Rdp prihlásenie pomocou osobného certifikátu. Zabezpečenie pripojenia RDP pomocou SSL

Protokol RDP so zabezpečením sieťovej vrstvy (SSL) sa bohužiaľ medzi nimi veľmi nepoužíva správcov systému ktorí uprednostňujú ochranu koncových spojov iným spôsobom. Možno je to kvôli zjavnej zložitosti metódy, ale nie je to tak, v tomto materiáli zvážime, ako jednoducho a bez problémov organizovať takúto ochranu.

Aké sú výhody zabezpečenia RDP pomocou SSL? Po prvé, silné šifrovanie kanálov, autentifikácia servera založená na certifikáte a autentifikácia používateľov na úrovni siete. Posledná funkcia je k dispozícii počnúc systémom Windows Server 2008. Overenie na úrovni siete zlepšuje bezpečnosť terminálového servera tým, že umožňuje, aby sa overenie uskutočnilo ešte pred začiatkom relácie.

Autentifikácia na úrovni siete sa vykonáva pred pripojením k vzdialenej ploche a zobrazením prihlasovacej obrazovky, čím sa znižuje zaťaženie servera a výrazne sa zvyšuje jeho ochrana pred narušiteľmi a malvér a tiež znižuje pravdepodobnosť útokov odmietnutia služby.

Ak chcete naplno využiť výhody RDP oproti SSL, klientske počítače musia byť spustené Ovládanie Windows XP SP3, Windows Vista alebo Windows 7 a používajte klienta RDP verzie 6.0 alebo novšej.

O pomocou systému Windows Server 2003 SP1 a novší, bude k dispozícii šifrovanie kanálov SSL (TLS 1.0) a autentifikácia servera, klientske počítače musia mať klienta RDP verzie 5.2 alebo novšej.

V našom článku zvážime nastavenie terminálového servera na Základňa Windows Server 2008 R2, všetky vyššie uvedené však budú platiť aj pre Windows Server 2003 (okrem chýbajúcich funkcií).

Pre úspešnú realizáciu toto rozhodnutie vaša sieť musí mať fungujúcu certifikačnú autoritu, ktorej konfiguráciu sme rozobrali v . Ak chcete dôverovať certifikátom vydaným touto CA na terminálovom serveri, musíte nainštalovať certifikát CA (alebo reťazec certifikátov) do súboru .

Potom by ste mali požiadať o certifikát overenia servera s nasledujúcimi parametrami:

Názov – úplný názov terminálového servera (t. j. server.domena.com, ak server patrí do domény domain.com)

  • Typ certifikátu - Certifikát overenia servera
  • Nastaviť možnosť Vytvorte novú sadu kľúčov
  • CSP- Poskytovateľ kryptografických kanálov Microsoft RSA.
  • Zaškrtávacie políčko Označiť kľúč ako exportovateľný.
  • V prípade podnikovej CA začiarknite políčko Pre certifikát použite lokálny ukladací priestor počítača. (Táto možnosť nie je dostupná v samostatnej CA.)

Pošlite žiadosť CA a nainštalujte vydaný certifikát. Tento certifikát musí byť nainštalovaný v lokálnom úložisku počítača, inak ho nebude môcť používať terminálové služby. Ak to chcete skontrolovať, spustite konzolu MMC (Štart - Spustiť - mmc) a pridajte snap Certifikáty(Súbor – pridajte alebo odstráňte modul snap-in) pre počítačový účet.

V koreňovom adresári konzoly vyberte kliknutie Zobraziť - Možnosti a nastavte režim zobrazenia Usporiadajte certifikáty podľa účelu. Vydaný certifikát musí byť v skupine Autentifikácia servera.

Ak ste certifikát získali pomocou samostatnej (samostatnej) CA (sieť nemá štruktúru domény), štandardne sa nainštaluje do úložiska používateľských účtov a budete musieť vykonať niekoľko ďalších krokov.

OTVORENÉ internet Explorer- Možnosti internetu - Obsah - Certifikáty, musí byť vydaný certifikát nainštalovaný v obchode Osobné.

Vykonajte export. Pri exporte zadajte nasledujúce možnosti:

  • Áno, exportovať súkromný kľúč
  • Po úspešnom exporte odstráňte súkromný kľúč

Potom odstráňte certifikát z toto úložisko. v momente Certifikáty ( lokálny počítač) Vyberte sekciu Autentifikácia servera, kliknite naň kliknite pravým tlačidlom myši myši Všetky úlohy - Import a importovať certifikát.

Teraz v Správa – Služby vzdialenej pracovnej plochy OTVORENÉ Konfigurácia hostiteľa relácie vzdialenej pracovnej plochy(v systéme Windows Server 2003 Nástroje na správu – Konfigurácia terminálových služieb).

Vyberte požadované pripojenie a otvorte jeho vlastnosti. Kliknite na tlačidlo úplne dole Vyberte si a vyberte certifikát získaný v predchádzajúcom kroku (vo Windows Server 2003 toto okno vyzerá trochu inak).

Po výbere certifikátu špecifikujte ostatné vlastnosti:

  • Úroveň zabezpečenia SSL
  • Úroveň šifrovania Vysoká alebo FIPS-kompatibilné
  • Zaškrtávacie políčko Povoliť iba pripojenia z počítačov...(nie je k dispozícii v systéme Windows Server 2003)

Uložte zadané parametre, tým je nastavenie servera dokončené.

Na klientskom PC vytvorte pripojenie k vzdialenej ploche, použite plne kvalifikovaný názov servera, ktorý je uvedený v certifikáte ako adresa. Otvorte vlastnosti pripojenia a na karte Pripojenie - Autentifikácia servera nastaviť možnosť Varovať.

