Klient RDP pro Windows: instalace a konfigurace. Nastavení RDP (protokol vzdálené plochy)

Co je vzdálená plocha

Použití vzdálené plochy systému Windows (rdp) může být velmi užitečným a pohodlným řešením problému vzdálený přístup k počítači. Kdy může být vzdálená plocha užitečná? Pokud chcete ovládat počítač na dálku (buď z lokální sítě nebo odkudkoli na světě). K těmto účelům lze samozřejmě použít i jiné, např. a další. Tyto programy však často vyžadují potvrzení přístupu na straně vzdáleného počítače, nejsou vhodné pro současné paralelní používání počítače několika uživateli a stále pracují pomaleji než vzdálená plocha. Proto jsou takové programy vhodnější pro vzdálenou pomoc nebo údržbu, ale ne pro každodenní práci.

Může být docela pohodlné použít vzdálenou plochu, která uživatelům umožní pracovat s určitými programy. Například pokud potřebujete předvést funkci programu vzdálenému uživateli (poskytnout demo přístup pro testování). Nebo máte například v kanceláři pouze jeden výkonný počítač, na kterém je nainstalován náročný program. Na jiných slabých počítačích se zpomaluje, ale přístup potřebuje každý. Pak by bylo dobrým řešením použít vzdálenou plochu: každý ze svých „mrtvých“ počítačů se připojí přes rdp k výkonnému a používá program na něm, aniž by se navzájem rušili.

Statická IP adresa. Co je potřeba pro vzdálený přístup přes rdp

Jeden z důležitých bodů ohledně nastavení a následné používání vzdálené plochy je potřeba statické IP adresy na vzdáleném počítači. Pokud nastavujete vzdálenou plochu, která se bude používat pouze v rámci lokální sítě, pak není problém. Vzdálená plocha se však používá hlavně pro externí přístup. Většina poskytovatelů poskytuje předplatitelům dynamické IP adresy a pro běžné použití to stačí. Statické („bílé“) IP jsou obvykle poskytovány za příplatek.

Nastavení vzdálené plochy Windows

No, přišli jsme na to, proč potřebujeme vzdálenou plochu. Nyní to začneme nastavovat. Zde diskutované pokyny jsou vhodné pro Windows 7, 8, 8.1, 10. Ve všech uvedených operačních systémech je nastavení podobné, rozdíly jsou drobné a pouze v tom, jak některá okna otevřít.

Nejprve musíme nakonfigurovat počítač, ke kterému se budeme připojovat.

Pozornost! Váš účet musí mít administrátorská práva.

1. Otevřete Start - Kontrolní panel .

Ve Windows 8.1 a 10 je vhodné otevřít Kontrolní panel kliknutím pravým tlačítkem myši na ikonu Start a výběrem ze seznamu Kontrolní panel .

Dále vyberte systém a bezpečnost - Systém. (Toto okno lze otevřít i jiným způsobem: kliknutím Start a poté klikněte pravým tlačítkem na Počítač a vybrat si Vlastnosti ).

Nastavení vzdáleného přístupu .

3. V sekci Vzdálená plocha Vybrat:

- Povolit připojení pouze z počítačů se vzdálenou plochou s ověřováním na úrovni sítě . Vhodné pro klienty s verzí 7.0 vzdálené plochy.

- . Vhodné pro připojení starších verzí klientů.

4. Klikněte Aplikovat .

5. Tlačítkem Vyberte uživatele Otevře se okno, ve kterém můžete zadat účty v počítači, kterým bude povoleno vzdálené připojení. (Tento postup se také nazývá přidání uživatele do skupiny )

Uživatelé s právy správce mají ve výchozím nastavení vzdálený přístup pracovníka. Kromě skutečného připojení však musí být každý účet chráněn heslem, dokonce i účet správce.

6. Přidat do skupiny Uživatelé vzdálené plochy nový uživatel s normálními právy (nikoli správce). Chcete-li to provést, stiskněte tlačítko Přidat

V terénu Zadejte jména z vybraných objektů zadejte jméno našeho uživatele. mám tohle Přístup1. Pojďme kliknout Zkontrolujte jména .

Pokud je vše v pořádku, bude k uživatelskému jménu přidáno jméno počítače. Klikněte OK .

Pokud si nepamatujeme přesné uživatelské jméno nebo jej nechceme zadávat ručně, klikněte dodatečně .

V okně, které se otevře, klikněte na tlačítko Vyhledávání .

V terénu výsledky vyhledávání Zobrazí se všichni uživatelé počítače a místní skupiny. Vyberte požadovaného uživatele a klikněte OK .

Když jste v okně vybrali všechny požadované uživatele Výběr: Uživatelé lis OK .

Nyní ke skupině Uživatelé vzdálené plochy bude přidán uživatel s běžným účtem Přístup1. Chcete-li použít změny, klepněte na OK .

7. Pokud používáte třetí stranu, budete ji muset dodatečně nakonfigurovat, konkrétně otevřít TCP port 3389. Pokud máte spuštěný pouze vestavěný firewall systému Windows, nemusíte nic dělat, být nakonfigurován automaticky, jakmile povolíme použití vzdálené plochy na počítači.

