Rdp влизане с личен сертификат. Защита на RDP връзка чрез SSL

RDP протоколът със защита на мрежовия слой (SSL), за съжаление, не се използва широко сред системни администраторикоито предпочитат да осигурят терминалните връзки по различен начин. Това може да се дължи на привидната сложност на метода, но това не е така; в този материал ще разгледаме как да организираме такава защита просто и без затруднения.

Какви ползи ни дава осигуряването на RDP с SSL? Първо, силно криптиране на канала, удостоверяване на сървъра въз основа на сертификат и удостоверяване на потребителя на ниво мрежа. Последната опция е достъпна от Windows сървър 2008: Удостоверяването на мрежово ниво подобрява сигурността на терминалния сървър, като позволява извършването на удостоверяване преди началото на сесията.

Удостоверяването на мрежово ниво се извършва преди свързване към отдалечения работен плот и показване на екрана за влизане, това намалява натоварването на сървъра и значително повишава неговата защита от натрапници и зловреден софтуер, а също така намалява вероятността от атаки за отказ на услуга.

За да се възползвате напълно от всички възможности на RDP над SSL, клиентските компютри трябва да работят Windows контрол XP SP3, Windows Vista или Windows 7 и използвайте RDP клиент версия 6.0 или по-нова.

При използвайки Windows Server 2003 SP1 и по-нови версии, криптиране на канала с помощта на SSL (TLS 1.0) и удостоверяване на сървъра ще бъдат налични, клиентските компютри трябва да имат RDP клиент версия 5.2 или по-нова.

В нашата статия ще разгледаме настройката на терминален сървър Базиран на Windows Server 2008 R2, но всичко казано ще бъде вярно за Windows Server 2003 (с изключение на липсващите функции).

За успешна реализация това решениевашата мрежа трябва да има работещ сертифициращ орган, чиято конфигурация обсъдихме в. За да се доверите на сертификатите, издадени от този CA на терминалния сървър, трябва да инсталирате CA сертификата (или верига от сертификати) в хранилището.

След това трябва да поискате сървърен сертификат за автентичност със следните параметри:

Име - пълното име на терминалния сървър (т.е. server.domain.com, ако сървърът е част от домейна domain.com)

  • Тип сертификат - Сертификат за удостоверяване на сървъра
  • Задайте опцията Създаване на нов набор ключове
  • CSP - Microsoft RSA SChannel криптографски доставчик.
  • Поставете отметка в квадратчето Маркирай ключа като експортируем.
  • За корпоративен CA поставете отметка в квадратчето Използване на локално хранилище на компютър за сертификат. (Тази опция не е налична в самостоятелен CA.)

Изпратете заявка до сертифициращия орган и инсталирайте издадения сертификат. Този сертификат трябва да бъде инсталиран в локалното хранилище на компютъра, в противен случай не може да се използва от терминалните услуги. За да проверите това, стартирайте MMC конзолата (Старт - Изпълнение - mmc) и добавете конзолната добавка за сертификати (Файл - Добавяне или премахване на конзолната добавка) за компютърния акаунт.

В корена на конзолата изберете щракнете върху Преглед - Опции и задайте режима на преглед на Организиране на сертификати по предназначение. Издаденият сертификат трябва да бъде в групата Server Authentication.

Ако сте получили сертификата с помощта на изолиран (самостоятелен) CA (мрежата няма структура на домейн), тогава той ще бъде инсталиран в хранилището на потребителски акаунти по подразбиране и ще трябва да извършите редица допълнителни стъпки.

Отворете Internet Explorer- Internet Options - Content - Certificates, издаденият сертификат трябва да бъде инсталиран в Personal store.

Експортирайте го. Когато експортирате, задайте следните опции:

  • Да, износ частен ключ
  • Премахнете частния ключ след успешно експортиране

След това премахнете сертификата от от това хранилище. В модула за сертификати ( локален компютър) изберете секцията Server Authentication, щракнете върху нея Кликнете с десния бутонмишка Всички задачи - Импортиране и импортиране на сертификата.

Сега в Административни инструменти - Услуги за отдалечен работен плот отворете Конфигурация на хост на сесия на отдалечен работен плот (в Windows Server 2003 Административни инструменти - Конфигурация на терминални услуги).

Изберете желаната връзка и отворете нейните свойства. Най-долу щракнете върху бутона Избор и изберете сертификата, получен в предишната стъпка (в Windows Server 2003 този прозорец изглежда малко по-различно).

След като изберете сертификата, посочете останалите свойства:

  • SSL ниво на сигурност
  • Ниво на криптиране Високо или съвместимо с FIPS
  • Поставете отметка в квадратчето Разрешаване на връзки само от компютри... (не е налично в Windows Server 2003)

Запазете въведените параметри, това завършва настройката на сървъра.

На клиентския компютър създайте връзка с отдалечен работен плот, като използвате пълното име на сървъра, указано в сертификата като адрес. Отворете свойствата на връзката и в раздела Connection - Server Authentication задайте опцията Warn.

