Віддалений доступ до сервера через інтернет RDP. Підключення до віддаленого робочого стола за допомогою вбудованого в Windows RDP-клієнта

Існує думка, що підключення по віддаленому робочому столі Windows (RDP) дуже небезпечно порівняно з аналогами (VNC, TeamViewer, ін.). Як наслідок, відкривати доступ з-за будь-якого комп'ютера або сервера локальної мережі дуже необачне рішення - обов'язково зламають. Другий аргумент проти RDP зазвичай звучить так - «жере трафік, для повільного інтернету не варіант». Найчастіше ці аргументи нічим не аргументовані.

Протокол RDP існує не перший день, його дебют відбувся ще на Windows NT 4.0 більше 20 років тому і з того часу вибігло багато води. На даний момент RDP не менш безпечний, ніж будь-яке інше рішення для віддаленого доступу. Що стосується необхідної смуги пропускання, то в цьому плані є купа налаштувань, за допомогою яких можна досягти відмінної чуйності та економії смуги пропускання.

Коротше кажучи, якщо знати що, як і де налаштувати, RDP буде дуже хорошим засобом віддаленого доступу. Питання в іншому, а чи багато адмінів намагалися вникнути в налаштування, заховані трохи глибше, ніж на поверхні?

Зараз розповім, як захистити RDP і налаштувати його на оптимальну продуктивність.

По-перше, версій протоколу RDP існує багато. Весь подальший опис буде застосовано до RDP 7.0 і вище. Це означає, що у вас як мінімум Windows Vista SP1. Для любителів ретро є спеціальний апдейт для Windows XP SP3 KB 969084який додає RDP 7.0 в цю операційну систему.

Налаштування №1 - шифрування

На комп'ютері, до якого ви збираєтеся підключатися відкриваємо gpedit.msc Ідемо в Конфігурація комп'ютера - Адміністративні шаблони - Компоненти Windows - Служби віддалених робочих столів - Безпека

Встановлюємо параметр «Вимагати використання спеціального рівня безпеки для віддалених підключень за методом RDP» у значення «Увімкнено» та Рівень безпеки у значення «SSL TLS 1.0»

Цим настроюванням ми включили шифрування як таке. Тепер нам потрібно зробити так, щоб застосовувалися лише стійкі алгоритми шифрування, а не якийсь DES 56-bit або RC2.

Тому в цій гілці відкриваємо параметр «Встановити рівень шифрування для клієнтських підключень». Включаємо та вибираємо «Високий» рівень. Це нам дасть 128-бітове шифрування.

Але це ще не межа. Найбільший рівень шифрування забезпечується стандартом FIPS 140-1. При цьому всі RC2/RC4 автоматично йдуть лісом.

Щоб увімкнути використання FIPS 140-1, потрібно в цьому ж оснащенні піти в Конфігурація комп'ютера - Конфігурація Windows - Параметри безпеки - Локальні політики - Параметри безпеки.

Шукаємо параметр «Системна криптографія: використовувати FIPS-сумісні алгоритми для шифрування, хешування та підписування» та включаємо його.

І на завершення обов'язково включаємо параметр «Вимагати безпечне RPC-підключення» на шляху Конфігурація комп'ютера - Адміністративні шаблони - Компоненти Windows - Служби віддалених робочих столів - Безпека.

Цей параметр вимагає від клієнтів, що підключаються, обов'язкове шифрування відповідно до тих установок, які ми налаштували вище.

Тепер із шифруванням повний порядок, можна рухатися далі.

Налаштування №2 - зміна порту

За замовчуванням протокол RDP висить на порту TCP 3389. Для його різноманітності можна змінити, для цього в реєстрі потрібно змінити ключик PortNumber за адресою

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Налаштування №3 - мережна автентифікація (NLA)

За замовчуванням, ви можете підключитися по RDP не вводячи логін та пароль і побачити Welcome-скрин віддаленого робочого столу, де вже від вас попросять залогінитися. Це якраз зовсім не безпечно в тому плані, що такий віддалений комп можна легко задовольнити.

Тому все в тій самій гілці включаємо параметр «Вимагати автентифікацію користувача для віддалених підключень шляхом перевірки автентичності на рівні мережі»

Налаштування №4 - що ще перевірити

По-перше, перевірте, що параметр "Облікові записи: дозволяти використання порожніх паролів тільки при консольному вході" увімкнено. Параметр можна знайти в Конфігурація комп'ютера - Адміністративні шаблони - Компоненти Windows - Служби віддалених робочих столів - Безпека.

По-друге, не забудьте перевірити список користувачів, які можуть підключатися через RDP

Налаштування №5 - оптимізація швидкості

Ідемо до розділу Конфігурація комп'ютера - Адміністративні шаблони - Компоненти Windows - Служби віддалених робочих столів - Середовище віддалених сеансів.