Aby tento počítač dôveroval certifikátom vydaným našou certifikačnou autoritou, nezabudnite si naň v obchode nainštalovať CA certifikát dôveryhodný koreňové centrá certifikácia.

V systéme Windows 7 (pri použití klienta RDP verzie 7) musí byť tento certifikát nainštalovaný v obchode počítačový účet Ak to chcete urobiť, importujte ho cez snap Certifikáty (lokálny počítač) v konzole MKC rovnakým spôsobom ako vyššie. V opačnom prípade pripojenie zlyhá a zobrazí sa nasledujúca chyba:

Po nainštalovaní certifikátu CA sa môžete pokúsiť pripojiť, upozorňujeme, že ešte pred vytvorením relácie RDP budete vyzvaní na zadanie používateľského mena a hesla. Ak je pripojenie úspešné, dávajte pozor na zámok v záhlaví okna, ktorý naznačuje, že pracujete cez SSL. Kliknutím naň môžete zobraziť informácie o certifikáte.

A nakoniec kvapka dechtu v sude medu. Terminál služby Windows neviem, ako autentifikovať pripájajúcich sa klientov, takže ak je to potrebné, mali by ste použiť dodatočné metódy ochrany, ako je tunel SSH alebo IPSec VPN.

Ak je heslo jedinou prekážkou prístupu k vašim údajom, vystavujete sa veľkému riziku. Priesmyk sa dá zbaliť, zachytiť, odtiahnuť trójskym koňom, vyloviť pomocou sociálneho inžinierstva. Nepoužitie dvojfaktorovej autentifikácie v tomto scenári je takmer zločin.

O jednorazových kľúčoch sme už hovorili viackrát. Význam je veľmi jednoduchý. Ak sa útočníkovi nejakým spôsobom podarí získať vaše prihlasovacie heslo, môže ľahko získať prístup k vašej pošte alebo sa pripojiť na vzdialený server. Ak je však na ceste ďalší faktor, napríklad jednorazový kľúč (nazýva sa aj kľúč OTP), nič z toho nebude. Aj keď sa takýto kľúč dostane k útočníkovi, už ho nebude možné použiť, keďže je platný iba raz. Ako taký druhý faktor, dodatočný hovor, kód prijatý prostredníctvom SMS, kľúč vygenerovaný v telefóne podľa určitých algoritmov na základe aktuálneho času (čas je spôsob, ako synchronizovať algoritmus na klientovi a serveri). Rovnaký Google už už dávno svojim používateľom odporúča povoliť dvojfaktorovú autentifikáciu (pár kliknutiami v nastaveniach účtu). Teraz je rad na pridanie takejto vrstvy ochrany pre vaše služby!

Čo ponúka Duo Security?

Banálny príklad. Môj počítač „vonku“ má otvorený port RDP na pripojenie k vzdialenej ploche. Ak prihlasovacie heslo unikne, útočník ho okamžite dostane plný prístup do auta. O posilnení ochrany heslom OTP teda nemohla byť ani reč – jednoducho to bolo potrebné urobiť. Bolo hlúpe znovu vynájsť koleso a pokúsiť sa všetko implementovať svojpomocne, tak som sa len pozrel na riešenia, ktoré sú na trhu. Ukázalo sa, že väčšina z nich je komerčná (viac v bočnom paneli), no pre malý počet používateľov sa dajú použiť zadarmo. Presne to, čo potrebujete pre domácnosť. Jednou z najúspešnejších služieb, ktorá vám umožňuje organizovať dvojfaktorovú autorizáciu doslova pre čokoľvek (vrátane VPN, SSH a RDP), sa ukázalo byť Duo Security (www.duosecurity.com). Na atraktivite mu pridal fakt, že developerom a zakladateľom projektu je John Oberheid, známy špecialista na informačná bezpečnosť. Napríklad otvoril protokol komunikácie medzi Google a smartfóny so systémom Android, pomocou ktorého môžete inštalovať alebo odstraňovať ľubovoľné aplikácie. Takáto základňa sa prejavuje: aby ukázali dôležitosť dvojfaktorovej autorizácie, chlapci spustili službu VPN Hunter (www.vpnhunter.com), ktorá dokáže rýchlo nájsť neskryté servery VPN spoločnosti (a zároveň určiť typ zariadení, na ktorých pracujú), služby pre vzdialený prístup(OpenVPN, RDP, SSH) a ďalšie prvky infraštruktúry, ktoré umožňujú útočníkovi dostať sa do internej siete jednoduchou znalosťou prihlasovacieho mena a hesla. Je vtipné, že na oficiálnom Twitteri služby začali majitelia denne zverejňovať správy o skenovaní známych spoločností, po ktorých bol účet zakázaný :). Služba Duo Security je samozrejme zameraná predovšetkým na zavedenie dvojfaktorovej autentifikácie vo firmách s Vysoké číslo používateľov. Našťastie pre nás je možné vytvoriť si bezplatný osobný účet, ktorý vám umožní bezplatne nastaviť dvojfaktorovú autentifikáciu až pre desať používateľov.

Čo môže byť tým druhým faktorom?

Ďalej sa pozrieme na to, ako posilniť bezpečnosť pripojenia vzdialenej pracovnej plochy, ako aj SSH na serveri, len za desať minút. Najprv však chcem hovoriť o ďalšom kroku, ktorý Duo Security predstavuje ako druhý autorizačný faktor. Existuje niekoľko možností: hovor, SMS s prístupovými kódmi, Duo Mobile prístupové kódy, Duo Push, elektronický kľúč. O každom trochu viac.

Ako dlho ho môžete používať zadarmo?