Tím je základní nastavení vzdáleného počítače dokončeno.

Nastavení sítě, přesměrování portů

Jak je uvedeno výše, pro vzdálený přístup na plochu potřebujete statickou IP adresu.

Pokud nemáte žádné routery a internetový kabel jde přímo do počítače, pak tuto část přeskočte a přejděte k další. Pokud používáte router, musíte na něm provést další nastavení.

Pokud plánujete používat vzdálenou plochu pouze v lokální síti, pak bude stačit pouze přiřadit lokální IP k požadovanému počítači (podle první části, bez přesměrování portů). Pokud potřebujete přístup zvenčí, potřebujete také . Chcete-li otevřít přístup ke vzdálené ploše, musíte předat TCP port 3389.

Nastavení připojení ke vzdálené ploše

Pojďme přímo k připojení ke vzdálené ploše, tedy nastavení na straně klienta.

1. Spustíme .

V systému Windows 7 to můžete provést prostřednictvím nabídky Start - Všechny programy - Standard - Připojení ke vzdálené ploše .

Ve Windows 8 je vhodné spustit pomocí vyhledávání. Klikněte Start, klikněte na ikonu lupy v pravém horním rohu a do vyhledávacího pole začněte zadávat slovo „smazáno“. Z nabízených možností vyhledávání vyberte Připojení ke vzdálené ploše .

V systému Windows 10: Start - Všechny aplikace - Standardní Windows - Připojení ke vzdálené ploše .

2. Nejprve se podívejme, která verze protokolu je nainstalována. Chcete-li to provést, klikněte na ikonu v levém horním rohu a vyberte položku O programu .

Kontrola verze desktopového protokolu. Pokud 7.0 nebo vyšší, pak je vše v pořádku, můžete se připojit.

Pokud je verze protokolu nižší (toto je možné na starších verzích Windows), musíte jej buď aktualizovat, nebo snížit úroveň zabezpečení v nastavení vzdáleného počítače (tj. Povolit připojení z počítačů s libovolnou verzí vzdálené plochy (nebezpečnější) ).

Aktualizace vzdálené plochy pro starší operační systémy si můžete stáhnout pomocí odkazů níže:

3. Zadejte parametry připojení:

V terénu Počítač Registrujeme IP adresu vzdáleného počítače, ke kterému se hodláme připojit. (Místní - pokud se připojujeme v rámci lokální sítě a reálná (ta, kterou udává poskytovatel internetu), pokud se vzdálený počítač nachází mimo lokální síť). Mám první možnost.

Poznámka. Jakou externí statickou IP adresu máte, zjistíte například prostřednictvím služby Yandex.Internetometer.

4. Klikněte Připojit .

Budete vyzváni k zadání přihlašovacích údajů. Zadejte přihlašovací jméno a heslo libovolného uživatele na vzdáleném počítači, který má práva používat vzdálenou plochu. V mém příkladu je Admin nebo Přístup1. Připomínám, že účty musí být chráněny heslem.

Zadejte své uživatelské jméno a heslo a zaškrtněte políčko vedle něj Zapamatujte si přihlašovací údaje , abyste je nezadali při příštím připojení. Své přihlašovací údaje si samozřejmě můžete zapamatovat pouze v případě, že pracujete z osobního počítače, který není přístupný neoprávněným osobám.

Klikněte OK .

Objeví se varování. Dejte klíště Již nepožadujte připojení k tomuto počítači a stiskněte Ano .

Pokud je vše provedeno správně, uvidíte před sebou vzdálenou plochu.

Poznámka. Připomínám, že se nemůžete současně připojit prostřednictvím vzdálené práce z několika počítačů pod jedním uživatelem. To znamená, že pokud se plánuje, že se vzdáleným počítačem bude pracovat několik lidí současně, pak pro každého budete muset vytvořit samostatného uživatele a udělit práva k používání vzdálené plochy. To se provádí na vzdáleném počítači, jak je uvedeno na začátku článku.

Další nastavení vzdálené plochy

Nyní pár slov o dalších nastaveních pro připojení ke vzdálené ploše.

Chcete-li otevřít nabídku nastavení, klepněte na Možnosti .

Karta Obecné

Zde můžete změnit nastavení připojení. Kliknutím na odkaz upravit můžete upravit uživatelské jméno a heslo připojení.

Již nakonfigurovaná nastavení připojení můžete uložit. Klikněte na tlačítko Uložit jako a vyberte místo, např. plocha počítače . Teď dál plocha počítače Objeví se zástupce, který okamžitě spustí připojení ke vzdálené ploše bez nutnosti zadávat parametry. To je velmi výhodné, zejména pokud pravidelně pracujete s několika vzdálenými počítači nebo pokud si jej nenakonfigurujete pro sebe a nechcete zmást uživatele.

Karta obrazovky

Na kartě Obrazovka můžete určit velikost vzdálené plochy (zda zabere celou obrazovku vašeho monitoru nebo se zobrazí v malém samostatném okně).

Vybrat si můžete i barevnou hloubku. Pokud je rychlost vašeho internetového připojení pomalá, doporučujeme zvolit nižší hloubku.