Тут можна і потрібно відрегулювати декілька параметрів:

• Найбільша глибина кольору можна обмежитися 16 бітами. Це дозволить заощадити трафік більше ніж у 2 рази порівняно з 32-бітною глибиною.
• Примусове скасування фонового малюнка віддаленого столу – для роботи він не потрібен.
• Завдання алгоритму стиснення RDP - краще встановити значення оптимізації використання смуги пропускання. У цьому випадку RDP жертиме пам'яті трохи більше, але стискати буде ефективніше.
• Оптимізувати візуальні ефекти для сеансів служб віддалених робочих столів – ставимо значення «Текст». Для роботи те, що потрібно.

В іншому при підключенні до віддаленого комп'ютера з боку клієнта додатково можна вимкнути:

• Згладжування шрифтів. Це дуже зменшить час відгуку. (Якщо у вас повноцінний термінальний сервер, цей параметр також можна задати на стороні сервера)
• Композицію робочого столу - відповідає за Aero та ін
• Відображення вікна під час перетягування
• Візуальні ефекти
• Стилі оформлення – якщо хочеться хардкору

Інші параметри типу фону робочого столу, глибини кольору ми вже визначили за сервера.

Додатково на стороні клієнта можна збільшити розмір кешу зображень, що робиться це в реєстрі. За адресою HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\ потрібно створити два ключі типу DWORD 32 BitmapPersistCacheSize та BitmapCacheSize

• BitmapPersistCacheSize можна встановити рівним 10000 (10 Мб). За замовчуванням цей параметр бере значення 10, що відповідає 10 Кб.
• BitmapCacheSize також можна встановити рівним 10000 (10 Мб). Ви навряд чи помітите, якщо RDP-підключення з'їсть зайвих 10 Мб від оперативної пам'яті

Про прокидання всяких принтерів і говорити нічого не буду. Кому що треба, той і прокидає.

На цьому основна частина налаштування закінчується. У наступних оглядах розповім, як можна ще покращити та убезпечити RDP. Використовуйте RDP правильно, всім стабільного коннекту! Як зробити RDP термінал сервер на будь-якій версії Windows дивіться.

Напевно, багато хто з вас уже чув і бачив цю абревіатуру - дослівно перекладається вона, як Протокол віддаленого робочого столу (RemoteDesktopProtocol). Якщо когось цікавлять технічні тонкощі роботи цього протоколу прикладного рівня - можуть почитати літературу, починаючи з тієї самої вікіпедії. Ми ж розглянемо суто практичні аспекти. А саме той, що цей протокол дозволяє дистанційно підключатися до комп'ютерів, під керуванням Windows різних версій з використанням вбудованого в Windows інструменту «Підключення до віддаленого робочого столу».

Які плюси та мінуси у використанні протоколу RDP?

Почнемо з приємного – з плюсів. Плюс полягає в тому, що цей інструмент, який правильніше називати КлієнтомRDP, доступний будь-якому користувачеві Windows як на комп'ютері, з якого належить керувати віддаленим, так і тому, хто хоче відкрити доступ до свого комп'ютера.

Через підключення до віддаленого робочого столу можливо не тільки бачити віддалений робочий стіл та користуватися ресурсами віддаленого комп'ютера, а також підключати до нього локальні диски, принтери, смарткарти тощо. Звичайно, якщо ви захочете подивитися відео або послухати музику через RDP - навряд чи цей процес принесе вам задоволення, т.к. у більшості випадків ви побачите слайд шоу, і звук швидше за все буде перериватися. Але не під ці завдання розроблялася служба RDP.

Ще одним безперечним плюсом є те, що підключення до комп'ютера здійснюється без будь-яких додаткових програм, які в більшості своїй платні, хоча і мають свої переваги. Час доступу до RDP-сервера (яким є ваш віддалений комп'ютер) обмежується лише вашим бажанням.

Мінусів лише два. Один суттєвий, інший – не дуже. Перший і суттєвий - для роботи з RDP комп'ютер, до якого здійснюється підключення, повинен мати білий (зовнішній) IP, або на цей комп'ютер повинна бути можливість "прокинути" порт з маршрутизатора, який знову ж таки повинен мати зовнішній IP. Статичним він буде чи динамічним – значення не має, але він має бути.

Другий мінус – не такий суттєвий – останні версії клієнта перестали підтримувати 16-колірну колірну схему. Мінімум – 15біт. Це сильно уповільнює роботу по RDP, коли ви підключаєтеся по хирлявому-дохлому інтернету зі швидкістю, що не перевищує 64 кілобіти в секунду.

Для чого можна використовувати віддалений доступ по RDP?

Організації зазвичай використовують RDP-сервера для спільної роботи в програмі 1С. А деякі навіть розвертають на них робочі місця користувачів. Таким чином, користувач, особливо, якщо у нього роз'їзна робота, може за наявності 3G інтернету або готельного/кафешного Wi-Fi - підключатися до свого робочого місця і вирішувати всі питання.