За да може този компютър да се довери на сертификатите, издадени от нашия сертифициращ орган, не забравяйте да инсталирате CA сертификата на него в Trusted store коренови центровесертифициране

В Windows 7 (когато използвате RDP клиент версия 7), този сертификат трябва да бъде инсталиран в хранилището на компютърни акаунти, за да направите това, импортирайте го чрез модула за сертификати (локален компютър) в конзолата на MCC, подобно на това, което беше направено по-горе; . В противен случай връзката няма да бъде възможна и ще получите следната грешка:

След като инсталирате CA сертификата, можете да опитате да се свържете, моля, имайте предвид, че ще бъдете подканени да въведете потребителско име и парола, преди да създадете RDP сесия. Ако връзката е успешна, обърнете внимание на катинарчето в заглавието на прозореца, което показва работа през SSL. Като кликнете върху него можете да видите информация за сертификата.

И накрая, капка мехлем в мехлема. Терминал Windows услугине знам как да проверявам автентичността на свързващите клиенти, така че ако е необходимо, трябва да използвате допълнителни методизащита като SSH тунел или IPSec VPN.

Ако единствената пречка за достъп до вашите данни е парола, вие сте изложени на голям риск. Пропускът може да бъде хакнат, прихванат, откраднат от троянски кон или изваден чрез социално инженерство. Неизползването на двуфакторна автентификация в тази ситуация е почти престъпление.

Вече сме говорили за еднократни ключове повече от веднъж. Значението е много просто. Ако нападател по някакъв начин успее да получи вашата парола за вход, той може лесно да получи достъп до имейла ви или да се свърже с отдалечен сървър. Но ако има допълнителен фактор по пътя му, например еднократен ключ (наричан още OTP ключ), тогава нищо няма да работи. Дори ако такъв ключ попадне в ръцете на нападател, вече няма да е възможно да го използвате, тъй като е валиден само веднъж. Такъв втори фактор може да бъде допълнително обаждане, код, получен чрез SMS, ключ, генериран на телефона чрез определени алгоритми, базирани на текущото време (времето е начин за синхронизиране на алгоритъма на клиента и сървъра). Същото Google вечеотдавна препоръчва на своите потребители да активират двуфакторно удостоверяване (няколко кликвания в настройките на акаунта). Сега е време да добавите такъв слой на защита за вашите услуги!

Какво предлага Duo Security?

Тривиален пример. Моят компютър има RDP порт, отворен „отвън“ за отдалечена връзка с работния плот. Ако паролата за вход изтече, нападателят веднага ще получи пълен достъпдо колата. Следователно нямаше въпрос за укрепване на защитата с OTP парола - просто трябваше да се направи. Беше глупаво да преоткривам колелото и да се опитвам да внедря всичко сам, така че просто погледнах решенията, които са на пазара. Повечето от тях се оказаха комерсиални (повече подробности в страничната лента), но за малък брой потребители те могат да се използват безплатно. Точно това, от което се нуждаете за вашия дом. Една от най-успешните услуги, която ви позволява да организирате двуфакторна автентификация за буквално всичко (включително VPN, SSH и RDP), се оказа Duo Security (www.duosecurity.com). Това, което добави към привлекателността му, беше фактът, че разработчик и основател на проекта е Джон Оберхайд, известен специалист в информационна сигурност. Например, той избра комуникационния протокол на Google с Android смартфони, с който можете да инсталирате или премахвате произволни приложения. Тази база се усеща: за да покажат значението на двуфакторното удостоверяване, момчетата пуснаха услугата VPN Hunter (www.vpnhunter.com), която може бързо да намери нескритите VPN сървъри на компанията (и в същото време да определи типа на оборудване, на което работят), услуги за отдалечен достъп(OpenVPN, RDP, SSH) и други инфраструктурни елементи, които позволяват на атакуващ да влезе във вътрешната мрежа, просто като знае данните за вход и паролата. Смешно е, че в официалния Twitter на услугата собствениците започнаха да публикуват ежедневни доклади за сканиране на известни компании, след което акаунтът беше забранен :). Услугата Duo Security, разбира се, е насочена основно към въвеждане на двуфакторна автентификация в компании с Голям бройпотребители. За наше щастие е възможно да създадете безплатен личен акаунт, който ви позволява да организирате безплатно двуфакторно удостоверяване за десет потребители.

Какъв може да е вторият фактор?

След това ще разгледаме как да подобрим сигурността на вашата връзка с отдалечен работен плот и SSH на вашия сървър буквално за десет минути. Но първо искам да говоря за допълнителната стъпка, която Duo Security въвежда като втори фактор за оторизация. Има няколко опции: телефонно обаждане, SMS с пароли, пароли Duo Mobile, Duo Push, електронен ключ. Малко повече за всеки.

Колко дълго мога да го използвам безплатно?

