RDP je protokol vzdialenej pracovnej plochy. V angličtine táto skratka znamená protokol Remote Desktop. Je potrebné pripojiť jeden počítač k druhému cez internet. Ak je používateľ napríklad doma a potrebuje súrne vyplniť dokumenty v kancelárii, môže to urobiť pomocou tohto protokolu.
Ako funguje RDP
Prístup k druhému počítaču je štandardne cez TCP port 3389. Na každom osobnom zariadení predinštalovaný automaticky. Existujú dva typy pripojenia:
- na správu;
- pre prácu s programami na serveri.
Servery s nainštalovaným systémom Windows Server podporujú dve vzdialené pripojenia RDP naraz (to je prípad, ak nie je aktivovaná rola RDP). Počítače, ktoré nie sú servermi, majú iba jeden vstup.
Spojenie medzi počítačmi prebieha v niekoľkých fázach:
- protokol založený na TCP, požaduje prístup;
- Relácia protokolu vzdialenej pracovnej plochy je definovaná. Počas tejto relácie pokyny sú schválené prenos dát;
- po dokončení fázy určenia sa server prenesie do iného zariadenia grafický výstup. Zároveň prijíma dáta z myši a klávesnice. Grafický výstup je presne skopírovaný obrázok alebo príkazy na kreslenie rôznych tvarov, ako sú čiary, kruhy. Takéto príkazy sú kľúčovými úlohami pre tento typ protokolu. Výrazne šetria spotrebu dopravy;
- klientsky počítač premení tieto príkazy na grafiku a zobrazí ich na obrazovke.
Tento protokol má tiež virtuálne kanály, ktoré vám umožňujú pripojiť sa k tlačiarni, pracovať so schránkou, používať audio systém atď.
Bezpečnosť pripojenia
Existujú dva typy zabezpečeného pripojenia cez RDP:
- vstavaný systém (Štandardná bezpečnosť RDP);
- externé systému (vylepšená bezpečnosť RDP).
Líšia sa tým, že prvý typ používa šifrovanie, ktoré zabezpečuje vytvorenie integrity pomocou štandardných nástrojov, ktoré sú v protokole. A v druhom type sa modul TLS používa na vytvorenie zabezpečeného spojenia. Pozrime sa bližšie na pracovný postup.
Zabudovaná ochrana Robí sa to takto: najprv sa vykoná autentifikácia, potom:
- po zapnutí bude generovanéRSAkľúče;
- vygeneruje sa verejný kľúč;
- podpísaný RSA, ktorý je zabudovaný do systému. Je k dispozícii v akomkoľvek zariadení s nainštalovaným protokolom vzdialenej pracovnej plochy;
- klientske zariadenie dostane certifikát po pripojení;
- sa skontroluje a získa sa tento kľúč.
Potom dôjde k šifrovaniu:
- štandardne sa používa algoritmus RC4;
- pre servery Windows 2003 sa používa 128-bitová ochrana, kde 128 bitov je dĺžka kľúča;
- pre servery Windows 2008 – 168 bit.
Integrita je riadená generovaním mac kódov na základe algoritmu MD5 a SHA1.
Externý bezpečnostný systém pracuje s modulmi TLS 1.0 a CredSSP. Ten kombinuje funkčnosť TLS, Kerberos, NTLM.
Koniec spojenia:
- počítač kontroluje povolenie Pri vchode;
- šifra je podpísaná pomocou protokolu TLS. Toto je najlepšia možnosť ochrany;
- Vstup je povolený len raz. Každá relácia je šifrovaná samostatne.
Nahradenie starej hodnoty portu novou
Ak chcete zadať inú hodnotu, musíte urobiť nasledovné (relevantné pre akúkoľvek verziu systému Windows vrátane Windows Server 2008):
Teraz, keď sa pripájate k vzdialenej ploche, musíte zadať novú hodnotu za IP adresou, oddelenú napríklad dvojbodkou 192.161.11.2:3381 .
Výmena pomocou pomôcky PowerShell
PowerShell vám tiež umožňuje vykonať potrebné zmeny:
- Odporúča sa reštartovať;
- Po zapnutí zariadenia zadajte v ponuke Štart príkaz „regedit“. Prejdite do adresára: HKEY_ MIESTNE_ STROJ, Nájdite priečinok CurrentControlSet, potom priečinok Control, prejdite na terminálový server a otvorte WinStation. Kliknite na súbor RDP-Tcp. Tu by sa mala nastaviť nová hodnota.
- Teraz musíte otvoriť port RDP na bráne firewall. Prihláste sa do Powershell, zadajte príkaz: netsh advfirewall firewall add rule name=”NewRDP” dir=in action=allow protocol=TCP localport= 49089 . Čísla by mali označovať port, na ktorý bol prepnutý starý.
Nepodarilo sa otvoriť súbor pripojenia default.rdp
Najčastejšie sa táto chyba vyskytuje, keď problémy sDNSserver. Klientsky počítač nemôže nájsť názov zadaného servera. 
Aby ste sa zbavili chyby, musíte najprv skontrolovať, či je adresa hostiteľa zadaná správne.
V opačnom prípade, ak sa vyskytne chyba, musíte vykonať nasledujúce kroky:
- ísť do " Moje dokumenty»;
- nájdite súbor default.rdp. Ak ho nenájdete, začiarknite políčko „ Nastavenia priečinkov» zobraziť skryté súbory a priečinky;
- teraz odstráňte tento súbor a skúste sa znova pripojiť.
Ako viete, protokol RDP (Remote Desktop Protocol) vám umožňuje vzdialené pripojenie k počítačom so systémom Windows a je dostupný pre každého používateľa systému Windows, pokiaľ nemá verziu Home, kde je iba klient RDP, ale nie hostiteľ. Je to pohodlný, efektívny a praktický nástroj pre vzdialený prístup pre administratívne účely alebo každodennú prácu. Nedávno upútala pozornosť baníkov, ktorí využívajú RDP na vzdialený prístup k svojim farmám. Podpora RDP je súčasťou operačných systémov Windows už od NT 4.0 a XP, no nie každý vie, ako ju používať. Medzitým môžete vzdialenú pracovnú plochu Microsoft otvoriť z počítačov so systémom Windows, Mac OS X, ako aj z mobilných zariadení s operačným systémom Android alebo iPhone a iPad.
