Távoli hozzáférés a szerverhez az Interneten keresztül rdp. Csatlakozzon egy távoli asztalhoz a beépített Windows RDP kliens segítségével

Úgy gondolják, hogy a Windows Remote Desktop (RDP) segítségével történő csatlakozás nagyon nem biztonságos az analógokhoz (VNC, TeamViewer stb.) képest. Ennek eredményeként a külső hozzáférés megnyitása bármely számítógéphez vagy helyi hálózati szerverhez nagyon meggondolatlan döntés – minden bizonnyal feltörik. A második érv az RDP-vel szemben általában így hangzik: „ez felemészti a forgalmat, nem pedig a lassú internet opciója”. Leggyakrabban ezek az érvek nem megalapozottak.

Az RDP-protokoll már régóta létezik, debütálására több mint 20 évvel ezelőtt került sor a Windows NT 4.0-n, és azóta rengeteg víz ment el a híd alatt. Jelenleg az RDP nem kevésbé biztonságos, mint bármely más távelérési megoldás. Ami a szükséges sávszélességet illeti, ebben a tekintetben egy csomó beállítás létezik, amelyek segítségével kiváló válaszkészséget és sávszélesség-megtakarítást lehet elérni.

Röviden, ha tudja, mit, hogyan és hol kell konfigurálni, akkor az RDP nagyon jó távoli elérési eszköz lesz. A kérdés az, hogy hány admin próbált elmélyülni a felszínnél kicsit mélyebben elrejtett beállításokban?

Most elmondom, hogyan védheti meg az RDP-t és konfigurálhatja az optimális teljesítmény érdekében.

Először is, az RDP protokollnak számos változata létezik. Minden további leírás az RDP 7.0 és újabb verziókra vonatkozik. Ez azt jelenti, hogy legalább a Windows Vista SP1 szervizcsomaggal rendelkezik. A retró szerelmesei számára egy speciális frissítés található a Windows XP SP3 rendszerhez KB 969084 amely hozzáadja az RDP 7.0-t ehhez az operációs rendszerhez.

1. beállítás - titkosítás

A számítógépen, amelyhez csatlakozni kíván, nyissa meg a gpedit.msc fájlt. Nyissa meg a Számítógép konfigurációja - Felügyeleti sablonok - Windows-összetevők - Távoli asztali szolgáltatások - Biztonság elemet.

Állítsa a „Speciális biztonsági szint használatának megkövetelése az RDP-módszert használó távoli kapcsolatokhoz” paramétert „Engedélyezve” értékre, a Biztonsági szintet pedig „SSL TLS 1.0” értékre.

Ezzel a beállítással engedélyeztük a titkosítást. Most meg kell győződnünk arról, hogy csak erős titkosítási algoritmusokat használunk, és nem valamilyen DES 56 bites vagy RC2-t.

Ezért ugyanabban a szálban nyissa meg a „Titkosítási szint beállítása ügyfélkapcsolatokhoz” lehetőséget. Kapcsolja be, és válassza ki a „Magas” szintet. Ezzel 128 bites titkosítást kapunk.

De ez nem a határ. A legmagasabb szintű titkosítást a FIPS 140-1 szabvány biztosítja. Ebben az esetben az összes RC2/RC4 automatikusan átmegy az erdőn.

A FIPS 140-1 használatának engedélyezéséhez ugyanabban a beépülő modulban lépjen a Számítógép konfigurációja - Windows konfiguráció - Biztonsági beállítások - Helyi házirendek - Biztonsági beállítások elemre.

Megkeressük a „Rendszerkriptográfia: FIPS-kompatibilis algoritmusok használata titkosításhoz, kivonatoláshoz és aláíráshoz” opciót, és engedélyezzük.

Végül pedig feltétlenül engedélyezze a „Biztonságos RPC kapcsolat szükséges” opciót a Számítógép konfigurációja - Felügyeleti sablonok - Windows-összetevők - Távoli asztali szolgáltatások - Biztonság útvonalon.

Ez a beállítás megköveteli, hogy a csatlakozó ügyfelek titkosítást igényeljenek a fent konfigurált beállításoknak megfelelően.

Most a titkosítás teljesen rendben van, mehet tovább.

2. beállítás - módosítsa a portot

Alapértelmezés szerint az RDP protokoll a 3389-es TCP-porton lóg. A változatosság kedvéért módosítható, ha meg kell változtatni a PortNumber kulcsot a rendszerleíró adatbázisban a címen

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

3. beállítás – Hálózati hitelesítés (NLA)

Alapértelmezés szerint az RDP-n keresztül csatlakozhat felhasználónév és jelszó megadása nélkül, és megjelenik a távoli asztal üdvözlőképernyője, ahol be kell jelentkeznie. Ez egyáltalán nem biztonságos abban az értelemben, hogy egy ilyen távoli számítógép könnyen DDoSed-elhető.

Ezért ugyanabban a szálban engedélyezzük a „Felhasználói hitelesítés megkövetelése hálózati szintű hitelesítést használó távoli kapcsolatokhoz” lehetőséget.

4. beállítás – mit kell még ellenőrizni

Először győződjön meg arról, hogy a "Fiókok: Üres jelszavak engedélyezése csak a konzol bejelentkezéskor" beállítás engedélyezve van. A beállítás a Számítógép konfigurációja - Felügyeleti sablonok - Windows-összetevők - Távoli asztali szolgáltatások - Biztonság menüpontban található.

Másodszor, ne felejtse el ellenőrizni azon felhasználók listáját, akik RDP-n keresztül tudnak csatlakozni

5. számú beállítás - sebesség optimalizálás

Nyissa meg a Számítógép konfigurációja - Felügyeleti sablonok - Windows-összetevők - Távoli asztali szolgáltatások - Távoli munkamenet-környezet szakaszt.