Karta Místní zdroje

Zde můžete konfigurovat parametry zvuku (přehrát jej na vzdáleném počítači nebo na klientském počítači atd.), pořadí použití kombinací klávesových zkratek Windows (např. Ctrl+Alt+Del, Ctrl+C atd.) při práci s vzdálenou plochu.

Jedna z nejužitečnějších sekcí je zde Místní zařízení a zdroje . Zaškrtnutím políčka Tiskárna, získáte možnost tisknout dokumenty ze vzdálené plochy na místní tiskárně. Značka zaškrtnutí Schránka aktivuje jedinou schránku mezi vzdálenou plochou a vaším počítačem. To znamená, že k přenosu souborů, složek atd. můžete použít běžné operace kopírování a vkládání. ze vzdáleného počítače na váš a naopak.

Klepnutím na tlačítko Více informací, dostanete se do nabídky nastavení, kde můžete ke vzdálené ploše připojit další zařízení v počítači.

Například chcete mít přístup ke svému disku při práci na vzdáleném počítači D. Poté klikněte na znaménko plus naproti Zařízení rozbalte seznam a zaškrtněte disk D. Klikněte OK .

Nyní, když se připojíte ke vzdálené ploše, uvidíte svůj disk a budete k němu mít přístup D přes Dirigent jako by byl fyzicky připojen ke vzdálenému počítači.

Karta Upřesnit

Zde si můžete zvolit rychlost připojení pro dosažení maximálního výkonu, dále nastavit zobrazení pozadí plochy, vizuální efekty atp.

Odebrání připojení ke vzdálené ploše

Nakonec uvažujme jak odstranit připojení ke vzdálené ploše. Kdy je to potřeba? Dříve jste například měli vzdálený přístup ke svému počítači, ale nyní to není potřeba, nebo dokonce potřebujete zabránit cizím lidem v připojení ke vzdálené ploše vašeho počítače. Je to velmi snadné.

1. Otevřete Kontrolní panel - systém a bezpečnost - Systém, jak to udělali na začátku článku.

2. V levém sloupci klikněte na Nastavení vzdáleného přístupu .

3. V sekci Vzdálená plocha Vybrat:

- Nepovolovat připojení k tomuto počítači

Připraveno. Nyní se k vám nikdo nebude moci připojit přes vzdálenou plochu.

Vzdálená plocha je funkce operačního systému, která umožňuje spravovat vzdálený počítač v reálném čase pomocí místní sítě nebo internetu jako média pro přenos dat. Existuje velké množství implementací vzdálené plochy v závislosti na protokolu nebo operačním systému. Nejběžnějším řešením v operačním systému Windows je protokol RDP (Remote Desktop Protocol) a v systémech založených na jádře Linuxu - VNC a X11.

Jak povolit funkci vzdálené plochy

Ve výchozím nastavení je možnost stát se serverem relace RDP na pracovní stanici Windows zakázána.

Klepněte pravým tlačítkem myši na ikonu „Tento počítač“ a z kontextové nabídky vyberte „Vlastnosti“.

V levém menu vyberte položku „Nastavení vzdáleného přístupu“. To bude vyžadovat oprávnění správce.

Otevře se okno „Vlastnosti systému“, ve kterém na kartě „Vzdálený přístup“ musíte nastavit oprávnění k přístupu k tomuto počítači, jak je uvedeno na obrázku níže.

V případě potřeby si můžete vybrat uživatele, pod kterými se můžete přihlásit do systému.

Kromě toho, pokud máte nainstalovaný síťový filtr (Firewall), budete muset vytvořit povolující pravidlo pro připojení k tomuto počítači ve vlastnostech síťového adaptéru nebo v apletu Windows Firewall v Ovládacích panelech.

Jak se připojit ke vzdálené ploše

Existuje několik způsobů, jak se připojit ke vzdálené ploše. Přejděte do hlavní nabídky systému „Start – Všechny programy – Příslušenství – Připojení ke vzdálené ploše“

Nebo spusťte příkaz v příkazovém řádku systému Windows (nebo v okně Vykonat»)

Obě tyto metody jsou ekvivalentní a spouští stejný program – Průvodce připojením ke vzdálené ploše.

V okně průvodce můžete zadat název nebo IP adresu počítače, ke kterému se chcete připojit, a také zadat speciální parametry, jako je rozlišení obrazovky, přenos místních (schránka, místní disky) nebo vzdálených (zvuky) zdrojů .

Zadejte IP adresu vzdáleného uzlu a stiskněte tlačítko “ Připojit».

S největší pravděpodobností uvidíme varování o problémech s ověřováním vzdáleného počítače. Pokud jsme si jisti, že jsme neudělali chybu při psaní adresy nebo jména, můžeme kliknout na „Ano“, po kterém bude inicializováno připojení k uzlu.

Budete také muset zadat přihlašovací údaje vzdáleného uživatele.

Pokud jsme nikde neudělali chybu, po nějaké době se nám zobrazí plocha vzdáleného počítače, kde můžeme provádět určité akce. Ovládejte ukazatel myši, zadávejte znaky z klávesnice a podobně.

Jak již bylo zmíněno dříve, pro usnadnění správy systému můžeme přenést místní zdroje, jako jsou tiskárny, logické disky nebo schránku, na vzdálený počítač.