Ak správne rozumiete nastaveniam, RDP bude dobrým prostriedkom vzdialeného prístupu. Umožňuje nielen vidieť vzdialenú plochu, ale aj využívať zdroje vzdialeného počítača, pripojiť k nej lokálne disky alebo periférne zariadenia. V tomto prípade musí mať počítač externú IP (statickú alebo dynamickú), alebo musí byť možné port „presmerovať“ zo smerovača s externou IP adresou.
Servery RDP sa často používajú na spoluprácu v systéme 1C alebo sú na nich nasadené používateľské pracoviská, ktoré im umožňujú pripojiť sa k svojmu pracovisku na diaľku. Klient RDP vám umožňuje pracovať s textovými a grafickými aplikáciami a na diaľku prijímať niektoré dáta z vášho domáceho PC. Ak to chcete urobiť, musíte presmerovať port 3389 na smerovači, aby ste získali prístup do domácej siete cez NAT. To isté platí pre nastavenie servera RDP v organizácii.
Mnoho ľudí považuje RDP za nebezpečnú metódu vzdialeného prístupu v porovnaní s používaním špeciálnych programov ako RAdmin, TeamViewer, VNC atď. Ďalším predsudkom je veľké množstvo RDP prevádzky. RDP však dnes nie je o nič menej bezpečné ako akékoľvek iné riešenie vzdialeného prístupu (k otázke bezpečnosti sa vrátime neskôr) a pomocou nastavení môžete dosiahnuť vysokú rýchlosť odozvy a nízke nároky na šírku pásma.
Ako chrániť RDP a vyladiť jeho výkon
| Šifrovanie a bezpečnosť | Musíte otvoriť gpedit.msc, v časti „Konfigurácia počítača - Šablóny na správu - Komponenty systému Windows - Služby vzdialenej pracovnej plochy - Zabezpečenie“ nastavte parameter „Vyžadovať použitie špeciálnej úrovne zabezpečenia pre vzdialené pripojenia pomocou metódy RDP“ a v časti „Úroveň zabezpečenia“ “ vyberte „SSL TLS“. V časti „Nastaviť úroveň šifrovania pre pripojenia klientov“ vyberte možnosť „Vysoká“. Ak chcete povoliť používanie FIPS 140-1, musíte prejsť do časti „Konfigurácia počítača – Konfigurácia systému Windows – Nastavenia zabezpečenia – Miestne zásady – Nastavenia zabezpečenia“ a vybrať možnosť „Systémová kryptografia: Na šifrovanie, hashovanie a podpisovanie používajte algoritmy kompatibilné s FIPS. “ Musí byť povolená možnosť "Konfigurácia počítača - Nastavenia systému Windows - Možnosti zabezpečenia - Miestne zásady - Možnosti zabezpečenia" a možnosť "Účty: Povoliť prázdne heslá iba počas prihlásenia do konzoly". Skontrolujte zoznam používateľov, ktorí sa môžu pripojiť cez RDP. |
| Optimalizácia | Otvorte Konfigurácia počítača - Šablóny na správu - Súčasti systému Windows - Služby vzdialenej pracovnej plochy - Prostredie vzdialenej relácie. V časti "Najvyššia farebná hĺbka" vyberte 16 bitov, to stačí. Zrušte začiarknutie možnosti "Vynútiť tapetu vzdialenej plochy". V časti „Nastaviť algoritmus kompresie RDP“ nastavte „Optimalizovať využitie šírky pásma. Nastavte "Optimalizovať vizuály pre relácie služieb vzdialenej pracovnej plochy" na "Text". Vypnite vyhladzovanie písma. |
Základné nastavenie je dokončené. Ako sa pripojiť k vzdialenej ploche?
Pripojenie vzdialenej pracovnej plochy
Pre pripojenie cez RDP musíte mať na vzdialenom počítači účet s heslom, v systéme musia byť povolené vzdialené pripojenia a aby sa nemenili prístupové údaje s neustále sa meniacou dynamickou IP adresou, môžete prideliť statickú IP adresu v nastaveniach siete. Vzdialený prístup je možný len na počítačoch so systémom Windows Pro, Enterprise alebo Ultimate.Ak sa chcete vzdialene pripojiť k počítaču, musíte povoliť pripojenie v časti „Vlastnosti systému“ a nastaviť heslo pre aktuálneho používateľa alebo vytvoriť nového používateľa pre RDP. Používatelia bežných účtov nemajú právo samostatne poskytovať počítač na diaľkové ovládanie. Toto právo im môže dať správca. Prekážkou používania protokolu RDP môže byť jeho blokovanie antivírusmi. V tomto prípade musí byť RDP povolený v nastaveniach antivírusových programov.
Za zmienku stojí vlastnosť niektorých serverových operačných systémov: ak sa ten istý používateľ pokúsi prihlásiť na server lokálne a vzdialene, lokálna relácia sa zatvorí a vzdialená sa otvorí na rovnakom mieste. Naopak, lokálne prihlásenie ukončí vzdialenú reláciu. Ak sa prihlásite lokálne ako jeden používateľ a vzdialene ako iný, systém ukončí lokálnu reláciu.
Pripojenie pomocou protokolu RDP sa vykonáva medzi počítačmi umiestnenými v rovnakej lokálnej sieti alebo cez internet, ale bude to vyžadovať ďalšie kroky - presmerovanie portu 3389 na smerovači alebo pripojenie k vzdialenému počítaču cez VPN.
Ak sa chcete pripojiť k vzdialenej ploche v systéme Windows 10, môžete povoliť vzdialené pripojenie v časti „Nastavenia - Systém - Vzdialená plocha“ a určiť používateľov, ktorým chcete udeliť prístup, alebo vytvoriť samostatného používateľa pre pripojenie. V predvolenom nastavení má prístup aktuálny používateľ a správca. Na vzdialenom systéme spustite pomôcku na pripojenie.
Stlačte Win + R, zadajte MSTSC a stlačte Enter. V okne zadajte IP adresu alebo názov počítača, vyberte „Pripojiť“, zadajte používateľské meno a heslo. Zobrazí sa obrazovka vzdialeného počítača.
