Prozori udaljene radne površine putem usmjerivača. Povežite se s udaljenom radnom površinom pomoću ugrađenog Windows RDP klijenta

RDP je Remote Desktop Protocol. Na engleskom jeziku ova kratica označava Remote Desktop protocol. Potreban je za povezivanje jednog računala s drugim putem interneta. Primjerice, ako je korisnik kod kuće i hitno mora ispuniti dokumente u uredu, to može učiniti pomoću ovog protokola.

Kako radi RDP

Pristup drugom računalu je prema zadanim postavkama putem TCP porta 3389. Na svakom osobnom uređaju to unaprijed instaliran automatski. Postoje dvije vrste povezivanja:

  • za administraciju;
  • za rad s programima na poslužitelju.

Poslužitelji s instaliranim Windows Serverom podržavaju dvije udaljene RDP veze odjednom (ovo je slučaj ako RDP uloga nije aktivirana). Računala koja nisu poslužitelji imaju samo jedan ulaz.

Povezivanje računala odvija se u nekoliko faza:

  • protokol temeljen na TCP-u, zahtijeva pristup;
  • Definirana je sesija protokola udaljene radne površine. Tijekom ove sjednice upute su odobrene prijenos podataka;
  • kada se faza određivanja završi, poslužitelj će se prebaciti na drugi uređaj grafički izlaz. Istog trenutka prima podatke s miša i tipkovnice. Grafički izlaz je točno kopirana slika ili naredbe za crtanje raznih oblika, poput linija, krugova. Takve naredbe ključni su zadaci za ovu vrstu protokola. Uvelike štede potrošnju prometa;
  • klijentsko računalo te naredbe pretvara u grafiku i prikazuje ih na ekranu.

Ovaj protokol također ima virtualne kanale koji vam omogućuju povezivanje s pisačem, rad s međuspremnikom, korištenje audio sustava itd.

Sigurnost veze

Postoje dvije vrste sigurne veze putem RDP-a:

  • ugrađeni sustav (Standard RDP Security);
  • vanjski sustav (poboljšana RDP sigurnost).

Razlikuju se po tome što prvi tip koristi enkripciju, čime se osigurava cjelovitost standardnim sredstvima koji su u protokolu. A u drugoj vrsti, TLS modul se koristi za uspostavljanje sigurne veze. Pogledajmo pobliže proces rada.


Ugrađena zaštita To se radi ovako: prvo se vrši autentifikacija, a zatim:

  • kada se uključi bit će generiranRSAključevi;
  • se proizvodi javni ključ;
  • potpisan od strane RSA, koji je ugrađen u sustav. Dostupan je na bilo kojem uređaju s instaliranim Remote Desktop Protocolom;
  • uređaj klijenta dobiva certifikat nakon povezivanja;
  • se provjerava i dobiva se ovaj ključ.

Zatim dolazi do šifriranja:

  • standardno se koristi RC4 algoritam;
  • za Windows 2003 poslužitelje koristi se 128-bitna zaštita, gdje je 128 bita duljina ključa;
  • za Windows 2008 poslužitelje – 168 bit.

Integritet se kontrolira generiranjem mac kodova na temelju algoritma MD5 i SHA1.

Vanjski sigurnosni sustav radi s TLS 1.0 i CredSSP modulima. Potonji kombinira funkcionalnost TLS-a, Kerberosa, NTLM-a.

Kraj veze:

  • Računalo provjerava dopuštenje na ulazu;
  • šifra je potpisana pomoću TLS protokola. Ovaj najbolja opcija zaštita;
  • Dopušten je samo jedan unos. Svaka sesija je zasebno šifrirana.

Zamjena stare vrijednosti porta novom

Da biste registrirali drugu vrijednost, morate učiniti sljedeće (relevantno za bilo koji Windows verzije, uključujući Windows Server 2008):





Sada, kada se povezujete na udaljenu radnu površinu, morate navesti novu vrijednost nakon IP adrese, odvojenu dvotočkom, na primjer 192.161.11.2:3381 .

Zamjena pomoću uslužnog programa PowerShell

PowerShell vam također omogućuje da napravite potrebne promjene:

  • Preporuča se ponovno podizanje sustava;
  • Nakon što se uređaj uključi, unesite naredbu “regedit” u izbornik Start. Idi na imenik: HKEY_ LOKALNO_ MAŠINA, Pronađite mapu CurrentControlSet, zatim mapu Control, idite na Terminal Server i otvorite WinStations. Kliknite RDP-Tcp datoteku. Ovdje treba postaviti novu vrijednost.
  • Sada morate otvoriti RDP port na vatrozidu. Prijavite se na Powershell, unesite naredbu: netsh advfirewall firewall add rule name=”NewRDP” dir=in action=allow protocol=TCP localport= 49089 . Brojevi bi trebali označavati port na koji je prebačen stari.

Nije uspjelo otvaranje datoteke veze default.rdp

Najčešće se ova greška javlja kada problema saDNSposlužitelj. Računalo klijenta ne može pronaći naziv navedenog poslužitelja.

Kako biste se riješili pogreške, prvo morate provjeriti je li adresa glavnog računala ispravno unesena.

U suprotnom, ako se pojavi greška, trebate poduzeti sljedeće korake:

  • ići " Moji dokumenti»;
  • pronađite datoteku default.rdp. Ako ga ne pronađete, označite okvir " Postavke mapa» za prikaz skrivene datoteke i mape;
  • sada izbrišite ovu datoteku i pokušajte se ponovno spojiti.

Kao što znate, Remote Desktop Protocol (RDP) omogućuje vam daljinsko povezivanje s računalima koja rade Windows kontrola i dostupan svakome Windows korisnik, osim ako nema Home verziju, gdje postoji samo RDP klijent, ali ne i host. Ovo je zgodan, učinkovit i praktičan alat za daljinski pristup za potrebe administracije ili svakodnevnog rada. Nedavno je privukao pozornost rudara koji koriste RDP za daljinski pristup svojim farmama. Podrška za RDP uključena je u operativne sustave Windows od NT 4.0 i XP, ali ne znaju svi kako se njome koristiti. U međuvremenu, možete otvoriti Microsoft Remote Desktop s računala s operativnim sustavima Windows, Mac OS X, kao i s mobilnih uređaja s operativnim sustavom Android ili iPhone i iPad.