Chcete-li to provést, přejděte v okně Průvodce připojením ke vzdálené ploše na kartu „Místní zdroje“ a klikněte na tlačítko „Další podrobnosti...“.

A v okně, které se otevře, vyberte například Místní disk (C:).

Nyní při připojování vzdálené plochy uvidíme náš místní disk (C:) počítače, ze kterého se připojuje.

Jak zvýšit zabezpečení vzdálené plochy

Není žádným tajemstvím, že ponechat počítač s aktivovanou Vzdálenou plochou a připojeným k internetu není bezpečné. Faktem je, že různé typy útočníků neustále skenují rozsahy síťových adres při hledání spuštěných síťových služeb (včetně vzdálené plochy) s cílem je dále hackovat.

Jedním ze způsobů, který může útočníkovi ztížit nalezení spuštěné služby Terminal Services (RDP), je změnit standardní číslo portu na jinou hodnotu. Ve výchozím nastavení služba RDP naslouchá na síťovém portu 3389/TCP a čeká na příchozí připojení. Právě k tomuto portu se útočníci snaží připojit jako první. S téměř 100% jistotou můžeme říci, že pokud je na počítači otevřený port s tímto číslem, pak na něm běží systém Windows s povoleným vzdáleným přístupem.

Pozornost! Další akce se systémovým registrem je nutné provádět velmi opatrně. Změna určitých nastavení může způsobit nefunkčnost operačního systému.

Chcete-li změnit číslo portu vzdálené plochy, musíte otevřít editor registru a otevřít sekci:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Pak najít REG_DWORD parametr PortNumber a změňte jeho hodnotu v desítkové soustavě na libovolné číslo (od 1024 do 65535).

Po změně hodnoty by měl být počítač restartován. Nyní, abyste získali přístup ke vzdálené ploše, musíte dodatečně zadat náš port pomocí dvojtečky. V této situaci je třeba zadat jako název počítače 10.0.0.119:33321

Útočníci, kteří vyzkoušeli standardní port, pravděpodobně usoudí, že vzdálený přístup přes protokol RDP není na tomto počítači povolen. Tato metoda vás samozřejmě nezachrání před cílenými útoky, kdy je každý síťový port pečlivě kontrolován při hledání mezery, ale ochrání vás před masivními útoky šablon.

Navíc je potřeba použít poměrně složité a dlouhé heslo pro ty účty, které mají povolený přístup přes vzdálenou plochu.

Docela často má mnoho uživatelů, kteří používají relace vzdáleného přístupu, otázku, jak změnit port RDP. Nyní se podíváme na nejjednodušší řešení a také naznačíme několik hlavních fází procesu nastavení.

K čemu je protokol RDP?

Nejprve pár slov o RDP. Když se podíváte na dekódování zkratky, pochopíte ten vzdálený přístup

Jednoduše řečeno, jedná se o nástroj pro terminálový server nebo pracovní stanici. Nastavení systému Windows (a jakékoli verze systému) používají výchozí nastavení, která vyhovují většině uživatelů. Někdy je však potřeba je změnit.

Standardní port RDP: měl by se změnit?

Takže bez ohledu na modifikaci Windows mají všechny protokoly přednastavený význam. Jedná se o RDP port 3389, který se používá k uskutečnění komunikační relace (propojení jednoho terminálu se vzdálenými).

Jaký je důvod situace, kdy je potřeba změnit standardní hodnotu? Především pouze se zajištěním bezpečnosti místního počítače. Koneckonců, když se na to podíváte, s nainstalovaným standardním portem může v zásadě každý útočník snadno proniknout do systému. Nyní se tedy podívejme, jak změnit výchozí port RDP.

Změna nastavení v systémovém registru

Okamžitě poznamenejme, že postup změny se provádí výhradně v ručním režimu a samotný klient vzdáleného přístupu nezajišťuje žádné resetování nebo instalaci nových parametrů.

Nejprve zavolejte standardní editor registru pomocí příkazu regedit v nabídce „Spustit“ (Win + R). Zde nás zajímá větev HKLM, ve které musíme jít dolů ve stromu oddílů přes adresář terminálového serveru do adresáře RDP-Tcp. V okně vpravo najdeme klíč PortNumber. Je to jeho význam, který musíme změnit.

Jdeme do editace a vidíme tam 00000D3D. Mnoho lidí je okamžitě zmateno, co to je. A toto je jednoduše hexadecimální znázornění dekadického čísla 3389. K označení portu v desítkovém tvaru použijeme odpovídající řádek k zobrazení reprezentace hodnoty a poté určíme parametr, který potřebujeme.

Poté restartujeme systém a při pokusu o připojení zadejte nový port RDP. Dalším způsobem připojení je použití speciálního příkazu mstsc /v:ip_address:XXXXX, kde XXXXX je nové číslo portu. Ale to není všechno.

Pravidla brány firewall systému Windows

Vestavěný firewall systému Windows může bohužel blokovat nový port. To znamená, že musíte provést změny v nastavení samotného firewallu.