Pri pripájaní k vzdialenej ploche cez príkazový riadok (MSTSC) môžete nastaviť ďalšie parametre RDP:
| Parameter | Význam |
| /v:<сервер[: порт]> |
Vzdialený počítač, ku ktorému sa pripájate. |
| /admin |
Pripojte sa k relácii na správu servera. |
| /upraviť |
Úprava súboru RDP. |
| /f |
Spustite vzdialenú plochu na celej obrazovke. |
| /w:<ширина> |
Šírka okna vzdialenej pracovnej plochy. |
| /h:<высота> |
Výška okna vzdialenej pracovnej plochy. |
| /verejné |
Spustite vzdialenú plochu vo všeobecnom režime. |
| /span |
Mapujte šírku a výšku vzdialenej pracovnej plochy na lokálnu virtuálnu plochu a nasaďte ju na viacero monitorov. |
| /multimon |
Konfiguruje umiestnenie monitorov relácie RDP podľa aktuálnej konfigurácie na strane klienta. |
| /migrovať |
Migrácia starších súborov pripojenia na nové súbory RDP. |
Pre Mac OS spoločnosť Microsoft vydala oficiálneho klienta RDP, ktorý funguje stabilne pri pripojení k akejkoľvek verzii OS Windows. V systéme Mac OS X si na pripojenie k počítaču so systémom Windows musíte stiahnuť aplikáciu Microsoft Remote Desktop z App Store. V ňom môžete pomocou tlačidla „Plus“ pridať vzdialený počítač: zadajte jeho IP adresu, používateľské meno a heslo. Dvojitým kliknutím na názov vzdialenej pracovnej plochy v zozname na pripojenie sa otvorí pracovná plocha systému Windows.
Na smartfónoch a tabletoch so systémom Android a iOS si musíte nainštalovať aplikáciu Microsoft Remote Desktop a spustiť ju. Vyberte „Pridať“ a zadajte parametre pripojenia - IP adresu počítača, prihlasovacie meno a heslo na prihlásenie do systému Windows. Ďalšou metódou je presmerovanie portu 3389 na smerovači na adresu IP počítača a pripojenie k verejnej adrese smerovača označujúcej tento port. To sa vykonáva pomocou možnosti Port Forwarding smerovača. Vyberte Pridať a zadajte:
Názov: RDP Typ: TCP & UDP Počiatočný port: 3389 Koncový port: 3389 IP servera: IP adresa počítača, ktorý sa má pripojiť.
A čo Linux? RDP je uzavretý protokol spoločnosti Microsoft; neuvoľňuje klientov RDP pre Linux, ale môžete použiť klienta Remmina. Pre používateľov Ubuntu existujú špeciálne úložiská s Remminou a RDP.
RDP sa používa aj na pripojenie k virtuálnym počítačom Hyper-V. Na rozdiel od okna pripojenia hypervízora pri pripojení cez RDP virtuálny stroj vidí rôzne zariadenia pripojené k fyzickému počítaču, podporuje zvuk, poskytuje lepší obraz pracovnej plochy hosťujúceho OS atď.
Konfigurácia ďalších funkcií vzdialeného prístupu
Okno na pripojenie k vzdialenému počítaču má karty s prispôsobiteľnými parametrami.Podrobnosti o nastavení vzdialenej pracovnej plochy v systéme Windows 10 sú v tomto videu. Teraz sa vráťme k bezpečnosti RDP.
Ako uniesť reláciu RDP?
Je možné zachytiť relácie RDS? A ako sa pred tým chrániť? Možnosť únosu relácie RDP v systéme Microsoft Windows je známa už od roku 2011 a pred rokom výskumník Alexander Korznikov vo svojom blogu podrobne opísal techniky únosu. Ukazuje sa, že je možné pripojiť sa k akejkoľvek spustenej relácii v systéme Windows (s akýmikoľvek právami), pričom ste prihlásení pod akýmkoľvek iným.Niektoré techniky vám umožňujú zachytiť reláciu bez prihlasovacieho hesla. Všetko, čo potrebujete, je prístup k príkazovému riadku NT AUTHORITY/SYSTEM. Ak spustíte tscon.exe ako používateľ SYSTEM, môžete sa pripojiť k akejkoľvek relácii bez hesla. RDP nepožaduje heslo, iba vás pripojí k pracovnej ploche používateľa. Môžete napríklad vypísať pamäť servera a získať heslá používateľov. Jednoduchým spustením tscon.exe s číslom relácie môžete získať pracovnú plochu konkrétneho používateľa - bez externých nástrojov. Teda pomocou jedného príkazu máme hacknutú RDP reláciu. Môžete tiež použiť pomôcku psexec.exe, ak bola predtým nainštalovaná:
Psexec -s \\localhost cmd
Alebo môžete vytvoriť službu, ktorá pripojí napadnutý účet a spustí ho, po čom bude vaša relácia nahradená cieľovou. Tu je niekoľko poznámok o tom, ako ďaleko to zachádza:
- Môžete sa pripojiť k odpojeným reláciám. Ak sa teda niekto odhlásil pred pár dňami, môžete sa jednoducho pripojiť priamo k jeho relácii a začať ju používať.
- Uzamknuté relácie môžete odblokovať. Takže keď je používateľ preč od svojho stola, prihlásite sa do jeho relácie a odomkne sa bez akýchkoľvek poverení. Napríklad zamestnanec sa prihlási do svojho účtu, potom sa odhlási, čím sa účet uzamkne (ale neodhlási sa). Relácia je aktívna a všetky aplikácie zostanú v rovnakom stave. Ak sa správca systému prihlási do svojho účtu na tom istom počítači, získa prístup k účtu zamestnanca, a teda ku všetkým spusteným aplikáciám.
- S právami lokálneho správcu môžete zaútočiť na účet s právami správcu domény, t.j. vyššie ako práva útočníka.
- Môžete sa pripojiť k akejkoľvek relácii. Ak je to napríklad Helpdesk, môžete sa k nemu pripojiť bez akejkoľvek autentifikácie. Ak ide o správcu domény, stanete sa správcom. Vďaka možnosti pripojenia k odpojeným reláciám máte jednoduchý spôsob navigácie v sieti. Útočníci teda môžu použiť tieto metódy na prienik a ďalší postup v rámci firemnej siete.
- Môžete použiť win32k exploity na získanie SYSTEM oprávnení a potom povoliť túto funkciu. Ak sa záplaty neaplikujú správne, môže to zažiť aj bežný používateľ.