Itt több paramétert is beállíthat és kell is beállítani:

• A legnagyobb színmélység - 16 bitre korlátozhatja magát. Ez a 32 bites mélységhez képest több mint kétszeres forgalmat takarít meg.
• A távoli asztal háttérképének kényszerített törlése - nincs rá szükség a munkához.
• Az RDP-tömörítési algoritmus beállítása - jobb, ha az értéket a Sávszélesség-használat optimalizálása értékre állítja. Ebben az esetben az RDP valamivel több memóriát fogyaszt, de hatékonyabban tömöríti.
• Optimalizálja a vizuális effektusokat a Remote Desktop Services munkamenetekhez – állítsa az értéket „Szöveg”-re. Ami a munkához kell.

Ellenkező esetben, amikor egy távoli számítógéphez csatlakozik az ügyféloldalról, ezenkívül letilthatja:

• Betűsimítás. Ez nagymértékben csökkenti a válaszidőt. (Ha teljes értékű terminálkiszolgálóval rendelkezik, akkor ez a paraméter a szerver oldalon is beállítható)
• Asztali kompozíció - felelős az Aero-ért stb.
• Az ablak megjelenítése húzáskor
• Vizuális effektek
• Tervezési stílusok – ha hardcore-ra vágysz

A többi paramétert, például az asztal hátterét és a színmélységet már előre definiáltuk a szerver oldalon.

Ezenkívül az ügyféloldalon növelheti a kép-gyorsítótár méretét, ez a beállításjegyzékben történik. A HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\ címen létre kell hoznia két DWORD 32 típusú kulcsot: BitmapPersistCacheSize és BitmapCacheSize.

• A BitmapPersistCacheSize értéke 10000 (10 MB) Alapértelmezés szerint ez a paraméter 10, ami 10 KB-nak felel meg.
• A BitmapCacheSize 10000-re (10 MB) is beállítható. Alig fogja észrevenni, ha az RDP kapcsolat felemészt 10 MB plusz RAM-ot

Nem mondok semmit a nyomtatók továbbításáról stb. Akinek szüksége van valamire, az továbbítja.

Ezzel a beállítás fő része véget ért. A következő áttekintésekben elmondom, hogyan javíthatja tovább és biztonságossá teheti az RDP-t. Használja helyesen az RDP-t, legyen stabil kapcsolata mindenkinek! Tekintse meg, hogyan készíthet RDP terminálkiszolgálót a Windows bármely verzióján.

Bizonyára sokan hallották és látták már ezt a rövidítést - szó szerint így fordítják Távoli asztali protokoll (TávoliAsztalijegyzőkönyv). Ha valakit érdekelnek ennek az alkalmazásszintű protokollnak a működésének technikai bonyodalmai, az elolvashatja a szakirodalmat, kezdve ugyanazzal a Wikipédiával. Pusztán gyakorlati szempontokat fogunk figyelembe venni. Ez a protokoll ugyanis lehetővé teszi, hogy a Windowsba épített „Remote Desktop Connection” eszközzel távolról csatlakozzon a Windows különböző verzióit futtató számítógépekhez.

Mik az RDP protokoll használatának előnyei és hátrányai?

Kezdjük a kellemesekkel – a profikkal. Az előnye, hogy ez az eszköz, amelyet helyesebben hívnak ÜgyfélRDP, bármely Windows-felhasználó számára elérhető, mind azon a számítógépen, amelyről a távirányítót vezérelni kívánja, mind pedig azoknak, akik távoli hozzáférést szeretnének nyitni számítógépükhöz.

A távoli asztalhoz való csatlakozáson keresztül nemcsak a távoli asztal megtekintésére és a távoli számítógép erőforrásainak használatára nyílik lehetőség, hanem helyi lemezek, nyomtatók, intelligens kártyák stb. csatlakoztatására is. Természetesen, ha RDP-n keresztül szeretne videót nézni vagy zenét hallgatni, ez a folyamat valószínűleg nem okoz örömet, mert... a legtöbb esetben diavetítést fog látni, és a hang valószínűleg megszakad. De az RDP szolgáltatást nem ezekre a feladatokra fejlesztették ki.

További kétségtelen előny, hogy a számítógéphez való csatlakozás minden további, többnyire fizetős programok nélkül történik, bár megvannak a maguk előnyei. Az RDP-kiszolgálóhoz (amely a távoli számítógéphez) való hozzáférési időt csak az Ön kívánsága korlátozza.

Csak két mínusz van. Az egyik jelentős, a másik nem annyira. Az első és lényeges az, hogy az RDP-vel való együttműködéshez annak a számítógépnek, amelyre a kapcsolatot létesítjük, fehér (külső) IP-címmel kell rendelkeznie, vagy a routertől erre a számítógépre „tovább lehet küldeni” egy portot, amelynek ismét külső IP-vel kell rendelkeznie. Nem számít, hogy statikus vagy dinamikus, de annak lennie kell.

A második hátrány nem olyan jelentős - az ügyfél legújabb verziói már nem támogatják a 16 színű színsémát. Minimum - 15 bit. Ez nagymértékben lelassítja az RDP-t, ha egy csökevényes, halott interneten keresztül csatlakozik másodpercenként 64 kilobitet meg nem haladó sebességgel.

Mire használhatod az RDP-n keresztüli távoli hozzáférést?

A szervezetek általában RDP-kiszolgálókat használnak az 1C programban való együttműködéshez. És néhányan még felhasználói munkaállomásokat is telepítenek rájuk. Így a felhasználó, különösen, ha utazó munkája van, ha rendelkezik 3G internettel vagy hotel/kávézó Wi-Fi-vel, távolról csatlakozhat a munkahelyéhez, és megoldhat minden problémát.

