RDP klijent za Windows: instalacija i konfiguracija. Postavljanje RDP-a (protokol udaljene radne površine)

Šta je udaljena radna površina

Korišćenje Windows udaljene radne površine (rdp) može biti veoma korisno i praktično rešenje za problem udaljeni pristup računaru. Kada udaljena radna površina može biti korisna? Ako želite daljinski kontrolirati svoje računalo (bilo s lokalne mreže ili bilo gdje u svijetu). Naravno, u ove svrhe mogu se koristiti i oni trećih strana, kao što su i drugi. Ali često ovi programi zahtevaju potvrdu pristupa na strani udaljenog računara, nisu prikladni za istovremenu paralelnu upotrebu računara od strane više korisnika, a i dalje rade sporije od udaljene radne površine. Stoga su ovakvi programi prikladniji za daljinsku pomoć ili održavanje, ali ne i za svakodnevni rad.

Može biti prilično zgodno koristiti udaljenu radnu površinu kako biste korisnicima omogućili rad s određenim programima. Na primjer, ako trebate demonstrirati rad programa udaljenom korisniku (omogućite demo pristup za testiranje). Ili, na primjer, u kancelariji imate samo jedan moćan računar na kojem je instaliran zahtjevan program. Na drugim slabim računarima usporava, ali svima je potreban pristup. Tada bi dobro rješenje bilo korištenje udaljene radne površine: svi se sa svojih „mrtvih“ računara povezuju preko rdp-a na moćni i koriste program na njemu, bez ometanja jedni s drugima.

Statička IP adresa. Šta je potrebno za daljinski pristup preko rdp-a

Jedna od važnih tačaka u vezi postavljanje i naknadno korištenje udaljene radne površine je potreba za statičnom IP adresom na udaljenom računaru. Ako postavljate udaljenu radnu površinu koja će se koristiti samo unutar lokalne mreže, onda nema problema. Međutim, udaljena radna površina se uglavnom koristi za vanjski pristup. Većina provajdera daje pretplatnicima dinamičke IP adrese i za normalno korištenje to je sasvim dovoljno. Statičke („bijele”) IP adrese se obično daju uz dodatnu naknadu.

Postavljanje Windows udaljene radne površine

Pa, shvatili smo zašto nam je potrebna udaljena radna površina. Sada počnimo sa postavljanjem. Uputstva o kojima se ovdje govori su pogodna za Windows 7, 8, 8.1, 10. U svim navedenim operativnim sistemima postavke su slične, razlike su male i samo u tome kako otvoriti neke prozore.

Prvo treba da konfigurišemo računar na koji ćemo se povezati.

Pažnja! Vaš nalog mora imati administratorska prava.

1. Otvorite Počni - Kontrolna tabla .

U Windowsima 8.1 i 10 zgodno je otvoriti Kontrolna tabla desnim klikom na ikonu Počni i biranje sa liste Kontrolna tabla .

Zatim odaberite sistem i sigurnost - Sistem. (Ovaj prozor se može otvoriti i na drugi način: kliknite Počni, a zatim kliknite desnim tasterom miša Računar i biraj Svojstva ).

Postavljanje udaljenog pristupa .

3. U odjeljku Remote Desktop izaberite:

- Dozvolite veze samo sa računara koji koriste udaljenu radnu površinu s provjerom autentičnosti na nivou mreže . Pogodno za klijente koji koriste verziju 7.0 udaljene radne površine.

- . Pogodno za povezivanje starih verzija klijenata.

4. Kliknite Prijavite se .

5. Dugme Odaberite korisnike Otvara se prozor u kojem možete odrediti račune na računaru kojima će biti dozvoljeno daljinsko povezivanje. (Ova procedura se naziva i dodavanjem korisnika u grupu )

Korisnici sa administrativnim pravima po defaultu imaju pristup udaljenog radnika. Međutim, osim stvarnog povezivanja, svaki račun mora biti zaštićen lozinkom, čak i administratorski račun.

6. Dodaj u grupu Korisnici udaljene radne površine novi korisnik sa normalnim pravima (ne administrator). Da biste to uradili, pritisnite dugme Dodati

U polju Unesite imena od odabranih objekata unesite ime našeg korisnika. Imam ovo Pristup1. Hajde da kliknemo Provjerite imena .

Ako je sve ispravno, korisničkom imenu će se dodati ime računara. Kliknite uredu .

Ako se ne sjećamo tačnog korisničkog imena ili ga ne želimo unijeti ručno, kliknite Dodatno .

U prozoru koji se otvori kliknite na dugme Traži .

U polju rezultate pretraživanja Svi korisnici računara i lokalne grupe će se pojaviti. Odaberite željenog korisnika i kliknite uredu .

Kada ste u prozoru odabrali sve potrebne korisnike Izbor: Korisnici pritisnite uredu .

Sada na grupu Korisnici udaljene radne površine biće dodan korisnik sa redovnim nalogom Pristup1. Da biste primijenili promjene, kliknite uredu .

7. Ako koristite treće strane, moraćete da ga dodatno konfigurišete, odnosno otvorite TCP port 3389. Ako imate samo ugrađeni Windows firewall pokrenut, onda ne morate ništa da radite, on će biti konfigurisan automatski čim dozvolimo upotrebu udaljene radne površine na računaru.

Ovim se završava osnovno podešavanje udaljenog računara.

Mrežne postavke, prosljeđivanje portova

Kao što je gore pomenuto, za pristup udaljenoj radnoj površini potrebna vam je statička IP adresa.

Ako nemate ruter, a internet kabl ide direktno na računar, preskočite ovaj odeljak i pređite na sledeći. Ako koristite ruter, potrebno je izvršiti dodatna podešavanja na njemu.

Ako planirate koristiti udaljenu radnu površinu samo na lokalnoj mreži, tada će biti dovoljno da željenom računaru samo dodijelite lokalnu IP adresu (pratite prvi dio, bez prosljeđivanja porta). Ako vam je potreban pristup izvana, onda vam je potrebno i . Da biste otvorili pristup udaljenoj radnoj površini, potrebno je da prosledite TCP port 3389.

Postavljanje veze sa udaljenom radnom površinom

Idemo direktno na povezivanje na udaljenu radnu površinu, odnosno postavke na strani klijenta.

1. Pokrenimo .

To možete učiniti u Windows 7 preko menija Počni - Svi programi - Standard - Veza sa udaljenom radnom površinom .