- Ak neviete, čo máte sledovať, nebudete vôbec vedieť, čo sa deje.
- Metóda funguje na diaľku. Relácie môžete spúšťať na vzdialených počítačoch, aj keď nie ste prihlásení na server.
Nakoniec sa pozrime na to, ako odstrániť pripojenie k vzdialenej ploche. Toto je užitočné opatrenie, ak potreba vzdialeného prístupu zmizla, alebo ak chcete zabrániť cudzím osobám pripájať sa k vzdialenej ploche. Otvorte „Ovládací panel – Systém a zabezpečenie – Systém“. V ľavom stĺpci kliknite na „Nastavenia vzdialeného prístupu“. V časti Vzdialená plocha vyberte možnosť Nepovoliť pripojenia k tomuto počítaču. Teraz sa k vám nikto nebude môcť pripojiť cez vzdialenú plochu.
Na záver uvádzame niekoľko ďalších životných hackov, ktoré môžu byť užitočné pri práci so vzdialenou plochou Windows 10 alebo jednoducho pri vzdialenom prístupe.
Ako vidíte, existuje veľa riešení a príležitostí, ktoré otvára vzdialený prístup k počítaču. Nie náhodou ho využíva väčšina podnikov, organizácií, inštitúcií a úradov. Tento nástroj je užitočný nielen pre správcov systému, ale aj pre vedúcich organizácií a vzdialený prístup je veľmi užitočný aj pre bežných používateľov. Môžete pomôcť opraviť alebo optimalizovať systém pre človeka, ktorý tomu nerozumie, bez toho, aby ste vstali zo stoličky, preniesli dáta alebo získali prístup k potrebným súborom počas služobnej cesty alebo dovolenky kdekoľvek na svete, pracovali na kancelárskom počítači z domu , spravujte svoj virtuálny server atď.
P.S. Hľadáme autorov pre náš blog na Habrahabr.
Ak máte technické znalosti o práci s virtuálnymi servermi, viete vysvetliť zložité veci jednoduchými slovami, potom s vami tím RUVDS rád spolupracuje pri uverejnení vášho príspevku na Habrahabr. Podrobnosti v odkaze.
Štítky: Pridajte štítky
Dobré popoludnie, milí čitatelia a hostia blogu, dnes máme nasledujúcu úlohu: zmeniť prichádzajúci port služby RDP (terminálny server) zo štandardného 3389 na iný. Dovoľte mi pripomenúť, že služba RDP je funkcionalitou operačných systémov Windows, vďaka ktorej môžete pomocou protokolu RDP otvoriť reláciu cez sieť na počítači alebo serveri, ktorý potrebujete, a pracovať na nej, ako keby ste sedeli na ňom lokálne.
Čo je protokol RDP
Pred zmenou niečoho by bolo dobré pochopiť, čo to je a ako to funguje, stále vám o tom hovorím. PRV resp Remote Desktop Protocol je protokol vzdialenej pracovnej plochy pre operačné systémy Microsoft Windows, hoci jeho pôvod pochádza od spoločnosti PictureTel (Polycom). Microsoft ho práve kúpil. Používa sa na vzdialenú prácu zamestnanca alebo používateľa so vzdialeným serverom. Najčastejšie takéto servery zohrávajú úlohu terminálového servera, na ktorý sa prideľujú špeciálne licencie, či už na používateľa alebo na zariadenie, CAL. Myšlienka tu bola takáto: existuje veľmi výkonný server, tak prečo nevyužiť jeho zdroje spoločne, napríklad pre aplikáciu 1C. Toto sa stáva obzvlášť dôležité s príchodom tenkých klientov.
Svet videl samotný terminálový server, už v roku 1998 v operačnom systéme Windows NT 4.0 Terminal Server, aby som bol úprimný, ani som nevedel, že niečo také existuje, a v Rusku sme vtedy všetci hrali dandy alebo segu. Klienti pripojenia RDP sú momentálne k dispozícii vo všetkých verziách Windows, Linux, MacOS, Android. Najmodernejšia verzia protokolu RDP je v súčasnosti 8.1.
Predvolený port rdp
Okamžite napíšem predvolený port rdp 3389, myslím, že to poznajú všetci správcovia systému.
Ako funguje protokol rdp
A tak vy a ja chápeme, prečo sme prišli s protokolom vzdialenej pracovnej plochy, teraz je logické, že musíte pochopiť princípy jeho fungovania. Microsoft rozlišuje dva režimy protokolu RDP:
- Režim vzdialenej správy > pre správu prejdete na vzdialený server a nakonfigurujete ho a spravujete
- Režim terminálového servera > na prístup k aplikačnému serveru, vzdialenej aplikácii alebo ich zdieľanie pre prácu.
Vo všeobecnosti platí, že ak nainštalujete Windows Server 2008 R2 – 2016 bez terminálového servera, bude mať štandardne dve licencie a dvaja používatelia sa k nemu budú môcť pripojiť súčasne, tretí bude musieť niekoho vyhodiť, aby práca. V klientskych verziách systému Windows existuje iba jedna licencia, ale dá sa to obísť; o tom som hovoril v článku Terminálový server v systéme Windows 7. Aj v režime vzdialenej správy môžete klastrovať a vyrovnávať záťaž vďaka technológii NLB a pripájaciemu serveru Session Directory Service. Používa sa na indexovanie užívateľských relácií, vďaka tomuto serveru sa užívateľ môže prihlásiť na vzdialenú plochu terminálových serverov v distribuovanom prostredí. Povinnými komponentmi sú aj licenčný server.
Protokol RDP funguje cez pripojenie TCP a je aplikačným protokolom. Keď klient vytvorí spojenie so serverom, vytvorí sa relácia RDP na úrovni transportu, kde sa dohodne šifrovanie a metódy prenosu údajov. Keď sú všetky rokovania určené a inicializácia je dokončená, terminálový server odošle grafický výstup klientovi a čaká na vstup z klávesnice a myši.