У деяких випадках домашні користувачі можуть використовувати віддалений доступ до свого домашнього комп'ютера, щоб отримати дані з домашніх ресурсів. В принципі, служба віддаленого робочого столу дозволяє повноцінно працювати з текстовими, інженерними та графічними програмами. З обробкою відео та звуку з вищенаведених причин – працювати не вийде, але все одно – це дуже суттєвий плюс. А ще можна на роботі переглядати закриті політикою компанії ресурси, підключившись до домашнього комп'ютера без будь-яких анонімайзерів, vpn та іншої нечисті.

Готуємо інтернет

У попередньому розділі ми говорили про те, що для забезпечення можливості віддаленого доступу за протоколом RDP нам потрібна зовнішня IP-адреса. Цей сервіс може забезпечити провайдер, тому телефонуємо або пишемо, або заходимо в особистий кабінет та організовуємо надання цієї адреси. В ідеалі він має бути статичний, але і з динамічним, у принципі, можна жити.

Якщо комусь не зрозуміла термінологія, то статична адреса - це незмінний, а динамічний - іноді змінюється. Для того, щоб повноцінно працювати з динамічними IP-адресами, придумали різні сервіси, які забезпечують прив'язку динамічного домену. Що і як, незабаром буде стаття на цю тему.

Готуємо роутер

Якщо ваш комп'ютер підключений не безпосередньо до провайдерського проводу до інтернету, а через роутер - з цим пристроєм нам доведеться також зробити деякі маніпуляції. А саме - прокинути порт сервісу - 3389. В іншому випадку NAT вашого роутера просто не пускатиме вас всередину домашньої мережі. Теж відноситься до налаштування RDP-сервера в організації. Якщо ви не знаєте, як прокинути порт - читайте статтю про те, як прокинути порти на маршрутизаторі (відкриється в новій вкладці), потім повертайтеся сюди.

Готуємо комп'ютер

Для того, щоб створити можливість віддаленого підключення до комп'ютера, необхідно зробити дві речі:

Дозволити підключення до Властивостей Системи;
- встановити пароль для поточного користувача (якщо він не має пароля), або створити нового користувача з паролем спеціально для підключення по RDP.

Як чинити з користувачем - вирішуйте самі. Однак, майте на увазі, що штатно не серверні операційні системи не підтримують множинний вхід. Тобто. якщо ви залогінилися під собою локально (консольно), а потім зайдете під тим самим користувачем віддалено - локальний екран заблокується і сеанс на тому самому місці відкриється у вікні Підключення до віддаленого робочого столу. Введіть пароль локально, не вийшовши з RDP - викинете вас з віддаленого доступу, і ви побачите поточний екран на своєму локальному моніторі. Те саме чекає, якщо ви зайдете консольно під одним користувачем, а віддалено спробуєте зайти під іншим. І тут система запропонує завершити сеанс локального користувача, що може бути зручно.

Отже, заходимо до Пуск, клацаємо правою кнопкою по меню Комп'ютерта натискаємо Властивості.

У властивостях Системиобираємо Додаткові параметри системи

У вікні переходимо на вкладку Віддалений доступ…

…натискаємо Додатково…

І ставимо єдину галку на цій сторінці.

Це «домашня» версія Windows 7 - у кого Pro і вище, буде більше прапорців і можна зробити розмежування доступу.

Натискаємо ОКскрізь.

Тепер, ви можете зайти в Підключення до віддаленого робочого столу (Пуск>Всі програми>Стандартні), вбити туди IP-адресу комп'ютера, або ім'я, якщо хочете підключитися до нього зі своєї домашньої мережі та користуватися всіма ресурсами.

Ось так. В принципі все просто. Якщо раптом будуть якісь питання чи щось залишиться незрозумілим – ласкаво просимо у коментарі.

Що таке віддалений робочий стіл

Використання віддаленого робочого столу (rdp) Windows може виявитися дуже корисним і зручним для вирішення питання віддаленого доступу до комп'ютера. Коли може бути корисним віддалений робочий стіл? Якщо ви хочете керувати комп'ютером віддалено (як із локальної мережі, так і з будь-якої точки планети). Звичайно, для цих цілей можна використовувати і інші, такі як, та інші. Але найчастіше ці програми вимагають підтвердження доступу на стороні віддаленого комп'ютера, вони не підходять для одночасного паралельного використання комп'ютера декількома користувача, і працюють повільніше, ніж віддалений робочий стіл. Тому такі програми найбільше підходять для віддаленої допомоги або обслуговування, але не для повсякденної роботи.

