Hva er Remote Desktop

Å bruke Windows Remote Desktop (rdp) kan være en veldig nyttig og praktisk løsning på problemet ekstern datamaskintilgang. Når kan eksternt skrivebord være nyttig? Hvis du vil fjernstyre datamaskinen din (enten fra et lokalt nettverk eller fra hvor som helst i verden). Selvfølgelig kan tredjeparter, som og andre, brukes til disse formålene. Men ofte krever disse programmene tilgangsbekreftelse på siden av den eksterne datamaskinen, de er ikke egnet for samtidig parallellbruk av datamaskinen av flere brukere, og fungerer fortsatt tregere enn det eksterne skrivebordet. Derfor er slike programmer mer egnet for fjernhjelp eller vedlikehold, men ikke for hverdagsarbeid.

Det kan være ganske praktisk å bruke Remote Desktop for å la brukere jobbe med visse programmer. For eksempel, hvis du trenger å demonstrere driften av et program for en fjern bruker (gi demotilgang for testing). Eller du har for eksempel bare én kraftig datamaskin på kontoret som et krevende program er installert på. På andre svake datamaskiner bremser den ned, men alle trenger tilgang. Da ville en god løsning være å bruke et eksternt skrivebord: alle fra deres "døde" datamaskiner kobler seg via rdp til en kraftig og bruker programmet på den, uten å forstyrre hverandre.

Statisk IP-adresse. Hva trengs for ekstern tilgang via rdp

Et av de viktige punktene vedr konfigurere og deretter bruke det eksterne skrivebordet er behovet for en statisk IP-adresse på den eksterne datamaskinen. Hvis du setter opp et eksternt skrivebord som bare skal brukes innenfor det lokale nettverket, er det ikke noe problem. Imidlertid brukes eksternt skrivebord hovedsakelig for ekstern tilgang. De fleste tilbydere gir abonnenter dynamiske IP-adresser og for normal bruk er dette nok. Statiske (“hvite”) IP-er leveres vanligvis mot en ekstra avgift.

Sette opp Windows Remote Desktop

Vel, vi fant ut hvorfor vi trenger et eksternt skrivebord. La oss nå begynne å sette den opp. Instruksjonene som er diskutert her passer for Windows 7, 8, 8.1, 10. I alle de listede operativsystemene er innstillingene like, forskjellene er små og bare i hvordan du åpner noen vinduer.

Først må vi konfigurere datamaskinen vi skal koble til.

Merk følgende! Kontoen din må ha administratorrettigheter.

1. Åpne Start - Kontrollpanel .

I Windows 8.1 og 10 er det praktisk å åpne Kontrollpanel ved å høyreklikke på ikonet Start og velge fra listen Kontrollpanel .

Velg deretter system og sikkerhet - System. (Dette vinduet kan også åpnes på en annen måte: klikk Start, og høyreklikk deretter på Datamaskin og velg Egenskaper ).

Sette opp ekstern tilgang .

3. I seksjonen Fjernstyrt skrivebord velge:

- Tillat tilkoblinger bare fra datamaskiner som kjører Eksternt skrivebord med autentisering på nettverksnivå . Egnet for klienter som kjører versjon 7.0 av Remote Desktop.

- . Egnet for å koble til eldre versjoner av klienter.

4. Klikk Søke om .

5. Med knapp Velg brukere Et vindu åpnes der du kan spesifisere kontoer på datamaskinen som skal få lov til å koble til eksternt. (Denne prosedyren kalles også å legge til en bruker i en gruppe )

Brukere med administrative rettigheter har ekstern arbeidstakertilgang som standard. Men i tillegg til å faktisk koble til, må enhver konto være passordbeskyttet, også administratorkontoen.

6. Legg til i gruppe Brukere av eksternt skrivebord en ny bruker med normale rettigheter (ikke en administrator). For å gjøre dette, trykk på knappen Legg til

I felt Skriv inn navn av de valgte objektene, skriv inn navnet på brukeren vår. jeg har dette Tilgang 1. La oss klikke Sjekk navn .

Hvis alt er riktig, vil datamaskinnavnet bli lagt til brukernavnet. Klikk OK .

Hvis vi ikke husker det nøyaktige brukernavnet eller ikke vil skrive det inn manuelt, klikker du I tillegg .

Klikk på knappen i vinduet som åpnes Søk .

I felt søkeresultater Alle datamaskinbrukere og lokale grupper vises. Velg ønsket bruker og klikk OK .

Når du har valgt alle nødvendige brukere i vinduet Utvalg: Brukere trykk OK .

Nå til gruppen Brukere av eksternt skrivebord en bruker med en vanlig konto vil bli lagt til Tilgang 1. For å bruke endringene, klikk OK .