Remote Desktop Protocol podporuje viacero virtuálnych kanálov v rámci jedného pripojenia, čo vám umožňuje využívať ďalšie funkcie
- Preneste tlačiareň alebo COM port na server
- Presmerujte svoje lokálne disky na server
- Schránka
- Audio a video
Etapy pripojenia RDP
- Nadviazanie spojenia
- Vyjednávanie parametrov šifrovania
- Autentifikácia servera
- Vyjednávanie parametrov relácie RDP
- Autentifikácia klienta
- Údaje relácie RDP
- Ukončenie relácie RDP
Bezpečnosť v protokole RDP
Protokol vzdialenej plochy má dve metódy overenia Štandardné zabezpečenie RDP a Rozšírené zabezpečenie RDP, na obe sa podrobnejšie pozrieme nižšie.
Štandardné zabezpečenie RDP
Protokol RDP s touto metódou autentifikácie šifruje pripojenie pomocou samotného protokolu RDP, ktorý je v ňom, pomocou tejto metódy:
- Po spustení operačného systému sa vygeneruje pár kľúčov RSA
- Vytvára sa vlastnícky certifikát
- Potom sa proprietárny certifikát podpíše kľúčom RSA vytvoreným skôr
- Teraz klient RDP, ktorý sa pripája k terminálovému serveru, dostane proprietárny certifikát
- Klient si ho prezrie a overí, potom dostane verejný kľúč servera, ktorý sa používa vo fáze odsúhlasovania parametrov šifrovania.
Ak vezmeme do úvahy algoritmus, ktorým je všetko šifrované, je to prúdová šifra RC4. Kľúče rôznych dĺžok od 40 do 168 bitov, to všetko závisí od vydania operačného systému Windows, napríklad vo Windows 2008 Server - 168 bitov. Keď sa server a klient rozhodnú pre dĺžku kľúča, vygenerujú sa dva nové rôzne kľúče na šifrovanie údajov.
Ak sa pýtate na integritu údajov, potom sa to dosiahne pomocou algoritmu MAC (Message Authentication Code) založeného na SHA1 a MD5
Vylepšená bezpečnosť RDP
Protokol RDP s touto metódou autentifikácie používa dva externé bezpečnostné moduly:
- CredSSP
- TLS 1.0
TLS je podporovaný od verzie 6 RDP. Keď používate TLS, šifrovací certifikát možno vytvoriť pomocou terminálového servera, certifikátu s vlastným podpisom alebo vybrať z úložiska.
Pri použití protokolu CredSSP ide o symbiózu technológií Kerberos, NTLM a TLS. S týmto protokolom sa samotná kontrola, ktorá kontroluje povolenie na vstup na terminálový server, vykonáva vopred, a nie po úplnom pripojení RDP, čím šetríte prostriedky na terminálovom serveri, navyše existuje spoľahlivejšie šifrovanie a môžete prihláste sa raz (Single Sign On). ), vďaka NTLM a Kerberos. CredSSP funguje iba v operačných systémoch, ktoré nie sú nižšie ako Vista a Windows Server 2008. Toto je začiarkavacie políčko vo vlastnostiach systému
Povoliť pripojenia iba z počítačov so vzdialenou pracovnou plochou s overením na úrovni siete.
Zmeňte port rdp
Ak chcete zmeniť port rdp, budete potrebovať:
- Otvorte editor databázy Registry (Štart -> Spustiť -> regedit.exe)
- Prejdime k ďalšej časti:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Nájdite kľúč PortNumber a zmeňte jeho hodnotu na číslo portu, ktoré potrebujete.
Nezabudnite vybrať desatinnú hodnotu; napríklad dám port 12345.
Keď to urobíte, reštartujte službu Vzdialená plocha cez príkazový riadok pomocou nasledujúcich príkazov:
A vytvoríme nové prichádzajúce pravidlo pre nový port rdp. Dovoľte mi pripomenúť, že predvolený port rdp je 3389.
Vyberáme, aké bude pravidlo pre prístav
Protokol ponecháme ako TCP a zadáme nové číslo portu RDP.
Pravidlom bude povoliť pripojenie RDP na neštandardnom porte
V prípade potreby nastavte potrebné sieťové profily.
Nazvime to pravidlo v jazyku, ktorému rozumieme.
Ak sa chcete pripojiť z klientskych počítačov Windows, napíšte adresu označujúcu port. Ak ste napríklad zmenili port na 12345 a adresu servera (alebo jednoducho počítača, ku ktorému sa pripájate): myserver, pripojenie MSTSC bude vyzerať takto:
mstsc -v:myserver:12345
Systém Windows poskytuje možnosť implementácie vzdialeného prístupu cez protokol RDP už dlhšiu dobu. Tento štandardný nástroj sa objavil vo verzii Windows NT 4.0 vydanej v roku 1996. Vo verzii Windows XP bol viac-menej funkčne upravený a svoju úplnosť našiel už ako súčasť Windows 7. Verzie Windows 8/8.1 a 10 zdedili vzdialený prístup cez protokol RDP z Windows 7 bez funkčných zmien.
Nižšie sa bližšie pozrieme na to, ako funguje vzdialený prístup cez protokol RDP vo verziách Windows 7, 8.1 a 10.
1. Vzdialený prístup cez protokol RDP
Pripojenie pomocou protokolu RDP sa uskutočňuje medzi počítačmi umiestnenými v rovnakej lokálnej sieti. Tento typ pripojenia je určený predovšetkým pre IT špecialistov, ktorí spravujú firemné počítače integrované do ich produkčnej siete. Bez opustenia svojho pracoviska, vzdialeného pripojenia k počítačom zamestnancov podniku, môžu systémoví špecialisti riešiť problémy, ktoré si nevyžadujú zásah do hardvéru strojov, a vykonávať preventívne opatrenia.
Pripojenie k vzdialenému počítaču pomocou protokolu RDP je možné aj mimo lokálnej siete, cez internet. To si však bude vyžadovať ďalšie kroky – buď presmerovanie portu 3389 na smerovači, alebo jeho spojenie so vzdialeným počítačom do jednej siete VPN. Vzhľadom na to je pripojenie k vzdialenému počítaču cez internet oveľa jednoduchšie pomocou iných softvérových nástrojov, ktoré nevyžadujú zbytočné akcie. Ide napríklad o štandardný nástroj Windows „Remote Assistance“ na poskytovanie počítačovej pomoci cez internet. Funguje na princípe odoslania súboru s pozvánkou používateľovi, ktorý poskytne počítačovú asistenciu. Jeho funkčnejšími analógmi na trhu so softvérom Windows sú programy ako .
