmagan, ammo siz Litsenziya serverini sozlashingiz va keyin uni faollashtirishingiz kerak. Litsenziya serveri terminal serverida yoki alohida tarmoq tugunida o'rnatilishi mumkin. Terminal serveriga masofaviy kirish faqat Litsenziya serverida tegishli litsenziyalar o'rnatilgandan so'ng amalga oshiriladi.

Terminal serverlari klasteridan foydalanilganda va yuklarni muvozanatlashda ixtisoslashgan ulanish serverini (Session Directory Service) o'rnatish talab qilinadi. Ushbu server foydalanuvchi sessiyalarini indekslaydi, bu tizimga kirish va tarqatilgan muhitda ishlaydigan terminal serverlariga qayta kirish imkonini beradi.

RDP qanday ishlaydi


Masofadagi ish stoli - bu TCP asosidagi dastur protokoli. Ulanish transport darajasida o'rnatilgandan so'ng, ma'lumotlar uzatishning turli parametrlari bo'yicha muzokaralar olib boriladigan RDP sessiyasi ishga tushiriladi. Ishga tushirish bosqichi muvaffaqiyatli yakunlangach, terminal server mijozga grafik chiqimlarni yuborishni boshlaydi va klaviatura va sichqonchadan kirishni kutadi. Grafik chiqish grafik ekranning aniq nusxasi bo'lishi mumkin, u tasvir sifatida uzatiladi va grafik primitivlarni (to'rtburchak, chiziq, ellips, matn va hk) chizish uchun buyruqlar. Primitivlar yordamida chiqishni uzatish RDP protokoli uchun ustuvor vazifadir, chunki u trafikni sezilarli darajada tejaydi; va tasvir faqatgina biron sababga ko'ra imkonsiz bo'lgan taqdirda uzatiladi (RDP sessiyasini o'rnatish paytida ibtidoiy elementlarning uzatilishi parametrlari bo'yicha kelishish mumkin bo'lmagan). RDP mijozi olingan buyruqlarni qayta ishlaydi va uning grafik quyi tizimi yordamida rasmlarni namoyish etadi. Foydalanuvchi kiritish sukut bo'yicha klaviatura skankodlari yordamida uzatiladi. Kalitni bosish va bo'shatish uchun signal maxsus bayroq yordamida alohida uzatiladi.

RDP qo'shimcha funktsiyalarni ta'minlash uchun ishlatilishi mumkin bo'lgan bitta ulanish doirasida bir nechta virtual kanallarni qo'llab-quvvatlaydi:

  • printer yoki ketma-ket portdan foydalanish
  • fayl tizimini qayta yo'naltirish
  • bufer bilan ishlashni qo'llab-quvvatlash
  • audio quyi tizimidan foydalanish

Virtual davrlarning xususiyatlari ulanishni o'rnatish bosqichida muhokama qilinadi.

RDP xavfsizligini ta'minlash


RDP protokoli spetsifikatsiyasi ikkita xavfsizlik yondashuvidan birini ta'minlaydi:

  • Standart RDP xavfsizligi (o'rnatilgan xavfsizlik quyi tizimi)
  • Kengaytirilgan RDP xavfsizligi (tashqi xavfsizlik quyi tizimi)

Standart RDP xavfsizligi

Ushbu yondashuv yordamida autentifikatsiya, shifrlash va yaxlitlik RDP protokoli yordamida amalga oshiriladi.

Autentifikatsiya

Serverning autentifikatsiyasi quyidagicha amalga oshiriladi:

  1. Tizim ishga tushganda, juft RSA tugmachalari hosil bo'ladi
  2. Ochiq kalitning mulkiy guvohnomasi yaratiladi
  3. Sertifikat operatsion tizimga o'rnatilgan RSA kaliti bilan imzolanadi (har qanday RDP mijozida ushbu o'rnatilgan RSA kalitining ochiq kaliti mavjud).
  4. Mijoz terminal serveriga ulanadi va mulkiy sertifikatni oladi
  5. Mijoz sertifikatni tekshiradi va serverning ochiq kalitini oladi (bu kalit keyinroq shifrlash parametrlari bo'yicha muzokara o'tkazish uchun ishlatiladi)

Mijozning autentifikatsiyasi foydalanuvchi nomi va parolni kiritish orqali amalga oshiriladi.

Shifrlash

RC4 oqim shifri shifrlash algoritmi sifatida tanlangan. Operatsion tizim versiyasiga qarab, har xil kalit uzunligi 40 dan 168 bitgacha mavjud.

Winodws operatsion tizimlari uchun maksimal kalit uzunligi:

  • Windows 2000 Server - 56 bit
  • Windows XP, Windows 2003 Server - 128 bit
  • Windows Vista, Windows 2008 Server - 168 bit

Ulanishni o'rnatayotganda, uzunlik bo'yicha muzokaralar olib borilgandan so'ng, ikkita turli xil tugmalar hosil bo'ladi: mijoz va serverdan ma'lumotlarni shifrlash uchun.

Halollik

Xabarlarning yaxlitligiga MD5 va SHA1 algoritmlari asosida Message Authentication Code (MAC) yaratish algoritmi yordamida erishiladi.

Federal ma'lumotni qayta ishlash standarti (FIPS) 140-1 ga muvofiqligi uchun Windows 2003 Serverdan boshlab butunlikni ta'minlash uchun faqat SHA1 yordamida xabarlarni shifrlash va MAC ishlab chiqarish algoritmi uchun 3DES-dan foydalanish mumkin.

Kengaytirilgan RDP xavfsizligi

Ushbu yondashuv tashqi xavfsizlik modullaridan foydalanadi:

  • 1.0 TL
  • CredSSP

TLS-dan Windows 2003 Serverdan boshlab foydalanish mumkin, lekin RDP mijozi uni qo'llab-quvvatlasagina. TLS-quvvatlash RDP mijozining 6.0 versiyasidan beri qo'shildi.

TLS dan foydalanishda server sertifikati Terminal Sercives yordamida yaratilishi yoki mavjud bo'lgan sertifikat Windows do'konidan tanlanishi mumkin.

CredSSP protokoli TLS, Kerberos va NTLM funksiyalarining kombinatsiyasidir.

Keling, CredSSP protokolining asosiy afzalliklarini ko'rib chiqamiz:

  • To'liq RDP ulanishini o'rnatishdan oldin masofaviy tizimga kirish uchun ruxsatni tekshirish, bu juda ko'p sonli ulanishlar bilan terminal server resurslarini tejash imkonini beradi.
  • Kuchli autentifikatsiya va TLS shifrlash
  • Kerberos yoki NTLM-dan foydalanib bitta kirish tizimidan foydalanish

CredSSP funktsiyalaridan faqat Windows Vista va Windows 2008 Server operatsion tizimlarida foydalanish mumkin. Ushbu protokol terminal server sozlamalarida (Windows 2008 Server) yoki masofaviy kirish sozlamalarida (Windows Vista) Network Network Authentication-dan foydalanish bayrog'i bilan yoqilgan.