Ako už bolo spomenuté, Duo Security ponúka špeciál tarifný plán"Osobné". Je úplne zadarmo, ale počet používateľov nesmie byť vyšší ako desať. Podporuje pridávanie neobmedzeného počtu integrácií, všetkých dostupných metód autentifikácie. Poskytuje tisíc bezplatných kreditov na telefónne služby. Kredity sú akoby internou menou, ktorá sa odpočítava z vášho účtu vždy, keď dôjde k overeniu pomocou hovoru alebo SMS. V nastaveniach účtu si to viete nastaviť tak, že keď dosiahnete zadaný počet kreditov, dostanete upozornenie na mydlo a stihnete doplniť zostatok. Tisíc kreditov stojí iba 30 dolárov. Cena hovorov a SMS pre rôzne krajiny je rôzna. Pre Rusko bude hovor stáť 5 až 20 kreditov, SMS - 5 kreditov. Hovor, ktorý sa uskutoční pri autentifikácii na stránke Duo Security, však nie je spoplatnený. Na kredity môžete úplne zabudnúť, ak na autentifikáciu používate aplikáciu Duo Mobile – nič sa za ňu neplatí.

Jednoduchá registrácia

Ak chcete chrániť svoj server pomocou Duo Security, musíte si stiahnuť a nainštalovať špeciálneho klienta, ktorý bude spolupracovať s autentifikačným serverom Duo Security a poskytne druhú vrstvu ochrany. V súlade s tým bude tento klient v každej situácii iný: v závislosti od toho, kde presne je potrebné implementovať dvojfaktorovú autorizáciu. O tom si povieme nižšie. Prvá vec, ktorú musíte urobiť, je zaregistrovať sa v systéme a získať účet. Preto otvárame domovskej stránke kliknite na „Skúšobná verzia zdarma“, na stránke, ktorá sa otvorí, kliknite na tlačidlo „Zaspievať“ pod typom osobného účtu. Potom sme požiadaní o zadanie mena, priezviska, e-mailovej adresy a názvu spoločnosti. Mali by ste dostať e-mail s odkazom na potvrdenie registrácie. V takom prípade systém automaticky vytočí zadaný telefón: na aktiváciu účtu musíte prijať hovor a stlačiť tlačidlo # na telefóne. Potom bude účet aktívny a môžete začať s bojovými skúškami.

Ochrana PRV

Vyššie som povedal, že som začal so silnou túžbou zabezpečiť vzdialené pripojenia k mojej ploche. Preto ako prvý príklad opíšem, ako posilniť bezpečnosť PRV.

  1. Akákoľvek implementácia dvojfaktorovej autentifikácie začína jednoduchým krokom: vytvorením takzvanej integrácie v bezpečnostnom profile Duo. Prejdite do časti „Integrácie  Nová integrácia“, zadajte názov integrácie (napríklad „Domáca RDP“), vyberte jej typ „Microsoft RDP“ a kliknite na „Pridať integráciu“.
  2. V zobrazenom okne sa zobrazia parametre integrácie: Integračný kľúč, Tajný kľúč, Názov hostiteľa API. Budeme ich potrebovať neskôr, keď nastavíme stranu klienta. Je dôležité pochopiť: nikto by ich nemal poznať.
  3. Ďalej je potrebné na chránený stroj nainštalovať špeciálneho klienta, ktorý do systému Windows nainštaluje všetko potrebné. Dá sa stiahnuť z oficiálnej stránky alebo stiahnuť z nášho disku. Celá jeho konfigurácia sa scvrkáva na skutočnosť, že počas procesu inštalácie bude potrebné zadať vyššie uvedený integračný kľúč, tajný kľúč a názov hostiteľa API.
  4. To je vlastne všetko. Teraz, keď sa nabudúce prihlásite na server cez RDP, na obrazovke budú tri polia: používateľské meno, heslo a jednorazový kľúč Duo. V súlade s tým, len s jedným prihlasovacím heslom, už nie je možné prihlásiť sa do systému.

Keď sa nový používateľ prvýkrát pokúsi prihlásiť, bude musieť raz prejsť procesom overenia Duo Security. Služba mu poskytne špeciálny odkaz, kliknutím na ktorý musíte zadať svoje telefónne číslo a počkať na overovací hovor. Ak chcete získať ďalšie kľúče (alebo ich získať prvýkrát), môžete písať kľúčové slovo sms. Ak sa chcete autentifikovať pomocou telefónneho hovoru - zadajte "telefón", ak pomocou Duo Push - "push". Históriu všetkých pokusov o pripojenie (úspešných aj neúspešných) k serveru si môžete pozrieť vo svojom účte na webovej stránke Duo Security tak, že najprv vyberiete požadovanú integráciu a prejdete do jej „Denníka overenia“.

Duo Security pripojíme kdekoľvek!

Pomocou dvojfaktorovej autentifikácie môžete chrániť nielen RDP alebo SSH, ale aj siete VPN, servery RADIUS a akékoľvek webové služby. Existujú napríklad predpripravení klienti, ktorí k populárnym motorom Drupal a WordPress pridávajú ďalšiu vrstvu autentifikácie. Ak neexistuje žiadny hotový klient, nemali by ste byť naštvaní: vždy môžete pridať dvojfaktorové overenie pre svoju aplikáciu alebo webovú stránku sami pomocou rozhrania API poskytovaného systémom. Logika práce s API je jednoduchá – zadáte požiadavku na URL určitej metódy a analyzujete vrátenú odpoveď, ktorá môže prísť vo formáte JSON (alebo BSON, XML). Úplná dokumentácia k Duo REST API je k dispozícii na oficiálnej webovej stránke. Poviem len, že existujú metódy ping, check, preauth, auth, status, z názvu ktorých je ľahké uhádnuť, na čo sú určené.