Protokol RDP sa používa aj na pripojenie k virtuálnym strojom. Vzdialené pripojenie cez RDP môže ponúknuť viac príležitostí ako štandardné okno pripojenia štandardného hypervízora. Okno pripojenia Hyper-V neposkytuje prehrávanie zvuku v hosťujúcom operačnom systéme, nevidí pripojené pamäťové médium USB a nemôže ponúknuť viac spojenia s fyzickým počítačom ako vloženie textu skopírovaného do neho. Zatiaľ čo pripojenie RDP môže poskytnúť virtuálnemu stroju viditeľnosť rôznych zariadení pripojených k fyzickému počítaču, lepší obraz pracovnej plochy hosťujúceho OS, prácu so zvukom atď.
Ak sa chcete pripojiť cez RDP, vzdialený počítač musí spĺňať nasledujúce požiadavky:
- Musí mať účet chránený heslom;
- Systém musí umožňovať vzdialené pripojenia;
- Ak nechcete meniť svoje prístupové údaje pri každom pripojení s neustále sa meniacou dynamickou IP adresou, musíte v nastaveniach siete priradiť statickú IP adresu.
Vzdialený prístup je možný len na počítačoch s nainštalovanými edíciami Windows Pro, Enterprise alebo Ultimate. Domáce verzie systému Windows (Home) neposkytujú vzdialený prístup cez RDP.
2. Heslo na vzdialenom počítači
Ak pracujete na vzdialenom počítači pomocou konta Microsoft a namiesto dlhého hesla používate krátky PIN kód, pri pripájaní cez RDP musíte zadať rovnaké dlhé heslo a nie štvormiestny PIN kód.
Ak sa na vzdialenom počítači používa lokálny účet bez hesla a nie je potrebné špeciálne heslo, ako napríklad pri pripájaní k virtuálnym počítačom Hyper-V, budete si musieť vytvoriť aspoň jednoduché heslo ako „777“ alebo „qwerty“.
3. IP adresa vzdialeného počítača
Pri pripájaní cez RDP budete musieť zadať IP adresu vzdialeného počítača. Interná IP adresa je viditeľná v nastaveniach systémovej siete. Ale vo verziách Windows 7, 8.1 a 10 sú to tri rôzne cesty. V systéme Windows 7 je to časť ovládacieho panela a vo Windows 8.1 a 10 je to aplikácia Nastavenia s vlastnou organizáciou, ktorá je súčasťou každej verzie. Internú IP adresu teda zistíme univerzálnym spôsobom vhodným pre každý z týchto systémov – cez príkazový riadok. Skratka na spustenie príkazového riadka v systéme Windows 7 je k dispozícii v ponuke Štart. V systéme Windows 8.1 a 10 sa príkazový riadok spúšťa z kontextovej ponuky na tlačidle Štart.
V okne príkazového riadka zadajte:
Po stlačení Enter dostaneme sumár údajov, kde bude viditeľná interná IP adresa.
4. Povolenie vzdialených pripojení
Povolenie na vzdialené pripojenie v systémoch Windows je zvyčajne na začiatku zakázané. V každom prípade to určite platí pre licencované zostavy. Možnosť pripojenia cez RDP na vzdialenom počítači sa aktivuje v nastaveniach systému. Potrebujeme sekciu "Systém". Vo verzii Windows 7 je prístupný vyhľadaním v ponuke Štart. A vo Windows 8.1 a 10 sa môžete dostať do sekcie „Systém“ z kontextovej ponuky na tlačidle „Štart“.
Kliknite na „Nastavenia vzdialeného prístupu“.
V okne vlastností systému musíte nastaviť možnosť povoliť aktívne vzdialené pripojenia. Nie je potrebné odstraňovať možnosť overenia. Ak chcete použiť zmeny, kliknite na tlačidlo „Použiť“ nižšie.
Takéto nastavenia otvoria cestu k vzdialenému pripojeniu, ale iba pre účet správcu. Bežní používatelia účtu nemajú povolené poskytovať svoj vlastný počítač na diaľkové ovládanie. Toto právo im môže dať správca.
Pod možnosťou povoliť vzdialené pripojenia sa nachádza tlačidlo „Vybrať používateľov“. Stlačíme to.
Do poľa nižšie zadajte meno používateľa, ktorý sa k nemu môže pripojiť prostredníctvom protokolu RDP. V prípade miestnych účtov je to ich názov a v prípade účtov Microsoft je to e-mailová adresa používaná na autorizáciu. Kliknite na „OK“.
To je všetko – teraz bude účet tohto používateľa prístupný z akéhokoľvek počítača v lokálnej sieti.
5. Pripojte sa k vzdialenému počítaču
Všetky potrebné akcie na vzdialenom počítači boli dokončené, prejdime na hlavný počítač, z ktorého sa bude vykonávať pripojenie a ovládanie. Štandardný nástroj na pripojenie RDP môžete spustiť tak, že pomocou vyhľadávania v systéme nájdete jeho skratku. V systéme Windows 7 ide o vyhľadávanie v ponuke Štart.
Vo verziách Windows 8.1 a 10 stlačte klávesy Win+Q.
Zobrazí sa malé okno pripojenia. V budúcnosti bude možné pripojiť sa k vzdialeným počítačom práve touto skrátenou formou. Teraz však kliknite na „Zobraziť možnosti“.
Do poľa „Počítač“ zadajte IP adresu vzdialeného počítača. Do poľa nižšie - „Používateľ“ - podľa toho zadajte meno používateľa. Ak je k vzdialenému počítaču pripojené konto Microsoft, zadajte e-mailovú adresu.
Ak na počítači pracujete pomocou bežného lokálneho účtu, používateľské meno musí byť zadané vo formáte:
Počítač\Používateľ
Napríklad, DESKTOP-R71R8AM\Vasya, Kde DESKTOP-R71R8AM je názov počítača a Vasya– používateľské meno lokálneho účtu.
Pod užívateľským menom je možnosť uložiť autorizačné údaje na vzdialený počítač. Parametre pripojenia - IP adresa, užívateľské meno a heslo - je možné uložiť ako samostatný súbor RDP a použiť ho na otvorenie na inom počítači. V novom okne kliknite na „Pripojiť“ a potom znova na „Pripojiť“.
Zadajte heslo pre konto vzdialeného počítača.
V okne s chybou certifikátu kliknite na „Áno“.