Както вече споменахме, Duo Security предлага специално тарифен план„Лични“. Той е напълно безплатен, но броят на потребителите не трябва да надвишава десет. Поддържа добавяне на неограничен брой интеграции, всички налични методи за удостоверяване. Осигурява хиляди безплатни кредити за телефонни услуги. Кредитите са като вътрешна валута, която се дебитира от вашия акаунт всеки път, когато се извърши удостоверяване чрез обаждане или SMS. В настройките на вашия акаунт можете да го настроите така, че когато достигнете определен брой кредити, да получите известие и да имате време да попълните баланса си. Хиляда кредита струват само 30 долара. Цената на разговорите и SMS-ите е различна за различните държави. За Русия обаждането ще струва от 5 до 20 кредита, SMS - 5 кредита. Обаче не се таксува нищо за обаждане, което се случва по време на удостоверяване на уебсайта на Duo Security. Можете напълно да забравите за кредитите, ако използвате приложението Duo Mobile за удостоверяване - нищо не се таксува за него.

Лесна регистрация

За да защитите сървъра си с Duo Security, трябва да изтеглите и инсталирате специален клиент, който ще взаимодейства със сървъра за удостоверяване на Duo Security и ще осигури втори слой на защита. Съответно този клиент ще бъде различен във всяка ситуация: в зависимост от това къде точно е необходимо да се приложи двуфакторна автентификация. Ще говорим за това по-долу. Първото нещо, което трябва да направите, е да се регистрирате в системата и да получите акаунт. Затова отваряме начална страницауебсайт, щракнете върху „Безплатна пробна версия“, на страницата, която се отваря, щракнете върху бутона „Регистрация“ под типа личен акаунт. След което трябва да въведем собственото си име, фамилия, имейл адрес и име на фирма. Трябва да получите имейл с линк за потвърждение на вашата регистрация. В този случай системата автоматично ще набере посочения телефонен номер: за да активирате акаунта си, трябва да отговорите на обаждането и да натиснете бутона # на телефона. След това акаунтът ще бъде активен и можете да започнете бойни тестове.

Защита на RDP

Казах по-горе, че започнах с голямо желание да осигуря отдалечени връзки към моя работен плот. Ето защо, като първи пример, ще опиша как да засиля сигурността на RDP.

  • Всяко прилагане на двуфакторно удостоверяване започва с просто действие: създаване на така наречената интеграция в профила Duo Security. Отидете в секцията „Интеграции  Нова интеграция“, посочете името на интеграцията (например „Home RDP“), изберете нейния тип „Microsoft RDP“ и щракнете върху „Добавяне на интеграция“.
  • Прозорецът, който се появява, показва параметрите за интегриране: ключ за интегриране, секретен ключ, име на хост на API. Те ще ни трябват по-късно, когато конфигурираме клиентската част. Важно е да разберете: никой не трябва да ги познава.
  • След това трябва да инсталирате специален клиент на защитената машина, който ще инсталира всичко необходимо в системата Windows. Може да бъде изтеглен от официалния сайт или да бъде взет от нашия диск. Цялата му настройка се свежда до факта, че по време на процеса на инсталиране ще трябва да въведете гореспоменатия ключ за интегриране, секретен ключ, име на хост на API.
  • Това е всичко, всъщност. Сега, следващия път, когато влезете в сървъра чрез RDP, екранът ще има три полета: потребителско име, парола и еднократен ключ Duo. Съответно вече не е възможно да влезете в системата само с потребителско име и парола.

    • Първият път, когато нов потребител се опита да влезе, той ще трябва да премине през процеса на проверка на Duo Security веднъж. Услугата ще му даде специална връзка, след която той трябва да въведе телефонния си номер и да изчака обаждане за проверка. За да получите допълнителни ключове (или да ги получите за първи път), можете да влезете ключова дума"СМС". Ако искате да удостоверите чрез телефонно обаждане, въведете „телефон“, ако използвате Duo Push, въведете „push“. Историята на всички опити за свързване (както успешни, така и неуспешни) към сървъра може да бъде прегледана във вашия акаунт на уебсайта на Duo Security, като първо изберете желаната интеграция и отидете на нейния „Дневник за удостоверяване“.

    Свържете Duo Security навсякъде!

    Използвайки двуфакторно удостоверяване, можете да защитите не само RDP или SSH, но и VPN, RADIUS сървъри и всякакви уеб услуги. Например, има готови клиенти, които добавят допълнителен слой за удостоверяване към популярните двигатели Drupal и WordPress. Ако няма готов клиент, не се разстройвайте: винаги можете сами да добавите двуфакторно удостоверяване за вашето приложение или уебсайт, като използвате API, предоставен от системата. Логиката на работа с API е проста - правите заявка към URL адреса на конкретен метод и анализирате върнатия отговор, който може да дойде във формат JSON (или BSON, XML). Пълната документация за Duo REST API е достъпна на официалния уебсайт. Ще кажа само, че има методи ping, check, preauth, auth, status, от името на които е лесно да се познае за какво са предназначени.

    Защита на SSH

    Нека разгледаме друг тип интеграция - "UNIX Integration" за прилагане на защитено удостоверяване. Добавяме още една интеграция към нашия Duo Security профил и продължаваме да инсталираме клиента в системата.