Terminal xizmatlarini litsenziyalash sxemasi

RDP dan foydalanilganda, maxsus litsenziya serveri dasturlarga ingichka mijoz rejimida kirish uchun sozlanishi kerak.


Doimiy mijozlar litsenziyalari serverga faqat aktivlashtirish jarayoni tugagandan so'ng o'rnatilishi mumkin, u o'tmasdan oldin amal qilish muddati cheklangan vaqtinchalik litsenziyalar berish mumkin. Faollashtirilgandan so'ng, litsenziya serveriga egalik va haqiqiyligini tasdiqlovchi raqamli sertifikat taqdim etiladi. Ushbu sertifikat yordamida litsenziya serveri Microsoft Clearinghouse ma'lumotlar bazasi bilan keyingi operatsiyalarni amalga oshirishi va terminal serveri uchun doimiy CAL-larni qabul qilishi mumkin.

Mijoz litsenziyalari turlari:

  • vaqtinchalik litsenziya (Vaqtinchalik terminal Server CAL)
  • qurilma litsenziyasi (Device Terminal Server CAL)
  • foydalanuvchi terminali Server CAL
  • tashqi foydalanuvchilar uchun litsenziya (External Terminal Server Connector)

Vaqtinchalik litsenziya

Ushbu turdagi litsenziya mijozga terminal serveriga birinchi ulanish paytida beriladi, litsenziya 90 kun davomida amal qiladi. Muvaffaqiyatli kirishda mijoz vaqtinchalik litsenziya bilan ishlashni davom ettiradi va keyingi ulanishda terminal server vaqtinchalik litsenziyani do'konda bo'lsa, doimiy bilan almashtirishga harakat qiladi.

Qurilma litsenziyasi

Ushbu litsenziya dastur serveriga ulanadigan har bir jismoniy qurilma uchun beriladi. Litsenziyaning amal qilish muddati tasodifiy ravishda 52 kundan 89 kungacha o'rnatiladi. Muddati tugashidan 7 kun oldin, terminal server har safar mijoz qayta ulanganda litsenziya serveridan litsenziyani yangilashga harakat qiladi.

Foydalanuvchi litsenziyasi

Foydalanuvchilarni litsenziyalash foydalanuvchilarga turli xil qurilmalardan ulanish imkoniyatini berish orqali qo'shimcha moslashuvchanlikni ta'minlaydi. Terminal xizmatlarini joriy amalga oshirishda foydalanuvchi litsenziyalaridan foydalanishni nazorat qilishning imkoni yo'q, ya'ni. yangi foydalanuvchilar ulanganda litsenziya serveridagi mavjud litsenziyalar soni kamaymaydi. Kam miqdordagi CAL litsenziyalaridan foydalanish Microsoft litsenziya shartnomasini buzadi. Bir vaqtning o'zida bir xil Terminal serverida ikkala Device CAL va User CAL-lardan foydalanish uchun server foydalanuvchi litsenziyalash rejimiga moslashtirilgan bo'lishi kerak.

Tashqi foydalanuvchi litsenziyasi

Bu tashqi foydalanuvchilarni korporativ terminal serveriga ulash uchun mo'ljallangan litsenziyaning maxsus turi. Ushbu litsenziya ulanishlar soniga cheklovlar qo'ymaydi, ammo foydalanuvchi shartnomasiga binoan (EULA) tashqi ulanishlar uchun terminal serveri ajratilishi kerak, bu esa korporativ foydalanuvchilarning sessiyalariga xizmat ko'rsatishda foydalanishga imkon bermaydi. Yuqori narx tufayli ushbu turdagi litsenziyalar keng qo'llanilmadi.

Litsenziya serveri uchun ikkita roldan birini o'rnatish mumkin:

  • Domen yoki Workgroup litsenziyasi serveri
  • Butun korxona litsenziyasi serveri

Rollar litsenziya serverini topish uslubi bilan farq qiladi: Enterprise rolidan foydalanganda terminal serveri Active Directory-da litsenziya serverini qidiradi, aks holda qidiruv NetBIOS eshittirish so'rovi yordamida amalga oshiriladi. Topilgan har bir server RPC so'rovi yordamida to'g'riligi tekshiriladi.

Advanced Technologies terminal xizmatlari

Dastur serverlari uchun echimlar Microsoft tomonidan faol ravishda ilgari surilmoqda, funktsional imkoniyatlar kengaymoqda, qo'shimcha modullar joriy etilmoqda. Global tarmoqlarda terminal serverining ishlashi uchun mas'ul bo'lgan dasturlar va tarkibiy qismlarni o'rnatishni soddalashtiradigan texnologiyalar eng rivojlangan texnologiyalardir.

Windows 2008 Server uchun terminal xizmatlari quyidagi imkoniyatlarni taqdim etadi.

RDP - bu qulay, samarali va amaliy vosita masofaviy kirish ham ma'muriy maqsadlar uchun, ham kundalik ish uchun.


Uning tatbiq etilishi deyarli hamma joyda (turli platformalar va operatsion tizimlar) mavjudligini va ularning ko'pchiligini hisobga olsak, uning imkoniyatlarini yaxshi tushunishingiz kerak.

Hech bo'lmaganda, bu bir necha sabablarga ko'ra kerak bo'ladi:

  • Ko'pincha, RDP o'rniga boshqa bir yechim ishlatiladi (VNC, Citrix ICA) oddiy sabablarga ko'ra - "o'rnatilgan RDP minimal va hech narsa qila olmaydi" deb taxmin qilinadi.
  • Hozirgi zamonaviy bulut texnologiyalari bilan bog'liq ko'plab echimlarda (ofislarni "ingichka mijozlarga" o'tkazish va shunchaki terminal serverlarini tashkil qilish) "RDP yomon, chunki u ichki o'rnatilgan".
  • "RDP ni VPNsiz tashqariga chiqarish mumkin emas, sindirish mumkin emas" degan standart afsona mavjud (afsonaning asosi bor, ammo eskirgan).
  • Xullas, ular afsonalar haqida gapira boshlashganidan beri, "RDP dan Citrixga o'tgandan so'ng, trafik bir necha marta pasayadi" degan fikr bor. Axir, tsitrix qimmat, shuning uchun kamida 157% sovuqroq.

Bu afsonalarning barchasi bema'nilik va NT 4.0 davrida dolzarb bo'lgan eskirgan "yaxshi maslahatlar" hamda mavjud bo'lish uchun hech qanday sabab bo'lmagan ochiq fantastika aralashmasi. IT aniq fan bo'lganligi sababli, siz buni aniqlab olishingiz kerak. Barcha yangi funktsiyalarni hisobga olgan holda yangi versiyalarning yaxshi sozlangan RDP protokoli masofaviy kirishni tashkil qilish uchun juda yaxshi va ishonchli vositadir.