Ako ispravno razumijete postavke, RDP će biti dobro sredstvo udaljenog pristupa. Omogućuje ne samo vidjeti udaljenu radnu površinu, već i koristiti resurse udaljenog računala, povezati se s njim lokalni diskovi ili periferije. U tom slučaju računalo mora imati vanjsku IP adresu (statičku ili dinamičku) ili mora biti moguće "proslijediti" port s usmjerivača s vanjskom IP adresom.

RDP poslužitelji često se koriste za suradnju u sustavu 1C ili su radna mjesta korisnika raspoređena na njima, što im omogućuje da se na daljinu povežu sa svojim radnim mjestom. RDP klijent omogućuje vam rad s tekstom i grafičke aplikacije, daljinski primati neke podatke sa svog kućnog računala. Da biste to učinili, trebate proslijediti priključak 3389 na usmjerivaču kako biste dobili pristup svojoj kućnoj mreži putem NAT-a. Isto vrijedi i za postavljanje RDP poslužitelja u organizaciji.

RDP mnogi smatraju nesigurnom metodom udaljenog pristupa u usporedbi s korištenjem posebnih programa kao što su RAdmin, TeamViewer, VNC itd. Još jedna predrasuda je veliki promet RDP. Međutim, danas RDP nije ništa manje siguran od bilo kojeg drugog rješenja za daljinski pristup (kasnije ćemo se vratiti na pitanje sigurnosti), a uz pomoć postavki možete postići visoku brzinu odziva i male zahtjeve za propusnost.

Kako zaštititi RDP i podesiti njegovu izvedbu

Enkripcija i sigurnost Morate otvoriti gpedit.msc, u “Konfiguracija računala - Administrativni predlošci - Windows komponente- Remote Desktop Services - Security" postavite opciju "Require the use of a special security level for daljinske veze koristeći RDP metodu" i u "Security level" odaberite "SSL TLS". U "Postavi razinu enkripcije za klijentske veze" odaberite "Visoka". Da biste omogućili korištenje FIPS 140-1, morate otići na “Konfiguracija računala - Konfiguracija sustava Windows - Sigurnosne postavke - Lokalna pravila - Sigurnosne postavke” i odabrati “Kriptografija sustava: Koristite algoritme kompatibilne sa FIPS-om za enkripciju, hashiranje i potpisivanje. ” Opcija "Konfiguracija računala - Postavke sustava Windows - Sigurnosne opcije - Lokalna pravila - Sigurnosne opcije" i opcija "Računi: Dopusti prazne lozinke samo tijekom prijave na konzolu" moraju biti uključene. Provjerite popis korisnika koji se mogu spojiti putem RDP-a.
Optimizacija Otvorite Konfiguraciju računala - Administrativni predlošci - Komponente sustava Windows - Usluge udaljene radne površine - Okruženje udaljene sesije. U "Najveća dubina boje" odaberite 16 bita, to je dovoljno. Poništite opciju "Nametni pozadinu udaljene radne površine". U “Postavi algoritam kompresije RDP-a” postavite “Optimiziraj korištenje propusnosti. Postavite "Optimiziraj vizualne elemente za sesije usluga udaljene radne površine" na "Tekst". Isključite izglađivanje fonta.

Osnovna postavka je završena. Kako se spojiti na udaljenu radnu površinu?

Veza s udaljenom radnom površinom

Za spajanje putem RDP-a morate imati račun s lozinkom na udaljenom računalu, udaljene veze moraju biti dopuštene u sustavu, a kako ne biste mijenjali pristupne podatke uz konstantnu promjenu dinamičke IP adrese, možete dodijeliti statičku IP adresu u postavkama mreže. Daljinski pristup moguć je samo na računalima s Windows Pro, Enterprise ili Ultimate.

Za daljinsko povezivanje s računalom morate omogućiti vezu u “Svojstvima sustava” i postaviti lozinku za trenutnog korisnika ili stvoriti novog korisnika za RDP. Korisnici redovnih računa nemaju pravo samostalno osigurati računalo za daljinsko upravljanje. Administrator im može dati to pravo. Prepreka korištenju RDP protokola može biti njegovo blokiranje od strane antivirusa. U tom slučaju RDP mora biti omogućen u postavkama antivirusni programi.

Vrijedno je napomenuti značajku nekih operacijskih sustava poslužitelja: ako se isti korisnik pokuša prijaviti na poslužitelj lokalno i udaljeno, lokalna sesija će se zatvoriti, a udaljena će se otvoriti na istom mjestu. Nasuprot tome, lokalna prijava će zatvoriti udaljenu sesiju. Ako se prijavite lokalno kao jedan korisnik, a daljinski kao drugi, sustav će prekinuti lokalnu sesiju.

Povezivanje pomoću RDP protokola provodi se između računala koja se nalaze na istoj lokalnoj mreži ili preko interneta, ali to zahtijeva dodatne korake - prosljeđivanje porta 3389 na usmjerivaču ili povezivanje s udaljenim računalom putem VPN-a.

Za povezivanje s udaljenom radnom površinom u sustavu Windows 10 možete omogućiti udaljenu vezu u “Postavke - Sustav - Udaljena radna površina” i navesti korisnike kojima želite dodijeliti pristup ili stvoriti zasebnog korisnika za vezu. Prema zadanim postavkama trenutni korisnik i administrator imaju pristup. Na udaljenom sustavu pokrenite uslužni program za povezivanje.

Pritisnite Win+R, upišite MSTSC i pritisnite Enter. U prozor unesite IP adresu ili naziv računala, odaberite “Poveži se”, unesite korisničko ime i lozinku. Pojavljuje se zaslon udaljenog računala.