Egyes esetekben az otthoni felhasználók távoli hozzáférést is használhatnak otthoni számítógépükhöz, hogy adatokat szerezzenek az otthoni erőforrásokból. A távoli asztali szolgáltatás elvileg lehetővé teszi a szöveges, mérnöki és grafikus alkalmazásokkal való teljes körű munkát. A fent említett okok miatt nem fog működni videó- ​​és hangfeldolgozással, de ez még mindig nagyon jelentős plusz. A munkahelyi vállalati szabályzat által lezárt erőforrásokat is megtekintheti, ha otthoni számítógépéhez csatlakozik névtelenítők, VPN vagy más gonosz szellemek nélkül.

Az Internet előkészítése

Az előző részben beszéltünk arról, hogy az RDP-n keresztüli távoli eléréshez külső IP-címre van szükségünk. Ezt a szolgáltatást a szolgáltató nyújthatja, ezért hívunk vagy írunk, vagy felkeressük személyes fiókját és intézkedünk ennek a címnek a megadásáról. Ideális esetben statikusnak kell lennie, de elvileg dinamikusakkal együtt lehet élni.

Ha valaki nem érti a terminológiát, akkor a statikus cím állandó, a dinamikus cím pedig időről időre változik. A dinamikus IP-címekkel való teljes körű együttműködés érdekében különféle szolgáltatásokat találtak ki, amelyek dinamikus tartománykötést biztosítanak. Hogy mit és hogyan, erről a témáról hamarosan cikk lesz.

A router előkészítése

Ha számítógépe nem közvetlenül csatlakozik az internetszolgáltató kábeléhez, hanem egy útválasztón keresztül, akkor ezzel az eszközzel is el kell végeznünk néhány manipulációt. Mégpedig - továbbítási szolgáltatási port - 3389. Ellenkező esetben az útválasztó NAT-ja egyszerűen nem engedi be az otthoni hálózatba. Ugyanez vonatkozik az RDP-kiszolgáló szervezeten belüli beállítására is. Ha nem tudja, hogyan kell portot továbbítani, olvassa el a portok továbbítása útválasztón című cikket (új lapon nyílik meg), majd térjen vissza ide.

A számítógép előkészítése

A számítógéphez való távoli csatlakozás létrehozásához pontosan két dolgot kell tennie:

Engedélyezze a csatlakozást a Rendszer tulajdonságainál;
- állítson be egy jelszót az aktuális felhasználóhoz (ha nincs jelszava), vagy hozzon létre egy új felhasználót egy kifejezetten az RDP-n keresztüli csatlakozáshoz szükséges jelszóval.

Döntse el maga, mit kezd a felhasználóval. Ne feledje azonban, hogy a nem szerver operációs rendszerek natív módon nem támogatják a többszörös bejelentkezést. Azok. Ha helyileg (konzolon) saját magaként jelentkezik be, majd távolról ugyanazon felhasználóként jelentkezik be, a helyi képernyő zárolva lesz, és a távoli asztali kapcsolat ablakban megnyílik a munkamenet ugyanazon a helyen. Ha helyileg adja meg a jelszót anélkül, hogy kilépne az RDP-ből, akkor ki lesz zárva a távoli hozzáférésből, és az aktuális képernyőt fogja látni a helyi monitoron. Ugyanez vár Önre, ha egy felhasználóként jelentkezik be a konzolon, és távolról próbál bejelentkezni egy másik felhasználóként. Ebben az esetben a rendszer felszólítja a helyi felhasználói munkamenet befejezésére, ami nem mindig kényelmes.

Tehát menjünk Rajt, kattintson a jobb gombbal a menüre Számítógépés nyomja meg Tulajdonságok.

Az ingatlanokban Rendszerek választ Haladó rendszerbeállítások

A megnyíló ablakban lépjen a lapra Távoli hozzáférés…

...kattintson Továbbá…

És jelölje be az egyetlen négyzetet ezen az oldalon.

Ez a Windows 7 „otthoni” verziója – a Pro és újabb verziókkal rendelkezőknek több jelölőnégyzet lesz, és lehetőség nyílik a hozzáférés megkülönböztetésére.

Kattintson rendben mindenhol.

Most lépjen a Távoli asztali kapcsolat lehetőségre (Start> Minden program> Tartozékok), írja be a számítógép IP-címét vagy nevét, ha az otthoni hálózatáról szeretne csatlakozni hozzá, és használni kívánja az összes erőforrást.

Mint ez. Elvileg minden egyszerű. Ha hirtelen bármilyen kérdése van, vagy valami nem világos, üdvözöljük a megjegyzésekben.

Mi az a Távoli asztal

A Windows Remote Desktop (rdp) használata nagyon hasznos és kényelmes megoldás lehet a problémára távoli számítógép hozzáférés. Mikor lehet hasznos a távoli asztal? Ha távolról szeretné vezérelni számítógépét (akár helyi hálózatról, akár a világ bármely pontjáról). Természetesen harmadik felek, például és mások is felhasználhatók ezekre a célokra. De gyakran ezek a programok megkövetelik a hozzáférés megerősítését a távoli számítógép oldalán, nem alkalmasak arra, hogy több felhasználó párhuzamosan használja a számítógépet, és még mindig lassabban működnek, mint a távoli asztal. Ezért az ilyen programok alkalmasabbak távoli segítségnyújtásra vagy karbantartásra, de nem mindennapi munkára.