U Windows 8 zgodno je pokrenuti putem pretrage. Kliknite Počni, kliknite na ikonu lupe u gornjem desnom uglu i počnite unositi riječ “izbrisano” u polje za pretragu. Od predloženih opcija pretraživanja odaberite Veza sa udaljenom radnom površinom .

Na Windows 10: Počni - Sve aplikacije - Standardni Windows - Veza sa udaljenom radnom površinom .

2. Prije svega, provjerimo koja je verzija protokola instalirana. Da biste to učinili, kliknite na ikonu u gornjem lijevom kutu i odaberite stavku O programu .

Provjera verzije protokola za desktop. Ako je 7.0 ili noviji, onda je sve u redu, možete se povezati.

Ako je verzija protokola niža (to je moguće na starijim verzijama Windowsa), onda je potrebno ili ažurirati ili sniziti nivo sigurnosti u postavkama udaljenog računara (tj. odabrati Dozvolite veze sa računara koji koriste bilo koju verziju udaljene radne površine (opasnije) ).

Možete preuzeti ažuriranja za udaljenu radnu površinu za stare operativne sisteme koristeći veze u nastavku:

3. Odredite parametre veze:

U polju Računar Registriramo IP adresu udaljenog računara na koji ćemo se povezati. (Lokalno - ako se povezujemo unutar lokalne mreže i realno (ono koje daje internet provajder) ako se udaljeni računar nalazi van lokalne mreže). Imam prvu opciju.

Bilješka. Možete saznati koju eksternu statičku IP adresu imate, na primjer, putem usluge Yandex.Internetometer.

4. Kliknite Za uključivanje .

Od vas će biti zatraženo da unesete svoje akreditive. Unesite login i lozinku bilo kog korisnika na udaljenom računaru koji ima prava da koristi udaljenu radnu površinu. U mom primjeru jeste Admin ili Pristup1. Podsjećam vas da računi moraju biti zaštićeni lozinkom.

Unesite svoje korisničko ime i lozinku i označite kućicu pored Zapamtite akreditive , kako ih ne biste unijeli sljedeći put kada se povežete. Naravno, svoje akreditive možete zapamtiti samo ako radite sa personalnog računara koji nije dostupan neovlašćenim osobama.

Kliknite uredu .

Pojavit će se upozorenje. Stavite kvačicu Nemojte više tražiti veze s ovim računarom i pritisnite Da .

Ako je sve urađeno kako treba, vidjet ćete udaljenu radnu površinu ispred sebe.

Bilješka. Podsjećam da se ne možete istovremeno povezati putem udaljenog rada sa više računara pod jednim korisnikom. Odnosno, ako je planirano da će nekoliko ljudi istovremeno raditi s udaljenim računalom, tada ćete za svakog morati kreirati zasebnog korisnika i dodijeliti prava za korištenje udaljene radne površine. Ovo se radi na udaljenom računaru, kao što je objašnjeno na početku članka.

Dodatne postavke udaljene radne površine

Sada nekoliko riječi o dodatnim postavkama za povezivanje na udaljenu radnu površinu.

Da biste otvorili meni postavki, kliknite na Opcije .

General tab

Ovdje možete promijeniti postavke veze. Klikom na vezu za uređivanje možete urediti korisničko ime i lozinku za povezivanje.

Možete sačuvati već konfigurisana podešavanja veze. Kliknite na dugme Sačuvaj kao i izaberite mjesto, npr. Desktop . Od sada Desktop Pojavit će se prečica koja odmah pokreće vezu sa udaljenom radnom površinom bez potrebe za navođenjem parametara. Ovo je vrlo zgodno, pogotovo ako povremeno radite s nekoliko udaljenih računala ili ako ga ne konfigurirate za sebe i ne želite zbuniti korisnike.

Kartica ekrana

Na kartici Ekran možete odrediti veličinu udaljene radne površine (da li će ona zauzimati cijeli ekran vašeg monitora ili će biti prikazana u malom zasebnom prozoru).

Takođe možete odabrati dubinu boje. Ako je vaša internetska veza spora, preporučujemo da odaberete manju dubinu.

Kartica Lokalni resursi

Ovdje možete konfigurirati parametre zvuka (reproducirati ga na udaljenom računaru ili na klijentskom računaru, itd.), redoslijed korištenja kombinacija Windows prečaca (kao što su Ctrl+Alt+Del, Ctrl+C, itd.) kada radite sa udaljenu radnu površinu.

Jedan od najkorisnijih odjeljaka ovdje je Lokalni uređaji i resursi . Označavanjem polja Štampač, dobijate mogućnost štampanja dokumenata sa udaljene radne površine na vaš lokalni štampač. Kvačica Clipboard aktivira jedan međuspremnik između udaljene radne površine i vašeg računara. To jest, možete koristiti normalne operacije kopiranja i lijepljenja za prijenos datoteka, mapa itd. sa udaljenog računara na vaš i obrnuto.

Klikom na dugme Više detalja, bit ćete odvedeni u meni postavki gdje možete povezati dodatne uređaje na vašem računaru na udaljenu radnu površinu.

Na primjer, želite da imate pristup svom disku kada radite na udaljenom računaru D. Zatim kliknite na znak plus nasuprot Uređaji da proširite listu i označite disk D. Kliknite uredu .

Sada kada se povežete na udaljenu radnu površinu, vidjet ćete i pristupiti svom disku D kroz Dirigent kao da je fizički povezan sa udaljenim računarom.

Napredna kartica

Ovdje možete odabrati brzinu veze za postizanje maksimalnih performansi, kao i podesiti prikaz pozadine radne površine, vizuelne efekte itd.

Uklanjanje veze sa udaljenom radnom površinom

Konačno, razmotrimo kako izbrisati vezu sa udaljenom radnom površinom. Kada je to potrebno? Na primjer, ranije ste imali daljinski pristup svom računaru, ali sada za tim nema potrebe, ili čak trebate spriječiti strance da se povežu na udaljenu radnu površinu vašeg računara. To je vrlo lako uraditi.

1. Otvorite Kontrolna tabla - sistem i sigurnost - Sistem, kao što su učinili na početku članka.

2. U lijevoj koloni kliknite na Postavljanje udaljenog pristupa .

3. U odjeljku Remote Desktop izaberite:

- Ne dozvolite veze sa ovim računarom

Spreman. Sada se niko neće moći povezati s vama putem udaljene radne površine.