7. Hvis du bruker en tredjepart, må du konfigurere den i tillegg, nemlig åpne TCP-port 3389. Hvis du bare har den innebygde Windows-brannmuren i gang, trenger du ikke gjøre noe, det vil konfigureres automatisk så snart vi har tillatt bruk av eksternt skrivebord på datamaskinen.

Dette fullfører det grunnleggende oppsettet av den eksterne datamaskinen.

Nettverksinnstillinger, portvideresending

Som nevnt ovenfor, for ekstern skrivebordstilgang du trenger en statisk IP-adresse.

Hvis du ikke har noen rutere og Internett-kabelen går direkte til datamaskinen, hopper du over denne delen og går videre til neste. Hvis du bruker en ruter, må du gjøre flere innstillinger på den.

Hvis du planlegger å bruke det eksterne skrivebordet bare på et lokalt nettverk, vil det være nok å bare tilordne en lokal IP til ønsket datamaskin (følg den første delen, uten portvideresending). Trenger du tilgang utenfra, så trenger du også . For å åpne tilgang til det eksterne skrivebordet må du videresende TCP-port 3389.

Sette opp en ekstern skrivebordstilkobling

La oss gå direkte til koble til et eksternt skrivebord, det vil si innstillinger på klientsiden.

1. La oss lansere .

Du kan gjøre dette i Windows 7 via menyen Start - Alle programmene - Standard - Tilkobling til eksternt skrivebord .

I Windows 8 er det praktisk å starte gjennom søk. Klikk Start, klikk på forstørrelsesglassikonet i øvre høyre hjørne og begynn å skrive inn ordet «slettet» i søkefeltet. Velg fra de foreslåtte søkealternativene Tilkobling til eksternt skrivebord .

På Windows 10: Start - Alle applikasjoner - Standard Windows - Tilkobling til eksternt skrivebord .

2. Først av alt, la oss sjekke hvilken protokollversjon som er installert. For å gjøre dette, klikk på ikonet i øvre venstre hjørne og velg elementet Om programmet .

Kontrollerer skrivebordsprotokollversjonen. Hvis 7.0 eller høyere, så er alt i orden, du kan koble til.

Hvis protokollversjonen er lavere (dette er mulig på eldre versjoner av Windows), må du enten oppdatere den eller senke sikkerhetsnivået i innstillingene til den eksterne datamaskinen (dvs. velg Tillat tilkoblinger fra datamaskiner som kjører en hvilken som helst versjon av eksternt skrivebord (farligere) ).

Du kan laste ned Remote Desktop-oppdateringer for eldre operativsystemer ved å bruke koblingene nedenfor:

3. Angi tilkoblingsparametere:

I felt Datamaskin Vi registrerer IP-adressen til den eksterne datamaskinen som vi skal koble til. (Lokal - hvis vi kobler til innenfor det lokale nettverket og ekte (den gitt av Internett-leverandøren) hvis den eksterne datamaskinen er plassert utenfor det lokale nettverket). Jeg har det første alternativet.

Merk. Du kan finne ut hvilken ekstern statisk IP-adresse du har, for eksempel gjennom Yandex.Internetometer-tjenesten.

4. Klikk Å plugge .

Du vil bli bedt om å skrive inn legitimasjonen din. Skriv inn påloggingsinformasjonen og passordet til enhver bruker på den eksterne datamaskinen som har rettigheter til å bruke det eksterne skrivebordet. I mitt eksempel er det Admin eller Tilgang 1. Jeg minner om at kontoer må være passordbeskyttet.

Skriv inn brukernavn og passord og merk av i boksen ved siden av Husk legitimasjon , for ikke å legge inn dem neste gang du kobler til. Selvfølgelig kan du bare huske legitimasjonen din hvis du jobber fra en personlig datamaskin som ikke er tilgjengelig for uautoriserte personer.

Klikk OK .

En advarsel vil dukke opp. Sett en hake Ikke be om tilkoblinger til denne datamaskinen igjen og trykk Ja .

Hvis alt er gjort riktig, vil du se det eksterne skrivebordet foran deg.

Merk. Jeg minner om at du ikke kan koble til samtidig via fjernarbeid fra flere datamaskiner under én bruker. Det vil si at hvis det er planlagt at flere personer skal jobbe med den eksterne datamaskinen samtidig, må du for hver enkelt opprette en egen bruker og gi rettigheter til å bruke det eksterne skrivebordet. Dette gjøres på en ekstern datamaskin, som diskutert i begynnelsen av artikkelen.

Ytterligere innstillinger for eksternt skrivebord

Nå noen få ord om tilleggsinnstillinger for tilkobling til et eksternt skrivebord.

For å åpne innstillingsmenyen, klikk på Alternativer .

Generelt-fanen

Her kan du endre tilkoblingsinnstillinger. Ved å klikke på rediger-lenken kan du redigere brukernavnet og tilkoblingspassordet.