Vyvolejte nastavení brány firewall s pokročilým nastavením zabezpečení. Zde byste měli nejprve vybrat příchozí spojení a kliknutím na řádek vytvořit nové pravidlo. Nyní vybereme položku pro vytvoření pravidla pro port, poté zadáme jeho hodnotu pro TCP, následně povolíme připojení, sekci profilů necháme beze změny a nakonec přiřadíme název novému pravidlu, načež klikneme na tlačítko kompletní konfigurace. Zbývá pouze restartovat server a při připojování zadat nový port RDP dvojtečkou v příslušném řádku. Teoreticky by neměly být žádné problémy.

Přesměrování portu RDP na routeru

V některých případech, kdy místo kabelového připojení používáte bezdrátové připojení, může být nutné přesměrovat port na routeru. Na tom není nic složitého.

Nejprve ve vlastnostech systému povolujeme a označujeme uživatele, kteří k tomu mají právo. Poté přejděte do nabídky nastavení routeru prostřednictvím prohlížeče (192.168.1.1 nebo na konci 0.1 - vše závisí na modelu routeru). Do pole (pokud je naše hlavní adresa 1.1) je vhodné uvést adresu počínaje třetí (1.3) a pro druhou (1.2) napsat pravidlo pro vydání adresy.

V síťových připojeních pak používáme zobrazení podrobností, kde byste si měli prohlédnout podrobnosti, zkopírovat odtud fyzickou MAC adresu a vložit ji do parametrů routeru.

Nyní v sekci nastavení NAT na modemu povolte připojení k serveru, přidejte pravidlo a zadejte port XXXXX, který je třeba přesměrovat na standardní RDP port 3389. Uložte změny a restartujte router (nový port bude nelze přijmout bez restartu). Připojení si můžete ověřit na některém specializovaném webu jako je ping.eu v sekci testování portů. Jak vidíte, vše je jednoduché.

Nakonec si všimněte, že hodnoty portů jsou distribuovány následovně:

0 - 1023 - porty pro nízkoúrovňové systémové programy;
1024 - 49151 - přístavy přidělené pro soukromé účely;
49152 - 65535 - dynamické soukromé porty.

Obecně platí, že mnoho uživatelů obvykle vybírá porty RDP ze třetího rozsahu seznamu, aby se vyhnuli problémům. Specialisté i odborníci však doporučují používat tyto hodnoty v nastavení, protože jsou vhodné pro většinu úkolů.

Pokud jde o tento konkrétní postup, používá se především pouze v případech Wi-Fi připojení. Jak již vidíte, u běžného kabelového připojení to není nutné: stačí změnit hodnoty klíčů registru a přidat pravidla pro port ve bráně firewall.

Tento článek začíná sérii článků věnovaných návrhu a zabezpečení protokolu RDP. První článek této série analyzuje návrh, použití a hlavní technologie obsažené v tomto protokolu.

Následující články budou podrobně diskutovat o následujících problémech:

Provoz bezpečnostního subsystému Vzdálená plocha
Formát výměny informací o službách v RDP
Chyby zabezpečení terminálového serveru a způsoby jejich odstranění
Výběr uživatelských účtů pomocí protokolu RDP (vyvinutý společností Positive Technologies v této oblasti)

Historie RDP

Protokol Remote Desktop byl vytvořen společností Microsoft, aby poskytoval vzdálený přístup k serverům a pracovním stanicím Windows. Protokol RDP je navržen pro sdílení zdrojů vysoce výkonného terminálového serveru s mnoha méně výkonnými pracovními stanicemi. První terminálový server (verze 4.0) se objevil v roce 1998 jako součást Windows NT 4.0 Terminal Server; v době psaní tohoto článku (leden 2009) je nejnovější verzí terminálového serveru verze 6.1, která je součástí Windows 2008 Server a Windows Vista. distribuce SP1. V současné době je RDP hlavním protokolem vzdáleného přístupu pro systémy rodiny Windows a klientské aplikace existují pro Microsoft OS i Linux, FreeBSD, MAC OS X atd.

Když mluvíme o historii RDP, nelze nezmínit Citrix. Citrix Systems se v 90. letech specializoval na víceuživatelské systémy a technologie vzdáleného přístupu. Po získání licence na zdrojový kód Windows NT 3.51 v roce 1995 společnost vydala víceuživatelskou verzi Windows NT známou jako WinFrame. V roce 1997 Citrix Systems a Microsoft uzavřely dohodu, podle níž bylo víceuživatelské prostředí Windows NT 4.0 založeno na vývoji technologie Citrix. Citrix Systems naopak odmítl distribuovat plnohodnotný operační systém a získal právo vyvíjet a implementovat rozšíření pro produkty Microsoftu. Tato rozšíření se původně nazývala MetaFrame. Práva na ICA (Independent Computing Architecture), aplikační protokol pro interakci mezi tenkými klienty a aplikačním serverem Citrix, zůstala společnosti Citrix Systems a protokol Microsoft RDP byl založen na ITU T.120.

V současnosti je hlavní konkurence mezi Citrixem a Microsoftem v oblasti aplikačních serverů pro malé a střední podniky. Řešení založená na Terminálových službách tradičně vítězí v systémech s nepříliš velkým počtem serverů stejného typu a podobných konfigurací, zatímco Citrix Systems je pevně etablován na trhu komplexních a vysoce výkonných systémů. Konkurence je podporována uvolněním lehkých řešení pro malé systémy společností Citrix a neustálým rozšiřováním funkčnosti terminálových služeb společností Microsoft.