    Можете да изтеглите изходния код на последния от bit.ly/IcGgk0 или да го вземете от нашия диск. използвах последна версия- 1.8. Между другото, клиентът работи на повечето nix платформи, така че може лесно да се инсталира на FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris/Illumos, HP-UX и AIX. Процесът на изграждане е стандартен - конфигурирайте && make && sudo make install. Единственото нещо, което бих препоръчал, е да използвате configure с опцията --prefix=/usr, в противен случай клиентът може да не намери необходимите библиотеки при стартиране. След успешна инсталация отидете да редактирате конфигурационния файл /etc/duo/login_duo.conf. Това трябва да се направи от root. Всички промени, които трябва да се направят за успешна работа, са да се зададат стойностите на ключ за интегриране, секретен ключ, име на хост на API, които могат да бъдат намерени на страницата за интеграция.

    ; Ключов ключ за интегриране на Duo = INTEGRATION_KEY; Duo секретен ключ = SECRET_KEY; Duo API име на хост = API_HOSTNAME

    За да принудите всички потребители, влизащи във вашия сървър чрез SSH, да използват двуфакторно удостоверяване, просто добавете следния ред към файла /etc/ssh/sshd_config:

    > ForceCommand /usr/local/sbin/login_duo

    Също така е възможно да се организира двуфакторно удостоверяване само за отделни потребители, като ги комбинирате в група и посочите тази група във файла login_duo.conf:

    > група = колело

    За да влязат в сила промените, всичко, което трябва да направите, е да рестартирате ssh демона. Отсега нататък, след успешно въвеждане на паролата за вход, потребителят ще бъде подканен да премине допълнително удостоверяване. Една тънкост при настройката на ssh трябва да се отбележи специално - силно се препоръчва да го деактивирате конфигурационен файлОпции PermitTunnel и AllowTcpForwarding, тъй като демонът ги прилага преди стартиране на втория етап на удостоверяване. По този начин, ако атакуващият въведе паролата правилно, той може да получи достъп до вътрешната мрежа преди вторият етап на удостоверяване да е завършен благодарение на препращането на портове. За да избегнете този ефект, добавете следните опции към sshd_config:

    PermitTunnel noAllowTcpForwarding no

    Сега вашият сървър е зад двойна стена и е много по-трудно за нападател да влезе в него.

    Допълнителни настройки

    Ако влезете в акаунта си за защита на Duo и отидете в секцията „Настройки“, можете да промените някои от настройките според вашите нужди. Първият важен раздел е „Телефонни разговори“. Това определя параметрите, които ще бъдат в сила, когато се използва телефонно обаждане за потвърждаване на удостоверяването. Елементът „Клавиши за обратно гласово повикване“ ви позволява да посочите кой клавиш на телефона трябва да бъде натиснат, за да потвърдите удостоверяването. По подразбиране стойността е „Натиснете произволен клавиш за удостоверяване“ - тоест можете да натиснете всеки. Ако зададете стойността „Натиснете различни клавиши за удостоверяване или докладване на измама“, тогава ще трябва да зададете два ключа: щракването върху първия потвърждава удостоверяването (Ключ за удостоверяване), щракването върху втория (Ключ за докладване на измама) означава, че ние не е инициирал процеса на удостоверяване, тоест някой е получил нашата парола и се опитва да влезе в сървъра, използвайки я. Елементът „SMS пароли“ ви позволява да зададете броя на паролите, които един SMS ще съдържа и техния живот (валидност). Параметърът „Заключване и измама“ ви позволява да зададете имейл адреса, на който да се изпраща известие в случай на определен брой неуспешни опити за влизане в сървъра.

    Използваи го!

    Изненадващо, много хора все още пренебрегват двуфакторното удостоверяване. Не разбирам защо. Това наистина значително повишава сигурността. Може да се приложи за почти всичко, а приличните решения са достъпни безплатно. Така че, защо? От мързел или нехайство.

    Аналогови услуги
    • Signify (www.signify.net) Услугата предоставя три опции за организиране на двуфакторна автентификация. Първият е използването електронни ключове. Вторият метод е да използвате пароли, които се изпращат на телефона на потребителя чрез SMS или се изпращат до електронна поща. Трети вариант - мобилно приложениеЗа телефони с Android, iPhone, BlackBerry, който генерира еднократни пароли (по същество аналог на Duo Mobile). Услугата е насочена към големи компании, така че е напълно платена.
    • SecurEnvoy (www.securenvoy.com) също ви позволява да използвате мобилен телефонкато втори защитен слой. Ключовете за достъп се изпращат на потребителя чрез SMS или имейл. Всяко съобщение съдържа три пароли, т.е. потребителят може да влезе три пъти, преди да поиска нова част. Услугата също е платена, но предоставя безплатен 30-дневен период. Значително предимство е големият брой както родни, така и трети страни интеграции.
    • PhoneFactor (www.phonefactor.com) Тази услуга ви позволява да организирате безплатно двуфакторно удостоверяване за до 25 потребители, осигурявайки 500 безплатни удостоверявания на месец. За да организирате защитата, ще трябва да изтеглите и инсталирате специален клиент. Ако трябва да добавите двуфакторна автентификация към вашия сайт, можете да използвате официалния SDK, който предоставя подробна документация и примери за следните езици за програмиране: ASP.NET C#, ASP.NET VB, Java, Perl, Ruby, PHP.