Може бути дуже зручно використовувати віддалений робочий стіл для роботи користувачів із певними програмами. Наприклад, якщо потрібно продемонструвати користувачеві роботу якої-небудь програми (надати можливість демо-доступу для тестування). Або, наприклад, у вашому офісі є лише один потужний комп'ютер, на якому встановлена ​​вимоглива програма. На інших слабких комп'ютерах вона гальмує, а доступ потрібний усім. Тоді непоганим рішенням буде використання віддаленого робочого столу: всі зі своїх «здохлих» комп'ютерів підключаються по RDP до потужного і користуються програмою на ньому, при цьому не заважаючи один одному.

Статична IP-адреса. Що потрібно для віддаленого доступу через rdp

Одним із важливих моментів, що стосуються налаштування та подальшого використання віддаленого робочого столує необхідність у статичній IP-адресі на віддаленому комп'ютері. Якщо ви налаштовуєте віддалений робочий стіл, який користуватиметься лише в межах локальної мережі, то проблем немає. Проте в основному віддалений робочий стіл використовується для доступу ззовні. Більшість провайдерів надає абонентам динамічні IP-адреси і для звичайного використання цього цілком достатньо. Статичні ("білі") ip-шники, як правило, надають за додаткову плату.

Налаштування віддаленого робочого столу Windows

Що ж, навіщо потрібен віддалений робочий стіл? Тепер займемося його налаштуванням. Розглянута тут інструкція підійде для ОС Windows 7, 8, 8.1, 10. У всіх перелічених операційних системах налаштування аналогічне, відмінності незначні і лише в тому, як відкрити деякі вікна.

Спочатку потрібно налаштувати комп'ютер, до якого підключатимемося.

Увага!Ваш обліковий запис повинен мати права адміністратора.

1. Відкриваємо Пуск - Панель управління .

У Windows 8.1 та 10 зручно відкрити Панель управління , натиснувши правою кнопкою миші на значок Пускі вибравши зі списку Панель управління .

Далі вибираємо Система та безпека - Система. (Це вікно також можна відкрити по-іншому: натиснути Пускпотім правою кнопкою миші на Комп'ютерта вибрати Властивості ).

Налаштування віддаленого доступу .

3. У розділі Видаленний робочий стіл вибираємо:

- Дозволити підключатися тільки з комп'ютерів, на яких працює віддалений робочий стіл з автентичністю на рівні мережі . Підходить для клієнтів, які мають версію 7.0 віддаленого робочого столу.

- . Підходить для підключення застарілих версій клієнтів.

4. Натискаємо Застосувати .

5. За кнопкою Вибрати користувачів відкривається вікно, в якому можна вказати облікові записи на комп'ютері, яким дозволено віддалене підключення. (Ця процедура також називається додаванням користувача до групи )

Користувачі з правами адміністратора мають доступ до віддаленого робочого за промовчанням. Однак, крім того, щоб дійсно підключитися, будь-який обліковий запис повинен бути захищений паролем, навіть обліковий запис адміністратора.

6. Додамо до групи Користувачі віддаленого робочого столу нового користувача із звичайними правами (не адміністратора). Для цього натисніть кнопку Додати

В полі Введіть імена об'єктів, що вибираються, введемо ім'я нашого користувача. У мене це Dostup1. Натиснемо Перевірити імена .

Якщо все правильно, то до імені користувача додається ім'я комп'ютера. Натискаємо ОК .

Якщо не пам'ятаємо точно ім'я користувача або не хочемо вводити вручну, натиснемо Додатково .

У вікні, натискаємо кнопку Пошук .

В полі Результати пошуку з'являться всі користувачі комп'ютера та локальні групи. Вибираємо потрібного користувача та натискаємо ОК .

Коли вибрали всіх потрібних користувачів у вікні Вибір: Користувачі натискаємо ОК .

Тепер у групу Користувачі віддаленого робочого столу буде додано користувач із звичайним обліковим записом Dostup1. Для застосування змін натискаємо ОК .

7. Якщо ви використовуєте сторонній, то потрібно додатково його налаштувати, а саме відкрити порт TCP 3389. Якщо у вас працює тільки вбудований брандмауер Windows, то нічого робити не треба, він буде налаштований автоматично, як тільки ми дозволили використання віддаленого робочого столу на комп'ютері .

На цьому основне налаштування віддаленого комп'ютера завершено.

Мережеві налаштування, прокидання портів

Як уже говорилося вище, для доступу до віддаленого робочого столупотрібна статична ip-адреса.

Якщо у вас немає маршрутизаторів і інтернет-кабель йде безпосередньо до комп'ютера, то пропускаємо цей розділ, переходимо до наступного. Якщо користуєтеся роутером, необхідно виконати додаткові опції в ньому.

Якщо ви плануєте використовувати віддалений робочий стіл тільки в локальній мережі, достатньо буде лише закріпити локальний ip за потрібним комп'ютером (виконати першу частину, без прокидання портів). Якщо вам потрібен доступ ззовні, тоді потрібно ще . Щоб відкрити доступ до віддаленого робочого стола, потрібно прокинути порт TCP 3389.