Shuning uchun biz quyidagilar bilan shug'ullanamiz:

  • RDP versiyasi haqida qisqacha ma'lumot
  • RDP sessiyasining himoya rejimini sozlash
  • RDP uchun shifrlashni sozlash
  • Muayyan adapter va portga ulanish orqali
    • Standart portni kerakliga o'zgartiring
    • Bir nechta tarmoq adapterlari uchun alohida RDP sozlamalarini o'rnatish
  • NLA-ni yoqish
    • NLA va Windows XP
    • XP-da CredSSP-ni qanday yoqish kerak
  • RDP uchun to'g'ri sertifikatni tanlash
  • RDP ulanishlarini bo'sh parol bilan blokirovka qilish
  • RDP tezligini optimallashtirish
  • RDP siqishni optimallashtirish
    • Umumiy RDP siqilishini sozlash
    • RDP audio kompressiyasini sozlash
  • RDP ma'lumot oqimlarining nisbatlarini optimallashtirish
  • RDP uchun xavfsiz RPC aloqasini talab qilishni yoqish

Qani boshladik.

RDP protokoli versiyalari

Protokol NT 4.0 dan boshlab ancha uzoq tarixga ega. Tarixiy tafsilotlarni oddiy sabablarga ko'ra chetga surib qo'yamiz - hozirda faqat Windows Vista SP1 / Windows Server 2008-da joylashgan va SP3 va Windows XP-ga Windows XP-ga bepul qo'shilgan RDP 7.0 versiyasi haqida gapirish mantiqan to'g'ri keladi. yangilangan RDP mijozi (KB 969084 havolasida joylashgan). Menimcha, sizda hech bo'lmaganda Windows XP bor va eng so'nggi Service Pack-ni o'rnatishingiz mumkin / o'rnatishingiz mumkin va Windows 2000 SP2-da RDP-ning NT 4.0 SP5-dan ustunliklarini muhokama qilish uchun vaqtingizni sarflamang.

RDP sessiyasini himoya qilish rejimini sozlash

Asosan, bu vazifaning eng oson qismi. Pastki chiziq quyidagicha. RDP ning turli xil versiyalarida sessiyani ta'minlash uchun ikkita asosiy mexanizm - o'rnatilgan RDP va sessiyani TLS-ga "o'rash" qo'llaniladi. O'rnatilgan xavfsizlik etarli emas va "RDP faqat VPN-da tashqarida bo'lishi mumkin" tavsiyasi bu haqda. Shuning uchun har doim TLS yordamini yoqing. Bu siz boshlashingiz kerak bo'lgan minimal narsa. Faqatgina cheklovlar server versiyasining Windows Server 2003 SP1 dan past bo'lmasligi va mijozning RDP 5.2 va undan yuqori bo'lishi bo'lishi mumkin, ammo menimcha, bu 2011 yil oxirida juda hal qilinadi.

TLS orqali RDP ni qanday yoqish mumkin

Har doimgidek, bir nechta variant mavjud. Birinchisi, guruh siyosati orqali yoqish. Buni amalga oshirish uchun maqsadli siyosat ob'ektiga o'ting (yaxshi, yoki o'zingizning ish stantsiyangizda gpedit.msc-ni ishga tushiring) va "Kompyuter konfiguratsiyasi" -\u003e "Ma'muriy shablonlar" -\u003e "Windows komponentlari" -\u003e "Masofadagi ish stoli sessiyasini tanlang. "-\u003e" Xavfsizlik "va faqat SSL (TLS 1.0) ni tanlab, masofadan ulanish parametrlari uchun maxsus xavfsizlik qatlamidan foydalanishni talab qilish imkoniyati mavjud. Bundan tashqari, yumshoqroq Muzokarani tanlashingiz mumkin, lekin men buni tavsiya qilmayman, chunki hozirda u xavfsizlikning maqbul darajasidan past. Xavfsizligi etarli darajada yuqori darajadagi shaxsiy bulutlarni yaratgan odam sifatida shuni aytishim mumkinki, London yaqinidagi ma'lumotlar markaziga juda qimmatli ma'lumotlarni olib kelish va u erda standart RDP bilan borish nolga teng va bu muammo qidirishdir.

Bu osonroq va osonroq - Masofadagi ish stoli sessiyasining xostini sozlash konfiguratsiyasini oching (mmc-da joylashgan yoki Ma'muriy vositalar -\u003e Masofadagi ish stolidagi ulanishlar menyusida tayyor), ro'yxatdan Ulanishlar-ni tanlang. kerakli ulanish (odatda u bitta va RDP-Tcp deb nomlanadi) va Xususiyatlar-ni, so'ng Umumiy yorlig'ini oching va kerakli xavfsizlik qatlamini tanlang.

TLS ishlashi uchun raqamli sertifikat talab qilinadi (hech bo'lmaganda server tomonidan). Odatda u allaqachon mavjud (avtomatik ravishda yaratiladi), uning mavjudligiga ishonch hosil qiling, keyin uni qanday qilib yaxshi qilish haqida gaplashamiz. Hozircha sizga shunchaki kerak, aks holda ulana olmaysiz.

RDP uchun shifrlashni sozlash

Konfiguratsiya uchun 4 ta shifrlash opsiyasi mavjud bo'ladi. Keling, ularning har birini ko'rib chiqaylik.

RDP past shifrlash rejimi

Eng "yo'q" rejimi. Dahshatli davrlar merosi va RDP 5.x versiyalari. 56-bitli DES yoki 40-bitli RC2 shifrlash bo'yicha muzokara olib borishi mumkin, bu hozirda jiddiy emas. Kerak emas va xavfli. Masalan, agar siz uni yoqsangiz, u holda TLS yoqilmaydi, chunki TLS ushbu parametr taklif qiladigan zaif shifrlarni muhokama qilishdan allaqachon bosh tortadi.

RDP mijoziga mos keladigan shifrlash rejimi

Ikkinchisi - "yo'q" rejimi. Dahshatli davrlar merosi va RDP 5.x versiyalari. 128 bitli RC4 ni sinab ko'radi, lekin darhol DES / RC2 ga rozi bo'ladi. Kerak emas va xavfli. Shuningdek, TLS mos emas.

RDP yuqori shifrlash rejimi

Minimal ruxsat berilgan rejim. Kamida 128 bitli RC4 talab qilinadi. Windows 2000 Serverdan / HEP dan boshlab barcha serverlar bilan ishlaydi.