Udaljena radna površina je funkcija operativnog sistema koja vam omogućava da administrirate udaljeni računar u realnom vremenu, koristeći lokalnu mrežu ili Internet kao medij za prenos podataka. Postoji veliki izbor implementacija udaljene radne površine u zavisnosti od protokola ili operativnog sistema. Najčešće rješenje u Windows operativnom sistemu je Remote Desktop Protocol (RDP), au sistemima baziranim na Linux kernelu - VNC i X11.

Kako omogućiti funkciju udaljene radne površine

Podrazumevano, mogućnost da postanete server RDP sesije je onemogućena na Windows radnoj stanici.

Kliknite desnim tasterom miša na ikonu "Moj računar" i izaberite "Svojstva" iz kontekstnog menija.

Odaberite stavku “Podešavanje daljinskog pristupa” u lijevom meniju. Ovo će zahtijevati administratorske privilegije.

Otvorit će se prozor “Svojstva sistema” u kojem na kartici “Daljinski pristup” trebate podesiti dozvolu pristupa ovom računaru kao što je urađeno na slici ispod.

Ako je potrebno, možete odabrati korisnike pod kojima se možete prijaviti na sistem.

Osim toga, ako imate instaliran mrežni filter (firewall), moraćete da kreirate pravilo koje dozvoljava povezivanje sa ovim računarom u svojstvima mrežnog adaptera ili u apletu Windows zaštitnog zida na kontrolnoj tabli.

Kako se povezati na udaljenu radnu površinu

Postoji nekoliko načina za povezivanje na udaljenu radnu površinu. Idite na glavni meni sistema “Start – Svi programi – Pribor – Veza sa udaljenom radnom površinom”

Ili pokrenite naredbu u Windows komandnoj liniji (ili prozoru Izvrši»)

Obje ove metode su ekvivalentne i pokreću isti program - čarobnjak za povezivanje sa udaljenom radnom površinom.

U prozoru čarobnjaka možete odrediti ime ili IP adresu računara na koji želite da se povežete, kao i posebne parametre, kao što su rezolucija ekrana, prenos lokalnih (međuspremnik, lokalni diskovi) ili udaljenih (zvukovi) resursa .

Unesite IP adresu udaljenog čvora i pritisnite dugme “ Za uključivanje».

Najvjerovatnije ćemo vidjeti upozorenje o problemima s autentifikacijom udaljenog računara. Ako smo sigurni da nismo pogriješili u pisanju adrese ili imena, onda možemo kliknuti „Da“, nakon čega će se inicijalizirati veza s čvorom.

Također ćete morati unijeti vjerodajnice udaljenog korisnika.

Ako nigdje nismo pogriješili, onda ćemo nakon nekog vremena vidjeti radnu površinu udaljenog računara na kojoj možemo izvršiti određene radnje. Upravljajte pokazivačem miša, unosite znakove s tastature i tako dalje.

Kao što je ranije pomenuto, radi pogodnosti administracije sistema, možemo preneti lokalne resurse kao što su štampači, logički diskovi ili međuspremnik na udaljenu mašinu.

Da biste to učinili, u prozoru čarobnjaka za vezu sa udaljenom radnom površinom idite na karticu „Lokalni resursi“, kliknite na dugme „Više detalja...“.

I u prozoru koji se otvori odaberite, na primjer, Lokalni disk (C:).

Sada, kada povezujemo udaljenu radnu površinu, vidjet ćemo naš lokalni disk (C:) računara sa kojeg se uspostavlja veza.

Kako povećati sigurnost udaljene radne površine

Nije tajna da ostavljanje računara sa aktiviranom udaljenom radnom površinom i povezanom na internet nije bezbedno. Činjenica je da različite vrste napadača neprestano skeniraju opsege mrežnih adresa u potrazi za pokrenutim mrežnim uslugama (uključujući udaljenu radnu površinu) s ciljem njihovog daljeg hakovanja.

Jedan od načina koji napadaču može otežati pronalaženje pokrenute usluge Terminal Services (RDP) je promjena standardnog broja porta na drugu vrijednost. Podrazumevano, RDP usluga sluša mrežni port 3389/TCP čekajući dolaznu vezu. Na taj port se napadači prvi pokušavaju povezati. Sa skoro 100% sigurnošću možemo reći da ako je port sa ovim brojem otvoren na računaru, onda radi pod Windows sistemom sa dozvoljenim daljinskim pristupom.

Pažnja! Dalje radnje sa sistemskim registrom moraju se izvršiti vrlo pažljivo. Promjena određenih postavki može učiniti operativni sistem neoperativnim.

Da biste promijenili broj porta udaljene radne površine, morate otvoriti uređivač registra i otvoriti odjeljak:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Onda pronađi REG_DWORD parametar PortNumber i promijenite njegovu vrijednost u decimalnom sistemu u proizvoljan broj (od 1024 do 65535).

Nakon promene vrednosti, računar treba ponovo pokrenuti. Sada, da biste pristupili udaljenoj radnoj površini, potrebno je dodatno navesti naš port putem dvotočke. U ovoj situaciji, morate navesti kao ime računara 10.0.0.119:33321

Pa, napadači će, nakon što su isprobali standardni port, vjerovatno zaključiti da na ovom računaru nije dozvoljen daljinski pristup preko RDP protokola. Naravno, ova metoda vas neće spasiti od ciljanih napada, kada se svaki mrežni port pažljivo provjerava u potrazi za rupom, ali će vas zaštititi od masovnih napada šablona.

Osim toga, morate koristiti prilično složenu i dugu lozinku za one račune kojima je dozvoljen pristup putem udaljene radne površine.

Vrlo često, mnogi korisnici koji koriste sesije udaljenog pristupa imaju pitanje kako promijeniti RDP port. Pogledajmo sada najjednostavnija rješenja, a također naznačimo nekoliko glavnih faza u procesu postavljanja.

Čemu služi RDP protokol?

Prvo, nekoliko riječi o RDP-u. Ako pogledate dekodiranje kratice, možete razumjeti taj daljinski pristup

Jednostavno rečeno, ovo je alat za terminalski server ili radnu stanicu. Windows postavke (i bilo koja verzija sistema) koriste zadane postavke koje odgovaraju većini korisnika. Međutim, ponekad postoji potreba za njihovom promjenom.