Налаштування підключення до віддаленого робочого столу

Переходимо безпосередньо до підключення до віддаленого робочого столу, тобто налаштування на стороні клієнта.

1. Запустимо .

Зробити це у Windows 7 можна через меню Пуск - Усі програми - Стандартні - Підключення до віддаленого робочого столу .

У Windows 8 зручно запустити через пошук. Натискаємо Пуск, клацаємо на значок лупи у правому верхньому кутку і в полі пошуку починаємо вводити слово «віддалений». Із запропонованих варіантів пошуку вибираємо Підключення до віддаленого робочого столу .

У Windows 10: Пуск - Всі програми - Стандартні Windows - Підключення до віддаленого робочого столу .

2. Насамперед перевіримо, яку версію протоколу встановлено. Для цього натисніть на піктограму у верхньому лівому кутку і виберемо пункт Про програму .

Перевіряємо версію протоколу робочого столу. Якщо 7.0 або вище, то все гаразд можна підключатися.

Якщо версія протоколу нижче (таке можливо на застарілих версіях Windows), необхідно або його оновити, або в налаштуваннях віддаленого комп'ютера знизити рівень безпеки (тобто вибрати Дозволяти підключення від комп'ютерів з будь-якою версією віддаленого робочого столу (небезпечніше) ).

Завантажити поновлення Видаленого робочого столу для застарілих операційних систем можна за посиланнями нижче:

3. Вказуємо параметри з'єднання:

В полі Комп'ютерпрописуємо IP-адресу віддаленого комп'ютера, до якого збираємося підключатися. (Локальний – якщо підключаємося в рамках локальної та реальний (той, який дав інтернет-провайдер), якщо віддалений комп'ютер знаходиться за межами локальної мережі). У мене є перший варіант.

Примітка.Дізнатися, яка у вас зовнішня статична IP-адреса можна, наприклад, через сервіс Яндекс.Інтернетометр.

4. Натискаємо Підключити .

Буде запропоновано запровадити облікові дані. Вводимо логін та пароль будь-якого користувача на віддаленому комп'ютері, який має права на використання віддаленого робочого столу. У моєму прикладі це Adminабо Dostup1. Нагадую, що облікові записи обов'язково мають бути запаролені.

Вводимо логін та пароль, ставимо галочку навпроти Запам'ятати облікові дані , щоб не вводити їх за наступних підключень. Зрозуміло, запам'ятовувати облікові дані можна, лише якщо ви працюєте з особистого комп'ютера, до якого не мають доступ сторонні особи.

Натискаємо ОК .

Вискочить попередження. Ставимо галочку Більше не виводити запит на підключення до цього комп'ютера та натискаємо Так .

Якщо все зроблено правильно, ви побачите перед собою віддалений робочий стіл.

Примітка.Нагадую, що одночасно не можна підключатися через віддалений робітник із кількох комп'ютерів під одним користувачем. Тобто, якщо планується, що з віддаленим комп'ютером працюватиме одночасно кілька людей, то для кожного потрібно буде завести окремого користувача та надати права на користування віддаленим робочим столом. Робиться це на віддаленому комп'ютері, як було розглянуто на початку статті.

Додаткові налаштування віддаленого робочого столу

Тепер кілька слів про додаткові параметри підключення до віддаленого столу.

Щоб відкрити меню налаштувань, натискаємо на Параметри .

Вкладка Загальні

Тут можна змінити установки підключення. Ви можете редагувати ім'я користувача та пароль підключення, натиснувши на посилання змінити.

Можна налаштувати параметри підключення. Натискаємо на кнопку Зберегти як і вибираємо місце, наприклад, Робочий стіл . Тепер на Робочий стіл з'явиться ярлик, який відразу запускає підключення до віддаленого робочого столу без необхідності вказати параметри. Це дуже зручно, особливо якщо ви періодично працюєте з кількома віддаленими комп'ютерами або якщо не налаштовуєте не для себе і не хочете плутати користувачів.

Вкладка Екран

На вкладці Екранможна вказати розмір віддаленого робочого столу (займатиме він весь екран вашого монітора або виводитися в невеликому окремому вікні).

Можна також вибрати глибину кольору. При повільній швидкості інтернет-з'єднання рекомендується вибирати меншу глибину.

Локальні ресурси

Тут налаштовуються параметри звуку (відтворювати його на віддаленому комп'ютері або клієнтському тощо), порядок використання комбінацій гарячих клавіш Windows (таких як Ctrl+Alt+Del, Ctrl+C і т.д.) під час роботи з віддаленим робочим столом .