RDP FIPS140-1 shifrlash tartibi

Aynan nima kerak. Zamonaviy nosimmetrik algoritmlarni qo'llab-quvvatlaydi va RC2, RC4, bitta DES-ni aniq qo'llab-quvvatlamaydi va Message Authentication Code (MAC) yaxlitligini hisoblash uchun MD5 o'rniga SHA-1 dan foydalanishga majbur qiladi. Ushbu parametrni har doim yoqing; 3DES, AES yoki SHA-1 qila olmaydigan serverni topish deyarli mumkin emas.

Ushbu parametr qayerda amalga oshiriladi? Masofadagi ish stoli sessiyasini o'rnatish konfiguratsiyasini oching (mmc-da joylashgan yoki ma'muriy vositalar -\u003e Masofadagi ish stolidagi ulanishlar menyusida mavjud), ulanishlar ro'yxatidan kerakli ulanishni tanlang (odatda u bitta va RDP-Tcp deb nomlanadi) va Xususiyatlar-ni, so'ng Umumiy yorlig'ini oching va u erda kerakli Shifrlash darajasini tanlang.

RDP-ni ma'lum bir adapter va portga ulang

Server xavfsiz va bashoratli ishlashi uchun (masalan, yangi, yangi qo'shilgan tarmoq adapteridan ulanishlarni qabul qilishni boshlamaydi), siz RDP server xizmati qaysi interfeyslarda ulanishlarni qabul qilishi kerakligini aniq belgilashingiz kerak. Bundan tashqari, ko'pincha server ulanishlarni tinglaydigan portni almashtirish foydali bo'ladi. Albatta, buni RDP bilan serverni qandaydir shlyuz orqali nashr qilish orqali qilishingiz mumkin, ammo siz bunisiz ham qilishingiz mumkin. Aslida ko'rinadigan bunday asosiy harakatlar taniqli portlarni tekshirish uchun yana bir "kuchli vosita" dan foydalanadigan ahmoq-skriptkiddilar foizini sezilarli darajada kamaytiradi.

RDP xizmatini ma'lum bir tarmoq adapteriga qanday bog'lash yoki turli xil adapterlar uchun turli xil sozlamalar bilan bir nechta RDPlarni bajarish

Masofadagi ish stoli sessiyasini o'rnatish konfiguratsiyasini oching (mmc-da joylashgan yoki ma'muriy vositalar -\u003e Masofadagi ish stolidagi ulanishlar menyusida mavjud), ulanishlar ro'yxatidan kerakli ulanishni tanlang (odatda u bitta va RDP-Tcp deb nomlanadi) ) ni oching va Xususiyatlar-ni, so'ngra Tarmoq interfeyslari yorlig'ini oching ... Unda siz ulanishni kutish uchun bitta aniq interfeysni tanlashingiz mumkin, shuningdek, parallel seanslar sonini cheklashingiz mumkin.

Agar sizda ko'plab interfeyslar mavjud bo'lsa va sizga aytaylik, mavjud bo'lgan 5 ta bittadan ikkitasiga ulanish uchun kerak bo'lsa, unda standart RDP-Tcp-ni bitta adapterga bog'lashingiz kerak, keyin Action menyusiga o'ting va Create New ni tanlang U erda ulanish. Ulanish barcha interfeyslarda yoki bittasida tinglashi mumkin va agar N interfeyslarni tinglash zarur bo'lsa, siz N ulanishlarni yaratishingiz kerak bo'ladi.

Shunga ko'ra, agar sizda "RDP bitta portda bitta interfeysni, boshqasida esa boshqa portda tinglashi uchun" vazifasi bo'lsa, uni xuddi shu tarzda hal qilish mumkin - siz barcha RDP-Tcp-ni barcha adapterlardan uzib qo'yasiz va aniq, keyin yangi RDP ulanishini yarating va kerakli tarmoq interfeysiga ulang.

RDP xizmatini standart bo'lmagan portga qanday bog'lash kerak

Standart port 3389 TCP. Aytgancha, uni paketli filtrda yoqishni unutmang. Xo'sh, agar siz boshqa biror narsani xohlasangiz, ro'yxatga olish kitobi kalitiga o'tishingiz kerak

HKEY_LOCAL_MACHINE \\ System \\ CurrentControlSet \\ Control \\ Terminal Server \\ WinStations \\ RDP-Tcp

va undagi PortNumber qiymatini to'g'irlang. Shuni yodda tutingki, portni band qilish nuqtai nazaridan qarama-qarshiliklarni kuzatib borish sizning vijdoningizga bog'liq, u siz belgilagan port band bo'lganligini aniqlagan holda, u hech qaerga "sakrab o'ta" olmaydi.

NLA - Tarmoq darajasida autentifikatsiyani yoqing

NLA funktsiyasi NT 6.0 da paydo bo'ldi va keyinchalik XP uchun SP3 ni o'rnatib, uni oldingi OS versiyasida qisman ishlatish qobiliyatini qo'shdi.
Ushbu funktsiyaning mohiyati juda oddiy. RDP versiyalarida ulanganda 6.0 gacha RDP mijozi autentifikatsiyadan oldin siz kirish oynasini ko'rsatishingiz kerak - ya'ni. birinchi bo'lib namoyish eting, so'ngra u tizimga kirishga harakat qiladi. Bu oddiy zaiflikni keltirib chiqaradi - serverga "yangi sessiyani boshlashni sinab ko'rishga ijozat bering" so'rovlari haddan tashqari yuklanishi mumkin va u barcha so'rovlarga sessiya yaratish va foydalanuvchi tizimga kirishini kutish orqali javob berishga majbur bo'ladi. Aslida, bu DoS qobiliyati. Bu bilan qanday kurashish mumkin? Mijozdan iloji boricha tezroq ishonch yorliqlarini so'rashdan iborat sxemani ishlab chiqishimiz mantiqan to'g'ri. Optimal - domendagi kerberolarga o'xshash narsa. Bu amalga oshirildi. NLA ikkita maqsadga ega:

  • Mijoz terminal sessiyasini boshlashdan oldin autentifikatsiya qilinadi.
  • Mahalliy mijoz SSP ma'lumotlarini serverga uzatish mumkin bo'ladi, ya'ni. Yagona kirish tizimida ishlash boshlanadi.

Bu yangi xavfsizlik provayderi - CredSSP orqali amalga oshiriladi. Siz uning texnik xususiyatlarini o'qishingiz mumkin, sodda qilib aytganda, ushbu funktsiyani har doim yoqishingiz kerak. Albatta, uning ishi uchun quyidagilar zarur:

  • Mijoz operatsion tizimi (ulanish o'rnatiladigan) Windows XP SP3 yoki undan yuqoriroq versiyasi edi.
  • Server OS (ulanish o'rnatiladigan) Windows Server 2008 yoki undan yuqori bo'lgan.