Standardni RDP port: treba li ga promijeniti?

Dakle, bez obzira na modifikaciju Windowsa, svi protokoli imaju unaprijed postavljeno značenje. Ovo je RDP port 3389, koji se koristi za obavljanje komunikacijske sesije (povezivanje jednog terminala na udaljene).

Koji je razlog za situaciju kada je potrebno promijeniti standardnu ​​vrijednost? Prije svega, samo uz osiguranje sigurnosti lokalnog računara. Uostalom, ako pogledate, sa instaliranim standardnim portom, u principu, svaki napadač može lako prodrijeti u sistem. Pa sada da vidimo kako promijeniti zadani RDP port.

Promjena postavki u sistemskom registru

Odmah napominjemo da se postupak promjene provodi isključivo u ručnom načinu rada, a sam klijent za daljinski pristup ne predviđa bilo kakvo resetiranje ili instalaciju novih parametara.

Prvo pozovite standardni uređivač registra pomoću komande regedit u meniju „Run“ (Win + R). Ovdje nas zanima HKLM grana, u kojoj se trebamo spustiti niz stablo particija kroz direktorij terminal servera do RDP-Tcp direktorija. U prozoru sa desne strane nalazimo ključ PortNumber. To je njegovo značenje da se moramo promijeniti.

Ulazimo u uređivanje i tamo vidimo 00000D3D. Mnogi ljudi se odmah zbune šta je to. A ovo je jednostavno heksadecimalni prikaz decimalnog broja 3389. Da bismo naznačili port u decimalnom obliku, koristimo odgovarajući red da prikažemo prikaz vrijednosti, a zatim specificiramo parametar koji nam je potreban.

Nakon toga, ponovo pokrećemo sistem i kada pokušavamo da se povežemo navedemo novi RDP port. Drugi način povezivanja je korištenje posebne naredbe mstsc /v:ip_address:XXXXX, gdje je XXXXX novi broj porta. Ali to nije sve.

Pravila Windows zaštitnog zida

Nažalost, ugrađeni Windows zaštitni zid može blokirati novi port. To znači da morate izvršiti promjene u postavkama samog zaštitnog zida.

Pozovite postavke zaštitnog zida s naprednim sigurnosnim postavkama. Ovdje prvo trebate odabrati dolazne veze i kliknuti na liniju da kreirate novo pravilo. Sada biramo stavku za kreiranje pravila za port, zatim unosimo njegovu vrijednost za TCP, zatim dozvoljavamo konekciju, ostavljamo odjeljak profila nepromijenjenim i na kraju dodjeljujemo ime novom pravilu, nakon čega kliknemo dugme za kompletnu konfiguraciju. Ostaje samo da ponovo pokrenete server i prilikom povezivanja navedete novi RDP port kroz dvotočku u odgovarajućem redu. U teoriji, ne bi trebalo biti nikakvih problema.

Prosljeđivanje RDP porta na ruteru

U nekim slučajevima, kada koristite bežičnu vezu, a ne kablovsku vezu, možda ćete morati proslijediti port na ruteru. Nema tu ništa komplikovano.

Prvo, u svojstvima sistema dozvoljavamo i označavamo korisnike koji imaju pravo na to. Zatim idite na meni postavki rutera preko pretraživača (192.168.1.1 ili na kraju 0.1 - sve zavisi od modela rutera). U polje (ako je naša glavna adresa 1.1) preporučljivo je navesti adresu, počevši od treće (1.3), a za drugu (1.2) napisati pravilo za izdavanje adrese.

Zatim u mrežnim konekcijama koristimo prikaz detalja, gdje trebate pogledati detalje, kopirati fizičku MAC adresu odatle i zalijepiti je u parametre rutera.

Sada, u odjeljku NAT postavke na modemu, omogućite vezu sa serverom, dodajte pravilo i odredite port XXXXX, koji treba proslijediti na standardni RDP port 3389. Sačuvajte promjene i ponovo pokrenite ruter (novi port će neće biti prihvaćeno bez ponovnog pokretanja). Možete provjeriti vezu na nekoj specijaliziranoj web stranici kao što je ping.eu u odjeljku za testiranje portova. Kao što vidite, sve je jednostavno.

Na kraju, imajte na umu da su vrijednosti portova raspoređene na sljedeći način:

  • 0 - 1023 - portovi za sistemske programe niskog nivoa;
  • 1024 - 49151 - luke dodijeljene za privatne svrhe;
  • 49152 - 65535 - dinamički privatni portovi.

Općenito, mnogi korisnici obično biraju RDP portove iz trećeg raspona liste kako bi izbjegli probleme. Međutim, i stručnjaci i stručnjaci preporučuju korištenje ovih vrijednosti u postavkama, jer su prikladne za većinu zadataka.

Što se tiče ove konkretne procedure, ona se koristi uglavnom samo u slučajevima Wi-Fi veze. Kao što već vidite, uz normalnu žičanu vezu to nije potrebno: samo promijenite vrijednosti ključeva registra i dodajte pravila za port u firewall.

Ovaj članak započinje seriju članaka posvećenih dizajnu i sigurnosti RDP protokola. Prvi članak u ovoj seriji analizira dizajn, upotrebu i glavne tehnologije ugrađene u ovaj protokol.

Ovaj članak započinje seriju članaka posvećenih dizajnu i sigurnosti RDP protokola. Prvi članak u ovoj seriji analizira dizajn, upotrebu i glavne tehnologije ugrađene u ovaj protokol.

Sljedeći članci će detaljno raspravljati o sljedećim pitanjima:

  • Rad sigurnosnog podsistema udaljene radne površine
  • Format razmjene servisnih informacija u RDP-u
  • Ranjivosti terminalskog servera i načini za njihovo otklanjanje
  • Izbor korisničkih naloga koristeći RDP protokol (razvijen od strane Positive Technologies u ovoj oblasti)

Istorija RDP-a

Protokol udaljene radne površine kreirao je Microsoft kako bi omogućio udaljeni pristup Windows serverima i radnim stanicama. RDP protokol je dizajniran da dijeli resurse terminalnog servera visokih performansi sa mnogim manje moćnim radnim stanicama. Prvi terminal server (verzija 4.0) pojavio se 1998. godine kao dio Windows NT 4.0 Terminal Server; u vrijeme pisanja (siječanj 2009.), najnovija verzija terminalnog servera je verzija 6.1, uključena u Windows 2008 Server i Windows Vista SP1 distribucije. Trenutno je RDP glavni protokol za daljinski pristup za Windows porodične sisteme, a klijentske aplikacije postoje i za Microsoft OS i Linux, FreeBSD, MAC OS X, itd.