Один з найкорисніших розділів тут – це Локальні пристрої та ресурси . Поставивши галочку Принтер, Ви отримуєте можливість роздруковувати документи з віддаленого робочого стола на вашому локальному принтері. Галочка Буфер обміну активує єдиний буфер обміну між віддаленим робочим столом та комп'ютером. Тобто, ви можете використовувати звичайні операції копіювання та вставки, щоб перенести файли, папки і т.д. з віддаленого комп'ютера на ваш і навпаки.

Натиснувши кнопку Детальніше, ви потрапите в меню налаштувань, де можна підключити до віддаленого робочого стола додаткові пристрої комп'ютера.

Наприклад, ви хочете мати доступ до диска під час роботи за віддаленим комп'ютером D. Тоді натискаємо на плюсик навпроти Пристроїдля розкриття списку та відзначаємо галочкою диск D. Натискаємо ОК .

Тепер при підключенні до віддаленого робочого столу, ви будете бачити та звертатися до вашого диску Dчерез Провідниктак, ніби він фізично був підключений до віддаленого комп'ютера.

Вкладка Додатково

Тут можна вибрати швидкість з'єднання для досягнення максимальної продуктивності, а також встановити відображення фонового малюнка робочого столу, візуальні ефекти і т.д.

Видалення підключення до віддаленого робочого столу

Нарешті, розглянемо, як видалити підключення до віддаленого робочого столу. Коли це потрібно? Наприклад, раніше до вашого комп'ютера був організований віддалений доступ, а тепер потреба в цьому зникла або навіть вам потрібно заборонити підключення до віддаленого робочого стола комп'ютера сторонніми. Зробити це дуже просто.

1. Відкриваємо Панель управління - Система та безпека - Система, як це робили на початку статті.

2. У лівій колонці клацаємо на Налаштування віддаленого доступу .

3. У розділі Видаленний робочий стіл вибираємо:

- Не дозволяти підключення до цього комп'ютера

Готово. Тепер ніхто не зможе підключитись до вас через віддалений робочий стіл.

Крім використання Remote Assistance, можна віддалено підключитися до робочого столу користувача Windows 10 за допомогою тіньового RDP підключення (). Більшість адміністраторів так чи інакше користувалися цим функціоналом для підключення до сесій користувачів на термінальних RDS серверах з Windows Server 2012 R2 / Server 2016. Однак далеко не всі знають, що тіньове підключення можна використовувати для віддаленого перегляду та взаємодії з робочим столом користувача та на робочому столі Windows 10. Розглянемо як це працює.

Як ви пам'ятаєте, якщо спробувати віддалено підключитися до комп'ютера з Windows 10 через RDP, то сесія користувача, що працює локально, вибивається (навіть якщо ви увімкнете можливість використання ). Однак ви можете підключитися безпосередньо до консольної сесії користувача без блокування його сеансу.

Припустимо, вам потрібно підключитися з сервера Windows Server 2012 R2 до робочого стола користувача, який працює локально за робочою станцією Windows 10.

Для тіньового підключення до сесії користувача потрібно використовувати стандартну утиліту RDP mstsc.exe. Формат команди такий:

Mstsc.exe /shadow: /v:<Имя или IP адрес компьютера>

Також можна використовувати одну з опцій:

• /prompt– запитати ім'я та пароль користувача, під яким підключається підключення (якщо не вказано, підключення виконується під поточним користувачем).
• /control– режим взаємодії із сеансом користувача. Якщо параметр не встановлено, ви підключитесь в режимі перегляду (спостереження) сесії користувача, тобто. ви не зможете керувати його мишею та вводити дані з клавіатури;
• /noConsentPrompt– не запитувати користувача підтвердження на підключення до сесії.

Режим тіньового підключення (чи потрібно запитувати підтвердження користувача, і можливо управління в сесії або тільки спостереження) налаштовується за допомогою групової політики або редагування реєстру.

Політика знаходиться у розділі Конфігурація комп'ютера ->Адміністративні шаблони -> Компоненти Windows -> Служби віддалених робочих столів -> Вузол сеансів віддалених робочих столів -> Підключення(Policies -> Administrative Templates -> Windows components -> Remote Desktop Services -> Remote Session Host -> Connections) і називається « Встановити правила віддаленого керування для користувацьких сеансів служб віддалених робочих столів» (Set rules for remote control of Remote Desktop Services user sessions).

Замість включення політики можна виставити значення dword ключа з ім'ям Shadowу гілці реєстру HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services. Допустимі значення:

• 0 - Заборонити віддалене управління;
• 1 - Повний контроль з дозволу користувача;
• 2 - Повний контроль без дозволу користувача;
• 3 - Спостереження за сеансом з дозволу користувача;
• 4 - Спостереження за сеансом без дозволу користувача.

За замовчуванням цей ключ не заданий і тіньове підключення здійснюється в режимі повного контролю з дозволу користувача.