Kada se povezujete na udaljenu radnu površinu preko naredbenog retka (MSTSC), možete postaviti dodatne RDP parametre:
Parametar Značenje
/v:<сервер[: порт]>
 Udaljeno računalo na koje se povezujete.
/admin
Povežite se na sesiju za administraciju poslužitelja.
/Uredi
Uređivanje RDP datoteke.
/f
Pokrenite udaljenu radnu površinu na cijelom zaslonu.
/w:<ширина>
 Širina prozora udaljene radne površine.
/h:<высота>
 Visina prozora udaljene radne površine.
/javnost
Pokrenite udaljenu radnu površinu u općem načinu rada.
/span
Mapirajte širinu i visinu udaljene radne površine na lokalnu virtualnu radnu površinu i postavite na više monitora.
/multimon
Konfigurira položaj monitora RDP sesije u skladu s trenutnom konfiguracijom na strani klijenta.
/migrirati
Migracija naslijeđenih datoteka veze u nove RDP datoteke.


Za Mac OS tvrtka Microsoft izdao je službeni RDP klijent koji radi stabilno kada je spojen na bilo koju verziju Windows OS-a. U Mac OS X, da biste se povezali s Windows računalom, morate preuzeti s Trgovina aplikacijama Microsoftova aplikacija Udaljena radna površina. U njemu možete koristiti gumb "Plus" za dodavanje udaljenog računala: unesite njegovu IP adresu, korisničko ime i lozinku. Dvostruki klik na naziv udaljene radne površine na popisu za povezivanje otvorit će se Windows radna površina.

Na pametnim telefonima i tabletima s operativnim sustavima Android i iOS potrebno je instalirati aplikaciju Microsoft Remote Desktop i pokrenuti je. Odaberite "Dodaj" i unesite parametre veze - IP adresu računala, prijavu i lozinku za prijavu u sustav Windows. Drugi način je proslijediti priključak 3389 na usmjerivaču na IP adresu računala i povezati se s njim javna adresa usmjerivač koji označava ovaj priključak. To se radi pomoću opcije Port Forwarding usmjerivača. Odaberite Dodaj i unesite:

Naziv: RDP Tip: TCP & UDP Početni port: 3389 Krajnji port: 3389 IP poslužitelja: IP adresa računala za povezivanje.
Što je s Linuxom? RDP je zatvoreni Microsoftov protokol; ne izdaje RDP klijente za Linux, ali možete koristiti Remmina klijent. Za korisnike Ubuntua postoje posebna spremišta s Remminom i RDP-om.

RDP protokol također se koristi za povezivanje s virtualnim Hyper-V strojevi. Za razliku od prozora povezivanja hipervizora, pri povezivanju putem RDP-a virtualno računalo vidi različite povezane uređaje fizičko računalo, podržava rad sa zvukom, pruža kvalitetniju sliku radne površine gostujućeg OS-a itd.

Konfiguriranje drugih funkcija daljinskog pristupa

U prozoru veze udaljeno računalo Postoje kartice s prilagodljivim parametrima.

Pojedinosti o postavljanju udaljene radne površine u sustavu Windows 10 nalaze se u ovom videu. Sada se vratimo na RDP sigurnost.

Kako preoteti RDP sesiju?

Je li moguće presresti RDS sesije? I kako se zaštititi od ovoga? O mogućnosti otmice RDP sesije u Microsoft Windows poznata je od 2011. godine, a prije godinu dana istraživač Alexander Korznikov u svom je blogu detaljno opisao tehnike otmice. Ispada da je moguće spojiti se na bilo koju pokrenutu sesiju u Windowsima (s bilo kojim pravima), dok ste prijavljeni pod bilo kojim drugim.

Neke tehnike vam omogućuju presretanje sesije bez lozinke za prijavu. Sve što trebate je pristup naredbenom retku NT AUTHORITY/SYSTEM. Ako pokrenete tscon.exe kao korisnik SUSTAVA, možete se spojiti na bilo koju sesiju bez lozinke. RDP ne traži lozinku, samo vas povezuje s radnom površinom korisnika. Možete, na primjer, ispisati memoriju poslužitelja i dobiti korisničke lozinke. Jednostavnim pokretanjem tscon.exe s brojem sesije, možete dobiti radnu površinu navedenog korisnika - bez vanjskih alata. Dakle, uz pomoć jedne naredbe imamo hakiranu RDP sesiju. Također možete koristiti uslužni program psexec.exe ako je prethodno instaliran:

Psexec -s \\localhost cmd
Ili možete napraviti uslugu koja će spojiti napadnuti račun i pokrenuti ga, nakon čega će vaša sesija biti zamijenjena ciljanom. Evo nekoliko napomena o tome dokle to ide:

  • Možete se povezati s prekinutim sesijama. Dakle, ako se netko odjavio prije nekoliko dana, možete se jednostavno spojiti izravno na njegovu sesiju i početi je koristiti.
  • Možete deblokirati zaključane sesije. Dakle, dok je korisnik udaljen od svog stola, vi se prijavite na njegovu sesiju i on se otključava bez ikakvih vjerodajnica. Na primjer, zaposlenik se prijavljuje na svoj račun, zatim se odjavljuje, zaključavajući račun (ali ne odjavljujući se). Sesija je aktivna i sve će aplikacije ostati u istom stanju. Ako se administrator sustava prijavi na svoj račun na istom računalu, dobiva pristup računu zaposlenika, a time i svim pokrenutim aplikacijama.
  • S lokalnim administratorskim pravima, možete napasti račun s administratorskim pravima domene, tj. veći od prava napadača.
  • Možete se spojiti na bilo koju sesiju. Ako je, na primjer, Helpdesk, možete se spojiti na njega bez ikakve provjere autentičnosti. Ako je to administrator domene, postat ćete administrator. Uz mogućnost povezivanja na prekinute sesije, imate jednostavan način za navigaciju mrežom. Stoga napadači mogu koristiti ove metode i za prodor i daljnje napredovanje unutar mreže tvrtke.
  • Možete koristiti win32k exploit za dobivanje SUSTAVNIH dozvola i zatim omogućiti ovu značajku. Ako zakrpe nisu ispravno postavljene, to može doživjeti čak i prosječan korisnik.
  • Ako ne znate što nadzirati, nećete uopće znati što se događa.
  • Metoda djeluje na daljinu. Možete pokrenuti sesije na udaljenim računalima čak i ako niste prijavljeni na poslužitelj.
Mnogi operacijski sustavi poslužitelja osjetljivi su na ovu prijetnju, a broj poslužitelja koji koriste RDP stalno raste. Windows 2012 R2, Windows 2008, Windows 10 i Windows 7 bili su ranjivi. Kako biste spriječili otmicu RDP sesije, preporuča se korištenje dvofaktorske provjere autentičnosti. Ažurirani Sysmon Framework za ArcSight i Sysmon Integration Framework za Splunk upozoravaju administratore o pokretanju zlonamjernih naredbi za otimanje RDP sesije. Također možete koristiti Uslužni program za Windows Sigurnosni monitor za praćenje sigurnosnih događaja.