Du kan lagre de allerede konfigurerte tilkoblingsinnstillingene. Klikk på knappen Lagre som og velg et sted, for eksempel, Skrivebord . Nå på Skrivebord En snarvei vises som umiddelbart starter en ekstern skrivebordstilkobling uten å måtte spesifisere parametere. Dette er veldig praktisk, spesielt hvis du med jevne mellomrom jobber med flere eksterne datamaskiner eller hvis du ikke konfigurerer det selv og ikke vil forvirre brukere.

Skjerm-fanen

På fanen Skjerm du kan spesifisere størrelsen på det eksterne skrivebordet (om det skal oppta hele skjermen på skjermen eller vises i et lite separat vindu).

Du kan også velge fargedybde. Hvis Internett-tilkoblingshastigheten din er lav, anbefales det å velge en lavere dybde.

Kategorien Lokale ressurser

Her kan du konfigurere lydparametrene (spille den av på den eksterne datamaskinen eller på klientdatamaskinen osv.), rekkefølgen på bruk av Windows hurtigtastkombinasjoner (som Ctrl+Alt+Del, Ctrl+C osv.) når du arbeider med det eksterne skrivebordet.

En av de mest nyttige delene her er Lokale enheter og ressurser . Ved å merke av i boksen Skriver, får du muligheten til å skrive ut dokumenter fra et eksternt skrivebord til din lokale skriver. Hake Utklippstavle aktiverer en enkelt utklippstavle mellom det eksterne skrivebordet og datamaskinen. Det vil si at du kan bruke vanlige kopierings- og limoperasjoner for å overføre filer, mapper osv. fra en ekstern datamaskin til din og omvendt.

Klikk på knappen Mer informasjon, vil du bli tatt til innstillingsmenyen der du kan koble flere enheter på datamaskinen til det eksterne skrivebordet.

For eksempel vil du ha tilgang til disken din når du arbeider på en ekstern datamaskin D. Klikk deretter på plusstegnet ved siden av Enheter for å utvide listen og kryss av for disken D. Klikk OK .

Nå når du kobler til et eksternt skrivebord, vil du se og få tilgang til disken din D gjennom Dirigent som om den var fysisk koblet til den eksterne datamaskinen.

Avansert-fanen

Her kan du velge tilkoblingshastighet for å oppnå maksimal ytelse, samt stille inn visning av skrivebordsbakgrunn, visuelle effekter, etc.

Fjerne en ekstern skrivebordstilkobling

Til slutt, la oss vurdere hvordan du sletter en ekstern skrivebordstilkobling. Når trengs det? For eksempel pleide du å ha ekstern tilgang til datamaskinen din, men nå er det ikke behov for dette, eller du må til og med hindre fremmede fra å koble seg til det eksterne skrivebordet på datamaskinen din. Det er veldig enkelt å gjøre.

1. Åpne Kontrollpanel - system og sikkerhet - System, som de gjorde i begynnelsen av artikkelen.

2. Klikk på i venstre kolonne Sette opp ekstern tilgang .

3. I seksjonen Fjernstyrt skrivebord velge:

- Ikke tillat tilkoblinger til denne datamaskinen

Klar. Nå vil ingen kunne koble til deg via eksternt skrivebord.

Eksternt skrivebord er en operativsystemfunksjonalitet som lar deg administrere en ekstern datamaskin i sanntid ved å bruke et lokalt nettverk eller Internett som dataoverføringsmedium. Det finnes et stort utvalg av eksternt skrivebordsimplementeringer avhengig av protokollen eller operativsystemet. Den vanligste løsningen i Windows-operativsystemet er Remote Desktop Protocol (RDP), og i systemer basert på Linux-kjernen - VNC og X11.

Slik aktiverer du funksjonalitet for eksternt skrivebord

Som standard er muligheten til å bli en RDP-sesjonsserver deaktivert på en Windows-arbeidsstasjon.

Høyreklikk på "Min datamaskin"-ikonet og velg "Egenskaper" fra hurtigmenyen.

Velg elementet "Konfigurere ekstern tilgang" i menyen til venstre. Dette vil kreve administratorrettigheter.

Vinduet "Systemegenskaper" åpnes, der du på fanen "Fjerntilgang" må angi tilgangstillatelsen til denne datamaskinen som gjort i skjermbildet nedenfor.

Ved behov kan du velge brukere som du kan logge inn under i systemet.

I tillegg, hvis du har installert et nettverksfilter (brannmur), må du opprette en tillatelsesregel for å koble til denne datamaskinen i egenskapene til nettverksadapteren eller i Windows-brannmur-appleten i kontrollpanelet.