Eslatma: Windows Server 2003 yadrosi XP (5,2 va 5,1) dan yangi bo'lsa-da, Windows XP uchun NLA-ni qo'llab-quvvatlaydigan yangilanish mavjud, ammo Windows Server 2003 uchun emas. Ya'ni, siz eng qulay versiyadan - Windows Server 2003 R2 SP2-dan barcha yamoqlardan ulansangiz ham, NLA talab qiladigan serverga ulanolmaysiz va NLA-ni qo'llab-quvvatlovchi server bo'lmaysiz. Afsus.

RDP server tomonidan NLA qanday yoqiladi

Guruh siyosati orqali barcha serverlarda NLA-ni yoqish yaxshiroqdir. Buning uchun maqsadli guruh siyosati ob'ektiga o'ting va "Kompyuter konfiguratsiyasi" -\u003e "Ma'muriy shablonlar" -\u003e "Windows komponentlari" -\u003e "Masofadagi ish stoli sessiyasi xosti" -\u003e "Xavfsizlik" -ni tanlang va foydalanuvchi uchun autentifikatsiyani talab qilishni yoqing. Tarmoq qatlamini autentifikatsiya qilish yordamida masofadan ulanish.

Siz uni mahalliy sifatida ham yoqishingiz mumkin. Bu Xususiyatlar pastki menyusiga (standart kompyuter pastki menyusiga) qo'ng'iroq qilish va u erda masofadan yorliqni tanlash orqali amalga oshiriladi, unda tanlov bo'ladi uchta variant - RDP orqali ushbu xostga ulanishni rad etish, har qanday RDP orqali ulanishga ruxsat berish, faqat NLA bilan ruxsat berish. Variantni har doim NLA bilan yoqing, bu avvalo serverni himoya qiladi.

NLA va Windows XP

Agar sizda Windows XP bo'lsa, unda siz ushbu funktsiyadan ham foydalanishingiz mumkin. "NLA hech bo'lmaganda hushtakka muhtoj, Microsoft uni yangilash uchun qilgan" degan keng tarqalgan gap yolg'ondir. Service Pack 3 serverga mahalliy SSP tomonidan qabul qilingan mijoz ma'lumotlarini topshirish uchun CredSSP dasturini qo'shadi. Ya'ni, sodda qilib aytganda, Windows XP-dan NT 6.0+ tizimiga ulanish imkoni bo'lishi uchun maxsus tayyorlangan. Siz ushbu funktsiya bilan Windows XP SP3-ga ulana olmaysiz, NLA-ni qo'llab-quvvatlash qisman bo'ladi (shuning uchun Windows XP-dan NLA-dan foydalanib mijozlarni ulash uchun qo'llab-quvvatlanadigan RDP-server standart usullar yordamida amalga oshirilmaydi, Windows XP faqat NLA-ga mos keladigan mijoz).

Eslatma: NLA NT 6.0 dan beri mavjud bo'lib, RDP 6.0 deb nomlangan texnologiyalar to'plamining bir qismidir. XP uchun 3-xizmat to'plami nafaqat RDP 6.0 ni, balki RDP 7.0 ni o'rnatish qobiliyatini keltirib chiqaradi, bu juda ijobiydir (masalan, RDP 7.0 da, 6.0dan farqli o'laroq, EasyPrint, ikki tomonlama audio va RDP mijozini o'zgartiradigan boshqa narsalar mavjud Windows XP-da barcha amaliy tizimga o'ralgan holda). Aytgancha, bu yomon Microsoft haqida, bu Windows XP-ni yomon, yomon hushtakka ko'tarishga majbur qilgani sababli, hatto 2001 yilgi mahsulot uchun bepul xizmat paketida ham, yangi kelgan RDP quyi tizimini hushtakka kirgandan ko'ra tikdim. 2006 yilda chiqarilgan.

Ushbu funktsiyani aniq yoqish kerak, chunki Service Pack 3 kriptografik provayderning yangi DLL-ni qo'shganiga qaramay, uni o'z ichiga olmaydi.

XP-da CredSSP-ni qanday yoqish kerak

Yana bir bor ta'kidlash joizki, ushbu operatsiya Windows XP-da Service Pack 3 o'rnatilgandan so'ng amalga oshiriladi va bizning suhbatimiz kontekstida RDP 6.1 orqali boshqa serverlarga NLA yordamida ulanish imkoniyati zarur.

Birinchi qadam - xavfsizlik paketlari ro'yxatini kengaytirish.
Buning uchun biz ro'yxatga olish kitobi kalitini ochamiz

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsa

va unda Xavfsizlik paketlari qiymatini toping. Sichqonchaning o'ng tugmachasini bosing va "O'zgartirish" -ni tanlang (Ikkilik ma'lumotlarni o'zgartirish emas, faqat o'zgartirish). "Har bir satrda paket nomi" kabi ro'yxat bo'ladi. U erda tspkg qo'shishimiz kerak. Qolganlari qoldirilishi kerak. Qo'shish joyi juda muhim emas.

Ikkinchi qadam kutubxonani bog'lashdir.
Kalit boshqacha bo'ladi:

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ SecurityProviders

Unda siz SecurityProviders qiymatini topishingiz kerak bo'ladi (oldingi holatda bo'lgani kabi, bu pastki kalit emas, balki qiymat) va uni o'xshashlik bilan o'zgartiring, faqat credssp.dll-ni qo'shing. Ro'yxatning qolgan qismiga yana tegish kerak emas.

Endi ro'yxatga olish kitobi muharririni yopishingiz mumkin. Ushbu operatsiyalardan so'ng tizimni qayta yuklash kerak bo'ladi. Kripto provayderlari - bu shubhasiz yo'lda tanlanmaydigan narsa, va bu yomondan ko'ra yaxshiroqdir.

RDP uchun to'g'ri sertifikatni tanlash

Agar RDP uchun standart bo'lmagan sertifikatdan foydalanish imkoniyati mavjud bo'lsa, unda undan foydalanish yaxshiroqdir. Bu seans xavfsizligiga ta'sir qilmaydi, lekin ulanish xavfsizligi va ishlatilishiga ta'sir qiladi. Foydalanish uchun maqbul bo'lgan sertifikat quyidagi bandlarni o'z ichiga olishi kerak:

  • Serverga ulanadigan mijoz tomonidan kiritilgan nomga mos keladigan ism (mavzuda yoki SANda), belgi bo'yicha.
  • Ishlaydigan CRL-ni ko'rsatadigan oddiy CDP kengaytmasi (tarjixon kamida ikkitasi - OCSP va statik).
  • Kerakli kalit hajmi 2048 bit. Ko'proq narsa mumkin, lekin CAPI2 ning XP / 2003 cheklovlarini eslang.
  • Agar sizga XP / 2003 yon ulanishlari kerak bo'lsa, imzo / xeshlash algoritmlari bilan tajriba o'tkazmang. Qisqasi - SHA-1 ni tanlang, bu etarli.