Na kraju, pogledajmo kako izbrisati vezu s udaljenom radnom površinom. Ovo je korisna mjera ako je potreba za daljinskim pristupom nestala ili ako želite spriječiti strance da se povezuju na udaljenu radnu površinu. Otvorite "Upravljačka ploča - Sustav i sigurnost - Sustav". U lijevom stupcu kliknite "Postavke daljinskog pristupa". U odjeljku Udaljena radna površina odaberite Ne dopuštaj veze s ovim računalom. Sada se nitko neće moći povezati s vama putem udaljene radne površine.

Zaključno, evo još nekoliko životnih hakova koji mogu biti korisni pri radu s udaljenom radnom površinom sustava Windows 10 ili jednostavno pri udaljenom pristupu.


Kao što vidite, postoji mnogo rješenja i mogućnosti koje otvara udaljeni pristup računalu. Nije slučajno da ga većina poduzeća, organizacija, institucija i ureda koristi. Ovaj alat je koristan ne samo za administratore sustava, već i za voditelje organizacija i obični korisnici Daljinski pristup je također vrlo koristan. Možete pomoći popraviti ili optimizirati sustav osobi koja ga ne razumije bez ustajanja sa stolca, prijenosa podataka ili pristupa potrebne datoteke dok ste na poslovnom putu ili odmoru bilo gdje u svijetu, radite za uredsko računalo od kuće, upravljajte svojim virtualnim poslužiteljem itd.

p.s. Tražimo autore za naš blog na Habrahabru.
Ako imate tehničko znanje o radu s virtualnim poslužiteljima, možete objasniti složene stvari jednostavnim riječima, onda će tim RUVDS-a rado surađivati ​​s vama kako bi objavio vašu objavu na Habrahabru. Detalji na linku.

Oznake: Dodajte oznake

Dobar dan, dragi čitatelji i gosti bloga, danas imamo sljedeći zadatak: promijeniti dolazni port usluge RDP (terminalni poslužitelj) sa standardnog 3389 na neki drugi. Podsjetit ću vas da je RDP usluga funkcionalnost Windows operativnih sustava, zahvaljujući kojoj možete otvoriti sesiju preko mreže na računalu ili poslužitelju koji vam je potreban koristeći RDP protokol, i moći raditi na njemu, kao da sjedili na njemu lokalno.

Što je RDP protokol

Prije nego nešto promijenite, bilo bi dobro razumjeti što je to i kako funkcionira, o tome vam stalno govorim. RDP ili Remote Desktop Protocol je protokol za udaljenu radnu površinu za operacijske sustave Microsoft Windows, iako potječe od PictureTel (Polycom). Microsoft ga je upravo kupio. Koristi se za udaljeni rad zaposlenika ili korisnika s udaljenim poslužiteljem. Najčešće takvi poslužitelji igraju ulogu terminal poslužitelja, na kojem se dodjeljuju posebne licence, bilo po korisniku ili po uređaju, CAL. Ideja je ovdje bila sljedeća: postoji vrlo moćan poslužitelj, zašto onda ne iskoristiti njegove resurse zajedno, na primjer, za 1C aplikaciju. Ovo postaje posebno važno s pojavom tankih klijenata.

Sam terminalski server svijet je ugledao već 1998. godine u operativnom sustavu Windows NT 4.0 Terminal Server, da budem iskren, nisam ni znao da tako nešto postoji, a u Rusiji smo u to vrijeme svi igrali dandy ili segu. Klijenti RDP veze trenutno su dostupni u svim verzijama sustava Windows, Linux, MacOS, Android. Najmodernija verzija RDP protokola u ovom trenutku je 8.1.

Zadani rdp port

Odmah ću napisati zadani rdp port 3389, mislim da je to to administratori sustava poznaju ga.

Kako radi rdp protokol

I tako da vi i ja razumijemo zašto smo smislili Remote Desktop Protocol, sada je logično da morate razumjeti principe njegovog rada. Microsoft razlikuje dva načina rada RDP protokola:

  • Način daljinske administracije > za administraciju, idete na udaljeni poslužitelj i konfigurirate ga i administrirate
  • Način terminalskog poslužitelja > za pristup aplikacijskom poslužitelju, udaljenoj aplikaciji ili dijeljenje za rad.

Općenito, ako instalirate Windows Server 2008 R2 - 2016 bez terminalskog poslužitelja, tada će prema zadanim postavkama imati dvije licence, a dva će se korisnika moći spojiti na njega u isto vrijeme, treći će nekoga morati izbaciti raditi. U klijentskim verzijama sustava Windows postoji samo jedna licenca, ali i to se može zaobići; o tome sam govorio u članku Terminal Server on Windows 7. Također u načinu daljinske administracije, možete klasterirati i balansirati opterećenje, zahvaljujući NLB tehnologiji i poslužitelju veze Session Directory Service. Koristi se za indeksiranje korisničkih sesija, zahvaljujući ovom poslužitelju korisnik se može prijaviti na udaljenu radnu površinu terminalskih poslužitelja u distribuiranom okruženju. Također potrebne komponente su poslužitelj za licenciranje.

RDP protokol radi preko TCP veze i aplikacijski je protokol. Kada klijent uspostavi vezu s poslužiteljem, stvara se RDP sesija na transportnoj razini, gdje se dogovaraju metode šifriranja i prijenosa podataka. Kada su svi pregovori utvrđeni i inicijalizacija dovršena, terminalski poslužitelj šalje grafički izlaz klijentu i čeka unos tipkovnice i miša.

