1. Налаштування №1 - шифрування
2. Налаштування №2 - зміна порту
3. Налаштування №3 - мережева аутентифікація (NLA)
4. Налаштування №4 - що ще перевірити
5. Налаштування №5 - оптимізація швидкості

Існує думка, що підключення по віддаленого робочого столу Windows (RDP) дуже небезпечно в порівнянні з аналогами (VNC, TeamViewer, пр). Як наслідок, відкривати доступ ззовні до будь-якого комп'ютера або сервера локальної мережі дуже необачне рішення - обов'язково зламають. Другий аргумент проти RDP як правило звучить так - «жере трафік, для повільного інтернету не варіант». Найчастіше ці доводи нічим не аргументовані.

Протокол RDP існує не перший день, його дебют відбувся ще на Windows NT 4.0 більше 20 років тому і з тих пір спливло багато води. На даний момент RDP не менше безпечний, ніж будь-яке інше рішення для віддаленого доступу. Що стосується необхідної смуги пропускання, так в цьому плані є купа налаштувань, за допомогою яких можна домогтися відмінної чуйності і економії смуги пропускання.

Зараз розповім як захистити RDP і налаштувати його на оптимальну продуктивність.

По-перше, версій RDP протоколу існує багато. Все подальше опис буде застосовано до RDP 7.0 і вище. Це означає, що у вас як мінімум Windows Vista SP1. Для любителів ретро є спеціальний апдейт для Windows XP SP3 KB 969084 який додає RDP 7.0 в цю операційну систему.

Налаштування №1 - шифрування

На комп'ютері, до якого ви збираєтеся підключатися відкриваємо gpedit.msc Йдемо в Конфігурація комп'ютера - Адміністративні шаблони - Компоненти Windows - Служби віддалених робочих столів - Безпека

Встановлюємо параметр «Вимагати використання спеціального рівня безпеки для віддалених підключень за методом RDP» в значення «Включено» і Рівень безпеки в значення «SSL TLS 1.0»

Цією налаштуванням ми включили шифрування як таке. Тепер нам потрібно зробити так, щоб застосовувалися тільки стійкі алгоритми шифрування, а не якийсь там DES 56-bit або RC2.

Тому в цій же гілці відкриваємо параметр «Встановити рівень шифрування для клієнтських підключень». Включаємо і вибираємо «Високий» рівень. Це нам дасть 128-бітове шифрування.

Але і це ще не межа. Самий максимальний рівень шифрування забезпечується стандартом FIPS 140-1. При цьому всі RC2 / RC4 автоматично йдуть лісом.

Щоб увімкнути FIPS 140-1, потрібно в цій же оснащенні піти в Конфігурація комп'ютера - Конфігурація Windows - Параметри безпеки - Локальні політики - Параметри безпеки.

Шукаємо параметр «Системна криптографія: використовувати FIPS-сумісні алгоритми для шифрування, хешування і підписування» і включаємо його.

І в завершенні в обов'язковому порядку включаємо параметр «Вимагати безпечне RPC-підключення» шляхом Конфігурація комп'ютера - Адміністративні шаблони - Компоненти Windows - Служби віддалених робочих столів - Безпека.

Цей параметр вимагає від клієнтів, що підключаються обов'язкове шифрування згідно з тими настановами, які ми налаштували вище.

Тепер з шифруванням повний порядок, можна рухатися далі.

Налаштування №2 - зміна порту

За замовчуванням протокол RDP висить на порту TCP 3389. Для різноманітності його можна змінити, для цього в реєстрі потрібно змінити ключик PortNumber за адресою

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp

Налаштування №3 - мережева аутентифікація (NLA)

За замовчуванням, ви можете підключитися по RDP без введення логін і пароль і побачити Welcome-скрін віддаленого робочого стола, де вже від вас попросять залогінитися. Це як раз зовсім небезпечно в тому плані, що такий віддалений комп можна легко заDDoSіть.

Тому, все в тій же гілці включаємо параметр «Вимагати перевірку автентичності користувача для віддалених підключень шляхом перевірки автентичності на рівні мережі»

Налаштування №4 - що ще перевірити

По-перше перевірте, що параметр «Облікові записи: дозволяти використання порожніх паролів тільки при консольному вході» включений. Параметр можна знайти в Конфігурація комп'ютера - Адміністративні шаблони - Компоненти Windows - Служби віддалених робочих столів - Безпека.

По-друге, не забудьте перевірити список користувачів, які можуть підключатися по RDP

Налаштування №5 - оптимізація швидкості

Йдемо в розділ Конфігурація комп'ютера - Адміністративні шаблони - Компоненти Windows - Служби віддалених робочих столів - Середовище віддалених сеансів.

Тут можна і потрібно відрегулювати кілька параметрів:

• Найбільша глибина кольору - можна обмежитися 16 бітами. Це дозволить заощадити трафік більше ніж в 2 рази в порівнянні з 32х бітної глибиною.
• Примусове скасування фонового малюнка віддаленого столу - для роботи він не потрібний.
• Завдання алгоритму стиснення RDP - краще встановити значення Оптимізація використання смуги пропускання. В цьому випадку RDP буде жерти пам'яті трохи більше, але стискати буде ефективніше.
• Оптимізувати візуальні ефекти для сеансів служб віддалених робочих столів - ставимо значення «Текст». Для роботи то що потрібно.

В іншому при підключенні до віддаленого комп'ютера з боку клієнта додатково можна відключити:

• Згладжування шрифтів. Це сильно зменшить час відгуку. (Якщо у вас повноцінний термінальний сервер, то цей параметр так само можна задати на стороні сервера)
• Композицію робочого столу - відповідає за Aero і ін
• Відображення вікна при перетягуванні
• візуальні ефекти
• Стилі оформлення - якщо хочеться хардкору

Інші параметри типу фону робочого столу, глибини кольору ми вже визначили на стороні сервера.

Додатково на стороні клієнта можна збільшити розмір кешу зображень, робиться це в реєстрі. За адресою HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Terminal Server Client \ потрібно створити два ключа типу DWORD 32 BitmapPersistCacheSize і BitmapCacheSize

• BitmapPersistCacheSize можна встановити рівним 10000 (10 Мб) За умовчанням цей параметр бере значення 10, що відповідає 10 Кб.
• BitmapCacheSize так само можна встановити рівним 10000 (10 Мб). Ви навряд чи помітите, якщо RDP-підключення з'їсть зайвих 10 Мб від вашої оперативної пам'яті

Про кидок всяких принтерів тощо говорити нічого не буду. Кому що потрібно, той то і прокидає.

На цьому основна частина настройки закінчується. У наступних оглядах розповім, як можна ще поліпшити і убезпечити RDP. Використовуйте RDP правильно, всім стабільного конекту! Як зробити RDP термінал сервер на будь-якої версії Windows дивіться тут .