Zabezpečenie SSH

Zvážte iný typ integrácie – „integrácia UNIX“ na implementáciu bezpečnej autentifikácie. Do nášho bezpečnostného profilu Duo pridáme ešte jednu integráciu a pokračujeme v inštalácii klienta do systému.

Zdroje toho posledného si môžete stiahnuť na bit.ly/IcGgk0 alebo si ich prevezmite z nášho disku. použil som Najnovšia verzia- 1.8. Mimochodom, klient beží na väčšine platforiem nix, takže ho môžete jednoducho nainštalovať na FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris/Illumos, HP-UX a AIX. Proces zostavovania je štandardný - nakonfigurujte && make && sudo make install. Jediná vec, ktorú by som odporučil, je použiť configure s voľbou --prefix=/usr, inak by klient pri štarte nemusel nájsť potrebné knižnice. Po úspešnej inštalácii prejdeme na úpravu konfiguračného súboru /etc/duo/login_duo.conf. Toto je potrebné urobiť z rootu. Všetky zmeny, ktoré je potrebné vykonať pre úspešnú prevádzku, je nastavenie hodnôt Integration key, Secret key, API hostname, ktoré nájdete na integračnej stránke.

; Kľúč integrácie Duo = INTEGRATION_KEY; Tajný kľúč Duo = SECRET_KEY; Hostname API Duo = API_HOSTNAME

Ak chcete prinútiť všetkých používateľov, aby sa prihlásili na váš server cez SSH, aby používali dvojfaktorovú autentifikáciu, stačí pridať nasledujúci riadok do súboru /etc/ssh/sshd_config:

> ForceCommand /usr/local/sbin/login_duo

Je tiež možné zorganizovať dvojfaktorovú autentifikáciu len pre jednotlivých používateľov ich zlúčením do skupiny a špecifikovaním tejto skupiny v súbore login_duo.conf:

>skupina=koleso

Aby sa zmeny prejavili, zostáva už len reštartovať démona ssh. Odteraz, po úspešnom zadaní prihlasovacieho hesla, bude používateľ vyzvaný na vykonanie dodatočnej autentifikácie. Samostatne je potrebné poznamenať jednu jemnosť konfigurácie ssh - dôrazne sa odporúča zakázať ju konfiguračný súbor možnosti PermitTunnel a AllowTcpForwarding, pretože démon ich aplikuje pred spustením druhého overovacieho prechodu. Ak teda útočník zadá heslo správne, môže vďaka presmerovaniu portov získať prístup do vnútornej siete ešte pred dokončením druhej fázy autentifikácie. Ak sa chcete tomuto efektu vyhnúť, pridajte do sshd_config nasledujúce možnosti:

PovolenieTunnel noAllowTcpForwarding č

Teraz je váš server za dvojitou stenou a pre útočníka je oveľa ťažšie sa do nej dostať.

Ďalšie nastavenia

Ak sa prihlásite do svojho účtu Duo Security a prejdete do sekcie „Nastavenia“, môžete si pre seba upraviť niektoré nastavenia. Prvá dôležitá sekcia je „Telefónne hovory“. Toto určuje nastavenia, ktoré budú účinné, keď sa na potvrdenie overenia použije telefonický hovor. Položka „Voice callback keys“ vám umožňuje nastaviť, ktoré telefónne tlačidlo musíte stlačiť na potvrdenie overenia. V predvolenom nastavení je tam hodnota „Pre overenie stlačte ľubovoľný kláves“ – to znamená, že môžete stlačiť ľubovoľný kláves. Ak nastavíte hodnotu na „Stlačte rôzne klávesy na overenie alebo nahlásenie podvodu“, potom budete musieť nastaviť dva kľúče: stlačenie prvého potvrdí autentifikáciu (Kľúč na overenie), stlačenie druhého (kláves na nahlásenie podvodu) znamená, že nezačali sme proces overovania , to znamená, že niekto dostal naše heslo a pokúša sa ho použiť na vstup na server. Položka „SMS prístupové kódy“ umožňuje nastaviť počet prístupových kódov, ktoré bude obsahovať jedna SMS, a ich životnosť (platnosť). Parameter „Blokovanie a podvod“ vám umožňuje nastaviť e-mailovú adresu, na ktorú bude zaslané upozornenie v prípade určitého počtu neúspešných pokusov o prihlásenie na server.

Použite!

Prekvapivo mnohí stále ignorujú dvojfaktorovú autentifikáciu. Nechápem prečo. To skutočne zvyšuje bezpečnosť. Môžete ho implementovať takmer do všetkého a hodnotné riešenia sú k dispozícii zadarmo. Tak prečo? Z lenivosti alebo neopatrnosti.

Podobné služby

  • znamenať(www.signify.net) Služba poskytuje tri možnosti organizácie dvojfaktorovej autentifikácie. Prvým je použitie elektronické kľúče. Druhým spôsobom je použitie prístupových kľúčov, ktoré sa odosielajú na telefón používateľa prostredníctvom SMS alebo prichádzajú na email. Tretia možnosť - mobilná aplikácia Pre telefóny so systémom Android, iPhone, BlackBerry, ktorý generuje jednorazové heslá (v skutočnosti analóg Duo Mobile). Služba je zameraná na veľké spoločnosti, takže je kompletne platená.
  • SecurEnvoy(www.securenvoy.com) Tiež vám umožňuje používať mobilný telefón ako druhá ochranná vrstva. Prístupové kľúče sú odosielané používateľovi prostredníctvom SMS alebo e-mailu. Každá správa obsahuje tri prístupové kľúče, čo znamená, že používateľ sa môže prihlásiť trikrát, kým požiada o novú časť. Služba je tiež platená, ale poskytuje bezplatné 30-dňové obdobie. Významným plusom je veľké množstvo natívnych integrácií aj integrácií tretích strán.
  • PhoneFactor(www.phonefactor.com) Táto služba vám umožňuje bezplatne organizovať dvojfaktorové overenie až pre 25 používateľov, pričom poskytuje 500 bezplatných overení mesačne. Ak chcete zorganizovať ochranu, budete si musieť stiahnuť a nainštalovať špeciálneho klienta. Ak potrebujete na svoje stránky pridať dvojfaktorové overenie, môžete použiť oficiálnu súpravu SDK, ktorá poskytuje podrobnú dokumentáciu a príklady pre nasledujúce programovacie jazyky: ASP.NET C#, ASP.NET VB, Java, Perl, Ruby, PHP.