Remote Desktop Protocol podržava više virtualnih kanala unutar jedne veze, što vam omogućuje korištenje dodatnih funkcija

  • Prenesite svoj pisač ili COM port na poslužitelj
  • Preusmjerite svoje lokalne pogone na poslužitelj
  • Međuspremnik
  • Audio i video

RDP stupnjevi povezivanja

  • Uspostavljanje veze
  • Pregovaranje parametara enkripcije
  • Provjera autentičnosti poslužitelja
  • Pregovaranje parametara RDP sesije
  • Autentifikacija klijenta
  • Podaci RDP sesije
  • Završetak RDP sesije

Sigurnost u RDP protokolu

Remote Desktop Protocol ima dvije metode provjere autentičnosti Standard RDP Security i Enhanced RDP Security, u nastavku ćemo detaljnije pogledati obje.

Standardna RDP sigurnost

RDP protokol na ovu metodu provjera autentičnosti, kriptira vezu pomoću samog RDP protokola, koji je u njemu, koristeći ovu metodu:

  • Kada se vaš operativni sustav pokrene, generira se par RSA ključeva
  • Izrađuje se vlasnički certifikat
  • Nakon toga se vlasnički certifikat potpisuje prethodno kreiranim RSA ključem
  • Sada će RDP klijent koji se spaja na terminalski poslužitelj primiti vlasnički certifikat
  • Klijent ga pregledava i verificira, zatim prima javni ključ poslužitelja koji se koristi u fazi dogovaranja parametara enkripcije.

Ako uzmemo u obzir algoritam kojim se sve šifrira, to je RC4 stream šifra. Ključevi različitih duljina od 40 do 168 bita, sve ovisi o izdanju operacijski sustav Windows, na primjer u Windows 2008 Server - 168 bita. Nakon što poslužitelj i klijent odluče o duljini ključa, generiraju se dva nova različita ključa za šifriranje podataka.

Ako pitate o integritetu podataka, onda se on postiže putem MAC (Message Authentication Code) algoritma koji se temelji na SHA1 i MD5

Poboljšana RDP sigurnost

RDP protokol s ovom metodom provjere autentičnosti koristi dva vanjska sigurnosna modula:

  • CredSSP
  • TLS 1.0

TLS je podržan od verzije 6 RDP-a. Kada koristite TLS, certifikat za šifriranje može se stvoriti pomoću terminalskog poslužitelja, samopotpisanim certifikatom ili odabrati iz trgovine.

Kada koristite CredSSP protokol, to je simbioza Kerberos, NTLM i TLS tehnologija. Kod ovog protokola sama provjera kojom se provjerava dopuštenje za ulazak na terminalski poslužitelj provodi se unaprijed, a ne nakon pune RDP veze, a time štedite resurse na terminalskom poslužitelju, plus postoji pouzdanija enkripcija i možete prijavite se jednom (Single Sign On), zahvaljujući NTLM-u i Kerberosu. CredSSP radi samo u operativnim sustavima koji nisu niži od Vista i Windows Server 2008. Evo ovog potvrdnog okvira u svojstvima sustava

Dopusti veze samo s računala koja pokreću Remote Desktop s provjerom autentičnosti na mrežnoj razini.

Promjena rdp porta

Da biste promijenili rdp port, trebat će vam:

  1. Otvorite uređivač registra (Start -> Pokreni -> regedit.exe)
  2. Prijeđimo na sljedeći odjeljak:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStation\RDP-Tcp

Pronađite ključ PortNumber i promijenite mu vrijednost u broj porta koji vam je potreban.

Obavezno odaberite decimalnu vrijednost; na primjer, stavit ću port 12345.

Nakon što to učinite, ponovno pokrenite Remote Desktop Service putem naredbenog retka pomoću sljedećih naredbi:

I stvaramo nešto novo dolazno pravilo za novi rdp port. Podsjetit ću vas da je zadani rdp port 3389.

Mi biramo kakvo će pravilo biti za luku

Protokol ostavljamo kao TCP i specificiramo novi broj RDP porta.

Pravilo će biti dopustiti RDP vezu na nestandardnom priključku

Ako je potrebno, postavite potrebne mrežne profile.

Pa, nazovimo pravilo na jeziku koji razumijemo.

Za povezivanje s klijenta Windows računala napišite adresu koja označava luku. Na primjer, ako ste promijenili port na 12345 i adresu poslužitelja (ili jednostavno računala na koje se spajate): moj poslužitelj, tada će MSTSC veza izgledati ovako:
mstsc -v:mojposlužitelj:12345

Windows sustav već duže vrijeme pruža mogućnost implementacije daljinskog pristupa putem RDP protokola. Ovaj standardni alat pojavio se u verziji sustava Windows NT 4.0, izdanoj 1996. godine. Funkcionalno je više-manje modificiran u Windows XP verziji, a svoju zaokruženost pronašao je već u sklopu Windowsa 7. Verzije Windowsa 8/8.1 i 10 su od Windowsa 7 naslijedile udaljeni pristup putem RDP protokola bez funkcionalnih promjena.

U nastavku ćemo pobliže pogledati kako daljinski pristup radi putem RDP protokola u verzijama Windows 7, 8.1 i 10.

1. Daljinski pristup putem RDP protokola

Povezivanje pomoću RDP protokola provodi se između računala koja se nalaze u istoj lokalnoj mreži. Ova vrsta povezivanja namijenjena je prvenstveno informatičarima koji servisiraju računala tvrtki integriranih u vlastite proizvodna mreža. Ne napuštajući svoje radno mjesto, daljinski se povezujući s računalima zaposlenika poduzeća, stručnjaci za sustave mogu riješiti probleme koji ne zahtijevaju intervenciju u hardveru strojeva i provesti preventivne mjere.