Щоб віддалено підключитися до комп'ютера через тіньове підключення, обліковий запис, що підключається, повинні мати права адміністратора на комп'ютері, а у властивостях системи включений віддалений робочий стіл (RDP).

Запросимо віддалено список сесій на робочій станції Windows 10 командою:

qwinsta /server:192.168.11.60

Як ви бачите, на комп'ютері є одна консольна сесія користувача з ідентифікатором ID = 1.

Отже, спробуємо віддалено підключитись до сесії користувача через тіньове підключення. Виконайте команду:

Mstsc /shadow:1 /v:192.168.11.60

На екрані користувача Windows 10 з'явиться запит:

Username запитує віддалений перегляд сеансу. Ви приймаєте цей запит.

Якщо користувач дозволить з'єднання, підключіться до його консольного сеансу і побачите його робочий стіл. Ви бачитимете всі дії користувача, але не зможете взаємодіяти з його сесією.

Порада. Щоб завершити тіньову сесію, натисніть на комп'ютері alt+* або ctrl+* на сервері RDS.

Якщо перевірити мережеві з'єднання за допомогою TCPView, можна побачити, що взаємодія йде через RemoteRPC (а не протоколом RDP з портом TCP 3389). Тобто. для підключення використовується випадковий TCP порт із високого діапазону RPC. На стороні комп'ютера підключення встановлює mstsc.exe, на стороні клієнта підключення обробляє rdpsa.exe або rdpsaproxy.exe (залежно від білда Windows 10). Тому на клієнта має бути включений RemoteRPC:

HKLM\SYSTЕM\CurrеntCоntrоlSеt\Cонtrol\Terminal Sеrvеr
“AllоwRemotеRPС”=dwоrd:00000001

Функціонал тіньового підключення Remote Desktop Shadowing працює у Windows 10/8.1 та Windows Server 2012 R2/2016. Щоб тіньове підключення працювало на клієнтах з Windows 7 SP1 (Windows Server 2008 R2), потрібен RDP клієнт версії 8.1 – тому доведеться встановити оновлення KB2830477 (вимагає наявності встановлених KB2574819 та KB2857650).

Таким чином, Remote Desktop Shadowing можна використовувати як аналог Remote Assistance (Віддалений помічник) або TeamViewer для локальної або корпоративної мережі.

Доброго дня шановні читачі та гості блогу, сьогодні у нас з вами ось таке завдання: змінити вхідний порт служби RDP (термінального сервера) зі стандартного 3389 на якийсь інший. Нагадую, що служба RDP це функціонал операційних систем Windows, завдяки якому ви можете по мережі відкрити сесію на потрібний вам комп'ютер або сервер за протоколом RDP, і мати можливість за ним працювати, так як ніби ви сидите за ним локально.

Що таке RDP протокол

Перш ніж щось змінювати, добре б розуміти, що це і як це працює, я вам про це не перестаю повторювати. RDP або Remote Desktop Protocol – це протокол віддаленого робочого столу в операційних системах Microsoft Windows, хоча його походження йде від компанії PictureTel (Polycom). Microsoft просто купила його. Використовується для роботи співробітника або користувача з віддаленим сервером. Найчастіше такі сервери несуть роль сервер терміналів, на якому виділені спеціальні ліцензії, або на користувачеві, або на пристрої CAL. Тут задум був такий, є дуже потужний сервер, чому б не використовувати його ресурси спільно, наприклад під додаток 1С. Особливо це стає актуальним із появою тонких клієнтів.

Сам сервер терміналів світ побачив, аж у 1998 році в операційній системі Windows NT 4.0 Terminal Server, я якщо чесно тоді і не знав, що таке є, та й у Росії ми на той час усі грали в денді чи сьогу. Клієнти RDP з'єднання, зараз є у всіх версіях Windows, Linux, MacOS, Android. Найсучасніша версія RDP протоколу на даний момент 8.1.

Порт rdp за замовчуванням

Відразу напишу порт rdp за замовчуванням 3389, я думаю, всі системні адміністратори його знають.

Принцип роботи протоколу RDP

І так ми з вами зрозуміли для чого вигадали Remote Desktop Protocol, тепер логічно, що потрібно зрозуміти принципи його роботи. Майкрософт виділяє два режими протоколу RDP:

• Remote administration mode > для адміністрування, ви потрапляєте на віддалений сервер і налаштовуєте та адмініструєте його
• Terminal Server mode > для доступу до сервера програм, Remote App або спільне використання його для роботи.

Взагалі, якщо ви без сервера терміналів встановлюєте Windows Server 2008 R2 - 2016, то там за замовчуванням у нього буде дві ліцензії, і до нього одночасно зможуть підключитися два користувачі, третьому доведеться для роботи когось викидати. У клієнтських версіях Windows ліцензій лише одна, але і це можна обійти, я про це розповідав у статті сервер терміналів на windows 7 . Також Remote administration mode можна кластеризувати і збалансувати навантаження завдяки технології NLB і серверу сервера підключень Session Directory Service. Він використовується для індексації сесій користувача, завдяки саме цьому серверу у користувача вийде на віддалений робочий стіл термінальних серверів у розподіленому середовищі. Також обов'язковими компонентами йдуть сервер ліцензування.