Nagyon kényelmes lehet a Remote Desktop használata, amely lehetővé teszi a felhasználók számára, hogy bizonyos programokkal dolgozhassanak. Például, ha egy program működését egy távoli felhasználónak kell bemutatnia (demó hozzáférést biztosít a teszteléshez). Vagy például csak egy nagy teljesítményű számítógép van az irodájában, amelyre egy igényes program van telepítve. Más gyenge számítógépeken lelassul, de mindenkinek szüksége van a hozzáférésre. Ilyenkor jó megoldás egy távoli asztal használata: a „halott” számítógépeiről mindenki rdp-n keresztül csatlakozik egy erős számítógéphez, és használja a rajta lévő programot anélkül, hogy zavarná egymást.

Statikus IP-cím. Mi szükséges az rdp-n keresztüli távoli eléréshez

Az egyik fontos szempont ezzel kapcsolatban beállítása, majd a távoli asztal használata statikus IP-címre van szükség a távoli számítógépen. Ha olyan távoli asztalt állít be, amelyet csak a helyi hálózaton belül használ, akkor nincs probléma. A távoli asztalt azonban főként külső hozzáférésre használják. A legtöbb szolgáltató dinamikus IP-címet biztosít az előfizetőknek, és normál használathoz ez is elég. A statikus („fehér”) IP-címeket általában felár ellenében biztosítják.

A Windows távoli asztal beállítása

Nos, rájöttünk, miért van szükségünk távoli asztalra. Most kezdjük el a beállítását. Az itt tárgyalt utasítások a Windows 7, 8, 8.1, 10 operációs rendszerre vonatkoznak. A felsorolt ​​operációs rendszerek mindegyikében hasonlóak a beállítások, a különbségek csekélyek, és csak néhány ablak megnyitásának módjában.

Először konfigurálnunk kell a számítógépet, amelyhez csatlakozni fogunk.

Figyelem! Fiókjának rendszergazdai jogokkal kell rendelkeznie.

1. Nyissa meg Rajt - Kezelőpanel .

A Windows 8.1 és 10 rendszerben kényelmesen megnyitható Kezelőpanel jobb gombbal az ikonra kattintva Rajtés kiválasztja a listából Kezelőpanel .

Ezután válassza ki rendszer és biztonság - Rendszer. (Ez az ablak más módon is megnyitható: kattintson Rajt, majd kattintson a jobb gombbal Számítógépés válassz Tulajdonságok ).

Távoli hozzáférés beállítása .

3. A szakaszban Távoli asztal választ:

- Csak hálózati szintű hitelesítéssel rendelkező Távoli asztalt futtató számítógépekről engedélyezze a kapcsolatokat . Alkalmas a Remote Desktop 7.0-s verzióját futtató ügyfelek számára.

- . Alkalmas kliensek régebbi verzióinak összekapcsolására.

4. Kattintson a gombra Alkalmaz .

5. A gombbal Felhasználók kiválasztása Megnyílik egy ablak, amelyben megadhatja azokat a fiókokat a számítógépen, amelyek számára engedélyezett a távoli csatlakozás. (Ezt az eljárást a felhasználó csoporthoz való hozzáadásának is nevezik )

A rendszergazdai jogokkal rendelkező felhasználók alapértelmezés szerint távoli dolgozói hozzáféréssel rendelkeznek. A tényleges csatlakozáson túl azonban minden fiókot jelszóval kell védeni, még a rendszergazdai fiókot is.

6. Hozzáadás a csoporthoz Távoli asztali felhasználók egy új felhasználó normál jogokkal (nem rendszergazda). Ehhez nyomja meg a gombot Hozzáadás

A mezőn Írja be a neveket a kiválasztott objektumok közül adja meg felhasználónk nevét. nekem ez megvan Hozzáférés 1. Kattintsunk Ellenőrizze a neveket .

Ha minden helyes, a számítógép neve hozzáadódik a felhasználónévhez. Kattintson rendben .

Ha nem emlékszünk a pontos felhasználónévre, vagy nem akarjuk manuálisan megadni, kattintson Továbbá .

A megnyíló ablakban kattintson a gombra Keresés .

A mezőn keresési eredményeket Megjelenik az összes számítógép-felhasználó és helyi csoport. Válassza ki a kívánt felhasználót, és kattintson rendben .

Ha az összes szükséges felhasználót kiválasztotta az ablakban Kiválasztás: Felhasználók nyomja meg rendben .

Most pedig a csoporthoz Távoli asztali felhasználók rendszeres fiókkal rendelkező felhasználó kerül hozzáadásra Hozzáférés 1. A módosítások alkalmazásához kattintson a gombra rendben .

7. Ha harmadik féltől származó tűzfalat használ, akkor azt kiegészítőleg be kell állítania, nevezetesen meg kell nyitnia a 3389-es TCP-portot. Ha csak a beépített Windows tűzfal fut, akkor nem kell semmit tennie, automatikusan konfigurálódik, amint engedélyeztük a távoli asztal használatát a számítógépen.

Ezzel befejeződik a távoli számítógép alapbeállítása.

Hálózati beállítások, port továbbítás

Mint fentebb említettük, azért távoli asztali hozzáférés statikus IP-címre van szüksége.

Ha nincs útválasztója, és az internetkábel közvetlenül a számítógéphez csatlakozik, hagyja ki ezt a részt, és folytassa a következővel. Ha routert használ, további beállításokat kell elvégeznie rajta.

Ha a távoli asztalt csak helyi hálózaton tervezi használni, akkor elegendő egy helyi IP-cím hozzárendelése a kívánt számítógéphez (kövesse az első részt, port továbbítás nélkül). Ha kívülről hozzáférésre van szüksége, akkor szintén szüksége van rá. A távoli asztalhoz való hozzáférés megnyitásához továbbítania kell a 3389-es TCP-portot.