Hvordan koble til eksternt skrivebord

Det er flere måter å koble til et eksternt skrivebord. Gå til hovedmenyen til systemet "Start - Alle programmer - Tilbehør - Tilkobling til eksternt skrivebord"

Eller kjør kommandoen i Windows-ledeteksten (eller vinduet Henrette»)

Begge disse metodene er likeverdige og starter det samme programmet - veiviseren for tilkobling til eksternt skrivebord.

I veiviservinduet kan du spesifisere navnet eller IP-adressen til datamaskinen du vil koble til, samt spesifisere spesielle parametere, for eksempel skjermoppløsning, overføring av lokale (utklippstavle, lokale disker) eller eksterne (lyder) ressurser .

Skriv inn IP-adressen til den eksterne noden og trykk på knappen " Å plugge».

Mest sannsynlig vil vi se en advarsel om problemer med å autentisere den eksterne datamaskinen. Hvis vi er sikre på at vi ikke har gjort en feil med å stave adressen eller navnet, kan vi klikke på "Ja", hvoretter tilkoblingen til noden vil bli initialisert.

Du må også angi den eksterne brukerens legitimasjon.

Hvis vi ikke har gjort en feil noe sted, vil vi etter en stund se skrivebordet til den eksterne datamaskinen, hvor vi kan utføre visse handlinger. Kontroller musepekeren, skriv inn tegn fra tastaturet og så videre.

Som nevnt tidligere, for enkelhets skyld for systemadministrasjon, kan vi overføre lokale ressurser som skrivere, logiske stasjoner eller utklippstavlen til en ekstern maskin.

For å gjøre dette, i vinduet Veiviser for tilkobling til eksternt skrivebord, gå til fanen "Lokale ressurser", klikk på knappen "Mer detaljer ...".

Og i vinduet som åpnes velger du for eksempel Lokal disk (C:).

Nå, når vi kobler til et eksternt skrivebord, vil vi se vår lokale stasjon (C:) på datamaskinen som tilkoblingen er opprettet fra.

Hvordan øke sikkerheten for eksternt skrivebord

Det er ingen hemmelighet at det er utrygt å forlate en datamaskin med eksternt skrivebord aktivert og koblet til Internett. Faktum er at ulike typer angripere kontinuerlig skanner nettverksadresseområder på jakt etter kjørende nettverkstjenester (inkludert eksternt skrivebord) med sikte på å hacke dem ytterligere.

En av måtene som kan gjøre det vanskeligere for en angriper å finne en kjørende Terminal Services (RDP)-tjeneste, er å endre standard portnummer til en annen verdi. Som standard lytter RDP-tjenesten på nettverksport 3389/TCP og venter på en innkommende tilkobling. Det er denne porten angripere prøver å koble til først. Vi kan si med nesten 100 % sikkerhet at hvis en port med dette nummeret er åpen på en datamaskin, så kjører den et Windows-system med tillatt ekstern tilgang.

Merk følgende! Ytterligere handlinger med systemregisteret må utføres veldig nøye. Endring av visse innstillinger kan gjøre operativsystemet ubrukelig.

For å endre portnummeret til det eksterne skrivebordet, må du åpne registerredigering og åpne delen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Finn så REG_DWORD PortNumber-parameteren og endre verdien i desimalsystemet til et vilkårlig tall (fra 1024 til 65535).

Etter at verdien er endret, bør datamaskinen startes på nytt. Nå, for å få tilgang til det eksterne skrivebordet, må du i tillegg spesifisere porten vår via et kolon. I denne situasjonen må du spesifisere som datamaskinnavn 10.0.0.119:33321

Vel, angripere, etter å ha prøvd standardporten, vil sannsynligvis konkludere med at ekstern tilgang via RDP-protokollen ikke er tillatt på denne datamaskinen. Selvfølgelig vil denne metoden ikke redde deg fra målrettede angrep, når hver nettverksport blir nøye sjekket på jakt etter et smutthull, men den vil beskytte deg mot massive malangrep.

I tillegg må du bruke et ganske komplekst og langt passord for de kontoene som har tilgang via eksternt skrivebord.

Ganske ofte har mange brukere som bruker fjerntilgangsøkter et spørsmål om hvordan de endrer RDP-porten. La oss nå se på de enkleste løsningene, og også angi flere hovedstadier i oppsettsprosessen.

Hva er RDP-protokollen for?

Først noen få ord om RDP. Hvis du ser på dekodingen av forkortelsen, kan du forstå at ekstern tilgang

Enkelt sagt er dette et verktøy for en terminalserver eller arbeidsstasjon. Windows-innstillinger (og enhver versjon av systemet) bruker standardinnstillinger som passer de fleste brukere. Noen ganger er det imidlertid behov for å endre dem.

Standard RDP-port: bør den endres?

Så, uavhengig av modifikasjonen av Windows, har alle protokoller en forhåndsinnstilt betydning. Dette er RDP-port 3389, som brukes til å utføre en kommunikasjonsøkt (koble en terminal til eksterne).