Podívejme se na výhody těchto řešení.

Přednosti terminálových služeb:

Snadná instalace aplikací pro klientskou stranu aplikačního serveru
Centralizovaná údržba uživatelských relací
Vyžaduje licenci pouze pro Terminálové služby

Silné stránky řešení Citrix:

Snadno škálovatelné
Snadná administrace a sledování
Zásady řízení přístupu
Podpora pro podnikové produkty třetích stran (IBM WebSphere, BEA WebLogic)

Návrh sítě pomocí terminálových služeb

Microsoft navrhuje dva způsoby použití protokolu RDP:

pro správu (režim vzdálené správy)
pro přístup k aplikačnímu serveru (režim terminálového serveru)

RDP v režimu správy

Tento typ připojení používají všechny moderní operační systémy Microsoft. Serverové verze systému Windows podporují dvě vzdálená připojení a jedno místní přihlášení současně, zatímco klientské verze podporují pouze jedno přihlášení (místní nebo vzdálené). Chcete-li povolit vzdálená připojení, musíte povolit přístup ke vzdálené ploše ve vlastnostech pracovní stanice.

RDP v režimu přístupu k terminálovému serveru

Tento režim je dostupný pouze v serverových verzích Windows. Počet vzdálených připojení v tomto případě není omezen, ale je nutná konfigurace licenčního serveru a jeho následná aktivace. Licenční server lze nainstalovat buď na terminálový server, nebo na samostatný síťový uzel. Možnost vzdáleného přístupu k terminálovému serveru je k dispozici pouze po instalaci příslušných licencí na licenční server.

Při použití clusteru terminálových serverů a vyrovnávání zátěže je vyžadována instalace specializovaného připojovacího serveru (Session Directory Service). Tento server indexuje uživatelské relace, což vám umožňuje přihlášení a opětovné přihlášení k terminálovým serverům pracujícím v distribuovaném prostředí.

Jak RDP funguje

Vzdálená plocha je aplikační protokol založený na TCP. Po navázání spojení se na transportní vrstvě inicializuje relace RDP, v rámci které se vyjednávají různé parametry přenosu dat. Po úspěšném dokončení inicializační fáze začne terminálový server odesílat grafický výstup klientovi a čeká na vstup z klávesnice a myši. Grafickým výstupem může být přesná kopie grafické obrazovky, přenášející jak obrázek, tak příkazy pro kreslení grafických primitiv (obdélník, čára, elipsa, text atd.). Přenos výstupu pomocí primitiv je prioritou protokolu RDP, protože výrazně šetří provoz; a obraz se přenáší pouze v případě, že je to z nějakého důvodu nemožné (nebylo možné dohodnout parametry pro přenos primitiv při nastavování RDP relace). Klient RDP zpracovává přijaté příkazy a zobrazuje obrázky pomocí svého grafického subsystému. Ve výchozím nastavení je vstup uživatele přenášen pomocí skenovacích kódů klávesnice. Signál pro stisknutí a uvolnění klávesy je přenášen samostatně pomocí speciálního praporku.

RDP podporuje více virtuálních kanálů v rámci jednoho připojení, které lze použít k poskytování dalších funkcí:

pomocí tiskárny nebo sériového portu
přesměrování souborového systému
Podpora schránky
pomocí audio subsystému

Charakteristiky virtuálních kanálů se vyjednávají během fáze nastavování připojení.

Zajištění bezpečnosti při používání RDP

Specifikace protokolu RDP vyžaduje jeden ze dvou bezpečnostních přístupů:

Standardní zabezpečení RDP (vestavěný bezpečnostní subsystém)
Vylepšené zabezpečení RDP (externí bezpečnostní subsystém)

Standardní zabezpečení RDP

S tímto přístupem jsou autentizace, šifrování a zajištění integrity implementovány pomocí prostředků zabudovaných do protokolu RDP.

Autentizace

Ověření serveru se provádí následovně:

Po spuštění systému se vygeneruje dvojice RSA klíčů
Je vytvořen vlastní certifikát veřejného klíče
Certifikát je podepsán klíčem RSA pevně zakódovaným do operačního systému (jakýkoli klient RDP obsahuje veřejný klíč tohoto vestavěného klíče RSA).
Klient se připojí k terminálovému serveru a obdrží proprietární certifikát
Klient ověří certifikát a obdrží veřejný klíč serveru (tento klíč se později použije k vyjednání parametrů šifrování)

Autentizace klienta se provádí zadáním uživatelského jména a hesla.

Šifrování

Jako šifrovací algoritmus byla zvolena proudová šifra RC4. V závislosti na verzi operačního systému jsou k dispozici různé délky klíče od 40 do 168 bitů.

Maximální délka klíče pro operační systémy Winodws:

Windows 2000 Server – 56 bit
Windows XP, Windows 2003 Server – 128 bit
Windows Vista, Windows 2008 Server – 168 bit

Po navázání spojení se po odsouhlasení délky vygenerují dva různé klíče: pro šifrování dat z klienta a ze serveru.