Távoli asztali kapcsolat beállítása

Menjünk közvetlenül a távoli asztalhoz való csatlakozás, vagyis az ügyféloldali beállítások.

1. Indítsuk el .

Ezt a Windows 7 rendszerben a menün keresztül teheti meg Rajt - Minden program - Alapértelmezett - Távoli asztali kapcsolat .

Windows 8 rendszerben kényelmes a kereséssel indítani. Kattintson Rajt, kattintson a jobb felső sarokban található nagyító ikonra, és kezdje el beírni a „törölt” szót a keresőmezőbe. A javasolt keresési lehetőségek közül válassza ki a lehetőséget Távoli asztali kapcsolat .

Windows 10 rendszeren: Rajt - Minden alkalmazás - Szabványos Windows - Távoli asztali kapcsolat .

2. Először is nézzük meg, melyik protokollverzió van telepítve. Ehhez kattintson a bal felső sarokban található ikonra, és válassza ki az elemet A programról .

Az asztali protokoll verziójának ellenőrzése. Ha 7.0 vagy magasabb, akkor minden rendben van, lehet csatlakozni.

Ha a protokoll verziója alacsonyabb (ez a Windows régebbi verzióiban lehetséges), akkor vagy frissítenie kell, vagy csökkentenie kell a biztonsági szintet a távoli számítógép beállításaiban (azaz válassza ki a Kapcsolatok engedélyezése a Távoli asztal bármely verzióját futtató számítógépekről (veszélyesebb) ).

Az alábbi hivatkozások segítségével letöltheti a távoli asztal frissítéseit a régebbi operációs rendszerekhez:

3. Adja meg a csatlakozási paramétereket:

A mezőn Számítógép Regisztráljuk annak a távoli számítógépnek az IP-címét, amelyhez csatlakozni fogunk. (Helyi - ha a helyi hálózaton belül csatlakozunk, és valós (az internetszolgáltató által megadott), ha a távoli számítógép a helyi hálózaton kívül található). Nekem az első lehetőségem van.

Jegyzet. Megtudhatja, hogy milyen külső statikus IP-címe van például a Yandex.Internetometer szolgáltatáson keresztül.

4. Kattintson a gombra Bedugózni .

A rendszer felkéri a hitelesítési adatok megadására. Adja meg a távoli számítógép bármely olyan felhasználójának bejelentkezési nevét és jelszavát, aki jogosult a távoli asztal használatára. Az én példámban az Admin vagy Hozzáférés 1. Emlékeztetjük, hogy a fiókokat jelszóval kell védeni.

Adja meg felhasználónevét és jelszavát, és jelölje be a mellette lévő négyzetet Ne feledje a hitelesítő adatokat , hogy ne adja meg őket a következő csatlakozáskor. Természetesen csak akkor emlékezhet meg a hitelesítő adataira, ha olyan személyi számítógépről dolgozik, amelyhez illetéktelen személyek nem férhetnek hozzá.

Kattintson rendben .

Megjelenik egy figyelmeztetés. Tegyél egy pipát Ne kérjen többé kapcsolatot ehhez a számítógéphez és nyomja meg Igen .

Ha mindent megfelelően csinált, a távoli asztalt fogja látni maga előtt.

Jegyzet. Emlékeztetjük, hogy egy felhasználó alatt nem tud egyszerre több számítógépről távoli munkával csatlakozni. Azaz, ha azt tervezzük, hogy egyszerre többen dolgoznak a távoli számítógéppel, akkor mindegyikhez külön felhasználót kell létrehozni, és jogokat kell adnia a távoli asztal használatához. Ez egy távoli számítógépen történik, amint azt a cikk elején tárgyaltuk.

További távoli asztali beállítások

Most néhány szó a távoli asztalhoz való csatlakozás további beállításairól.

A beállítások menü megnyitásához kattintson a gombra Lehetőségek .

Általános lap

Itt módosíthatja a kapcsolat beállításait. A szerkesztés linkre kattintva módosíthatja a felhasználónevet és a csatlakozási jelszót.

A már konfigurált kapcsolati beállításokat elmentheti. Kattintson a gombra Mentés másként és válassz egy helyet, pl. Asztali . Mostantól Asztali Megjelenik egy parancsikon, amely azonnal elindít egy távoli asztali kapcsolatot anélkül, hogy paramétereket kellene megadni. Ez nagyon kényelmes, különösen akkor, ha rendszeresen több távoli számítógéppel dolgozik, vagy ha nem saját maga konfigurálja, és nem akarja megzavarni a felhasználókat.

Képernyő fül

A lapon Képernyő megadhatja a távoli asztal méretét (akár a monitor teljes képernyőjét elfoglalja, akár egy kis külön ablakban jelenik meg).

A színmélységet is kiválaszthatja. Ha az internetkapcsolat sebessége lassú, ajánlatos alacsonyabb mélységet választani.

Helyi erőforrások lapon

Itt konfigurálhatja a hangparamétereket (lejátszás a távoli számítógépen vagy a kliens számítógépen stb.), a Windows gyorsbillentyűk használatának sorrendjét (például Ctrl+Alt+Del, Ctrl+C stb.) a távoli asztal.

Az egyik leghasznosabb rész itt Helyi eszközök és erőforrások . A négyzet bejelölésével Nyomtató, akkor lehetőség nyílik dokumentumok nyomtatására egy távoli asztalról a helyi nyomtatóra. Pipa Vágólap egyetlen vágólapot aktivál a távoli asztal és a számítógép között. Vagyis normál másolási és beillesztési műveleteket használhat fájlok, mappák stb. átvitelére. távoli számítógépről a sajátjára és fordítva.