Ďalšie nastavenia pre pripojenie cez protokol RDP získame najskôr v okne pomôcky pred vytvorením pripojenia.
6. Pripojte sa k inému účtu na vzdialenom počítači
Pod stĺpcom pre vyplnenie používateľského mena vzdialeného počítača, ak nie je zaškrtnuté políčko „Vždy požadovať poverenia“, sa zobrazia možnosti vymazania a zmeny prístupových údajov. Kliknutím na možnosť „Zmeniť“ sa okrem autorizačného formulára v existujúcom účte na vzdialenom počítači zobrazí možnosť pripojenia k inému účtu, ktorý sa nachádza na rovnakom počítači.
Po zadaní nového používateľského mena a hesla sa prepíšu autorizačné údaje pre konkrétnu IP adresu.
7. Nastavenia pripojenia
V otvorenom okne na pripojenie k vzdialenému počítaču nájdeme záložky s prispôsobiteľnými parametrami. Prvé dva sa týkajú pohodlia a funkčnosti vzdialeného prístupu.
„Obrazovka“ – na tejto karte môžete nastaviť rozlíšenie obrazovky vzdialeného počítača, po pripojení sa otvorí okno pomôcky s týmto rozlíšením. Ak pristupujete zo slabého počítača, môžete nastaviť rozlíšenie na nízke a obetovať farebnú hĺbku.
„Miestne zdroje“ – tu môžete zakázať prehrávanie zvuku na vzdialenom počítači, aby ste ušetrili systémové prostriedky. Alebo si naopak môžete nainštalovať aj nahrávanie zvuku zo vzdialeného počítača. V stĺpci miestnych zariadení a zdrojov po kliknutí na tlačidlo „Podrobnosti“ môžeme okrem aktívnej tlačiarne vybrať zariadenia hlavného počítača, ktoré budú fungovať na vzdialenom počítači. Ide o čipové karty, samostatné oddiely pevného disku, flash disky, pamäťové karty, externé pevné disky.
Prekážkou používania protokolu RDP môže byť jeho blokovanie antivírusmi. V tomto prípade musí byť protokol RDP povolený v nastaveniach antivírusových programov.
Prajem pekný deň!
Predstavte si situáciu, že ste na služobnej ceste alebo dovolenke a práve v tomto čase potrebujete niečo pozerať alebo robiť na domácom počítači. Pre bežných používateľov sa takáto potreba vyskytuje zriedka, čo sa nedá povedať o pracovníkoch IT priemyslu, obchodníkoch a manažéroch. Pri vytváraní Windowsu to vývojári Microsoftu predvídali, a tak do systému zabudovali takú funkciu, akou je ovládanie vzdialenej pracovnej plochy.
Vzdialená plocha Windows 7/10 alebo RDP je funkcia, ktorá vám umožňuje ovládať jeden počítač z druhého cez lokálnu alebo globálnu sieť. Aby som bol úprimný, jeho implementácia v systéme Windows trochu pokulháva, takže na vzdialený prístup sa častejšie používajú špeciálne programy ako TeamViewer, AeroAdmin alebo Ammyy Admin.
Nevýhodou nástrojov tretích strán je požiadavka na potvrdenie prístupu na strane vzdialeného hostiteľa, TeamViewer má však aj možnosť pripojenia bez potvrdenia. Medzi ďalšie nevýhody takéhoto softvéru patrí nižšia prevádzková rýchlosť ako pri použití štandardnej funkcie RDP a obmedzenie súčasného paralelného prístupu k vzdialenému počítaču. Programy tretích strán môžu byť veľmi pohodlné, pokiaľ ide o vzdialenú údržbu a podporu, zatiaľ čo vstavaný prístup k vzdialenej ploche systému Windows 7/10 je vhodnejší na každodennú prácu.
Nastavenie vzdialenej pracovnej plochy pomocou systému Windows
Aby počítače mohli komunikovať, musia byť správne nakonfigurované. Technicky sa úloha nezdá príliš náročná, aj keď tu existujú určité nuansy, najmä v prípade ovládania cez internet. Pozrime sa teda, ako nastaviť vzdialenú plochu pomocou systémových nástrojov. Po prvé, počítač, na ktorý sa bude pristupovať, musí mať nainštalovanú aspoň Pro verziu systému Windows, ale môžete ho spravovať aj z domácej verzie. Druhou a veľmi dôležitou podmienkou je potreba mať na vzdialenom PC statickú IP adresu.
Samozrejme, môžete to skúsiť nakonfigurovať manuálne, ale je tu problém. Faktom je, že internú IP pridelí PC server DHCP internetového centra na určitú dobu, po ktorej bude musieť počítač požiadať o novú IP. Môže byť rovnaký, ale môže sa aj zmeniť a v takom prípade nebudete môcť používať protokol RDP. Stáva sa to pri šedých dynamických adresách a musím povedať, že toto sú adresy, ktoré väčšina poskytovateľov prideľuje svojim klientom. Najsprávnejšie by preto bolo kontaktovať podpornú službu vášho poskytovateľa so žiadosťou o pridelenie statickej adresy vášmu počítaču.
Ak nechceme platiť za bielu IP (služba je poskytovaná za príplatok), pokúsime sa nakonfigurovať pripojenie manuálne. Tím control /name Microsoft.NetworkAndSharingCenter otvorte „Centrum sietí a zdieľania“, kliknite na svoje pripojenie a v okne, ktoré sa otvorí, kliknite na tlačidlo „Podrobnosti“.
Poznačte si informácie o IPv4, maske podsiete, predvolenej bráne a serveri DNS.
Rovnaké údaje môžete získať spustením príkazu v konzole CMD alebo PowerShell ipconfig /all. Zatvorte okno s podrobnosťami a otvorte vlastnosti v stavovom okne.
Zo zoznamu vyberte IPv4, prejdite na jeho vlastnosti a do príslušných polí zadajte prijaté údaje. Uložte nastavenia.
Máte statickú adresu, teraz musíte povoliť prístup k pripojeniu. Otvorte príkazom vlastnosti systému na diaľku"Vzdialený prístup" vo vlastnostiach systému a zapnite prepínač "Povoliť vzdialené pripojenia k tomuto počítaču".
V prípade potreby pridajte používateľov, ktorým chceme poskytnúť možnosť pripojenia na diaľku.