Hva er årsaken til situasjonen når standardverdien må endres? Først av alt, bare med å sikre sikkerheten til den lokale datamaskinen. Tross alt, hvis du ser på det, med en standardport installert, kan i prinsippet enhver angriper lett trenge inn i systemet. Så la oss nå se hvordan du endrer standard RDP-port.

Endre innstillinger i systemregisteret

La oss umiddelbart merke seg at endringsprosedyren utføres utelukkende i manuell modus, og fjerntilgangsklienten i seg selv sørger ikke for noen tilbakestilling eller installasjon av nye parametere.

Først ringer du standard registerredigering med regedit-kommandoen i "Kjør"-menyen (Win + R). Her er vi interessert i HKLM-grenen, der vi må gå ned partisjonstreet gjennom terminalserverkatalogen til RDP-Tcp-katalogen. I vinduet til høyre finner vi PortNumber-tasten. Det er dens betydning vi må endre.

Vi går inn i redigering og ser 00000D3D der. Mange mennesker blir umiddelbart forvirret over hva det er. Og dette er ganske enkelt en heksadesimal representasjon av desimaltallet 3389. For å indikere porten i desimalform bruker vi den tilsvarende linjen for å vise verdirepresentasjonen, og spesifiserer deretter parameteren vi trenger.

Etter dette starter vi systemet på nytt, og når du prøver å koble til, spesifiser en ny RDP-port. En annen måte å koble til er å bruke spesialkommandoen mstsc /v:ip_address:XXXXX, der XXXXX er det nye portnummeret. Men det er ikke alt.

Windows-brannmurregler

Dessverre kan den innebygde Windows-brannmuren blokkere den nye porten. Dette betyr at du må gjøre endringer i innstillingene til selve brannmuren.

Hent frem brannmurinnstillingene med avanserte sikkerhetsinnstillinger. Her bør du først velge innkommende forbindelser og klikke på linjen for å lage en ny regel. Nå velger vi elementet for å opprette en regel for porten, skriv deretter inn verdien for TCP, tillater deretter tilkoblingen, lar profilseksjonen være uendret og tildeler til slutt et navn til den nye regelen, hvoretter vi klikker på den fullstendige konfigurasjonsknappen. Alt som gjenstår er å starte serveren på nytt og, når du kobler til, spesifisere den nye RDP-porten gjennom et kolon i den aktuelle linjen. I teorien burde det ikke være noen problemer.

Videresending av RDP-porten på ruteren

I noen tilfeller, når du bruker en trådløs tilkobling i stedet for en kabeltilkobling, må du kanskje videresende porten på ruteren. Det er ikke noe komplisert med det.

For det første, i systemegenskapene, tillater og indikerer vi brukerne som har rett til å gjøre det. Gå deretter til ruterinnstillinger-menyen gjennom nettleseren (192.168.1.1 eller på slutten 0.1 - alt avhenger av rutermodellen). I feltet (hvis hovedadressen vår er 1.1), er det lurt å angi adressen, som starter med den tredje (1.3), og skriver regelen for å utstede adressen for den andre (1.2).

Så i nettverkstilkoblinger bruker vi detaljvisningen, hvor du skal se detaljene, kopiere den fysiske MAC-adressen derfra og lime den inn i ruterparametrene.

Nå, i delen NAT-innstillinger på modemet, aktiver tilkoblingen til serveren, legg til en regel og spesifiser port XXXXX, som må videresendes til standard RDP-port 3389. Lagre endringene og start ruteren på nytt (den nye porten vil ikke aksepteres uten omstart). Du kan sjekke tilkoblingen på noen spesialiserte nettsider som ping.eu i porttestseksjonen. Som du kan se, er alt enkelt.

Til slutt, merk at portverdiene er fordelt som følger:

• 0 - 1023 - porter for systemprogrammer på lavt nivå;
• 1024 - 49151 - havner tildelt til private formål;
• 49152 - 65535 - dynamiske private porter.

Generelt velger mange brukere vanligvis RDP-porter fra det tredje området på listen for å unngå problemer. Imidlertid anbefaler både spesialister og eksperter å bruke disse verdiene i innstillingene, siden de passer for de fleste oppgavene.

Når det gjelder denne spesielle prosedyren, brukes den hovedsakelig bare i tilfeller med Wi-Fi-tilkobling. Som du allerede kan se, er det ikke nødvendig med en vanlig kablet tilkobling: bare endre verdiene til registernøklene og legg til regler for porten i brannmuren.

Denne artikkelen starter en serie artikler viet utformingen og sikkerheten til RDP-protokollen. Den første artikkelen i denne serien analyserer design, bruk og hovedteknologier som er innebygd i denne protokollen.