A gombra kattintva További részletek, akkor a beállítások menübe kerül, ahol további eszközöket csatlakoztathat a számítógépen a távoli asztalhoz.

Például szeretne hozzáférni a lemezéhez, amikor távoli számítógépen dolgozik D. Ezután kattintson a szemközti plusz jelre Eszközök a lista kibontásához és a lemez kipipálásához D. Kattintson rendben .

Most, amikor csatlakozik egy távoli asztalhoz, látni fogja és hozzáfér a lemezéhez D keresztül Karmester mintha fizikailag csatlakozna a távoli számítógéphez.

Speciális lap

Itt választhatja ki a csatlakozási sebességet a maximális teljesítmény eléréséhez, valamint beállíthatja az asztal hátterének megjelenítését, vizuális effektusokat stb.

Távoli asztali kapcsolat eltávolítása

Végül mérlegeljük hogyan lehet törölni egy távoli asztali kapcsolatot. Mikor van rá szükség? Például korábban távoli hozzáféréssel rendelkezett a számítógépéhez, de most erre nincs szükség, sőt meg kell akadályoznia, hogy idegenek csatlakozzanak a számítógép távoli asztalához. Nagyon könnyű megtenni.

1. Nyissa meg Kezelőpanel - rendszer és biztonság - Rendszer, ahogy a cikk elején is tették.

2. A bal oldali oszlopban kattintson a gombra Távoli hozzáférés beállítása .

3. A szakaszban Távoli asztal választ:

- Ne engedélyezze a csatlakozást ehhez a számítógéphez

Kész. Most már senki sem fog tudni csatlakozni Önhöz a távoli asztalon keresztül.

A Távsegítség használata mellett árnyék RDP-kapcsolattal () távolról is csatlakozhat a Windows 10 felhasználó asztalához. A legtöbb rendszergazda valamilyen módon ezt a funkciót használta a felhasználói munkamenetekhez való csatlakozásra a Windows Server 2012 R2/Server 2016 rendszert futtató terminál RDS-kiszolgálókon. Nem mindenki tudja azonban, hogy az árnyékkapcsolat segítségével távolról megtekintheti és interakcióba léphet a felhasználó asztalán. asztali Windows 10. Nézzük meg, hogyan működik.

Emlékszel, ha távolról próbál meg csatlakozni egy Windows 10 rendszerű számítógéphez RDP-n keresztül, a helyileg dolgozó felhasználó munkamenete megszakad (még akkor is, ha engedélyezi a használatát). Mindazonáltal közvetlenül csatlakozhat a felhasználói konzolmunkamenethez anélkül, hogy zárolná a munkamenetet.

Tegyük fel, hogy egy Windows Server 2012 R2 kiszolgálóról egy helyi Windows 10 munkaállomást futtató felhasználó asztalához kell csatlakoznia.

A felhasználói munkamenethez való árnyékos csatlakozáshoz szabványos RDP segédprogramot kell használnia mstsc.exe. A parancs formátuma:

Mstsc.exe /shadow: /v:<Имя или IP адрес компьютера>

Használhatja az alábbi lehetőségek egyikét is:

• /gyors– kérje le annak a felhasználónak a nevét és jelszavát, akivel a kapcsolat létrejön (ha nincs megadva, a csatlakozás az aktuális felhasználó alatt történik).
• /ellenőrzés– a felhasználói munkamenettel való interakció módja. Ha a paraméter nincs megadva, akkor a felhasználói munkamenet megtekintési (monitoring) üzemmódjában csatlakozik, pl. nem tudja majd vezérelni az egeret, és nem tudja bevinni az adatokat a billentyűzetről;
• /noConsentPrompt– ne kérjen megerősítést a felhasználótól a munkamenethez való csatlakozáshoz.

Az árnyékkapcsolati mód (függetlenül attól, hogy szükséges-e felhasználói megerősítés kérése, esetleg vezérlés egy munkamenetben vagy csak megfigyelés) csoportházirenddel vagy a beállításjegyzék szerkesztésével állítható be.

A házirend a részben található Számítógép konfigurációja -> Felügyeleti sablonok -> Windows-összetevők -> Távoli asztali szolgáltatások -> Távoli asztali munkamenetgazda -> Kapcsolatok(Irányelvek -> Felügyeleti sablonok -> Windows-összetevők -> Távoli asztali szolgáltatások -> Távoli munkamenet-gazda -> Kapcsolatok), és a neve " Állítsa be a távvezérlési szabályokat a Remote Desktop Services felhasználói munkameneteihez» (Szabályok beállítása a Remote Desktop Services felhasználói munkameneteinek távvezérléséhez).

A házirend engedélyezése helyett beállíthatja a kulcs dword értékét a névvel Árnyék a HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services beállításkulcsban. Érvényes értékek:

• 0 – tiltsa le a távirányítót;
• 1 - teljes irányítás a felhasználó engedélyével;
• 2 — teljes vezérlés felhasználói engedély nélkül;
• 3 — munkamenet-figyelés a felhasználó engedélyével;
• 4 - munkamenet megfigyelése a felhasználó engedélye nélkül.

Alapértelmezés szerint ez a kulcs nincs megadva, és az árnyékkapcsolat teljes vezérlési módban történik a felhasználó engedélyével.

Ha árnyékkapcsolaton keresztül távolról szeretne csatlakozni egy számítógéphez, a csatlakozó fióknak rendszergazdai jogosultságokkal kell rendelkeznie a számítógépen, és a rendszertulajdonságokban engedélyezni kell a Távoli asztalt (RDP).