Existuje názor, že vzdialené pracovné pripojenie Windows stôl(RDP) je v porovnaní so svojimi náprotivkami (VNC, TeamViewer atď.) veľmi neistý. V dôsledku toho otvorte prístup zvonku k akémukoľvek počítaču alebo serveru lokálna sieť veľmi neuvážené rozhodnutie - určite budú hackovať. Druhý argument proti RDP zvyčajne znie takto - "žerie to prevádzku, nie je to voľba pre pomalý internet." Väčšinou sú tieto argumenty nepodložené.

Protokol RDP existuje už viac ako deň, jeho debut sa odohral na Windows NT 4.0 pred viac ako 20 rokmi a odvtedy pretieklo pod mostom veľa vody. Zapnuté tento moment RDP nie je o nič menej bezpečné ako akékoľvek iné riešenie vzdialeného prístupu. Čo sa týka požadovanej šírky pásma, v tomto smere existuje množstvo nastavení, s ktorými môžete dosiahnuť výbornú odozvu a ušetriť šírku pásma.

Stručne povedané, ak viete, čo, ako a kde konfigurovať, potom RDP bude veľmi dobrý liek vzdialený prístup. Otázkou je, koľko adminov sa snažilo preniknúť do nastavení, ktoré sú skryté o niečo hlbšie ako na povrchu?

Teraz vám poviem, ako chrániť RDP a nakonfigurovať ho na optimálny výkon.

Po prvé, existuje veľa verzií protokolu RDP. Všetky ďalšie popisy budú platiť pre RDP 7.0 a vyššie. To znamená, že máte aspoň Windows Vista SP1. Pre fanúšikov retra je tu špeciálna aktualizácia pre Windows XP SP3 KB 969084 ktorý k tomuto operačnému systému pridáva RDP 7.0.

Nastavenie #1 - Šifrovanie

Na počítači, ku ktorému sa chystáte pripojiť, otvorte gpedit.msc Prejdite do časti Konfigurácia počítača - Šablóny pre správu - Súčasti systému Windows - Služby vzdialenej pracovnej plochy - Zabezpečenie

Nastavte možnosť „Vyžadovať použitie špeciálnej úrovne zabezpečenia pre vzdialené pripojenia cez metódu RDP“ na „Povolené“ a úroveň zabezpečenia na „SSL TLS 1.0“

Týmto nastavením sme povolili šifrovanie ako také. Teraz sa musíme uistiť, že sa používajú iba silné šifrovacie algoritmy a nie nejaké 56-bitové DES alebo RC2.

Preto v tej istej vetve otvorte možnosť „Nastaviť úroveň šifrovania pre pripojenia klientov“. Zapnite a vyberte úroveň „Vysoká“. Získame tak 128-bitové šifrovanie.

Ale to nie je limit. Najvyššiu úroveň šifrovania poskytuje štandard FIPS 140-1. V tomto prípade všetky RC2 / RC4 automaticky idú do lesa.

Ak chcete povoliť používanie FIPS 140-1, musíte prejsť do časti Konfigurácia počítača - Konfigurácia systému Windows - Nastavenia zabezpečenia - Miestne zásady - Možnosti zabezpečenia v rovnakom module snap-in.

Hľadáme možnosť „Systémová kryptografia: Na šifrovanie, hashovanie a podpisovanie použite algoritmy v súlade s FIPS“ a povoľte ju.

A nakoniec bez problémov povoľte možnosť „Vyžadovať zabezpečené pripojenie RPC“ pozdĺž cesty Konfigurácia počítača – Šablóny pre správu – Komponenty systému Windows – Služby vzdialenej pracovnej plochy – Zabezpečenie.

Toto nastavenie vyžaduje, aby pripojení klientov vyžadovali šifrovanie podľa nastavení, ktoré sme nakonfigurovali vyššie.

Teraz so šifrovaním úplný poriadok, môžete ísť ďalej.

Nastavenie #2 - zmena portu

Predvolené protokol RDP visí na porte TCP 3389. Pre zmenu ho môžete zmeniť, na to musíte zmeniť kľúč PortNumber v registri na adrese

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Nastavenie č. 3 – Overenie siete (NLA)

V predvolenom nastavení sa môžete pripojiť cez RDP bez zadania prihlasovacieho mena a hesla a zobraziť uvítaciu obrazovku vzdialenej plochy, kde budete vyzvaní na prihlásenie. To jednoducho nie je vôbec bezpečné v tom zmysle, že takýto vzdialený počítač možno ľahko DDoSed.

Preto všetko v tej istej vetve povoľte možnosť „Vyžadovať overenie používateľa pre vzdialené pripojenia prostredníctvom overenia na úrovni siete“

Nastavenie #4 - čo ešte skontrolovať

Najprv skontrolujte, či „ účty: povoliť použitie prázdne heslá iba pri prihlásení do konzoly“ je povolená. Toto nastavenie nájdete v časti Konfigurácia počítača - Šablóny pre správu - Komponenty systému Windows - Služby vzdialenej pracovnej plochy - Zabezpečenie.