RDP-server uchun maxsus sertifikat berish masalasida batafsil to'xtalaman.

RDP serverlari uchun maxsus sertifikat shabloni

Agar RDP uchun sertifikat odatiy shablon (masalan, veb-server) va Ilova siyosati maydonida (sertifikatda "Kengaytirilgan kalitlardan foydalanish - EKU" deb nomlanadigan) standart asosida amalga oshirilmagan bo'lsa, bu juda yaxshi bo'ladi. Serverni autentifikatsiya qilish qiymatlari, lekin o'zingizning shabloningizni qo'shing, unda bitta, maxsus, standart vositalar tomonidan qo'shilmagan dastur qiymati - masofaviy ish stoli autentifikatsiyasi bo'ladi. Ushbu dastur siyosati qiymati qo'lda yaratilishi kerak, uning OID qiymati 1.3.6.1.4.1.311.54.1.2 bo'ladi, shundan so'ng siz allaqachon yangi sertifikat shablonini yaratishingiz mumkin, buning asosida siz sertifikat berishingiz mumkin RDP Server uchun mo'ljallangan.

Ushbu operatsiyani to'liq avtomatlashtirish uchun yangi shablonga oldindan taxmin qilinadigan nom bering - masalan, "RDPServerCert" - va Group Policy obyektiga o'ting va u erda Kompyuter konfiguratsiyasi -\u003e Siyosatlar -\u003e Ma'muriy shablonlar -\u003e Windows komponentlari -\u003e Masofadagi ish stollari xizmatlarini oching. -\u003e Masofadagi ish stoli sessiyalari xosti -\u003e Xavfsizlik. Serverni tasdiqlash uchun sertifikat shablonini parametrini tanlang va uni yoqing va qiymat maydoniga nomni kiriting - biz RDPServerCert qildik. Endi, ushbu siyosat doirasidagi barcha domen xostlari, agar ularda RDP yoqilgan bo'lsa, Sertifikatlashtirish markaziga o'zlari boradilar, agar sertifikat bo'lmasa, belgilangan shablon asosida sertifikat talab qiladilar va avtomatik ravishda RDP-ni himoya qilishni odatiy holga keltiradilar. ulanishlar. Oddiy, qulay, samarali.

RDP hisoblari orqali ulanishlarni bo'sh parol bilan bloklash

Arzimas narsa, lekin buni unutishning hojati yo'q.
RDP-ga parolsiz hisob qaydnomalarining ulanishini blokirovka qilish uchun guruh siyosati ob'ekti sozlamalariga o'ting: Kompyuter konfiguratsiyasi -\u003e Windows sozlamalari -\u003e Xavfsizlik sozlamalari -\u003e Mahalliy siyosat -\u003e Xavfsizlik parametrlari va "Hisob qaydnomalari: bo'sh joydan mahalliy hisobdan foydalanishni cheklash. faqat konsolga kirish uchun parollar ”uchun yoqilgan. Vaqtni aynan shu holatni tekshirib ko'ring.

RDP ulanishi uchun ACL-ni sozlash

Odatiy bo'lib, RDP-serverga ulanish uchun aniq foydalanuvchi kirish yoki mehmonga kirish huquqiga ega bo'lishingiz kerak.
Mahalliy ma'murlar va masofaviy ish stoli foydalanuvchilari guruhlari ushbu ruxsatga ega. RDP-serverga kirishni boshqarish uchun alohida foydalanuvchilarga emas, balki kerakli domen guruhlarini qo'shib, Masofadagi ish stoli foydalanuvchilari guruhidan foydalanish yaxshidir. RDP-Tcp xususiyatlari sozlamalarida Xavfsizlik yorlig'i tarkibini faqat so'nggi chora sifatida o'zgartiring, eng muhimi, "RDP Blocked hostname" guruhini qo'shib, RDP-ning belgilangan xostga kirish huquqini rad etish.

RDP tezligini optimallashtirish

RDP tezligini optimallashtirish juda keng mavzudir, shuning uchun uni qismlarga ajrataman. Bunga siqishni va tarmoq sathini optimallashtirishdan oldin protokoldagi yukni kamaytiradigan usullar kiradi.

Xroma (bit chuqurligi)

RDP 7.0 va undan yuqori versiyalarida 32, 16 va 8 bitli variantlar mavjud. Agar biz ish haqida gapiradigan bo'lsak, unda 16 bit etarli bo'ladi. Bu kanaldagi yukni sezilarli darajada kamaytiradi, bundan tashqari ba'zan 2 martadan ko'proq vaqtni tashkil etadi, bu ajablanarli, ammo haqiqat. Albatta, 8 bit ham mumkin, ammo u juda qo'rqinchli ko'rinadi. 16 bit juda yaxshi qabul qilinadi.

Izoh: Windows Server 2008 R2-da 8-bitli ulanishlar endi mavjud emas.

Serverda Limit Maximum Color Deepth parametrini yoqing yoki RDP mijoz sozlamalarida xuddi shunday qiling.

ClearType-ni o'chirib qo'ying

ClearType-ni o'chirib qo'yganingizda, RDP protokoli rasmni emas, balki belgilarni chizish uchun buyruqlarni uzatadi. Yoqilganda, u server tomondan rasmni chiqaradi, siqadi va mijozga yuboradi. Buning samarasi bir necha baravar kamligi kafolatlanadi, shuning uchun ClearType-ni o'chirib qo'yish ish jarayonini sezilarli darajada tezlashtiradi va javob berish vaqtini qisqartiradi. O'zingiz qanchalik hayron qolasiz.

Buni mijoz sozlamalari darajasida ham, server tomonida ham amalga oshirish mumkin (Kompyuter konfiguratsiyasi -\u003e Siyosatlar -\u003e Ma'muriy andozalar -\u003e Windows komponentlari -\u003e Masofadagi ish stoli xizmatlari -\u003e Masofaviy sessiya muhiti bo'limidagi shriftlarni tekislash parametrlariga yo'l qo'ymang. Masofadagi ish stolining masofaviy xosti).

Fon rasmini olib tashlang

Kompyuter konfiguratsiyasi -\u003e Siyosatlar -\u003e Ma'muriy shablonlar -\u003e Windows komponentlari -\u003e Masofadagi ish stollari xizmatlari -\u003e Masofadagi ish stoli sessiyalari xostidagi Masofaviy sessiya muhiti bo'limidagi RD Fon rasmi parametrlarini o'chirishni majburlash terminal sessiyasi ekranini qayta chizish bilan bog'liq vaziyatni yaxshilaydi. Ish stolida mushuklari bo'lmagan foydalanuvchilar odatdagidek omon qolishadi, tekshiriladi.