Kérjünk távolról egy Windows 10 munkaállomáson a munkamenetek listáját a következő paranccsal:

qwinsta /szerver:192.168.11.60

Amint láthatja, ezen a számítógépen egy felhasználói konzolmunkamenet van, amelynek ID = 1.

Tehát próbáljunk meg távolról csatlakozni egy felhasználói munkamenethez árnyékkapcsolaton keresztül. Futtassa a parancsot:

Mstsc /shadow:1 /v:192.168.11.60

A Windows 10 felhasználói képernyőjén megjelenik egy üzenet:

A felhasználónév a munkamenet távoli megtekintését kéri. Ön elfogadja ezt a kérést.

Ha a felhasználó engedélyezi a csatlakozást, csatlakozik a konzolmunkamenetéhez, és látni fogja az asztalát. Látni fogja a felhasználó összes műveletét, de nem fog tudni kommunikálni a munkamenetével.

Tanács. Az árnyékmunkamenet befejezéséhez nyomja meg az alt+* billentyűt a számítógépen vagy a ctrl+* billentyűt az RDS-kiszolgálón.

Ha a TCPView segítségével ellenőrzi a hálózati kapcsolatokat, láthatja, hogy a kommunikáció a RemoteRPC-n keresztül történik (és nem a 3389-es TCP-porton lévő RDP-n keresztül). Azok. A csatlakozáshoz egy véletlenszerű TCP-portot használnak a magas RPC-tartományból. A csatlakozó számítógép oldalán a kapcsolatot az mstsc.exe hozza létre, a kliens oldalon az rdpsa.exe vagy az rdpsaproxy.exe dolgozza fel (a Windows 10 buildtől függően). Ezért a RemoteRPC-t engedélyezni kell az ügyfélen:

HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server
“AllоwRemoteRPє=dword:00000001

A Remote Desktop Shadowing funkció Windows 10 / 8.1 és Windows Server 2012 R2 / 2016 rendszerben működik. Ahhoz, hogy az árnyékkapcsolat működjön a Windows 7 SP1 (Windows Server 2008 R2) rendszert futtató ügyfeleken, az RDP-ügyfél 8.1-es verziójára van szükség – ezért telepítenie kell a KB2830477 frissítést (a KB2574819 és a KB2857650 telepítéséhez szükséges).

Így a Remote Desktop Shadowing a Remote Assistance vagy a TeamViewer analógjaként használható helyi vagy vállalati hálózaton.

Jó napot, kedves olvasók és a blog vendégei, ma a következő feladatunk van: módosítsa az RDP szolgáltatás (terminálszerver) bejövő portját a szabványos 3389-ről egy másikra. Hadd emlékeztesselek arra, hogy az RDP szolgáltatás a Windows operációs rendszerek egy olyan funkciója, amelynek köszönhetően a hálózaton keresztül megnyithat egy munkamenetet a szükséges számítógépen vagy kiszolgálón az RDP protokoll használatával, és úgy dolgozhat rajta, mintha helyben ültek rajta.

Mi az RDP protokoll

Mielőtt megváltoztatnánk valamit, jó lenne megérteni, hogy mi az és hogyan működik, erről folyamatosan mesélek. RDP ill A Remote Desktop Protocol egy távoli asztali protokoll Microsoft Windows operációs rendszerekhez, bár eredete a PictureTel (Polycom) cégtől származik. A Microsoft most vette meg. Egy alkalmazott vagy felhasználó távoli kiszolgálóval történő távoli munkájához használatos. Az ilyen szerverek leggyakrabban terminálszerver szerepét töltik be, amelyen speciális licencek vannak kiosztva, akár felhasználónként, akár eszközönként, CAL. Az ötlet a következő volt: van egy nagyon erős szerver, akkor miért ne használnánk együtt az erőforrásait, például egy 1C alkalmazáshoz. Ez különösen fontossá válik a vékonykliensek megjelenésével.

A világ látta magát a terminálszervert, már 1998-ban a Windows NT 4.0 Terminal Server operációs rendszerben, őszintén szólva nem is tudtam, hogy létezik ilyen, és Oroszországban akkoriban mindannyian dandy-t vagy sega-t játszottunk. Az RDP-kapcsolat kliensek jelenleg a Windows, Linux, MacOS és Android összes verziójában elérhetők. Az RDP protokoll legmodernebb verziója jelenleg a 8.1.

Alapértelmezett rdp port

Azonnal kiírom az alapértelmezett 3389-es rdp portot, szerintem minden rendszergazda tudja.

Hogyan működik az rdp protokoll

Így Ön és én megértjük, hogy miért találtuk ki a Remote Desktop Protocolt, most már logikus, hogy meg kell értenie a működési elveit. A Microsoft az RDP protokoll két módját különbözteti meg:

• Távoli adminisztrációs mód > az adminisztrációhoz megy a távoli szerverre, és beállítja és felügyeli
• Terminálszerver mód > az alkalmazáskiszolgáló, a Remote App eléréséhez vagy a munkavégzéshez való megosztásához.

Általánosságban elmondható, hogy ha terminálkiszolgáló nélkül telepíti a Windows Server 2008 R2 - 2016-ot, akkor alapértelmezés szerint két licence lesz, és egyszerre két felhasználó csatlakozhat hozzá, a harmadiknak ki kell rúgnia valakit munka. A Windows kliens verzióiban csak egy licenc van, de ez is megkerülhető. Erről a Terminálkiszolgáló Windows 7 rendszeren című cikkben beszéltem. A távoli adminisztrációs módban is fürtözhet és terheléselosztást végezhet az NLB technológiának és a Session Directory Service kapcsolatkiszolgálónak köszönhetően. A felhasználói munkamenetek indexelésére szolgál, ennek a szervernek köszönhetően a felhasználó elosztott környezetben bejelentkezhet a terminálkiszolgálók távoli asztalára. Szükséges összetevők egy licencszerver is.