Po druhé, nezabudnite skontrolovať zoznam používateľov, ktorí sa môžu pripojiť cez RDP

Nastavenie #5 - optimalizácia rýchlosti

Prejdite do časti Konfigurácia počítača - Šablóny na správu - Súčasti systému Windows - Služby vzdialenej pracovnej plochy - Prostredie vzdialenej relácie.

Tu môžete a mali by ste upraviť niekoľko parametrov:

  • Najväčšia farebná hĺbka - môžete sa obmedziť na 16 bitov. V porovnaní s 32-bitovou hĺbkou to ušetrí viac ako 2-násobok prevádzky.
  • Nútené zrušenie obrázka na pozadí vzdialenej plochy - nie je potrebné pre prácu.
  • Nastavenie kompresného algoritmu RDP – lepšie nastaviť na Optimalizovať využitie šírky pásma. V tomto prípade bude RDP jesť trochu viac pamäte, ale bude efektívnejšie komprimovať.
  • Optimalizovať vizuálne efekty pre relácie Remote Desktop Services - nastavte hodnotu na "Text". Čo potrebujete k práci.

V opačnom prípade pri pripájaní k vzdialenému počítaču zo strany klienta môžete dodatočne zakázať:

  • Vyhladenie písma. Tým sa výrazne skráti čas odozvy. (Ak máte plnohodnotný terminálový server, tento parameter je možné nastaviť aj na strane servera)
  • Zloženie pracovnej plochy - zodpovedný za Aero atď.
  • Počas ťahania zobraziť okno
  • Vizuálne efekty
  • Dizajnové štýly – ak chcete hardcore

Zvyšné parametre ako pozadie pracovnej plochy, farebná hĺbka máme už preddefinované na strane servera.

Okrem toho na strane klienta môžete zväčšiť veľkosť vyrovnávacej pamäte obrázkov, čo sa robí v registri. V HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\ musíte vytvoriť dva kľúče DWORD 32 BitmapPersistCacheSize a BitmapCacheSize

  • BitmapPersistCacheSize je možné nastaviť na 10 000 (10 MB), pričom štandardne je tento parameter nastavený na 10, čo zodpovedá 10 KB.
  • BitmapCacheSize možno nastaviť aj na 10 000 (10 MB). Sotva si všimnete, či pripojenie RDP zaberie ďalších 10 MB RAM

Nebudem hovoriť nič o preposielaní tlačiarní atď. Kto čo potrebuje, ten to potom prepošle.

Tým sa končí hlavná časť nastavenia. V nasledujúcich recenziách vám prezradím, ako môžete ďalej zlepšovať a zabezpečiť RDP. Používajte RDP správne, všetko stabilné! Ako vytvoriť terminálový server RDP na ľubovoľnom Verzie systému Windows pozri .

Alexander Antipov

Tento článok poskytuje prehľad fungovania technológie transparentnej autorizácie Single Sign-On a poskytovateľa služieb zabezpečenia poverení (CredSSP). Zvažuje sa spôsob konfigurácie klientskej a serverovej časti.


Jednou z hlavných nepríjemností pre používateľa pri spúšťaní vzdialenej pracovnej plochy alebo aplikácie zverejnenej na terminálovom serveri je potreba zadávať svoje prihlasovacie údaje. Predtým sa na vyriešenie tohto problému používal mechanizmus ukladania poverení v nastaveniach klienta vzdialenej pracovnej plochy. Avšak túto metódu má niekoľko významných nevýhod. Napríklad pri periodickej zmene hesla bolo potrebné zmeniť ho manuálne v nastaveniach terminálového klienta.

V tomto ohľade, na zjednodušenie práce so vzdialenou plochou v systéme Windows Server 2008, bolo možné použiť transparentnú autorizačnú technológiu Single Sign-on (SSO). Vďaka nemu môže používateľ pri prihlásení na terminálový server použiť prihlasovacie údaje, ktoré zadal pri prihlásení na svoj lokálny počítač, z ktorého sa klient vzdialenej plochy spúšťa.

Tento článok poskytuje prehľad fungovania technológie transparentnej autorizácie Single Sign-On a poskytovateľa služieb zabezpečenia poverení (CredSSP). Zvažuje sa spôsob konfigurácie klientskej a serverovej časti. Rieši sa aj množstvo praktických otázok súvisiacich s transparentnou autorizáciou služieb vzdialenej pracovnej plochy.

Teoretické informácie

Technológia SSO umožňuje ukladať používateľské poverenia a automaticky ich prenášať pri pripojení k terminálovému serveru. Pomocou skupinových politík môžete určiť servery, pre ktoré sa použije táto metóda autorizácie. V tomto prípade pre všetky ostatné terminálové servery sa prihlásenie vykoná tradičným spôsobom: zadaním prihlasovacieho mena a hesla.

Transparentné autorizačné mechanizmy sa prvýkrát objavili v systémoch Windows Server 2008 a Windows Vista. vďaka novému poskytovateľovi zabezpečenia CredSSP. S ním boli poverenia uložené vo vyrovnávacej pamäti prenášané cez zabezpečený kanál (pomocou Transport Layer Security (TLS)). Následne spoločnosť Microsoft vydala zodpovedajúce aktualizácie pre Windows XP SP3.

Pozrime sa na to podrobnejšie. CredSSP možno použiť v nasledujúcich scenároch:

  • pre Network Layer Authentication (NLA), čo umožňuje, aby bol používateľ predtým rozpoznaný kompletná inštalácia spojenia;
  • pre SSO, uloženie prihlasovacích údajov používateľa a ich odovzdanie terminálu.