Rasmlarni keshlashni yoqing va sozlang

Agar mijoz etarli bo'lsa tasodifiy kirish xotirasi, keyin bitmap keshlashni yoqish va sozlash mantiqan to'g'ri keladi. Bu tarmoqli o'tkazuvchanligining 20-50% gacha yutadi. O'rnatish uchun siz kalitni kiritishingiz kerak bo'ladi

HKEY_CURRENT_USER \\ SOFTWARE \\ Microsoft \\ Terminal Server Client \\

va u erda BitmapPersistCacheSize va BitmapCacheSize parametrlarini yarating, ikkalasi ham DWORD 32 turi.
BitmapPersistCacheSize parametri disk keshining hajmini kilobaytda belgilaydi. Sukut bo'yicha 10. Bu parametrni kamida 1000 ga oshirish mantiqan.
BitmapCacheSize parametri RAMdagi kesh hajmini kilobaytda ko'rsatadi. Standart qiymat 1500 ga teng. Ushbu parametrni kamida 5000 ga ko'tarish mantiqan to'g'ri keladi. Mijozlar uchun har bir seans uchun atigi 5 megabayt bo'ladi, zamonaviy RAM tarozilarida bu ahamiyatsiz va hatto ishlashning 10% ga oshishiga olib keladigan bo'lsa ham, qarzlarni to'lash; samara berish. Aytgancha, xuddi shu parametr .rdp faylida tuzatilishi mumkin; agar siz RDP ulanishingizni saqlasangiz va faylni bloknot bilan ochsangiz, parametrlar qatoriga bitmapcacheize kabi narsani qo'shishingiz mumkin: i: 5000, bu erda 5000 - 5 MB kesh.

Ish stoli kompozitsiyasini o'chirib qo'ying

Desktop Composition Aero va uning do'stlari kabi har xil "nozikliklar" ni keltiradi va o'tkazuvchanlikni sezilarli darajada yutadi. Bu ish uchun keraksiz va zararli. Kompyuter konfiguratsiyasi -\u003e Siyosatlar -\u003e Ma'muriy shablonlar -\u003e Windows komponentlari -\u003e Masofadagi ish stoli xizmatlari -\u003e Masofadagi ish stoli sessiyalari xostidagi Masofaviy sessiya muhiti bo'limidagi RDP sessiyalari uchun ish stoli kompozitsiyasiga ruxsat berish o'chirilgan bo'lishi kerak.

Stol oynasi menejeri sozlamalarini optimallashtirish

Kompyuter konfiguratsiyasi -\u003e Siyosatlar -\u003e Ma'muriy shablonlar -\u003e Windows komponentlari -\u003e Stol oynasi menejeri bo'limidagi Masofaviy sessiya muhiti parametrlari silliq siljigan menyular va shunga o'xshash narsalarning "yaxshi" ko'rinishini boshqaradi. Ularning uchtasi bor - Oyna animatsiyalariga yo'l qo'ymang, Ish stoli kompozitsiyalariga yo'l qo'ymang va Flip3D chaqiruvlariga yo'l qo'ymang. Ularning barchasi Enabled rejimiga o'tkazilishi kerak, ya'ni. aslida - bu barcha funktsiyalarni o'chirib qo'ying.

Ishlatilmaydigan qurilmalarni yo'naltirishni o'chirib qo'ying

Agar siz ba'zi bir sinf qurilmalarini (masalan, MAQOMOTI va LPT portlari) yoki audio bilan ulanishni rejalashtirmasangiz, ularni server tomonidan qayta yo'naltirish imkoniyatini o'chirib qo'yish mantiqan to'g'ri keladi. Odatiy RDP mijoz sozlamalari bo'lgan mijozlar foydalanilmaydigan funktsiyalarni muhokama qilishda ulanish vaqtini sarflamasliklari uchun. Bu boshqa server sozlamalari bilan bir xil joyda, RDP-Tcp xususiyatlari, Mijoz sozlamalari yorlig'ida (biz ranglarni chuqurligi bilan o'rnatgan joyda), Qayta yo'naltirish qismida amalga oshiriladi.

Vizual RDP ma'lumotlarini optimallashtirish uchun umumiy mantiqni o'rnatish

Kompyuter konfiguratsiyasi -\u003e Siyosatlar -\u003e Ma'muriy shablonlar -\u003e Windows komponentlari -\u003e Masofadagi ish stoli xizmatlari -\u003e Masofadagi ish stoli sessiyalari xosti -\u003e Masofaviy sessiya muhiti ostida joylashgan RDP seanslari uchun ingl. Tajribani optimallashtirish deb nomlangan parametr. RDP vizual ma'lumotlarni multimedia yoki matn sifatida qabul qiladi. Taxminan aytganda, bu qanday qilib o'zlarini yanada malakali tutish kerakligini siqish algoritmiga "ishora". Shunga ko'ra, ish uchun siz ushbu parametrni Matn-ga o'rnatishingiz kerak bo'ladi va agar siz juda ko'p chiroyli flesh-bannerlar, HTML5 va videokliplarni tomosha qilishni xohlasangiz, Rich Multimedia opsiyasi yaxshiroqdir.

RDP siqilishini optimallashtirish

RDPda siqilish uzoq yo'lni bosib o'tdi. RDP 5.2 ni o'z ichiga olgan holda, "Versiya 1" ichki nomi bilan siqishni quyi tizimi ("kompressor") mavjud edi - bu mijoz protsessorlarining yuklanishi jihatidan eng sodda va eng oson variant, ammo tarmoq trafigi yuki jihatidan eng yomoni. RDP 6.0 siqishni samaradorligi jihatidan biroz yaxshilangan "Versiya 2" ni yaratdi. Bizni "3-versiya" qiziqtiradi, u faqat Windows Server 2008 va undan keyingi serverlarga ulanganda ishlaydi. U boshqalarnikidan yaxshiroq siqiladi va zamonaviy kompyuterlarning kuchini hisobga olgan holda protsessor vaqtining qiymati unchalik katta emas.

V3 yoqilganda, sinovlar bo'yicha, 60% ga etishi mumkin va umuman olganda, hatto sinovlarsiz ham ko'zga sezilarli darajada seziladi.

RDP-da optimal siqishni qanday yoqish mumkin

Bu mijoz sozlamalari. Kompyuter konfiguratsiyasi -\u003e Siyosatlar -\u003e Ma'muriy shablonlar -\u003e Windows komponentlari -\u003e Masofadagi ish stoli xizmatlari -\u003e Masofadagi ish stoli sessiyasi xosti -\u003e Masofaviy sessiya muhitini kerakli guruh siyosati ob'ektida oching, RDP ma'lumotlar parametri uchun Set siqishni algoritmini tanlang, uni yoqing va kamroq tarmoq o'tkazuvchanligini ishlatish uchun optimallashtirish-ni tanlang.