Az RDP protokoll TCP-kapcsolaton keresztül működik, és egy alkalmazási protokoll. Amikor egy kliens kapcsolatot létesít a szerverrel, szállítási szinten RDP-munkamenet jön létre, ahol megbeszélik a titkosítási és adatátviteli módszereket. Amikor minden egyeztetés megtörtént, és az inicializálás befejeződött, a terminálkiszolgáló grafikus kimenetet küld a kliensnek, és várja a billentyűzet és az egér bevitelét.

A Remote Desktop Protocol több virtuális csatornát támogat egyetlen kapcsolaton belül, lehetővé téve további funkciók használatát

• Vigye át nyomtatóját vagy COM-portját a szerverre
• Irányítsa át a helyi meghajtókat a szerverre
• Vágólap
• Hang és videó

RDP csatlakozási szakaszok

• Kapcsolat létrehozása
• A titkosítási paraméterek egyeztetése
• Szerver hitelesítés
• Az RDP munkamenet paramétereinek egyeztetése
• Kliens hitelesítés
• RDP munkamenet adatai
• RDP munkamenet befejezése

Biztonság az RDP protokollban

A Remote Desktop Protocolnak két hitelesítési módja van: Standard RDP Security és Enhanced RDP Security, alább mindkettőt részletesebben megvizsgáljuk.

Szabványos RDP biztonság

Az RDP-protokoll ezzel a hitelesítési módszerrel titkosítja a kapcsolatot magának az RDP-protokollnak a használatával, amely benne van, a következő módszerrel:

• Amikor az operációs rendszer elindul, egy pár RSA-kulcs jön létre
• A saját tanúsítvány létrehozása folyamatban van
• Ezt követően a saját tanúsítványt aláírják a korábban létrehozott RSA kulccsal
• Most a terminálkiszolgálóhoz csatlakozó RDP-kliens saját tanúsítványt kap
• A kliens megnézi és ellenőrzi, majd megkapja a szerver nyilvános kulcsát, amelyet a titkosítási paraméterek egyeztetésének szakaszában használnak.

Ha figyelembe vesszük azt az algoritmust, amellyel minden titkosítva van, akkor ez az RC4 adatfolyam titkosítás. Különböző hosszúságú kulcsok 40 és 168 bit között, minden a Windows operációs rendszer kiadásától függ, például a Windows 2008 Server rendszerben - 168 bit. Miután a szerver és az ügyfél eldöntötte a kulcs hosszát, két új, különböző kulcs jön létre az adatok titkosításához.

Ha az adatok integritására kérdez rá, akkor ez az SHA1 és MD5 alapú MAC (Message Authentication Code) algoritmuson keresztül érhető el.

Továbbfejlesztett RDP biztonság

Az RDP protokoll ezzel a hitelesítési módszerrel két külső biztonsági modult használ:

• CredSSP
• TLS 1.0

A TLS az RDP 6-os verziójától támogatott. Ha TLS-t használ, titkosítási tanúsítvány létrehozható terminálkiszolgálóval, önaláírt tanúsítvánnyal, vagy kiválasztható egy áruházból.

Amikor a CredSSP protokollt használja, az a Kerberos, az NTLM és a TLS technológiák szimbiózisa. Ezzel a protokollal maga az ellenőrzés, amely ellenőrzi a terminálkiszolgáló belépési engedélyét, előre, és nem teljes RDP-kapcsolat után történik, és ezáltal erőforrásokat takarít meg a terminálkiszolgálón, emellett megbízhatóbb a titkosítás, és egyszer jelentkezzen be (egyszeri bejelentkezés) az NTLM-nek és a Kerberosnak köszönhetően. A CredSSP csak a Vista és a Windows Server 2008-nál nem régebbi operációs rendszereken működik. Ez a jelölőnégyzet a rendszer tulajdonságai között

Csak hálózati szintű hitelesítéssel rendelkező Távoli asztalt futtató számítógépekről engedélyezze a kapcsolatokat.

Változtasd meg az rdp portot

Az rdp port megváltoztatásához a következőkre lesz szüksége:

1. Nyissa meg a rendszerleíró adatbázis-szerkesztőt (Start -> Futtatás -> regedit.exe)
2. Térjünk át a következő szakaszra:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Keresse meg a PortNumber kulcsot, és módosítsa az értékét a kívánt portszámra.

Ügyeljen arra, hogy válasszon egy tizedes értéket, például az 12345-ös portot.

Ha ezt megtette, indítsa újra a Távoli asztal szolgáltatást a parancssoron keresztül a következő parancsokkal:

És létrehozunk egy új bejövő szabályt az új rdp porthoz. Hadd emlékeztesselek arra, hogy az alapértelmezett rdp port a 3389.

Kiválasztjuk, hogy mi legyen a szabály a portra

Meghagyjuk a protokollt TCP-ként, és megadunk egy új RDP portszámot.

A szabály az lesz, hogy engedélyezni kell az RDP-kapcsolatot egy nem szabványos porton

Ha szükséges, állítsa be a szükséges hálózati profilokat.

Nos, nevezzük a szabályt egy általunk értett nyelven.

Windows ügyfélszámítógépekről történő csatlakozáshoz írja be a portot jelző címet. Például, ha megváltoztatta a portot 12345-re, és a szerver (vagy egyszerűen csak a számítógép címét), amelyhez csatlakozik: myserver, akkor az MSTSC kapcsolat így fog kinézni:
mstsc -v:sajátszerver:12345