<
  • Главная
Статьи

Захист RDP підключення

  1. Налаштування №1 - шифрування
  2. Налаштування №2 - зміна порту
  3. Налаштування №3 - мережева аутентифікація (NLA)
  4. Налаштування №4 - що ще перевірити
  5. Налаштування №5 - оптимізація швидкості

Існує думка, що підключення по віддаленого робочого столу Windows (RDP) дуже небезпечно в порівнянні з аналогами (VNC, TeamViewer, пр). Як наслідок, відкривати доступ ззовні до будь-якого комп'ютера або сервера локальної мережі дуже необачне рішення - обов'язково зламають. Другий аргумент проти RDP як правило звучить так - «жере трафік, для повільного інтернету не варіант». Найчастіше ці доводи нічим не аргументовані.

Найчастіше ці доводи нічим не аргументовані

Протокол RDP існує не перший день, його дебют відбувся ще на Windows NT 4.0 більше 20 років тому і з тих пір спливло багато води. На даний момент RDP не менше безпечний, ніж будь-яке інше рішення для віддаленого доступу. Що стосується необхідної смуги пропускання, так в цьому плані є купа налаштувань, за допомогою яких можна домогтися відмінної чуйності і економії смуги пропускання.

Коротше кажучи, якщо знати що, як і де налаштувати, то RDP буде дуже хорошим засобом віддаленого доступу. Питання в іншому, а чи багато адмінів намагалися вникнути в настройки, які заховані трохи глибше, ніж на поверхні?

Зараз розповім як захистити RDP і налаштувати його на оптимальну продуктивність.

По-перше, версій RDP протоколу існує багато. Все подальше опис буде застосовано до RDP 7.0 і вище. Це означає, що у вас як мінімум Windows Vista SP1. Для любителів ретро є спеціальний апдейт для Windows XP SP3 KB 969084 який додає RDP 7.0 в цю операційну систему.

Налаштування №1 - шифрування

На комп'ютері, до якого ви збираєтеся підключатися відкриваємо gpedit.msc Йдемо в Конфігурація комп'ютера - Адміністративні шаблони - Компоненти Windows - Служби віддалених робочих столів - Безпека

Встановлюємо параметр «Вимагати використання спеціального рівня безпеки для віддалених підключень за методом RDP» в значення «Включено» і Рівень безпеки в значення «SSL TLS 1.0»

Цією налаштуванням ми включили шифрування як таке Цією налаштуванням ми включили шифрування як таке. Тепер нам потрібно зробити так, щоб застосовувалися тільки стійкі алгоритми шифрування, а не якийсь там DES 56-bit або RC2.

Тому в цій же гілці відкриваємо параметр «Встановити рівень шифрування для клієнтських підключень». Включаємо і вибираємо «Високий» рівень. Це нам дасть 128-бітове шифрування.

Але і це ще не межа Але і це ще не межа. Самий максимальний рівень шифрування забезпечується стандартом FIPS 140-1. При цьому всі RC2 / RC4 автоматично йдуть лісом.

Щоб увімкнути FIPS 140-1, потрібно в цій же оснащенні піти в Конфігурація комп'ютера - Конфігурація Windows - Параметри безпеки - Локальні політики - Параметри безпеки.

Шукаємо параметр «Системна криптографія: використовувати FIPS-сумісні алгоритми для шифрування, хешування і підписування» і включаємо його.

І в завершенні в обов'язковому порядку включаємо параметр «Вимагати безпечне RPC-підключення» шляхом Конфігурація комп'ютера - Адміністративні шаблони - Компоненти Windows - Служби віддалених робочих столів - Безпека І в завершенні в обов'язковому порядку включаємо параметр «Вимагати безпечне RPC-підключення» шляхом Конфігурація комп'ютера - Адміністративні шаблони - Компоненти Windows - Служби віддалених робочих столів - Безпека.

Цей параметр вимагає від клієнтів, що підключаються обов'язкове шифрування згідно з тими настановами, які ми налаштували вище Цей параметр вимагає від клієнтів, що підключаються обов'язкове шифрування згідно з тими настановами, які ми налаштували вище.

Тепер з шифруванням повний порядок, можна рухатися далі.

Налаштування №2 - зміна порту

За замовчуванням протокол RDP висить на порту TCP 3389. Для різноманітності його можна змінити, для цього в реєстрі потрібно змінити ключик PortNumber за адресою

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp

Налаштування №3 - мережева аутентифікація (NLA)

За замовчуванням, ви можете підключитися по RDP без введення логін і пароль і побачити Welcome-скрін віддаленого робочого стола, де вже від вас попросять залогінитися. Це як раз зовсім небезпечно в тому плані, що такий віддалений комп можна легко заDDoSіть.

Тому, все в тій же гілці включаємо параметр «Вимагати перевірку автентичності користувача для віддалених підключень шляхом перевірки автентичності на рівні мережі»

Тому, все в тій же гілці включаємо параметр «Вимагати перевірку автентичності користувача для віддалених підключень шляхом перевірки автентичності на рівні мережі»

Налаштування №4 - що ще перевірити

По-перше перевірте, що параметр «Облікові записи: дозволяти використання порожніх паролів тільки при консольному вході» включений. Параметр можна знайти в Конфігурація комп'ютера - Адміністративні шаблони - Компоненти Windows - Служби віддалених робочих столів - Безпека.

По-друге, не забудьте перевірити список користувачів, які можуть підключатися по RDP

По-друге, не забудьте перевірити список користувачів, які можуть підключатися по RDP

Налаштування №5 - оптимізація швидкості

Йдемо в розділ Конфігурація комп'ютера - Адміністративні шаблони - Компоненти Windows - Служби віддалених робочих столів - Середовище віддалених сеансів.