    Има мнение, че свързването чрез дистанционно работи Работен плот на Windows(RDP) е много опасен в сравнение с аналозите (VNC, TeamViewer и др.). В резултат на това отворете достъп отвън до всеки компютър или сървър локална мрежаМного прибързано решение - със сигурност ще бъдат хакнати. Вторият аргумент срещу RDP обикновено звучи така: „изяжда трафик, а не опция за бавен интернет.“ Най-често тези аргументи не са обосновани.

    Протоколът RDP съществува от дълго време; неговият дебют се състоя в Windows NT 4.0 преди повече от 20 години и оттогава е минало много вода. На този момент RDP е толкова сигурен, колкото всяко друго решение за отдалечен достъп. Що се отнася до необходимата честотна лента, има куп настройки в това отношение, които могат да се използват за постигане на отлична реакция и спестяване на честотна лента.

    Накратко, ако знаете какво, как и къде да конфигурирате, тогава RDP ще бъде много добро лекарствоотдалечен достъп. Въпросът е колко админи са се опитали да бръкнат в настройките, които са скрити малко по-дълбоко, отколкото на повърхността?

    Сега ще ви кажа как да защитите RDP и да го конфигурирате за оптимална производителност.

    Първо, има много версии на протокола RDP. Всички допълнителни описания ще се прилагат за RDP 7.0 и по-нови. Това означава, че имате поне Windows Vista SP1. За любителите на ретро има специална актуализация за Windows XP SP3 KB 969084, която добавя RDP 7.0 към тази операционна система.

    Настройка No1 - криптиране

    На компютъра, към който ще се свържете, отворете gpedit.msc Отидете на Конфигурация на компютъра - Административни шаблони - Компоненти на Windows - Услуги за отдалечен работен плот - Сигурност

    Задайте опцията „Изискване на използване на специално ниво на защита за отдалечени връзкичрез RDP метод" на "Активирано" и ниво на защита на "SSL TLS 1.0"

    С тази настройка активирахме криптирането като такова. Сега трябва да сме сигурни, че се използват само силни алгоритми за криптиране, а не някои 56-битови DES или RC2.

    Следователно в същата тема отворете опцията „Задаване на ниво на криптиране за клиентски връзки“. Включете го и изберете ниво „Високо“. Това ще ни даде 128-битово криптиране.

    Но това не е границата. Най-високото ниво на криптиране се осигурява от стандарта FIPS 140-1. В този случай всички RC2/RC4 автоматично преминават през гората.

    За да разрешите използването на FIPS 140-1, трябва да отидете на Конфигурация на компютъра - Конфигурация на Windows - Настройки за защита - Локални правила - Настройки за сигурност в същия модул.

    Търсим опцията „Системна криптография: използвайте FIPS-съвместими алгоритми за криптиране, хеширане и подписване“ и я активираме.

    И накрая, не забравяйте да активирате опцията „Изискване на защитена RPC връзка“ по пътя Компютърна конфигурация - Административни шаблони - Компоненти на Windows - Услуги за отдалечен работен плот - Сигурност.

    Тази настройка изисква свързващите се клиенти да изискват криптиране според настройките, които сме конфигурирали по-горе.

    Сега с криптиране пълен ред, можете да продължите.

    Настройка №2 - смяна на порта

    По подразбиране RDP протоколвиси на TCP порт 3389. За разнообразие можете да направите това, трябва да промените ключа PortNumber в регистъра на адреса

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

    Настройка #3 - Мрежово удостоверяване (NLA)

    По подразбиране можете да се свържете чрез RDP, без да въвеждате вашето потребителско име и парола, и да видите началния екран на отдалечения работен плот, където ще бъдете помолени да влезете. Това просто не е безопасно в смисъл, че такъв отдалечен компютър може лесно да бъде атакуван с DDoS.

    Следователно в същата нишка активираме опцията „Изискване на потребителско удостоверяване за отдалечени връзки чрез удостоверяване на мрежово ниво“

    Настройка No4 - какво още да проверя

    Първо проверете дали параметърът " Сметки: позволете употреба празни паролисамо при влизане в конзолата" е активиран. Настройката може да бъде намерена в Конфигурация на компютъра - Административни шаблони - Компоненти на Windows - Услуги за отдалечен работен плот - Сигурност.

    Второ, не забравяйте да проверите списъка с потребители, които могат да се свързват чрез RDP

    Настройка No5 - оптимизация на скоростта

    Отидете в раздела Конфигурация на компютъра - Административни шаблони - Компоненти на Windows - Услуги за отдалечен работен плот - Среда за отдалечена сесия.