Povezivanje s udaljenim računalom putem RDP protokola moguće je i izvan lokalne mreže, putem interneta. Ali to će zahtijevati dodatne korake - ili prosljeđivanje priključka 3389 na usmjerivaču ili njegovo kombiniranje s udaljenim računalom u jednu VPN mrežu. S obzirom na to, povezivanje s udaljenim računalom putem interneta puno je lakše korištenjem drugih softverskih alata koji ne zahtijevaju nepotrebne radnje. Ovo je, na primjer, standard Uslužni program za Windows“Udaljena pomoć” za pružanje računalne pomoći putem Interneta. Radi na principu slanja datoteke pozivnice korisniku koji će dati računalna pomoć. Njegovi funkcionalniji analozi na tržištu Windows softvera su programi poput .

Za povezivanje se također koristi RDP protokol virtualni strojevi. Daljinska veza putem RDP-a može ponuditi više mogućnosti od standardnog prozora veze standardnog hipervizora. Prozor povezivanja Hyper-V ne omogućuje reprodukciju zvuka u OS-u za goste, ne vidi povezane USB uređaje za pohranu i ne može ponuditi više veze s fizičkim računalom od lijepljenja teksta kopiranog u njega. Dok RDP veza može pružiti vidljivost virtualni stroj razni uređaji spojeni na fizičko računalo, bolja slika desktopa gostujućeg OS-a, rad sa zvukom itd.

Za povezivanje putem RDP-a udaljeno računalo mora ispunjavati sljedeće zahtjeve:

  • Mora imati račun zaštićen lozinkom;
  • Sustav mora dopuštati udaljene veze;
  • Ako ne želite mijenjati svoje pristupne podatke svaki put kada se povežete s dinamičkom IP adresom koja se stalno mijenja, trebate dodijeliti statičku IP adresu u postavkama mreže.

Daljinski pristup moguć je samo na računalima s instaliranim izdanjima Windows Pro, Enterprise ili Ultimate. Kućne verzije sustava Windows (Home) ne omogućuju daljinski pristup putem RDP-a.

2. Lozinka na udaljenom računalu

Ako radite na udaljenom računalu koristeći Microsoftov račun i koristite kratki PIN kod umjesto duge lozinke, prilikom spajanja putem RDP-a morate unijeti tu istu dugu lozinku, a ne četveroznamenkasti PIN kod.

Ako se na udaljenom računalu koristi lokalni račun bez lozinke i nema posebne potrebe za lozinkom, kao na primjer pri povezivanju s Hyper-V virtualnim strojevima, barem najjednostavnija lozinka morat će se stvoriti nešto poput "777" ili "qwerty".

3. IP adresa udaljenog računala

Kada se povezujete putem RDP-a, morat ćete unijeti IP adresu udaljenog računala. Interna IP adresa vidljiva je u parametri mreže sustava. Ali u verzijama sustava Windows 7, 8.1 i 10 to su tri različita puta. U sustavu Windows 7 ovo je dio upravljačke ploče, au sustavu Windows 8.1 i 10 to je aplikacija Postavke, s vlastitom organizacijom svojstvenom svakoj verziji. Stoga ćemo internu IP adresu prepoznati na univerzalan način prikladan za svaki od ovih sustava – putem naredbeni redak. Prečac za pokretanje naredbenog retka u sustavu Windows 7 dostupan je u izborniku Start. U sustavu Windows 8.1 i 10 naredbeni redak se pokreće iz kontekstni izbornik na gumbu Start.

U prozor naredbenog retka unesite:

Nakon što pritisnemo Enter, dobit ćemo sažetak podataka, gdje će biti vidljiva interna IP adresa.

4. Dopuštanje daljinskih veza

Dopuštenje za daljinsko povezivanje s Windows sustavi u početku, u pravilu, onemogućen. U svakom slučaju, ovo se svakako odnosi na licencirane sklopove. Mogućnost povezivanja putem RDP-a na udaljenom računalu aktivira se u postavkama sustava. Trebamo odjeljak "Sustav". U verziji sustava Windows 7, može mu se pristupiti pretraživanjem izbornika Start. A u sustavima Windows 8.1 i 10 možete doći do odjeljka "Sustav" iz kontekstnog izbornika na gumbu "Start".

Kliknite "Postavke daljinskog pristupa".

U prozoru svojstava sustava morate postaviti opciju za dopuštanje aktivnih daljinskih veza. Nema potrebe za uklanjanjem opcije autentifikacije. Da biste primijenili promjene, kliknite "Primijeni" u nastavku.

Takve postavke otvorit će put do udaljene veze, ali samo za administratorski račun. Redovnim korisnicima računa nije dopušteno dati vlastito računalo za daljinsko upravljanje. Administrator im može dati to pravo.

Ispod opcije za dopuštanje udaljenih veza nalazi se gumb "Odaberi korisnike". Pritisnimo ga.

U polje ispod unesite ime korisnika kojem je dopušteno povezivanje putem RDP protokola. Za lokalne račune ovo je njihovo ime, a za Microsoftove račune ovo je email adresa, uz pomoć kojih dolazi do autorizacije. Pritisnite "U redu".

To je to - sada će račun ovog korisnika biti dostupan s bilo kojeg računala unutar lokalne mreže.

5. Povežite se s udaljenim računalom

Sve potrebne radnje na udaljenom računalu su završene, prijeđimo na glavno računalo s kojeg će se vršiti veza i kontrola. Standardni uslužni program za RDP povezivanje možete pokrenuti pronalaženjem njegovog prečaca pretraživanjem unutar sustava. U sustavu Windows 7 ovo je pretraživanje u izborniku Start.

U verzijama sustava Windows 8.1 i 10 pritisnite tipke Win+Q.

Pojavit će se mali prozor za povezivanje. U budućnosti će biti moguće spajanje na udaljena računala koristeći upravo ovaj skraćeni oblik. Ali za sada kliknite "Prikaži opcije".

U polje "Računalo" unesite IP adresu udaljenog računala. U donjem polju - "Korisnik" - prema tome unesite korisničko ime. Ako je Microsoftov račun povezan s udaljenim računalom, unesite adresu e-pošte.

Ako radite na računalu koristeći uobičajeni lokalni račun, korisničko ime mora biti uneseno u formatu:

Računalo\Korisnik

Na primjer, DESKTOP-R71R8AM\Vasya, Gdje DESKTOP-R71R8AM je naziv računala i Vasja– korisničko ime lokalnog računa.