Integrita

Integrity zpráv je dosaženo použitím algoritmu generování MAC (Message Authentication Code) založeného na algoritmech MD5 a SHA1.

Počínaje Windows 2003 Server lze dosáhnout souladu s FIPS (Federal Information Processing Standard) 140-1 pomocí 3DES pro šifrování zpráv a algoritmu generování MAC pouze SHA1 pro zajištění integrity.

Vylepšené zabezpečení RDP

Tento přístup využívá externí bezpečnostní moduly:

TLS 1.0
CredSSP

TLS lze použít počínaje Windows 2003 Server, ale pouze v případě, že jej klient RDP podporuje. Podpora TLS byla přidána od verze klienta RDP 6.0.

Při použití TLS lze certifikát serveru vygenerovat pomocí Terminal Sercives nebo můžete vybrat existující certifikát z úložiště Windows.

Protokol CredSSP je kombinací funkcí TLS, Kerberos a NTLM.

Podívejme se na hlavní výhody protokolu CredSSP:

Kontrola oprávnění k přihlášení do vzdáleného systému před navázáním úplného připojení RDP, což umožňuje ušetřit prostředky terminálového serveru v případě velkého počtu připojení
Silná autentizace a šifrování pomocí protokolu TLS
Použití jednotného přihlášení s Kerberos nebo NTLM

Funkce CredSSP lze používat pouze v operačních systémech Windows Vista a Windows 2008 Server. Tento protokol je povolen příznakem Use Network Level Authentication v nastavení terminálového serveru (Windows 2008 Server) nebo v nastavení vzdáleného přístupu (Windows Vista).

Licenční schéma terminálových služeb

Při použití RDP vyžaduje přístup k aplikacím v režimu tenkého klienta nastavení specializovaného licenčního serveru.

Trvalé klientské licence lze nainstalovat na server až po dokončení aktivace, před touto procedurou lze vydat dočasné licence s omezenou dobou platnosti. Po aktivaci je licenčnímu serveru poskytnut digitální certifikát potvrzující jeho vlastnictví a pravost. Pomocí tohoto certifikátu může licenční server provádět následné transakce s databází Microsoft Clearinghouse a přijímat trvalé licence CAL pro terminálový server.

Typy klientských licencí:

dočasná licence (dočasná licence CAL na terminálový server)
licence zařízení (Device Terminal Server CAL)
uživatelská licence (User Terminal Server CAL)
licence pro externí uživatele (External Terminal Server Connector)

Dočasná licence

Tento typ licence je klientovi vydán při prvním připojení k terminálovému serveru, platnost licence je 90 dní. Po úspěšném přihlášení klient pokračuje v práci s dočasnou licencí a při příštím připojení terminálového serveru se pokusí nahradit dočasnou licenci trvalou, pokud je v úložišti dostupná.

Licence zařízení

Tato licence se vydává pro každé fyzické zařízení, které se připojuje k aplikačnímu serveru. Doba platnosti licence je nastavena náhodně mezi 52 a 89 dny. 7 dní před datem vypršení platnosti se terminálový server pokusí obnovit licenci z licenčního serveru pokaždé, když se klient znovu připojí.

Uživatelská licence

Licence na uživatele poskytuje další flexibilitu tím, že uživatelům umožňuje připojit se z různých zařízení. Současná implementace Terminálových služeb nemá kontrolu nad používáním uživatelských licencí, tzn. Počet dostupných licencí na licenčním serveru se při připojení nových uživatelů nesníží. Použití nedostatečných licencí pro připojení klientů porušuje licenční smlouvu společnosti Microsoft. Chcete-li používat licence CAL pro zařízení i uživatele na stejném terminálovém serveru, musí být server nakonfigurován tak, aby fungoval v režimu licencování pro jednotlivé uživatele.

Licence pro externí uživatele

Jedná se o speciální typ licence navržený pro připojení externích uživatelů k podnikovému terminálovému serveru. Tato licence neomezuje počet připojení, nicméně podle uživatelské smlouvy (EULA) musí být terminálový server pro externí připojení vyhrazen, což neumožňuje jeho použití pro obsluhu relací od firemních uživatelů. Vzhledem k vysoké ceně se tento typ licence příliš nepoužívá.

Licenční server může mít jednu ze dvou rolí:

Licenční server domény nebo pracovní skupiny
Celý podnikový licenční server

Role se liší ve způsobu, jakým zjišťují licenční server: při použití role Enterprise hledá terminálový server v ActiveDirectory licenční server, jinak se vyhledávání provádí pomocí požadavku vysílání NetBIOS. Každý nalezený server je zkontrolován na správnost pomocí požadavku RPC.

Slibné technologie Terminálové služby

Řešení pro aplikační servery společnost Microsoft aktivně propaguje, dochází k rozšiřování funkčnosti a zavádění dalších modulů. Největšího rozvoje dosáhly technologie, které zjednodušují instalaci aplikací a komponent zodpovědných za provoz terminálových serverů v globálních sítích.

V Terminálové službě pro Windows 2008 Server byly zavedeny následující funkce.

Co je vzdálená plocha

Statická IP adresa. Co je potřeba pro vzdálený přístup přes rdp

Nastavení vzdálené plochy Windows

Nejprve musíme nakonfigurovat počítač, ke kterému se budeme připojovat.