    Тук можете и трябва да коригирате няколко параметъра:

    • Най-високата дълбочина на цвета - можете да се ограничите до 16 бита. Това ще спести трафик повече от 2 пъти в сравнение с 32-битовата дълбочина.
    • Принудително анулиране на тапет дистанционно бюро- не е необходим за работа.
    • Настройка на алгоритъма за RDP компресия - по-добре е да зададете стойността на Оптимизиране на използването на честотната лента. В този случай RDP ще консумира малко повече памет, но ще компресира по-ефективно.
    • Оптимизиране визуални ефектиза сесии на услуги за отдалечен работен плот - задайте стойността на „Текст“. Какво ви трябва за работата.

    В противен случай, когато се свързвате към отдалечен компютър от страната на клиента, можете допълнително да деактивирате:

    • Изглаждане на шрифта. Това значително ще намали времето за реакция. (Ако имате пълноценен терминален сървър, тогава този параметър може да бъде зададен и от страната на сървъра)
    • Композиция на работния плот - отговаря за Aero и др.
    • Показване на прозорец при плъзгане
    • Визуални ефекти
    • Дизайн стилове - ако искате хардкор

    Вече сме дефинирали предварително останалите параметри като фон на работния плот и дълбочина на цвета от страната на сървъра.

    Освен това, от страна на клиента, можете да увеличите размера на кеша за изображения; това се прави в системния регистър. На адрес HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\ трябва да създадете два ключа от тип DWORD 32 BitmapPersistCacheSize и BitmapCacheSize

    • BitmapPersistCacheSize може да бъде зададен на 10000 (10 MB) По подразбиране този параметър е зададен на 10, което съответства на 10 KB.
    • BitmapCacheSize също може да бъде зададен на 10000 (10 MB). Едва ли ще забележите, ако RDP връзката изяде допълнителни 10 MB от вашата RAM

    Няма да казвам нищо за препращане на принтери и т.н. Който каквото трябва, той го препраща.

    Това завършва основната част от настройката. В следващите прегледи ще ви кажа как можете допълнително да подобрите и защитите RDP. Използвайте RDP правилно, имайте стабилна връзка за всички! Как да направите RDP терминален сървър на всеки Windows версиивиж .

    Александър Антипов

    Статията предоставя общ преглед на работния алгоритъм на технологията за прозрачна авторизация на Single Sign-On и на доставчика на услуги за сигурност Credential Security Service Provider (CredSSP). Разглежда се методът за настройка на клиентската и сървърната част.


    Едно от основните неудобства за потребителя, когато работи с отдалечен работен плот или е публикуван на терминален сървърприложението е необходимостта да въведете вашите идентификационни данни. По-рано за решаване на този проблем беше използван механизъм за запазване на идентификационни данни в настройките на клиента за отдалечен работен плот. въпреки това този методима няколко съществени недостатъка. Например, когато периодично променяте паролата, е необходимо да я промените ръчно в настройките на терминалния клиент.

    В тази връзка, за да се опрости работата с отдалечен работен плот в Windows Server 2008, стана възможно да се използва прозрачна технология за оторизация на Single Sign-on (SSO). Благодарение на него потребителят при влизане в терминалния сървър може да използва идентификационните данни, които е въвел при влизане в локалния си компютър, от който се стартира клиентът за отдалечен работен плот.

    Статията предоставя общ преглед на работния алгоритъм на технологията за прозрачна авторизация на Single Sign-On и на доставчика на услуги за сигурност Credential Security Service Provider (CredSSP). Разглежда се методът за настройка на клиентската и сървърната част. Обхванати са и редица практически въпроси, свързани с прозрачното оторизиране за услуги за отдалечен работен плот.

    Теоретична информация

    Технологията SSO ви позволява да запазвате потребителски идентификационни данни и автоматично да ги прехвърляте при свързване към терминален сървър. С помощта на групови правила можете да дефинирате сървърите, за които ще се използва този метод за оторизация. В този случай за всички останали терминални сървъри влизането ще се извърши по традиционния начин: чрез въвеждане на потребителско име и парола.

    Прозрачните механизми за оторизация се появиха за първи път в Windows Server 2008 и Windows Vista. благодарение на новия доставчик на сигурност CredSSP. Той позволява предаването на кеширани идентификационни данни по защитен канал (използване на защита на транспортния слой (TLS)). Впоследствие Microsoft пусна съответните актуализации за Windows XP SP3.

    Нека разгледаме това по-подробно. CredSSP може да се използва в следните сценарии:

    • за удостоверяване на мрежовия слой (NLA), което позволява на потребителя да бъде разпознат преди пълна инсталациявръзки;
    • за SSO, съхраняване на потребителски идентификационни данни и предаването им на терминала.

    При възстановяване на сесия в рамките на ферма, CredSSP ускорява процеса на установяване на връзка, тъй като терминалният сървър определя потребителя, без да установява пълна връзка (подобно на NLA).