Ispod korisničkog imena nalazi se opcija spremanja autorizacijskih podataka na udaljeno računalo. Parametri veze - IP adresa, korisničko ime i lozinka - mogu se spremiti kao zasebna RDP datoteka i koristiti za otvaranje na drugom računalu. Pritisnite "Poveži se", a zatim ponovno "Poveži" u novom prozoru.

Unesite lozinku za račun udaljenog računala.

Kliknite "Da" u prozoru pogreške certifikata.

Više postavki za povezivanje preko RDP protokola dobit ćemo u početku u prozoru uslužnog programa, prije uspostavljanja veze.

6. Povežite se s drugim računom na udaljenom računalu

Ispod stupca za popunjavanje korisničkog imena udaljenog računala, ako kućica “Uvijek traži vjerodajnice” nije označena, prikazuju se opcije za brisanje i promjenu pristupnih podataka. Klikom na opciju “Promijeni”, osim obrasca za autorizaciju u postojećem računu na udaljenom računalu, vidjet ćemo mogućnost povezivanja na drugi račun koji je prisutan na istom računalu.

Nakon unosa novog korisničkog imena i lozinke, autorizacijski podaci za određenu IP adresu bit će prebrisani.

7. Postavke veze

U otvorenom prozoru za povezivanje s udaljenim računalom pronaći ćemo kartice s prilagodljivim parametrima. Prva dva odnose se na praktičnost i funkcionalnost daljinskog pristupa.

“Ekran” – u ovoj kartici možete postaviti razlučivost zaslona udaljenog računala; prozor uslužnog programa otvorit će se s ovom razlučivosti nakon povezivanja. Ako se pristupa iz slabo računalo, možete postaviti nisku rezoluciju i žrtvovati dubinu boje.

“Lokalni resursi” – ovdje zbog ekonomičnosti resursi sustava Možete onemogućiti reprodukciju zvuka na udaljenom računalu. Ili, naprotiv, također možete instalirati audio zapis s udaljenog računala. U kolumni lokalne uređaje i resurse nakon klika na gumb “Detalji” možemo, osim aktivnog pisača, odabrati uređaje glavnog računala koji će raditi na udaljenom računalu. To su pametne kartice, odvojeni dijelovi tvrdi disk, flash pogoni, memorijske kartice, vanjski tvrdi diskovi.

Prepreka korištenju RDP protokola može biti njegovo blokiranje od strane antivirusa. U tom slučaju RDP protokol mora biti omogućen u postavkama antivirusnih programa.

Ugodan dan!

Zamislite situaciju da ste na poslovnom putu ili na odmoru i baš u to vrijeme morate gledati ili raditi nešto na svom kućno računalo. U obični korisnici takva se potreba javlja rijetko, što se ne može reći za radnike u IT industriji, poslovne ljude i menadžere. Prilikom stvaranja sustava Windows, Microsoftovi programeri su to predvidjeli, pa su u sustav ugradili takvu priliku kao daljinski upravljač radna površina.

Windows 7/10 Remote Desktop ili RDP značajka je koja vam omogućuje da kontrolirate jedno računalo s drugog putem lokalne ili globalne mreže. Iskreno govoreći, njegova implementacija u sustavu Windows je pomalo slaba, pa se za daljinski pristup češće koriste posebni programi poput TeamViewera, AeroAdmina ili Ammyy Admina.

Nedostatak alata trećih strana je zahtjev za potvrdu pristupa na strani udaljenog hosta, međutim, TeamViewer također ima mogućnost povezivanja bez potvrde. Drugi nedostaci takvog softvera uključuju sporiju radnu brzinu od standardne RDP funkcije, i ograničavanje istovremenog paralelnog pristupa udaljenom računalu. Programi trećih strana može biti vrlo praktičan kada je u pitanju daljinsko održavanje i podrška, dok je daljinski pristup Windows 7/10 radnoj površini, organiziran ugrađenim alatima, prikladniji za svakodnevni rad.

Postavljanje udaljene radne površine pomoću sustava Windows

Da bi računala komunicirala, moraju biti ispravno konfigurirana. Tehnički, zadatak se ne čini previše teškim, iako ovdje postoje neke nijanse, posebno u slučaju kontrole putem Interneta. Dakle, pogledajmo kako postaviti udaljenu radnu površinu pomoću alata sustava. Prvo, računalo kojem će se pristupiti mora imati Windows verzija nije niži od Pro, ali ga možete kontrolirati i iz kućne verzije. Drugi i vrlo važan uvjet je potreba da imate statičnu IP adresu na udaljenom računalu.

Naravno, možete ga pokušati konfigurirati ručno, ali postoji problem. Činjenica je da interni IP daje računalu DHCP poslužitelj internetskog centra na određeno vrijeme, nakon čega će računalo morati zatražiti novi IP. Može biti isti, ali se može i promijeniti, u kojem slučaju nećete moći koristiti RDP protokol. To se događa sa sivim, dinamičkim adresama, a moram reći da su to adrese koje većina pružatelja usluga dodjeljuje svojim klijentima. Stoga bi najispravnije bilo kontaktirati službu podrške vašeg davatelja usluga sa zahtjevom za dodjelu statičke adrese vašem računalu.

Ako ne želimo platiti bijeli IP (usluga se pruža uz dodatnu naknadu), pokušavamo ručno konfigurirati vezu. Tim kontrola /naziv Microsoft.NetworkAndSharingCenter otvorite Centar za mrežu i dijeljenje zajednički pristup", kliknite svoju vezu i kliknite gumb "Detalji" u prozoru koji se otvori.

Zabilježite podatke o IPv4, podmrežnoj maski, zadanom pristupniku i DNS poslužitelju.

Iste podatke možete dobiti pokretanjem CMD ili Naredba PowerShell ipconfig /sve. Zatvorite prozor s detaljima i otvorite svojstva u prozoru statusa.

Odaberite IPv4 s popisa, idite na njegova svojstva i unesite primljene podatke u odgovarajuća polja. Spremite svoje postavke.