Kada govorimo o istoriji RDP-a, ne može se ne spomenuti Citrix. Citrix Systems se 1990-ih specijalizirao za višekorisničke sisteme i tehnologije daljinskog pristupa. Nakon što je 1995. godine nabavila licencu za izvorni kod za Windows NT 3.51, kompanija je izdala višekorisničku verziju Windows NT-a poznatu kao WinFrame. Citrix Systems i Microsoft su 1997. sklopili sporazum prema kojem je višekorisničko okruženje Windows NT 4.0 bilo zasnovano na razvoju Citrix tehnologije. Zauzvrat, Citrix Systems je odbio da distribuira punopravni operativni sistem i dobio je pravo da razvije i implementira proširenja za Microsoft proizvode. Ove ekstenzije su se izvorno zvale MetaFrame. Prava na ICA (Independent Computing Architecture), aplikacioni protokol za interakciju između tankih klijenata i Citrix aplikacijskog servera, ostala su kod Citrix Systems-a, a Microsoft RDP protokol je zasnovan na ITU T.120.

Trenutno, glavna konkurencija između Citrixa i Microsofta je u oblasti servera aplikacija za mala i srednja preduzeća. Tradicionalno, rješenja bazirana na terminalskim uslugama pobjeđuju u sistemima sa ne baš velikim brojem istovrsnih servera i sličnih konfiguracija, dok je Citrix Systems čvrsto uspostavljen na tržištu složenih sistema visokih performansi. Konkurencija je podstaknuta izdavanjem lakih rešenja za male sisteme od strane Citrixa i stalnim proširenjem funkcionalnosti terminalskih usluga od strane Microsofta.

Pogledajmo prednosti ovih rješenja.

Prednosti terminalnih usluga:

  • Jednostavna instalacija aplikacija za klijentsku stranu aplikacijskog servera
  • Centralizirano održavanje korisničkih sesija
  • Potrebna je licenca samo za Terminalne usluge

Prednosti Citrix rješenja:

  • Jednostavan za skaliranje
  • Lakoća administracije i praćenja
  • Politika kontrole pristupa
  • Podrška za poslovne proizvode treće strane (IBM WebSphere, BEA WebLogic)

Dizajn mreže pomoću terminalskih usluga

Microsoft predlaže dva načina korištenja RDP protokola:

  • za administraciju (način daljinske administracije)
  • za pristup serveru aplikacija (način terminalskog servera)

RDP u režimu administracije

Ovu vrstu veze koriste svi moderni Microsoft operativni sistemi. Serverske verzije Windows-a podržavaju dvije udaljene veze i jednu lokalnu prijavu istovremeno, dok klijentske verzije podržavaju samo jedno prijavljivanje (lokalno ili udaljeno). Da biste omogućili udaljene veze, morate omogućiti pristup udaljenoj radnoj površini u svojstvima radne stanice.

RDP u načinu pristupa terminal serveru

Ovaj režim je dostupan samo u serverskim verzijama Windows-a. Broj udaljenih veza u ovom slučaju nije ograničen, ali je potrebna konfiguracija Licencnog servera i njegova naknadna aktivacija. Licencni server se može instalirati ili na terminal serveru ili na zasebnom mrežnom čvoru. Mogućnost daljinskog pristupa terminal serveru je dostupna samo nakon instaliranja odgovarajućih licenci na serveru licenci.

Kada koristite klaster terminal servera i balansiranje opterećenja, potrebna je instalacija specijaliziranog poslužitelja veze (Session Directory Service). Ovaj server indeksira korisničke sesije, što vam omogućava da se prijavite, kao i da se ponovo prijavite na terminalske servere koji rade u distribuiranom okruženju.

Kako radi RDP

Remote Desktop je protokol aplikacije zasnovan na TCP-u. Nakon uspostavljanja veze, RDP sesija se inicijalizira na transportnom sloju, unutar koje se dogovaraju različiti parametri prijenosa podataka. Nakon što je faza inicijalizacije uspješno završena, terminalski server počinje slati grafički izlaz klijentu i čeka unos tipkovnice i miša. Grafički izlaz može biti tačna kopija grafičkog ekrana, prenoseći i sliku i komande za crtanje grafičkih primitiva (pravougaonik, linija, elipsa, tekst, itd.). Prenos izlaza koristeći primitive je prioritet za RDP protokol, jer značajno štedi saobraćaj; a slika se prenosi samo ako je drugačije iz nekog razloga nemoguće (nije bilo moguće dogovoriti parametre za prenos primitiva prilikom postavljanja RDP sesije). RDP klijent obrađuje primljene komande i prikazuje slike koristeći svoj grafički podsistem. Podrazumevano, korisnički unos se prenosi pomoću kodova za skeniranje tastature. Signal za pritiskanje i otpuštanje tipke prenosi se zasebno pomoću posebne zastavice.

RDP podržava više virtuelnih kanala unutar jedne veze, što se može koristiti za pružanje dodatnih funkcionalnosti:

  • koristeći štampač ili serijski port
  • preusmjeravanje sistema datoteka
  • Podrška za međuspremnik
  • koristeći audio podsistem

Karakteristike virtuelnih kanala se dogovaraju tokom faze postavljanja veze.

Osiguravanje sigurnosti prilikom korištenja RDP-a

Specifikacija RDP protokola zahtijeva jedan od dva sigurnosna pristupa:

  • Standardna RDP sigurnost (ugrađeni sigurnosni podsistem)
  • Poboljšana RDP sigurnost (spoljni sigurnosni podsistem)

Standardna RDP sigurnost

Ovim pristupom, autentifikacija, enkripcija i osiguranje integriteta se implementiraju korištenjem sredstava ugrađenih u RDP protokol.