Denne artikkelen starter en serie artikler viet utformingen og sikkerheten til RDP-protokollen. Den første artikkelen i denne serien analyserer design, bruk og hovedteknologier som er innebygd i denne protokollen.

Følgende artikler vil diskutere følgende problemer i detalj:

• Drift av sikkerhetsundersystemet Remote Desktop
• Utvekslingsformat for tjenesteinformasjon i RDP
• Terminal Server-sårbarheter og måter å eliminere dem på
• Valg av brukerkontoer ved hjelp av RDP-protokollen (utviklet av Positive Technologies på dette området)

Historien til RDP

Remote Desktop-protokollen ble opprettet av Microsoft for å gi ekstern tilgang til Windows-servere og arbeidsstasjoner. RDP-protokollen er designet for å dele ressursene til en høyytelses terminalserver med mange mindre kraftige arbeidsstasjoner. Den første terminalserveren (versjon 4.0) dukket opp i 1998 som en del av Windows NT 4.0 Terminal Server; i skrivende stund (januar 2009) er den siste versjonen av terminalserveren versjon 6.1, inkludert i Windows 2008 Server og Windows Vista SP1 distribusjoner. For øyeblikket er RDP den viktigste fjerntilgangsprotokollen for Windows-familiesystemer, og klientapplikasjoner finnes for både Microsoft OS og Linux, FreeBSD, MAC OS X, etc.

Når man snakker om historien til RDP, kan man ikke unngå å nevne Citrix. Citrix Systems spesialiserte seg på flerbrukersystemer og fjerntilgangsteknologier på 1990-tallet. Etter å ha anskaffet Windows NT 3.51 kildekodelisensen i 1995, ga selskapet ut en flerbrukerversjon av Windows NT kjent som WinFrame. I 1997 inngikk Citrix Systems og Microsoft en avtale der Windows NT 4.0 flerbrukermiljøet var basert på Citrix-teknologiutviklingen. På sin side nektet Citrix Systems å distribuere et fullverdig operativsystem og fikk rett til å utvikle og implementere utvidelser for Microsoft-produkter. Disse utvidelsene ble opprinnelig kalt MetaFrame. Rettigheter til ICA (Independent Computing Architecture), applikasjonsprotokollen for interaksjon mellom tynnklienter og Citrix-applikasjonsserveren, forble hos Citrix Systems, og Microsoft RDP-protokollen var basert på ITU T.120.

For øyeblikket er hovedkonkurransen mellom Citrix og Microsoft innen applikasjonsservere for små og mellomstore bedrifter. Tradisjonelt vinner løsninger basert på Terminal Services i systemer med ikke et veldig stort antall av samme type servere og lignende konfigurasjoner, mens Citrix Systems er solid etablert i markedet for komplekse og høyytelsessystemer. Konkurransen er drevet av lanseringen av lette løsninger for små systemer fra Citrix og den konstante utvidelsen av Terminal Services-funksjonaliteten fra Microsoft.

La oss se på fordelene med disse løsningene.

Styrker ved terminaltjenester:

• Enkel installasjon av applikasjoner for klientsiden av applikasjonsserveren
• Sentralisert vedlikehold av brukersesjoner
• Krever kun lisens for terminaltjenester

Styrkene til Citrix-løsninger:

• Lett å skalere
• Enkel administrasjon og overvåking
• Adgangskontrollpolicy
• Støtte for tredjeparts bedriftsprodukter (IBM WebSphere, BEA WebLogic)

Nettverksdesign ved hjelp av terminaltjenester

Microsoft foreslår to moduser for bruk av RDP-protokollen:

• for administrasjon (fjernadministrasjonsmodus)
• for å få tilgang til applikasjonsserveren (Terminal Server-modus)

RDP i administrasjonsmodus

Denne typen tilkobling brukes av alle moderne Microsoft-operativsystemer. Serverversjoner av Windows støtter to eksterne tilkoblinger og én lokal pålogging samtidig, mens klientversjoner kun støtter én pålogging (lokal eller ekstern). For å tillate eksterne tilkoblinger, må du aktivere ekstern skrivebordstilgang i arbeidsstasjonsegenskapene.

RDP i terminalservertilgangsmodus

Denne modusen er kun tilgjengelig i serverversjoner av Windows. Antall eksterne tilkoblinger i dette tilfellet er ikke begrenset, men konfigurasjon av lisensserveren og dens påfølgende aktivering er nødvendig. Lisensserveren kan installeres enten på en terminalserver eller på en egen nettverksnode. Muligheten for ekstern tilgang til terminalserveren er kun tilgjengelig etter at de riktige lisensene er installert på lisensserveren.

Når du bruker en terminalserverklynge og lastbalansering, kreves installasjon av en spesialisert tilkoblingsserver (Session Directory Service). Denne serveren indekserer brukersesjoner, som lar deg logge på, samt logge på på nytt til terminalservere som opererer i et distribuert miljø.