Тут можна і потрібно відрегулювати кілька параметрів:

  • Найбільша глибина кольору - можна обмежитися 16 бітами. Це дозволить заощадити трафік більше ніж в 2 рази в порівнянні з 32х бітної глибиною.
  • Примусове скасування фонового малюнка віддаленого столу - для роботи він не потрібний.
  • Завдання алгоритму стиснення RDP - краще встановити значення Оптимізація використання смуги пропускання. В цьому випадку RDP буде жерти пам'яті трохи більше, але стискати буде ефективніше.
  • Оптимізувати візуальні ефекти для сеансів служб віддалених робочих столів - ставимо значення «Текст». Для роботи то що потрібно.

В іншому при підключенні до віддаленого комп'ютера з боку клієнта додатково можна відключити:

  • Згладжування шрифтів. Це сильно зменшить час відгуку. (Якщо у вас повноцінний термінальний сервер, то цей параметр так само можна задати на стороні сервера)
  • Композицію робочого столу - відповідає за Aero і ін
  • Відображення вікна при перетягуванні
  • візуальні ефекти
  • Стилі оформлення - якщо хочеться хардкору

Інші параметри типу фону робочого столу, глибини кольору ми вже визначили на стороні сервера Інші параметри типу фону робочого столу, глибини кольору ми вже визначили на стороні сервера.

Додатково на стороні клієнта можна збільшити розмір кешу зображень, робиться це в реєстрі. За адресою HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Terminal Server Client \ потрібно створити два ключа типу DWORD 32 BitmapPersistCacheSize і BitmapCacheSize

  • BitmapPersistCacheSize можна встановити рівним 10000 (10 Мб) За умовчанням цей параметр бере значення 10, що відповідає 10 Кб.
  • BitmapCacheSize так само можна встановити рівним 10000 (10 Мб). Ви навряд чи помітите, якщо RDP-підключення з'їсть зайвих 10 Мб від вашої оперативної пам'яті

Про кидок всяких принтерів тощо говорити нічого не буду. Кому що потрібно, той то і прокидає.

На цьому основна частина настройки закінчується. У наступних оглядах розповім, як можна ще поліпшити і убезпечити RDP. Використовуйте RDP правильно, всім стабільного конекту! Як зробити RDP термінал сервер на будь-якої версії Windows дивіться тут .

Питання в іншому, а чи багато адмінів намагалися вникнути в настройки, які заховані трохи глибше, ніж на поверхні?


Новости
    Без плагина
    На сайте WordPress имеется файл, именуемый как .htaccess. Многие пользователи не предают ему особого внимания и не используют все его возможности. На самом деле файл .htaccess – это дополнительные конфигурации

    Плагин подписки wordpress
    Очень трудно найти один плагин подписки wordpress , который объединил бы в себе все виды подписок, которые так необходимы сайту. Именно поэтому я решил сделать подборку лучших плагинов, которые смогут

    Слайд-шоу с помощью плагина для WordPress UnPointZero Slider
    Плагин для cms WordPress UnPointZero Slider – новостной слайдер. Он отражает в форме слайд-шоу изображения со ссылками на ваши статьи и краткие выдержки оттуда. Его можно установить и на новостной сайт,

    Плагины для Wordpress
    С помощью этого плагина вы легко сможете интегрировать Google диск на ваш WordPress сайт или блог . Gravity Forms — лучший плагин для создания форм на WordPress, от самых простых (например, форма

    Подписки плагином JetPack: размещение и редакция формы подписки
    Вступление Здравствуйте! В этой статье я покажу, как использовать плагин JetPack для создания пользовательской формы подписки и как эту формы подписки плагином JetPack добавлять в статьи сайта, а при

    Чистка сайта WordPress плагином WP-optimize
    От автора Со временем использования система WordPress накапливает не нужные файлы, комментарии и неиспользуемые данные в базе данных. Эти файлы и данные создаются в процессе работы и нужны для этого,

    Возможности Jetpack плагина
    Вступление Возможности Jetpack плагина это более 30 функциональных модуля плагина, делающего его универсальным плагином WordPress, заменяющего аналогичные сторонние плагины. Jetpack один заменяет десятки

    Резервное копирование WordPress сайта без плагинов
    Вступление Резервное копирование WordPress это второе, что нужно научиться делать после установки WordPress. Можно сколько угодно говорить о безопасности сайта и его защите, но лучшего варианта защиты

    Плагины на приват для Майнкрафт ПЕ
    > > Плагины на приват для Майнкрафт ПЕ Порой всем нам хочется попробовать себя в роли администратора сервера и испытать эту ответственность, но, к сожалению, вы не всегда все знаете о создании

    Плагин WordPress Database Backup. Архивация базы данных блога на WordPress
    Привет друзья! Сегодня на очереди еще один простой, НО, необходимый и полезный плагин — плагин WordPress Database Backup , который с легкостью и самостоятельно произведет процесс, который научно называется:

  • Виртуальный хостинг

    Виртуальный хостинг. Возможности сервера распределяются в равной мере между всеми... 
    Читать полностью

  • Редизайн сайта

    Редизайн сайта – это полное либо частичное обновление дизайна существующего сайта.... 
    Читать полностью

  • Консалтинг, услуги контент-менеджера

    Сопровождение любых интернет ресурсов;- Знание HTML и CSS- Поиск и обновление контента;-... 
    Читать полностью

  • Трафик из соцсетей

    Сравнительно дешевый способ по сравнению с поисковым и контекстным видами раскрутки... 
    Читать полностью

  • Поисковая оптимизация

    Поисковая оптимизация (англ. search engine optimization, SEO) — поднятие позиций сайта в результатах... 
    Читать полностью