Autentifikacija

Provjera autentičnosti servera se izvodi na sljedeći način:

  1. Kada se sistem pokrene, generira se par RSA ključeva
  2. Kreiran je vlasnički certifikat javnog ključa
  3. Certifikat je potpisan RSA ključem tvrdo kodiranim u operativnom sistemu (bilo koji RDP klijent sadrži javni ključ ovog ugrađenog RSA ključa).
  4. Klijent se povezuje na terminal server i prima vlasnički certifikat
  5. Klijent provjerava certifikat i prima javni ključ servera (ovaj ključ se kasnije koristi za pregovaranje o parametrima šifriranja)

Autentifikacija klijenta se vrši unošenjem korisničkog imena i lozinke.

Enkripcija

RC4 stream šifra je odabrana kao algoritam šifriranja. U zavisnosti od verzije operativnog sistema, dostupne su različite dužine ključeva od 40 do 168 bita.

Maksimalna dužina ključa za Winodws operativne sisteme:

  • Windows 2000 Server - 56 bit
  • Windows XP, Windows 2003 Server – 128 bit
  • Windows Vista, Windows 2008 Server – 168 bit

Kada se veza uspostavi, nakon dogovora o dužini, generišu se dva različita ključa: za šifrovanje podataka sa klijenta i sa servera.

Integritet

Integritet poruke se postiže korišćenjem algoritma za generisanje MAC (Message Authentication Code) baziranog na algoritmima MD5 i SHA1.

Počevši od Windows 2003 Server, usaglašenost sa FIPS (Federal Information Processing Standard) 140-1 može se postići korištenjem 3DES-a za šifriranje poruka i algoritma za generiranje MAC-a samo za SHA1 kako bi se osigurao integritet.

Poboljšana RDP sigurnost

Ovaj pristup koristi vanjske sigurnosne module:

  • TLS 1.0
  • CredSSP

TLS se može koristiti počevši od Windows 2003 Servera, ali samo ako ga RDP klijent podržava. TLS podrška je dodana od verzije RDP klijenta 6.0.

Kada koristite TLS, certifikat servera se može generirati pomoću terminalskih servisa ili možete odabrati postojeći certifikat iz Windows trgovine.

CredSSP protokol je kombinacija funkcionalnosti TLS-a, Kerberosa i NTLM-a.

Pogledajmo glavne prednosti CredSSP protokola:

  • Provjera dozvole za prijavu na udaljeni sistem prije uspostavljanja pune RDP veze, što vam omogućava da sačuvate resurse terminalnog servera kada postoji veliki broj veza
  • Jaka autentifikacija i enkripcija putem TLS protokola
  • Korištenje jedinstvene prijave s Kerberos ili NTLM

Funkcije CredSSP se mogu koristiti samo na operativnim sistemima Windows Vista i Windows 2008 Server. Ovaj protokol je omogućen pomoću oznake Koristi provjeru autentičnosti na nivou mreže u postavkama terminalskog servera (Windows 2008 Server) ili u postavkama udaljenog pristupa (Windows Vista).

Šema licenciranja terminalnih usluga

Kada koristite RDP, pristup aplikacijama u načinu rada tankog klijenta zahtijeva postavljanje specijalizovanog servera za licence.

Trajne klijentske licence mogu se instalirati na server tek nakon završetka postupka aktivacije, a prije ove procedure mogu se izdati privremene licence ograničene rokom važenja. Nakon aktivacije, licencni server dobija digitalni sertifikat koji potvrđuje njegovo vlasništvo i autentičnost. Koristeći ovaj certifikat, poslužitelj licenci može izvršiti naknadne transakcije s Microsoft Clearinghouse bazom podataka i prihvatiti trajne CAL licence za terminalski server.

Vrste klijentskih licenci:

  • privremena licenca (CAL za privremeni terminal servera)
  • licenca za uređaj (Device Terminal Server CAL)
  • korisnička licenca (CAL za korisnički terminal servera)
  • licenca za vanjske korisnike (External Terminal Server Connector)

Privremena licenca

Ova vrsta licence se izdaje klijentu nakon prvog povezivanja na terminal server, licenca je važeća 90 dana. Nakon uspješne prijave, klijent nastavlja raditi s privremenom licencom, a sljedeći put kada se terminalski server poveže, pokušava zamijeniti privremenu licencu trajnom, ako je dostupna u skladištu.

Licenca za uređaj

Ova licenca se izdaje za svaki fizički uređaj koji se povezuje na poslužitelj aplikacija. Rok važenja licence je nasumično postavljen između 52 i 89 dana. 7 dana prije datuma isteka, terminalski server pokušava obnoviti licencu sa servera licenci svaki put kada se klijent ponovo poveže.

Korisnička licenca

Licenciranje po korisniku pruža dodatnu fleksibilnost omogućavajući korisnicima da se povežu sa raznih uređaja. Trenutna implementacija Terminal Services nema kontrole nad korištenjem korisničkih licenci, tj. Broj dostupnih licenci na serveru licenci se ne smanjuje kada se povežu novi korisnici. Korišćenje nedovoljnih licenci za klijentske veze krši Microsoft ugovor o licenciranju. Da biste koristili i CAL-ove za uređaje i za korisnike na istom terminal serveru, server mora biti konfiguriran da radi u načinu licenciranja po korisniku.

Licenca za vanjske korisnike

Ovo je posebna vrsta licence dizajnirana za povezivanje eksternih korisnika na korporativni terminal server. Ova licenca ne nameće ograničenja na broj konekcija, međutim, prema korisničkom ugovoru (EULA), terminalski server za eksterne veze mora biti namjenski, što ne dozvoljava njegovu upotrebu za opsluživanje sesija od korporativnih korisnika. Zbog visoke cijene, ova vrsta licence nije u širokoj upotrebi.

Server licenci može imati jednu od dvije uloge:

  • Server za licencu domene ili radne grupe
  • Cijeli poslužitelj licenci za preduzeća

Uloge se razlikuju po tome kako otkrivaju server licenci: kada koristi Enterprise ulogu, terminalski server pretražuje ActiveDirectory za server licenci, u suprotnom se pretraga izvodi pomoću NetBIOS zahtjeva za emitiranje. Svaki pronađeni server se provjerava ispravnost pomoću RPC zahtjeva.

Obećavajuće tehnologije Terminalne usluge

Microsoft aktivno promoviše rješenja za aplikacijske servere, proširuje se funkcionalnost i uvode dodatni moduli. Najveći razvoj postigle su tehnologije koje pojednostavljuju instalaciju aplikacija i komponenti odgovornih za rad terminalskih servera u globalnim mrežama.

Sljedeće funkcije su uvedene u Terminal Services za Windows 2008 Server.