    Процесът на удостоверяване следва следния алгоритъм:

  • Клиентът инициира установяването на защитен канал със сървъра, използвайки TLS. Сървърът му дава своя сертификат, съдържащ име, сертифициращ орган и публичен ключ. Сертификатът на сървъра може да бъде самоподписан.
  • Установява се сесия между сървъра и клиента. За него се създава съответен ключ, който впоследствие ще участва в криптирането. CredSSP използва протокола Simple and Protected Negotiate (SPNEGO) за взаимно удостоверяване на сървъра и клиента, така че всеки да може да се доверява един на друг. Този механизъм позволява на клиента и сървъра да изберат механизъм за удостоверяване (като Kerberos или NTLM).
  • За да се предпазят от прихващане, клиентът и сървърът алтернативно шифроват сертификата на сървъра с помощта на сесийния ключ и го предават един на друг.
  • Ако резултатите от обмена и оригиналният сертификат съвпадат, CredSSP на клиента изпраща идентификационните данни на потребителя към сървъра.

    • По този начин предаването на идентификационни данни се извършва по криптиран канал със защита срещу прихващане.

    Настройки

    Доставчикът на услуги за сигурност CredSSP е част от операционната система и е включен в Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2. Освен това може да се инсталира като отделна актуализация на Windows XP SP3. Този процес е описан подробно в статията „Описание на доставчика на поддръжка за защита на идентификационни данни (CredSSP) в Windows XP Service Pack 3" За да инсталирате и активирате CredSSP на Windows XP SP3, трябва да следвате тези стъпки.

    1. Стартирайте редактора на системния регистър regedit и отидете на клона: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

    2. Добавете tspkg стойност към ключа за пакети за сигурност

    3. Отидете до клона на системния регистър: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders.

    4. Добавете стойността на credssp.dll към ключа SecurityProviders (останалите стойности на този ключ трябва да бъдат оставени непроменени).

    След като CredSSP е активиран, трябва да конфигурирате използването му с помощта на групови правила или съответните ключове в системния регистър. За да конфигурирате SSO на клиентски компютри, използвайте групови политикиот раздел:

    Компютърна конфигурация\Административни шаблони\Система\Делегиране на идентификационни данни.

    В рускоезичните версии на операционните системи изглежда така (фиг. 1).

    Ориз. 1. Управление на прехвърлянето на идентификационни данни с помощта на групови правила

    За да използвате SSO, трябва да активирате правилото:

    Разрешете предаването на идентификационни данни по подразбиране.

    Освен това, след като активирате, трябва да определите за кои сървъри ще се използва този метод за оторизация. За да направите това, трябва да изпълните следните стъпки.

    В прозореца за редактиране на правилата (фиг. 2) щракнете върху бутона „Покажи“.

    Ориз. 2. Прозорец за редактиране на групови правила

    Добавете списък с терминални сървъри (фиг. 3).

    Ориз. 3. Добавяне на терминален сървър за прозрачна авторизация

    Редът за добавяне на сървъра има следния формат:

    TERMSRV/име_на_сървър.

    Можете също да посочите сървъри чрез маска на домейн. В този случай линията приема формата:

    TERMSRV/*.име_на_домейн.

    Ако не е възможно да използвате групови правила, подходящите настройки могат да бъдат зададени с помощта на редактора на системния регистър. Например за Настройки на Windows XP Sp3 можете да използвате следния файл на системния регистър:

    Windows Registry Editor версия 5.00

    "Пакети за сигурност"=hex (7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\

    00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00, \

    6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74, \

    00,73,00,70,00,6b,00,67,00,00,00,00,00

    "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll"

    "AllowDefaultCredentials"=dword:00000001

    "ConcatenateDefaults_AllowDefault"=dword:00000001

    "1"="termsrv/*.mydomain.com"

    Тук вместо mydomain.com трябва да замените името на домейна. В този случай, когато се свързвате към терминални сървъри, име на домейн(например, Termsserver1.mydomain.com) ще се използва прозрачна авторизация.

    За да използвате технологията Single Sign-On на терминален сървър, трябва да изпълните следните стъпки.

  • Отворете конзолата за конфигуриране на терминални услуги (tsconfig.msc).
  • В секцията за свързване отидете на свойствата на RDP-Tcp.
  • В раздела „Общи“ задайте нивото на защита на „Договаряне“ или „SSL (TLS 1.0)“ (фиг. 4).

    • Ориз. 4. Задаване на нивото на защита на терминалния сървър

    На този етап настройката на клиентската и сървърната част може да се счита за завършена.

    Практическа информация

    В този раздел ще разгледаме ограниченията при използването на прозрачна технология за оторизация и проблемите, които могат да възникнат при използването й.

    • Технологията за единично влизане работи само при свързване от компютри, работещи с операционни системи, различни от Windows XP SP3 и по-стари версии. Компютри с операционна система Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2.
    • Ако терминалният сървър, към който се осъществява връзката, не може да бъде удостоверен чрез Kerberos или SSL сертификат, SSO няма да работи. Това ограничение може да бъде заобиколено чрез следната политика:
      Разрешаване на делегиране на идентификационни данни, зададени за удостоверяване на сървъра по подразбиране „Само NTLM“.
    • Алгоритъмът за активиране и конфигуриране на тази групова политика е подобен на представения по-горе. Файлът на регистъра, съответстващ на тази настройка, изглежда така.