Pri obnove relácie v rámci farmy CredSSP urýchľuje proces vytvárania pripojenia, pretože terminálový server definuje užívateľa bez vytvorenia plnohodnotného spojenia (podobne ako NLA).

Proces autentifikácie prebieha podľa nasledujúceho algoritmu:

  1. Klient iniciuje vytvorenie zabezpečeného kanála so serverom pomocou TLS. Server mu odošle svoj certifikát obsahujúci meno, certifikačnú autoritu a verejný kľúč. Certifikát servera môže byť podpísaný sám sebou.
  2. Medzi serverom a klientom sa vytvorí relácia. Je preň vytvorený príslušný kľúč, ktorý sa neskôr bude podieľať na šifrovaní. CredSSP používa protokol Simple and Protected Negotiate (SPNEGO) na vzájomnú autentifikáciu servera a klienta, aby si každý mohol navzájom dôverovať. Tento mechanizmus umožňuje klientovi a serveru vybrať si mechanizmus autentifikácie (napríklad Kerberos alebo NTLM).
  3. Na ochranu pred odpočúvaním klient a server zašifrujú certifikát servera pomocou kľúča relácie a navzájom si ho pošlú.
  4. Ak sa výsledky výmeny a pôvodný certifikát zhodujú, CredSSP na klientovi odošle poverenia používateľa na server.

K prenosu poverení teda dochádza cez šifrovaný kanál s ochranou proti odpočúvaniu.

Nastavenie

Poskytovateľ bezpečnostných služieb CredSSP je súčasťou operačného systému a je súčasťou systému Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2. Okrem toho ho možno nainštalovať ako samostatnú aktualizáciu na Windows XP SP3. Tento proces je podrobne popísaný v článku Popis poskytovateľa podpory zabezpečenia poverení (CredSSP) v systéme Windows XP Service Pack 3. Ak chcete nainštalovať a povoliť CredSSP v systéme Windows XP SP3, postupujte podľa týchto krokov.

1. Spustite editor registra regedit a prejdite do pobočky: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

2. Pridajte hodnotu tspkg ku kľúču Bezpečnosťbalíkov

3. ChoďVpobočkaregistra: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders.

4. Pridajte hodnotu credssp.dll ku kľúču Poskytovatelia zabezpečenia(ostatné hodnoty tohto kľúča by mali zostať nezmenené).

Keď je CredSSP povolený, musí byť nakonfigurovaný pomocou skupinových politík alebo ich príslušných kľúčov databázy Registry. Ak chcete nakonfigurovať jednotné prihlásenie na klientskych počítačoch, použite skupinové politiky zo sekcie:

Konfigurácia počítača\Šablóny pre správu\Systém\Delegovanie poverení.

V ruskojazyčných verziách operačných systémov to vyzerá takto (obr. 1).

Ryža. 1. Kontrola prenosu poverení pomocou skupinových zásad

Ak chcete použiť jednotné prihlásenie, povoľte pravidlo:

Povoliť odovzdávanie predvolených poverení.

Okrem toho by ste po povolení mali nastaviť, pre ktoré servery sa bude táto metóda autorizácie používať. Ak to chcete urobiť, musíte vykonať nasledujúce kroky.

V okne úpravy politiky (obr. 2) kliknite na tlačidlo " Šou»

Ryža. 2. Okno na úpravu zásad skupiny

Pridajte zoznam terminálových serverov (obr. 3).

Ryža. 3. Pridanie terminálového servera pre transparentnú autorizáciu

Reťazec servera na pridanie má nasledujúci formát:

TERMSRV/názov servera.

Servery môžete určiť aj podľa masky domény. V tomto prípade sa riadok zmení na:

TERMSRV/*.názov_domény.

Ak nie je možné použiť skupinové politiky, príslušné nastavenia je možné nastaviť pomocou editora registra. Napríklad pre nastavenia windows XP Sp3 môže používať nasledujúci súbor databázy Registry:

Editor databázy Registry systému Windows, verzia 5.00

"Bezpečnostné balíčky"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\

00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00, \

6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74, \

00,73,00,70,00,6b,00,67,00,00,00,00,00

"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll"

"AllowDefaultCredentials"=dword:00000001

"ConcatenateDefaults_AllowDefault"=dword:00000001

"1"="termsrv/*.mydomain.com"

Tu by ste namiesto mydomain.com mali nahradiť názov domény. V tomto prípade pri plnom pripojení k terminálovým serverom doménové meno(napríklad termserver1.mydomain.com) použije sa transparentná autorizácia.

Ak chcete použiť technológiu Single Sign-On na terminálovom serveri, musíte vykonať nasledujúce kroky.

  1. Otvorte konzolu konfigurácie terminálových služieb ( tsconfig.msc).
  2. V časti pripojenia prejdite na vlastnosti rdp-tcp.
  3. Na karte " Sú bežné» nastaviť úroveň zabezpečenia « Koordinácia" alebo " SSL (TLS 1.0)» (obr. 4).

Ryža. 4. Nastavenie úrovne zabezpečenia na terminálovom serveri

V tomto prípade možno konfiguráciu klientskej a serverovej časti považovať za dokončenú.

Praktické informácie

V tejto časti sa budeme zaoberať obmedzeniami používania transparentnej autorizačnej technológie a problémami, ktoré môžu pri jej používaní vzniknúť.

  • Technológia Single Sign-On funguje iba pri pripájaní z počítačov s iným operačným systémom ako Windows XP SP3 alebo novším. Počítače s operačný systém Windows Vista, Windows Server 2008, Windows 7 a Windows Server 2008 R2.
  • Ak terminálový server, ku ktorému sa nadväzuje spojenie, nemôže byť overený prostredníctvom Kerberos alebo certifikátu SSL, SSO nebude fungovať. Toto obmedzenie je možné obísť politikou:
    Povoliť delegovanie poverení nastavených predvolene s overením iba na serveri NTLM".
  • Algoritmus aktivácie a konfigurácie tejto skupinovej politiky je podobný tomu, ktorý je uvedený vyššie. Súbor databázy Registry zodpovedajúci tomuto nastaveniu má nasledujúci tvar.