V systéme Windows 10 1709 máte prístup ku všetkým týmto nastaveniam z podsekcie Vzdialená plocha v aplikácii Nastavenia.
Ak používate bránu firewall tretej strany, otvorte v nej port TCP 3389. V tomto bode je všeobecná konfigurácia vzdialenej pracovnej plochy dokončená.
Ak je pripojenie vytvorené v lokálnej sieti, môžete okamžite začať pracovať. Spustite príkazom mstsc vstavaná aplikácia RDP, v okne, ktoré sa otvorí, zadajte IP adresu alebo názov vzdialeného hostiteľa, vyberte používateľa a kliknite na „Pripojiť“.
Ignorujeme to, zakážeme žiadosti o pripojenie (zrušte začiarknutie políčka) a kliknite na „Áno“. Ak je pripojenie úspešné, uvidíte pracovnú plochu vzdialeného hostiteľa.
Nastavenie vzdialenej pracovnej plochy cez internet je zložitejšie, pretože tu budete musieť presmerovať port 3389 na IP adresu vášho počítača a potom sa pripojiť k externej IP smerovača, čo môže byť pre používateľa skutočným problémom. pretože sa budete musieť ponoriť do nastavení smerovača. Zistiť svoju verejnú IP nie je ťažké, stačí prejsť na webovú stránku 2ip.ua/ru alebo podobný zdroj.
V prípade, že s, musíte ísť do sekcie Preposielanie – virtuálne servery, kliknite na „Pridať“ a do polí „Port servera“ a „Interný port“ zadajte 3389, v poli „IP adresa“ uveďte IP adresu používanú počítačom, v poliach „Protokol“ a „Stav“ „Všetko“ a „Povolené“ by malo byť nastavené „. Uložte nastavenia.
Teraz sa môžete pokúsiť pripojiť k vzdialenej ploche z hlavného počítača. Spustite program RDP pomocou príkazu mstsc a do poľa „Počítač“ zadajte predtým získanú externú IP adresu s číslom portu oddeleným dvojbodkou, napríklad 141.105.70.253:3389. Ďalej je všetko úplne rovnaké ako v príklade s lokálnym sieťovým pripojením.
Zabezpečenie bezpečnosti pripojenia a nastavenie prístupu používateľov
RDP má pomerne dobré zabezpečenie, avšak kontrola a povolenie dodatočných parametrov by nezaškodilo. Najprv sa uistite, že je na vzdialenom hostiteľovi povolené šifrovanie. V Editore miestnej politiky skupiny prejdite do sekcie Konfigurácia počítača - Šablóny pre správu - Komponenty systému Windows - Služby vzdialenej pracovnej plochy - Hostiteľ relácie vzdialenej pracovnej plochy - Zabezpečenie. Vpravo bude nastavenie „Vyžadovať použitie špeciálnej úrovne zabezpečenia pre vzdialené pripojenia pomocou metódy RDP“. Povoľte túto politiku a nastavte úroveň zabezpečenia na Negotiate alebo High.
V tej istej časti povoľte zásady „Vyžadovať zabezpečené pripojenie RPC“ a „Vyžadovať overenie používateľa pre vzdialené pripojenia pomocou overenia na úrovni siete“.
Paranoidní ľudia môžu povoliť maximálnu úroveň šifrovania tým, že prejdú do sekcie Konfigurácia systému Windows - Nastavenia zabezpečenia - Miestne zásady - Nastavenia zabezpečenia, nájdite napravo nastavenie „Systémová kryptografia: Použiť algoritmy kompatibilné s FIPS...“ a aktivujte ho.
Ako ďalšie opatrenie môžete zmeniť predvolený port 3389. Ak to chcete urobiť, rozbaľte vetvu databázy Registry HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStation/RDP-Tcp, vpravo nájdite parameter Číslo portu a zmeňte jeho hodnotu na vašu (číslo vášho portu), pričom ho nezabudnite otvoriť vo firewalle.
Vo fáze poskytovania vzdialeného prístupu skontrolujte zoznam používateľov, ktorí sa môžu pripojiť cez RDP. V predvolenom nastavení sa môžu všetci používatelia v skupine Administrators pripojiť k vzdialenej ploche v systéme Windows 7/10. Môžete to zmeniť. Pomocou príkazu secpol.msc prejdite na miestne zásady zabezpečenia a potom prejdite do sekcie Miestne zásady – prideľovanie používateľských práv. Vpravo nájdeme zásadu „Povoliť prihlásenie cez službu vzdialenej pracovnej plochy“, otvoríme ju a odstránime položku „Správcovia“.
Tu môžete povoliť prístup konkrétnemu správcovi. Existujú aj iné spôsoby, ako zaistiť bezpečnosť RDP, ako napríklad obmedzenie prístupu podľa IP adresy.
Bežné chyby pri pripájaní k vzdialenej ploche
Vyššie sme načrtli, ako sa pripojiť k vzdialenej ploche v systéme Windows 7/10 cez internet a lokálnu sieť. Bohužiaľ, chyby, ktoré v tomto prípade vznikajú, nie sú nezvyčajné. Takže v momente pripojenia systém odmietne a požiada vás o zopakovanie akcie. Dôvody sa môžu líšiť. Ak bolo všetko nakonfigurované správne, problémom môže byť použitie VPN alebo príliš vysoké bezpečnostné požiadavky (pozri šifrovanie vyššie).
Na počítačoch so systémom Windows 8.1 a 10 sa môže vyskytnúť chyba odpojenia relácie, keď používateľ dostane správu, že licencia CAL na vzdialenú plochu bola zmenená alebo chýba. V tomto prípade sa odporúča vymazať obsah podadresára MSLicensing v pobočke registratúry HKEY_LOCAL_MACHINE/Software/Microsoft a potom spustite program RDP s právami správcu.
Podobným spôsobom sa môžete pokúsiť vysporiadať aj s ďalšími chybami v licencii.
Po inštalácii kumulatívnych aktualizácií sa často objavujú chyby s rôznymi kódmi. Problém je vyriešený odstránením aktualizácií, ale vo všeobecnosti sa musíte pozrieť na kód chyby a jej popis. Napríklad výskyt chyby 720 je sprevádzaný upozornením na možnú potrebu zmeniť nastavenia siete. S RDP je veľa problémov a každý z nich treba riešiť individuálne.