    "AllowDefCredentialsWhenNTLMOnly"=dword:00000001

    "ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001

    "1"="termsrv/*.mydomain.com"

    Удостоверяването с този метод е по-малко сигурно от използването на сертификати или Kerberos.

    • Ако идентификационните данни за сървър са запазени в настройките на терминалния клиент, те имат по-висок приоритет от текущите идентификационни данни.
    • Единичното влизане работи само при използване на акаунти на домейн.
    • Ако връзката към терминалния сървър е през TS Gateway, в някои случаи настройките на сървъра на TS Gateway може да имат предимство пред SSO настройките на терминалния клиент.
    • Ако терминалният сървър е конфигуриран да изисква потребителски идентификационни данни всеки път, SSO няма да работи.
    • Технологията за прозрачна авторизация работи само с пароли. Ако използвате смарт карти, няма да работи.

    За да работи SSO правилно на Windows XP SP, се препоръчва да инсталирате две корекции от KB953760: „Когато активирате SSO за терминален сървър от клиентски компютър, базиран на Windows XP SP3, все още получавате подкана за потребителски идентификационни данни, когато влезете към терминалния сървър ».

    В някои случаи е възможно технологията за прозрачно оторизиране да работи или да не работи на същия терминален клиент в зависимост от профила на свързващия се потребител. Проблемът се решава чрез повторно създаване на потребителския профил. Ако това е твърде трудоемка задача, можете да опитате да използвате съветите от дискусията: „RemoteApp Single Sign On (SSO) от клиент на Windows 7» Форуми на Microsoft Technet. По-специално се препоръчва да нулирате настройките на Internet Explorer или да одобрите съответната добавка за него.

    Друго основно ограничение на SSO технологията е, че тя не работи, когато се изпълняват публикувани приложения през TS Web Access. В този случай потребителят е принуден да въведе идентификационни данни два пъти: при влизане в уеб интерфейса и при оторизиране на терминалния сървър.

    В Windows Server 2008 R2 ситуацията се промени към по-добро. | Повече ▼ подробна информациятова може да се намери в статията: „Представяне на уеб единично влизане за връзки с отдалечено приложение и работен плот“ ».

    Заключение

    Статията разглежда технологията за прозрачно оторизиране на терминални сървъри за единично влизане. Използването му ви позволява да намалите времето, прекарано от потребителя за влизане в терминалния сървър и стартиране на отдалечени приложения. Освен това с негова помощ е достатъчно да въведете идентификационни данни веднъж при влизане в локалния компютър и след това да ги използвате при свързване към терминални сървъри на домейна. Механизмът за прехвърляне на идентификационни данни е доста сигурен, а настройката на сървърната и клиентската част е изключително проста.

    В сървърните версии на Windows OS има прекрасна възможност да използвате за връзки идентификационните данни, въведени от потребителя по-рано при влизане в компютъра ви. По този начин те не трябва да въвеждат своето потребителско име и парола всеки път, когато стартират публикувано приложение или просто отдалечен работен плот. Това нещо се нарича Single Sign On с помощта на технология CredSSP(Доставчик на услуги за сигурност на идентификационни данни).

    Описание

    За да работи това, трябва да бъдат изпълнени следните условия:

    • Терминалният сървър и клиентът, който се свързва с него, трябва да са в домейна.
    • Терминалният сървър трябва да бъде конфигуриран на Windows Server 2008, Windows Server 2008 R2 или по-нова версия.
    • Клиентският компютър трябва да има инсталирана следната операционна система: Windows XP SP3, Windows Vista, Windows Server 2008, Windows 7, Windows 8 или Windows Server 2008 R2.

    За Windows XP SP3 ще са необходими допълнителни стъпки. Необходимо е да инсталирате корекция, която ще ви позволи да конфигурирате настройките за Windows XP SP3 чрез групови правила.
    Тази корекция (MicrosoftFixit50588.msi) може да бъде изтеглена от и от нашия уебсайт:

    Първо задайте нивото на защита на терминалния сървър на режим „Договаряне“:

    В него конфигурираме 2 параметъра: Разрешаване на предаване на идентификационни данни по подразбиране и Разрешаване на делегиране на идентификационни данни по подразбиране с удостоверяване на сървъра „само NTLM“

    Разрешаване на делегиране на идентификационни данни по подразбиране с удостоверяване само на NTLM сървър - трябва да се конфигурира само ако терминалният сървър не е удостоверен чрез Kerberos или SSL сертификат.

    Въвеждаме там сървъра(ите), до който искаме да допуснем потребителите, без да въвеждаме повторно тяхното име и парола. Можете да ги въведете с маска или поотделно. Помощта го казва подробно.

    След това прилагаме правилата на желания компютър(и) и проверяваме дали потребителите имат достъп до терминалните сървъри, посочени в правилата по-горе, без да въвеждат потребителско име и парола.



    Зареждане...
    Връх