Hvordan RDP fungerer

Remote Desktop er en applikasjonsprotokoll basert på TCP. Etter at en forbindelse er opprettet, initialiseres en RDP-sesjon på transportlaget, innenfor hvilken ulike dataoverføringsparametere forhandles. Etter at initialiseringsfasen er fullført, begynner terminalserveren å sende grafisk utdata til klienten og venter på input fra tastatur og mus. Den grafiske utgangen kan være en eksakt kopi av den grafiske skjermen, og overføre både et bilde og kommandoer for å tegne grafiske primitiver (rektangel, linje, ellipse, tekst, etc.). Overføring av utdata ved bruk av primitiver er en prioritet for RDP-protokollen, siden det sparer trafikk betydelig; og bildet overføres bare hvis ellers er umulig av en eller annen grunn (det var ikke mulig å bli enige om parametrene for overføring av primitiver når du satte opp en RDP-sesjon). RDP-klienten behandler mottatte kommandoer og viser bilder ved hjelp av sitt grafikkundersystem. Som standard overføres brukerinndata ved hjelp av tastaturskannekoder. Signalet for å trykke og slippe en tast sendes separat ved hjelp av et spesielt flagg.

RDP støtter flere virtuelle kanaler innenfor en enkelt tilkobling, som kan brukes til å gi ekstra funksjonalitet:

• ved å bruke en skriver eller seriell port
• omdirigering av filsystemet
• Støtte for utklippstavle
• ved å bruke lydundersystemet

Egenskapene til de virtuelle kanalene forhandles under tilkoblingsoppsettfasen.

Sikre sikkerhet ved bruk av RDP

RDP-protokollspesifikasjonen krever en av to sikkerhetstilnærminger:

• Standard RDP-sikkerhet (innebygd sikkerhetsdelsystem)
• Forbedret RDP-sikkerhet (eksternt sikkerhetsdelsystem)

Standard RDP-sikkerhet

Med denne tilnærmingen implementeres autentisering, kryptering og integritetssikring ved å bruke midlene innebygd i RDP-protokollen.

Autentisering

Serverautentisering utføres som følger:

1. Når systemet starter, genereres et par RSA-nøkler
2. Et proprietært sertifikat for offentlig nøkkel opprettes
3. Sertifikatet er signert med en RSA-nøkkel hardkodet inn i operativsystemet (enhver RDP-klient inneholder den offentlige nøkkelen til denne innebygde RSA-nøkkelen).
4. Klienten kobler seg til terminalserveren og mottar et proprietært sertifikat
5. Klienten verifiserer sertifikatet og mottar serverens offentlige nøkkel (denne nøkkelen brukes senere for å forhandle krypteringsparametere)

Klientautentisering utføres ved å angi brukernavn og passord.

Kryptering

RC4-strømchifferet ble valgt som krypteringsalgoritmen. Avhengig av operativsystemversjonen er forskjellige nøkkellengder tilgjengelig fra 40 til 168 biter.

Maksimal nøkkellengde for Winodws-operativsystemer:

• Windows 2000 Server - 56 bit
• Windows XP, Windows 2003 Server – 128 bit
• Windows Vista, Windows 2008 Server – 168 bit

Når en tilkobling opprettes, etter avtalt lengde, genereres to forskjellige nøkler: for å kryptere data fra klienten og fra serveren.

Integritet

Meldingsintegritet oppnås ved å bruke en MAC (Message Authentication Code) generasjonsalgoritme basert på MD5- og SHA1-algoritmene.

Fra og med Windows 2003 Server, kan FIPS (Federal Information Processing Standard) 140-1-samsvar oppnås ved å bruke 3DES for meldingskryptering og en SHA1-kun MAC-genereringsalgoritme for å sikre integritet.

Forbedret RDP-sikkerhet

Denne tilnærmingen bruker eksterne sikkerhetsmoduler:

• TLS 1.0
• CredSSP

TLS kan brukes fra og med Windows 2003 Server, men bare hvis RDP-klienten støtter det. TLS-støtte har blitt lagt til siden RDP-klientversjon 6.0.

Når du bruker TLS, kan serversertifikatet genereres ved hjelp av Terminal Services eller du kan velge et eksisterende sertifikat fra Windows-butikken.

CredSSP-protokollen er en kombinasjon av funksjonaliteten til TLS, Kerberos og NTLM.