RDP протокол працює за TCP з'єднання і є прикладним протоколом. Коли клієнт встановлює з'єднання з сервером, на транспортному рівні створюється сесія RDP, де йде узгодження методів шифрування і передачі даних. Коли всі узгодження визначено та ініціалізація закінчена, сервер терміналів передає клієнту графічний висновок і очікує вхідні дані від клавіатури та миші.

Remote Desktop Protocol підтримує кілька віртуальних каналів у рамках одного з'єднання, завдяки цьому можна використовувати додатковий функціонал

• Надіслати на сервер свій принтер або COM порт
• Перенаправити на сервер свої локальні диски
• Буфер обміну
• Аудіо та відео

Етапи RDP з'єднання

• Встановлення з'єднання
• Узгодження параметрів шифрування
• Аутентифікація серверів
• Узгодження параметрів RDP сесії
• Аутентифікація клієнта
• Дані RDP сесії
• Розрив RDP сесії

Безпека в протоколі RDP

Remote Desktop Protocol має два методи автентифікації Standard RDP Security та Enhanced RDP Security, нижче розглянемо обидва докладніше.

Standard RDP Security

RDP протокол при даному методі аутентифікації шифрує підключення засобами самого RDP протоколу, які є в ньому, ось таким методом:

• Коли ваша операційна система запускається, то йде генерація пари ключів RSA
• Йде створення сертифіката відкритого ключа Proprietary Certificate
• Після цього Proprietary Certificate підписується RSA ключем створеним раніше
• Тепер RDP клієнт, підключившись до термінального сервера, отримає Proprietary Certificate
• Клієнт дивиться і звіряє, далі отримує відкритий ключ сервера, який використовується на етапі узгодження параметрів шифрування.

Якщо розглянути алгоритм, за допомогою якого все шифрується, то це потоковий шифр RC4. Ключі різної довжини від 40 до 168 біт, все залежить від редакції операційної системи Windows, наприклад Windows 2008 Server - 168 біт. Як тільки сервер і клієнт визначилися з довжиною ключа, генеруються два нових ключі, для шифрування даних.

Якщо ви запитаєте про цілісність даних, то вона досягається за рахунок алгоритму MAC (Message Authentication Code) базованого на SHA1 і MD5

Enhanced RDP Security

RDP протокол при даному методі аутентифікації використовує два зовнішні модулі безпеки:

• CredSSP
• TLS 1.0

TLS підтримується із 6 версії RDP. Коли ви використовуєте TLS, сертифікат шифрування можна створити засобами термінального сервера, самопідписний сертифікат або вибрати зі сховища.

Коли ви використовуєте CredSSP протокол, це симбіоз технологій Kerberos, NTLM і TLS. При даному протоколі сама перевірка, при якій перевіряється дозвіл на вхід на термінальний сервер, здійснюється заздалегідь, а не після повноцінного RDP підключення, і тим самим ви заощаджуєте ресурси термінального сервера, плюс тут більш надійне шифрування і можна робити одноразовий вхід в систему (Single Sign On ), завдяки NTLM та Kerberos. CredSSP йде тільки в ОС не нижче Vista та Windows Server 2008. Ось ця галка у властивостях системи

дозволити підключення лише з комп'ютерів, на яких працює віддалений робочий стіл з автентифікацією на рівні мережі.

Змінити порт rdp

Для того, щоб змінити порт rdp, вам знадобиться:

1. Відкриваємо редактор реєстру (Пуск -> Виконати -> regedit.exe)
2. Переходимо до наступного розділу:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Знаходимо ключ PortNumber та змінюємо його значення на номер порту, який Вам потрібен.

Виберіть обов'язково десяткове значення, для прикладу поставлю порт 12345.

Як тільки ви це зробили, перезапустіть службу віддалених робочих столів, через командний рядок, ось такими командами:

І створюємо нове вхідне правило для нового порту rdp. Нагадую порт rdp за замовчуванням 3389.

Вибираємо, що правило буде для порту

Протокол залишаємо TCP та вказуємо новий номер RDP порту.

Правило у нас буде дозвіл RDP з'єднання по нестандартному порту

За потреби задаємо потрібні мережеві профілі.

Ну і назвемо правило, зрозумілим собі мовою.

Для підключення з клієнтських комп'ютерів Windows адресу пишіть із зазначенням порту. Наприклад, якщо порт Ви змінили на 12345, а адреса сервера (або просто комп'ютера, до якого підключаєтеся): myserver, то підключення MSTSC буде виглядати так:
mstsc -v:myserver:12345