Imate statičnu adresu, sada morate omogućiti pristup povezivanju. Otvorite naredbom systempropertiesremote Karticu "Daljinski pristup" u svojstvima sustava i uključite radio gumb "Dopusti daljinsko povezivanje s ovim računalom".

Po potrebi dodajemo korisnike kojima želimo omogućiti daljinsko povezivanje.

U sustavu Windows 10 1709 svim ovim postavkama možete pristupiti iz pododjeljka Udaljena radna površina u aplikaciji Postavke.

Ako koristite vatrozid treće strane, u ovom trenutku otvorite TCP port 3389 opća postavka Udaljena radna površina je dovršena.

Ako je veza uspostavljena na lokalnoj mreži, možete odmah početi raditi. Trčanje s naredbom mstsc ugrađenu RDP aplikaciju, unesite IP adresu ili naziv udaljenog računala u prozor koji se otvori, odaberite korisnika i kliknite na “Poveži se”.

Ignoriramo ga, onemogućimo zahtjeve za povezivanje (poništite okvir) i kliknite "Da". Ako je veza uspješna, vidjet ćete radnu površinu udaljenog glavnog računala.

Postavljanje udaljene radne površine preko interneta je teže, jer ćete ovdje morati proslijediti port 3389 na IP adresu vašeg PC-a, a zatim se spojiti na vanjski IP routera, što može postati prava glavobolja za korisnika, budući da ćete se morati zadubiti u postavke rutera. Pronalaženje vašeg javnog IP-a nije teško, samo idite na web mjesto 2ip.ua/ru ili sličan izvor.

U slučaju s, morate ići na odjeljak Prosljeđivanje – Virtualni poslužitelji , kliknite “Dodaj” i unesite 3389 u polja “Poključak poslužitelja” i “Unutarnji priključak”, u polju “IP adresa” označite IP adresu koju računalo koristi, u polja “Protokol” i “Status” “Sve” i Treba postaviti "Omogućeno". Spremite svoje postavke.

Sada se možete pokušati spojiti na udaljenu radnu površinu s glavnog računala. Pokrenite RDP program naredbom mstsc i u polje “Računalo” unesite prethodno dobivenu vanjsku IP adresu s brojem porta odvojenim dvotočkom, npr. 141.105.70.253:3389. Nadalje, sve je potpuno isto kao u primjeru s lokalnom mrežnom vezom.

Osiguravanje sigurnosti veze i postavljanje korisničkog pristupa

RDP ima dovoljno dobra zaštita Ipak, ne bi škodilo provjeriti i omogućiti dodatne opcije. Najprije provjerite je li enkripcija omogućena na udaljenom hostu. U uređivaču pravila lokalne grupe idite na odjeljak Konfiguracija računala - Administrativni predlošci - Komponente sustava Windows - Usluge udaljene radne površine - Host sesije udaljene radne površine - Sigurnost. Desno će biti postavka "Zahtijevaj upotrebu posebne sigurnosne razine za udaljene veze pomoću RDP metode." Omogućite ovo pravilo i postavite razinu sigurnosti na Negotiate ili High.

U istom odjeljku omogućite pravila "Zahtijevaj sigurnu RPC vezu" i "Zahtijevaj autentifikaciju korisnika za udaljene veze pomoću provjere autentičnosti na razini mreže."

Paranoidi se mogu uključiti maksimalna razinašifriranje odlaskom na odjeljak Konfiguracija sustava Windows - Sigurnosne postavke - Lokalna pravila - Sigurnosne postavke, pronalaženje postavke "Kriptografija sustava: Koristi algoritme kompatibilne sa FIPS..." s desne strane i aktiviranje.

Kao dodatnu mjeru, možete promijeniti zadani port 3389. Da biste to učinili, proširite granu registra HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp, s desne strane pronađite parametar PortNumber i promijenite njegovu vrijednost u svoju (vaš broj porta), ne zaboravite ga zatim otvoriti u vatrozidu.

U fazi pružanja daljinskog pristupa provjerite popis korisnika koji se mogu povezati putem RDP-a. Prema zadanim postavkama, svi korisnici u grupi administratora mogu se povezati s udaljenom radnom površinom u sustavu Windows 7/10. Možete promijeniti ovo. Pomoću naredbe secpol.msc idite na lokalna sigurnosna pravila, a zatim idite na odjeljak Lokalna pravila - dodjela korisničkih prava. S desne strane nalazimo pravilo "Dopusti prijavu putem usluge udaljene radne površine", otvorimo ga i izbrišemo unos "Administratori".

Ovdje možete dopustiti pristup određenom administratoru. Postoje i drugi načini da se osigura RDP sigurnost, kao što je ograničavanje pristupa putem IP adrese.

Uobičajene pogreške prilikom povezivanja na udaljenu radnu površinu

Gore smo opisali kako se povezati s udaljenom radnom površinom u sustavu Windows 7/10 putem interneta i lokalna mreža. Nažalost, pogreške koje se pojavljuju u ovom slučaju nisu neuobičajene. Dakle, u trenutku povezivanja, sustav daje odbijanje i traži da ponovite radnju. Razlozi mogu biti različiti. Ako je sve ispravno konfigurirano, problem može biti korištenje VPN-a ili previsoki sigurnosni zahtjevi (pogledajte gore šifriranje).

Na računalima sa sustavom Windows 8.1 i 10 možete naići na pogrešku prekinute sesije gdje korisnik prima poruku da je CAL za udaljenu radnu površinu promijenjen ili da nedostaje. U tom slučaju preporuča se brisanje sadržaja poddirektorija MSLicensing u matičnoj podružnici HKEY_LOCAL_MACHINE/Softver/Microsoft, a zatim pokrenite RDP program s administratorskim pravima.

Možete pokušati riješiti druge pogreške licenciranja na sličan način.

Pogreške s različite šifrečesto se pojavljuju nakon instaliranja kumulativnih ažuriranja. Problem se rješava uklanjanjem ažuriranja, ali općenito morate pogledati kod pogreške i njegov opis. Na primjer, pojavu pogreške 720 prati obavijest o mogućoj potrebi za promjenama mrežne postavke. Mnogo je problema s RDP-om i svaki se mora rješavati pojedinačno.