Šta je udaljena radna površina

Korišćenje Windows udaljene radne površine (rdp) može biti veoma korisno i praktično rešenje za problem udaljeni pristup računaru. Kada udaljena radna površina može biti korisna? Ako želite daljinski kontrolirati svoje računalo (bilo s lokalne mreže ili bilo gdje u svijetu). Naravno, u ove svrhe mogu se koristiti i oni trećih strana, kao što su i drugi. Ali često ovi programi zahtevaju potvrdu pristupa na strani udaljenog računara, nisu prikladni za istovremenu paralelnu upotrebu računara od strane više korisnika, a i dalje rade sporije od udaljene radne površine. Stoga su ovakvi programi prikladniji za daljinsku pomoć ili održavanje, ali ne i za svakodnevni rad.

Može biti prilično zgodno koristiti udaljenu radnu površinu kako biste korisnicima omogućili rad s određenim programima. Na primjer, ako trebate demonstrirati rad programa udaljenom korisniku (omogućite demo pristup za testiranje). Ili, na primjer, u kancelariji imate samo jedan moćan računar na kojem je instaliran zahtjevan program. Na drugim slabim računarima usporava, ali svima je potreban pristup. Tada bi dobro rješenje bilo korištenje udaljene radne površine: svi se sa svojih „mrtvih“ računara povezuju preko rdp-a na moćni i koriste program na njemu, bez ometanja jedni s drugima.

Statička IP adresa. Šta je potrebno za daljinski pristup preko rdp-a

Jedna od važnih tačaka u vezi postavljanje i naknadno korištenje udaljene radne površine je potreba za statičnom IP adresom na udaljenom računaru. Ako postavljate udaljenu radnu površinu koja će se koristiti samo unutar lokalne mreže, onda nema problema. Međutim, udaljena radna površina se uglavnom koristi za vanjski pristup. Većina provajdera daje pretplatnicima dinamičke IP adrese i za normalno korištenje to je sasvim dovoljno. Statičke („bijele”) IP adrese se obično daju uz dodatnu naknadu.

Postavljanje Windows udaljene radne površine

Pa, shvatili smo zašto nam je potrebna udaljena radna površina. Sada počnimo sa postavljanjem. Uputstva o kojima se ovdje govori su pogodna za Windows 7, 8, 8.1, 10. U svim navedenim operativnim sistemima postavke su slične, razlike su male i samo u tome kako otvoriti neke prozore.

Prvo treba da konfigurišemo računar na koji ćemo se povezati.

Pažnja! Vaš nalog mora imati administratorska prava.

1. Otvorite Počni - Kontrolna tabla .

U Windowsima 8.1 i 10 zgodno je otvoriti Kontrolna tabla desnim klikom na ikonu Počni i biranje sa liste Kontrolna tabla .

Zatim odaberite sistem i sigurnost - Sistem. (Ovaj prozor se može otvoriti i na drugi način: kliknite Počni, a zatim kliknite desnim tasterom miša Računar i biraj Svojstva ).

Postavljanje udaljenog pristupa .

3. U odjeljku Remote Desktop izaberite:

- Dozvolite veze samo sa računara koji koriste udaljenu radnu površinu s provjerom autentičnosti na nivou mreže . Pogodno za klijente koji koriste verziju 7.0 udaljene radne površine.

- . Pogodno za povezivanje starih verzija klijenata.

4. Kliknite Prijavite se .

5. Dugme Odaberite korisnike Otvara se prozor u kojem možete odrediti račune na računaru kojima će biti dozvoljeno daljinsko povezivanje. (Ova procedura se naziva i dodavanjem korisnika u grupu )

Korisnici sa administrativnim pravima po defaultu imaju pristup udaljenog radnika. Međutim, osim stvarnog povezivanja, svaki račun mora biti zaštićen lozinkom, čak i administratorski račun.

6. Dodaj u grupu Korisnici udaljene radne površine novi korisnik sa normalnim pravima (ne administrator). Da biste to uradili, pritisnite dugme Dodati

U polju Unesite imena od odabranih objekata unesite ime našeg korisnika. Imam ovo Pristup1. Hajde da kliknemo Provjerite imena .

Ako je sve ispravno, korisničkom imenu će se dodati ime računara. Kliknite uredu .

Ako se ne sjećamo tačnog korisničkog imena ili ga ne želimo unijeti ručno, kliknite Dodatno .

U prozoru koji se otvori kliknite na dugme Traži .

U polju rezultate pretraživanja Svi korisnici računara i lokalne grupe će se pojaviti. Odaberite željenog korisnika i kliknite uredu .

Kada ste u prozoru odabrali sve potrebne korisnike Izbor: Korisnici pritisnite uredu .

Sada na grupu Korisnici udaljene radne površine biće dodan korisnik sa redovnim nalogom Pristup1. Da biste primijenili promjene, kliknite uredu .

7. Ako koristite treće strane, moraćete da ga dodatno konfigurišete, odnosno otvorite TCP port 3389. Ako imate samo ugrađeni Windows firewall pokrenut, onda ne morate ništa da radite, on će biti konfigurisan automatski čim dozvolimo upotrebu udaljene radne površine na računaru.

Ovim se završava osnovno podešavanje udaljenog računara.

Mrežne postavke, prosljeđivanje portova

Kao što je gore pomenuto, za pristup udaljenoj radnoj površini potrebna vam je statička IP adresa.

Ako nemate ruter, a internet kabl ide direktno na računar, preskočite ovaj odeljak i pređite na sledeći. Ako koristite ruter, potrebno je izvršiti dodatna podešavanja na njemu.

Ako planirate koristiti udaljenu radnu površinu samo na lokalnoj mreži, tada će biti dovoljno da željenom računaru samo dodijelite lokalnu IP adresu (pratite prvi dio, bez prosljeđivanja porta). Ako vam je potreban pristup izvana, onda vam je potrebno i . Da biste otvorili pristup udaljenoj radnoj površini, potrebno je da prosledite TCP port 3389.

Postavljanje veze sa udaljenom radnom površinom

Idemo direktno na povezivanje na udaljenu radnu površinu, odnosno postavke na strani klijenta.

1. Pokrenimo .

To možete učiniti u Windows 7 preko menija Počni - Svi programi - Standard - Veza sa udaljenom radnom površinom .