Izoh: Ko'pchilik nima uchun ro'yxatda "siqishni o'chirib qo'yish" opsiyasi mavjudligini qiziqtiradi. Bu sizning RDP seanslaringiz Cisco WAAS kabi WAN ulanishlarini optimallashtiradigan tashqi qurilma tomonidan siqilgan bo'lsa kerak. Boshqa hollarda, albatta, siqishni o'chirib qo'yish mantiqsiz.

Ovoz oqimini siqishni sozlash

RDP 7.0 kirish audio oqimining (ya'ni serverdan mijozga o'tadigan audio) siqishni sifatini sozlash uchun juda yaxshi imkoniyatga ega. Bu juda foydali - masalan, agar siz terminal serverida ishlayotgan bo'lsangiz, barcha xizmatlardan tashqari "ICQ-ga xabar keldi" kabi tovushlar, boshqalari esa rejalashtirilmagan. Siqilmagan kompakt-sifatli audio-serverni ishlash uchun kerak bo'lmasa serverdan uzatish mantiqiy emas. Shunga ko'ra, siz audio oqimning siqilish darajasini sozlashingiz kerak.
Ushbu parametr "Ovozni tinglash sifatini cheklash" deb nomlanadi va Kompyuter konfiguratsiyasi -\u003e Siyosatlar -\u003e Ma'muriy shablonlar -\u003e Windows komponentlari -\u003e Masofadagi ish stoli xizmatlari -\u003e Masofadagi ish stoli sessiyalari xostining Qurilma va resurslarni qayta yo'naltirish qismida joylashgan. Uchta variant mavjud:

  • Yuqori - tovush siqilmaydi. Odatda. Ya'ni, u RDP protokolining umumiy siqilishiga tushadi, ammo o'ziga xos (yo'qotish) audio kompressiyasi bajarilmaydi.
  • O'rta - ma'lumot uzatish kechikishini ko'paytirmaslik uchun siqilish kanalga moslashadi.
  • Dinamik - siqilish kanalga dinamik ravishda moslashadi, shunda kechikish 150 msdan oshmaydi.

To'g'ri birini tanlang. Ko'rib turganingizdek, ofis ishi uchun Dynamic-ni tanlash yaxshidir.

RDP-da ma'lumotlar oqimlarining nisbatlarini optimallashtirish

RDP sessiyasi trafigi monolit emas. Aksincha, u aniq yo'naltirilgan qurilmalarning ma'lumotlar oqimlariga (masalan, faylni mahalliy xostdan terminal serveriga nusxalash), audio oqimga, ko'rsatuvchi ibtidoiy buyruq oqimiga (RDP primitivlarni ko'rsatish uchun buyruqlarni uzatishga harakat qiladi). , va bitmaplarni so'nggi chora sifatida uzatadi), shuningdek, qurilma oqimlari (sichqoncha va klaviatura).

Ushbu oqimlarning o'zaro bog'liqligi va uni (munosabatlar) hisoblash mantig'iga (mahalliy QoSning bir turi) ta'sir ko'rsatishi mumkin. Buning uchun server tomondan ro'yxatga olish kitobi kalitiga o'ting

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ TermDD

va boshlash uchun to'rtta tugmachani yarating (agar ular yo'q bo'lsa):

  • FlowControlDisable
  • FlowControlDisplayBandwidth
  • FlowControlChannelBandwidth
  • FlowControlChargePostCompression

Barchasi uchun yozing - DWORD 32. Tugmalar faoliyati quyidagicha bo'ladi.
FlowControlDisable tugmasi ustunlikning umuman ishlatilishini aniqlaydi. Agar u bitta bo'lsa, ustuvorlik o'chiriladi, agar nol yoqilsa. Uni yoqing.
FlowControlDisplayBandwidth va FlowControlChannelBandwidth tugmalari ikkita ma'lumotlar oqimlari o'rtasidagi munosabatni aniqlaydi:

  • Foydalanuvchilarning o'zaro ta'sir oqimi (rasm + kirish moslamalari)
  • Boshqa ma'lumotlar (blokirovka qiluvchi qurilmalar, bufer va boshqa hamma narsalar)

Ushbu kalitlarning qiymatlari o'zlari uchun muhim emas; ularning qanday munosabatda bo'lishi juda muhimdir. Ya'ni, agar siz FlowControlDisplayBandwidth-ni biriga, FlowControlChannelBandwidth-ni to'rtga teng qilsangiz, unda bu nisbat 1: 4 ga teng bo'ladi va tarmoqli kengligining 20% \u200b\u200bfoydalanuvchi o'zaro ta'sir oqimiga, qolgan qismi uchun 80% ga teng bo'ladi. Agar siz 15 va 60 ni qilsangiz, natija bir xil bo'ladi, chunki bu nisbat bir xil.
FlowControlChargePostCompression kaliti ushbu nisbat qachon hisoblanganligini - siqilishdan oldin yoki keyin aniqlaydi. Nol siqilishdan oldin, bittasi keyin.

1: 1 nisbatini o'rnatish va siqilganidan keyin o'qish uchun "bizning uzoq serverimiz uzoq va hamma unga RDP orqali va ofisda ulanadi va 1C ishlaydi" shaklidan foydalanishni tavsiya etaman. Tajribadan, bu haqiqatan ham "katta hujjatni terminal serveridan mahalliy printerga bosib chiqarish" holatida yordam berishi mumkin. Ammo bu dogma emas - uni sinab ko'ring, asosiy vosita - uning qanday hisoblanishi va ishlashini bilish - sizda allaqachon mavjud.

RDP uchun xavfsiz RPC aloqasini talab qilishni yoqish

Ushbu parametr Secure RPC parametrlariga o'xshash ishlaydi, ular Guruh siyosatining Xavfsizlik bo'limida va butun tizimga taalluqlidir, faqat uni sozlash osonroq. Ushbu parametrni yoqish orqali siz barcha RPC so'rovlari uchun shifrlashni majburiy qilasiz (tizim sozlamalariga qarab, shifrlashning "pastki satri" har xil bo'ladi - RC4 / DES yoki agar FIPS-140 yoqilgan bo'lsa, - 3DES / AES) va masofadan turib protsedurali qo'ng'iroqlarni autentifikatsiya qilish uchun kamida NTLMv2 dan foydalaning. Ushbu parametrni har doim yoqing. Domen bo'lmagan muhitda ishlamaydi degan afsona mavjud. Bunday emas va RPC xavfsizligini qattiqlashtirish hech kimga zarar qilmaydi.

Bu server sozlamalari. Kompyuter konfiguratsiyasi -\u003e Siyosatlar -\u003e Ma'muriy andozalar -\u003e Windows komponentlari -\u003e Masofadagi ish stoli xizmatlari -\u003e Masofadagi ish stoli sessiyasi xosti -\u003e Xavfsizlik rejimini kerakli GPO-da oching, u erda Xavfsiz RPC aloqa parametrini tanlang va uni yoqing.



O'qish tavsiya etiladi