"AllowDefCredentialsWhenNTLMOnly"=dword:00000001

"ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001

"1"="termsrv/*.mydomain.com"

Autentifikácia týmto spôsobom je menej bezpečná ako používanie certifikátov alebo Kerberos.

  • Ak sú v nastaveniach klienta terminálu uložené poverenia pre ľubovoľný server, majú vyššiu prioritu ako aktuálne poverenia.
  • Jednotné prihlásenie funguje iba pri používaní doménových účtov.
  • Ak pripojenie k terminálovému serveru prechádza cez bránu TS, v niektorých prípadoch môžu mať nastavenia servera brány TS prednosť pred nastaveniami SSO terminálového klienta.
  • Ak je terminálový server nakonfigurovaný tak, aby zakaždým vyzval používateľov na zadanie poverení, jednotné prihlásenie nebude fungovať.
  • Technológia transparentnej autorizácie funguje iba s heslami. Ak sa použijú čipové karty, nebude to fungovať.

Aby jednotné prihlásenie fungovalo správne v systéme Windows XP SP, odporúča sa nainštalovať dve opravy z KB953760: „Keď povolíte jednotné prihlásenie pre terminálový server z klientskeho počítača so systémom Windows XP SP3, budete pri prihlásení stále vyzvaní na zadanie poverení používateľa. na terminálový server“.

V niektorých prípadoch je možné, že transparentná autorizačná technológia môže alebo nemusí fungovať na rovnakom koncovom klientovi, v závislosti od profilu pripájajúceho sa užívateľa. Problém je vyriešený opätovným vytvorením používateľského profilu. Ak je to príliš časovo náročná úloha, môžete skúsiť postupovať podľa tipov z diskusie: „RemoteApp Single Sign On (SSO) z klienta Windows 7“ na fórach Microsoft Technet. Predovšetkým sa odporúča obnoviť nastavenia programu Internet Explorer alebo schváliť príslušný doplnok.

Ďalším veľkým obmedzením technológie SSO je, že nefunguje pri spúšťaní publikovaných aplikácií cez TS Web Access. V tomto prípade je používateľ nútený zadať prihlasovacie údaje dvakrát: pri prihlasovaní do webového rozhrania a pri prihlasovaní na terminálový server.

V systéme Windows Server 2008 R2 sa veci zmenili k lepšiemu. Viac detailné informácie to možno nájsť v článku: „Zavedenie jednotného webového prihlásenia pre pripojenia RemoteApp a Desktop““.

Záver

Článok sa zaoberá technológiou transparentnej autorizácie na terminálových serveroch Single Sign-On. Jeho použitie vám umožňuje skrátiť čas, ktorý používateľ strávi prihlásením sa na terminálový server a spúšťaním vzdialených aplikácií. Navyše s jeho pomocou stačí zadať prihlasovacie údaje raz pri prihlásení do lokálneho počítača a následne ich použiť pri pripojení k terminálovým serverom domény. Mechanizmus odovzdávania poverení je celkom bezpečný a nastavenie serverovej a klientskej časti je mimoriadne jednoduché.

V serverových verziách operačného systému Windows existuje skvelá príležitosť použiť prihlasovacie údaje zadané používateľom skôr, keď sa prihlasuje do svojho počítača na pripojenie. Nemusia teda zadávať prihlasovacie meno a heslo pri každom spustení publikovanej aplikácie alebo len vzdialenej plochy. Táto vec sa nazýva Single Sign On pomocou technológie CredSSP(Poskytovateľ bezpečnostných služieb).

Popis

Aby to fungovalo, musia byť splnené nasledujúce podmienky:

  • Terminálový server a klient, ktorý sa k nemu pripája, musia byť v doméne.
  • Terminálový server musí byť nakonfigurovaný v OS Windows Server 2008, Windows Server 2008 R2 alebo staršia verzia .
  • Na klientskom počítači musí byť nainštalovaný nasledujúci OS: Windows XP SP3, Windows Vista, Windows Server 2008, Windows 7, Windows 8 alebo Windows Server 2008 R2.

Pre Windows XP SP3, sú potrebné ďalšie pohyby. Je potrebné nainštalovať opravu, ktorá vám umožní konfigurovať nastavenia prostredníctvom skupinových politík a pre Windows XP SP3.
Túto opravu (MicrosoftFixit50588.msi) si môžete stiahnuť z našej webovej stránky aj z nej:

Najprv nastavte úroveň zabezpečenia na terminálovom serveri na režim „Negotiate“:

Nastavíme v ňom 2 parametre: Povoliť odovzdávanie predvolených poverení a Povoliť delegovanie predvolených poverení s overením servera iba NTLM

Povoliť delegovanie predvolených poverení s overením servera iba NTLM – je potrebné ho nakonfigurovať iba v prípade, ak sa autentifikácia na terminálovom serveri nevykoná pomocou Kerberos alebo certifikátu SSL.

Bez opätovného zadávania prihlasovacieho mena a hesla vstupujeme na server (servery), na ktorý chceme vpustiť používateľov. Môžete zadať masku alebo môžete zadať samostatne. Návod je podrobný.

Potom aplikujeme politiku na požadovaný počítač (počítače) a skontrolujeme, či majú používatelia povolený vstup na terminálové servery uvedené v pravidlách vyššie bez zadania prihlasovacieho mena a hesla.



Načítava...
Hore