U Windows 8 zgodno je pokrenuti putem pretrage. Kliknite Počni, kliknite na ikonu lupe u gornjem desnom uglu i počnite unositi riječ “izbrisano” u polje za pretragu. Od predloženih opcija pretraživanja odaberite Veza sa udaljenom radnom površinom .

Na Windows 10: Počni - Sve aplikacije - Standardni Windows - Veza sa udaljenom radnom površinom .

2. Prije svega, provjerimo koja je verzija protokola instalirana. Da biste to učinili, kliknite na ikonu u gornjem lijevom kutu i odaberite stavku O programu .

Provjera verzije protokola za desktop. Ako je 7.0 ili noviji, onda je sve u redu, možete se povezati.

Ako je verzija protokola niža (to je moguće na starijim verzijama Windowsa), onda je potrebno ili ažurirati ili sniziti nivo sigurnosti u postavkama udaljenog računara (tj. odabrati Dozvolite veze sa računara koji koriste bilo koju verziju udaljene radne površine (opasnije) ).

Možete preuzeti ažuriranja za udaljenu radnu površinu za stare operativne sisteme koristeći veze u nastavku:

3. Odredite parametre veze:

U polju Računar Registriramo IP adresu udaljenog računara na koji ćemo se povezati. (Lokalno - ako se povezujemo unutar lokalne mreže i realno (ono koje daje internet provajder) ako se udaljeni računar nalazi van lokalne mreže). Imam prvu opciju.

Bilješka. Možete saznati koju eksternu statičku IP adresu imate, na primjer, putem usluge Yandex.Internetometer.

4. Kliknite Za uključivanje .

Od vas će biti zatraženo da unesete svoje akreditive. Unesite login i lozinku bilo kog korisnika na udaljenom računaru koji ima prava da koristi udaljenu radnu površinu. U mom primjeru jeste Admin ili Pristup1. Podsjećam vas da računi moraju biti zaštićeni lozinkom.

Unesite svoje korisničko ime i lozinku i označite kućicu pored Zapamtite akreditive , kako ih ne biste unijeli sljedeći put kada se povežete. Naravno, svoje akreditive možete zapamtiti samo ako radite sa personalnog računara koji nije dostupan neovlašćenim osobama.

Kliknite uredu .

Pojavit će se upozorenje. Stavite kvačicu Nemojte više tražiti veze s ovim računarom i pritisnite Da .

Ako je sve urađeno kako treba, vidjet ćete udaljenu radnu površinu ispred sebe.

Bilješka. Podsjećam da se ne možete istovremeno povezati putem udaljenog rada sa više računara pod jednim korisnikom. Odnosno, ako je planirano da će nekoliko ljudi istovremeno raditi s udaljenim računalom, tada ćete za svakog morati kreirati zasebnog korisnika i dodijeliti prava za korištenje udaljene radne površine. Ovo se radi na udaljenom računaru, kao što je objašnjeno na početku članka.

Dodatne postavke udaljene radne površine

Sada nekoliko riječi o dodatnim postavkama za povezivanje na udaljenu radnu površinu.

Da biste otvorili meni postavki, kliknite na Opcije .

General tab

Ovdje možete promijeniti postavke veze. Klikom na vezu za uređivanje možete urediti korisničko ime i lozinku za povezivanje.

Možete sačuvati već konfigurisana podešavanja veze. Kliknite na dugme Sačuvaj kao i izaberite mjesto, npr. Desktop . Od sada Desktop Pojavit će se prečica koja odmah pokreće vezu sa udaljenom radnom površinom bez potrebe za navođenjem parametara. Ovo je vrlo zgodno, pogotovo ako povremeno radite s nekoliko udaljenih računala ili ako ga ne konfigurirate za sebe i ne želite zbuniti korisnike.

Kartica ekrana

Na kartici Ekran možete odrediti veličinu udaljene radne površine (da li će ona zauzimati cijeli ekran vašeg monitora ili će biti prikazana u malom zasebnom prozoru).

Takođe možete odabrati dubinu boje. Ako je vaša internetska veza spora, preporučujemo da odaberete manju dubinu.

Kartica Lokalni resursi

Ovdje možete konfigurirati parametre zvuka (reproducirati ga na udaljenom računaru ili na klijentskom računaru, itd.), redoslijed korištenja kombinacija Windows prečaca (kao što su Ctrl+Alt+Del, Ctrl+C, itd.) kada radite sa udaljenu radnu površinu.

Jedan od najkorisnijih odjeljaka ovdje je Lokalni uređaji i resursi . Označavanjem polja Štampač, dobijate mogućnost štampanja dokumenata sa udaljene radne površine na vaš lokalni štampač. Kvačica Clipboard aktivira jedan međuspremnik između udaljene radne površine i vašeg računara. To jest, možete koristiti normalne operacije kopiranja i lijepljenja za prijenos datoteka, mapa itd. sa udaljenog računara na vaš i obrnuto.

Klikom na dugme Više detalja, bit ćete odvedeni u meni postavki gdje možete povezati dodatne uređaje na vašem računaru na udaljenu radnu površinu.

Na primjer, želite da imate pristup svom disku kada radite na udaljenom računaru D. Zatim kliknite na znak plus nasuprot Uređaji da proširite listu i označite disk D. Kliknite uredu .

Sada kada se povežete na udaljenu radnu površinu, vidjet ćete i pristupiti svom disku D kroz Dirigent kao da je fizički povezan sa udaljenim računarom.

Napredna kartica

Ovdje možete odabrati brzinu veze za postizanje maksimalnih performansi, kao i podesiti prikaz pozadine radne površine, vizuelne efekte itd.

Uklanjanje veze sa udaljenom radnom površinom

Konačno, razmotrimo kako izbrisati vezu sa udaljenom radnom površinom. Kada je to potrebno? Na primjer, ranije ste imali daljinski pristup svom računaru, ali sada za tim nema potrebe, ili čak trebate spriječiti strance da se povežu na udaljenu radnu površinu vašeg računara. To je vrlo lako uraditi.

1. Otvorite Kontrolna tabla - sistem i sigurnost - Sistem, kao što su učinili na početku članka.

2. U lijevoj koloni kliknite na Postavljanje udaljenog pristupa .

3. U odjeljku Remote Desktop izaberite:

- Ne dozvolite veze sa ovim računarom

Spreman. Sada se niko neće moći povezati s vama putem udaljene radne površine.