Pozornost! Váš účet musí mít administrátorská práva.

1. Otevřete Start - Kontrolní panel .

Ve Windows 8.1 a 10 je vhodné otevřít Kontrolní panel kliknutím pravým tlačítkem myši na ikonu Start a výběrem ze seznamu Kontrolní panel .

Dále vyberte systém a bezpečnost - Systém. (Toto okno lze otevřít i jiným způsobem: kliknutím Start a poté klikněte pravým tlačítkem na Počítač a vybrat si Vlastnosti ).

Nastavení vzdáleného přístupu .

3. V sekci Vzdálená plocha Vybrat:

- Povolit připojení pouze z počítačů se vzdálenou plochou s ověřováním na úrovni sítě . Vhodné pro klienty s verzí 7.0 vzdálené plochy.

- . Vhodné pro připojení starších verzí klientů.

4. Klikněte Aplikovat .

6. Přidat do skupiny Uživatelé vzdálené plochy nový uživatel s normálními právy (nikoli správce). Chcete-li to provést, stiskněte tlačítko Přidat

V terénu Zadejte jména z vybraných objektů zadejte jméno našeho uživatele. mám tohle Přístup1. Pojďme kliknout Zkontrolujte jména .

Pokud je vše v pořádku, bude k uživatelskému jménu přidáno jméno počítače. Klikněte OK .

Pokud si nepamatujeme přesné uživatelské jméno nebo jej nechceme zadávat ručně, klikněte dodatečně .

V okně, které se otevře, klikněte na tlačítko Vyhledávání .

V terénu výsledky vyhledávání Zobrazí se všichni uživatelé počítače a místní skupiny. Vyberte požadovaného uživatele a klikněte OK .

Když jste v okně vybrali všechny požadované uživatele Výběr: Uživatelé lis OK .

Nyní ke skupině Uživatelé vzdálené plochy bude přidán uživatel s běžným účtem Přístup1. Chcete-li použít změny, klepněte na OK .

Tím je základní nastavení vzdáleného počítače dokončeno.

Nastavení sítě, přesměrování portů

Jak je uvedeno výše, pro vzdálený přístup na plochu potřebujete statickou IP adresu.

Nastavení připojení ke vzdálené ploše

Pojďme přímo k připojení ke vzdálené ploše, tedy nastavení na straně klienta.

1. Spustíme .

V systému Windows 7 to můžete provést prostřednictvím nabídky Start - Všechny programy - Standard - Připojení ke vzdálené ploše .

V systému Windows 10: Start - Všechny aplikace - Standardní Windows - Připojení ke vzdálené ploše .

2. Nejprve se podívejme, která verze protokolu je nainstalována. Chcete-li to provést, klikněte na ikonu v levém horním rohu a vyberte položku O programu .

Kontrola verze desktopového protokolu. Pokud 7.0 nebo vyšší, pak je vše v pořádku, můžete se připojit.

Aktualizace vzdálené plochy pro starší operační systémy si můžete stáhnout pomocí odkazů níže:

3. Zadejte parametry připojení:

Poznámka. Jakou externí statickou IP adresu máte, zjistíte například prostřednictvím služby Yandex.Internetometer.

4. Klikněte Připojit .

Klikněte OK .

Objeví se varování. Dejte klíště Již nepožadujte připojení k tomuto počítači a stiskněte Ano .

Pokud je vše provedeno správně, uvidíte před sebou vzdálenou plochu.

Další nastavení vzdálené plochy

Nyní pár slov o dalších nastaveních pro připojení ke vzdálené ploše.

Chcete-li otevřít nabídku nastavení, klepněte na Možnosti .

Karta Obecné

Zde můžete změnit nastavení připojení. Kliknutím na odkaz upravit můžete upravit uživatelské jméno a heslo připojení.

Karta obrazovky

Na kartě Obrazovka můžete určit velikost vzdálené plochy (zda zabere celou obrazovku vašeho monitoru nebo se zobrazí v malém samostatném okně).

Vybrat si můžete i barevnou hloubku. Pokud je rychlost vašeho internetového připojení pomalá, doporučujeme zvolit nižší hloubku.

Karta Místní zdroje

Klepnutím na tlačítko Více informací, dostanete se do nabídky nastavení, kde můžete ke vzdálené ploše připojit další zařízení v počítači.

Nyní, když se připojíte ke vzdálené ploše, uvidíte svůj disk a budete k němu mít přístup D přes Dirigent jako by byl fyzicky připojen ke vzdálenému počítači.

Karta Upřesnit

Zde si můžete zvolit rychlost připojení pro dosažení maximálního výkonu, dále nastavit zobrazení pozadí plochy, vizuální efekty atp.

Odebrání připojení ke vzdálené ploše

1. Otevřete Kontrolní panel - systém a bezpečnost - Systém, jak to udělali na začátku článku.

2. V levém sloupci klikněte na Nastavení vzdáleného přístupu .

3. V sekci Vzdálená plocha Vybrat:

- Nepovolovat připojení k tomuto počítači

Připraveno. Nyní se k vám nikdo nebude moci připojit přes vzdálenou plochu.