La oss se på hovedfordelene med CredSSP-protokollen:

• Kontroller tillatelse til å logge på et eksternt system før du oppretter en full RDP-tilkobling, som lar deg lagre terminalserverressurser når det er et stort antall tilkoblinger
• Sterk autentisering og kryptering via TLS-protokoll
• Bruke Single Sign On med Kerberos eller NTLM

CredSSP-funksjoner kan bare brukes på operativsystemene Windows Vista og Windows 2008 Server. Denne protokollen aktiveres av flagget Bruk nettverksnivåautentisering i terminalserverinnstillingene (Windows 2008 Server) eller i innstillingene for ekstern tilgang (Windows Vista).

Terminal Services-lisensordning

Når du bruker RDP, krever tilgang til applikasjoner i tynnklientmodus å sette opp en spesialisert lisensserver.

Permanente klientlisenser kan kun installeres på serveren etter å ha fullført aktiveringsprosedyren; før denne prosedyren kan midlertidige lisenser begrenset i gyldighetsperiode utstedes. Etter aktivering får lisensserveren et digitalt sertifikat som bekrefter eierskap og autentisitet. Ved å bruke dette sertifikatet kan lisensserveren utføre påfølgende transaksjoner med Microsoft Clearinghouse-databasen og godta permanente CALer for terminalserveren.

Typer klientlisenser:

• midlertidig lisens (Temporary Terminal Server CAL)
• enhetslisens (Device Terminal Server CAL)
• brukerlisens (User Terminal Server CAL)
• lisens for eksterne brukere (External Terminal Server Connector)

Midlertidig lisens

Denne typen lisens utstedes til klienten ved første tilkobling til terminalserveren; lisensen er gyldig i 90 dager. Ved vellykket pålogging fortsetter klienten å jobbe med en midlertidig lisens, og neste gang terminalserveren kobler seg til, prøver den å erstatte den midlertidige lisensen med en permanent, hvis den er tilgjengelig i lagringen.

Enhetslisens

Denne lisensen utstedes for hver fysisk enhet som kobles til applikasjonsserveren. Lisensens gyldighetsperiode er satt tilfeldig mellom 52 og 89 dager. 7 dager før utløpsdatoen forsøker terminalserveren å fornye lisensen fra lisensserveren hver gang en klient kobler til igjen.

Brukerlisens

Per-bruker lisensiering gir ekstra fleksibilitet ved at brukere kan koble til fra en rekke enheter. Den nåværende implementeringen av Terminal Services har ikke kontroll over bruken av brukerlisenser, dvs. Antallet tilgjengelige lisenser på lisensserveren reduseres ikke når nye brukere kobler til. Bruk av utilstrekkelige lisenser for klientforbindelser bryter med Microsofts lisensavtale. For å bruke både enhets- og bruker-CAL-er på samme terminalserver, må serveren konfigureres til å fungere i per-bruker-lisensmodus.

Lisens for eksterne brukere

Dette er en spesiell type lisens utviklet for å koble eksterne brukere til en bedriftsterminalserver. Denne lisensen pålegger ingen begrensninger på antall tilkoblinger, men i henhold til brukeravtalen (EULA) må terminalserveren for eksterne tilkoblinger være dedikert, noe som ikke tillater bruk av den til å betjene økter fra bedriftsbrukere. På grunn av den høye prisen er denne typen lisens ikke mye brukt.

Lisensserveren kan ha en av to roller:

• Domene- eller arbeidsgruppelisensserver
• Hele Enterprise License Server

Rollene er forskjellige i hvordan de oppdager lisensserveren: når du bruker Enterprise-rollen, søker terminalserveren i ActiveDirectory etter lisensserveren, ellers utføres søket ved hjelp av en NetBIOS-kringkastingsforespørsel. Hver server som blir funnet kontrolleres for korrekthet ved hjelp av en RPC-forespørsel.

Lovende teknologier Terminal Services

Løsninger for applikasjonsservere promoteres aktivt av Microsoft, funksjonaliteten utvides og tilleggsmoduler introduseres. Den største utviklingen har blitt oppnådd av teknologier som forenkler installasjonen av applikasjoner og komponenter som er ansvarlige for driften av terminalservere i globale nettverk.

Følgende funksjoner er introdusert i Terminal Services for Windows 2008 Server.

Hva er Remote Desktop

Å bruke Windows Remote Desktop (rdp) kan være en veldig nyttig og praktisk løsning på problemet ekstern datamaskintilgang. Når kan eksternt skrivebord være nyttig? Hvis du vil fjernstyre datamaskinen din (enten fra et lokalt nettverk eller fra hvor som helst i verden). Selvfølgelig kan tredjeparter, som og andre, brukes til disse formålene. Men ofte krever disse programmene tilgangsbekreftelse på siden av den eksterne datamaskinen, de er ikke egnet for samtidig parallellbruk av datamaskinen av flere brukere, og fungerer fortsatt tregere enn det eksterne skrivebordet. Derfor er slike programmer mer egnet for fjernhjelp eller vedlikehold, men ikke for hverdagsarbeid.

Det kan være ganske praktisk å bruke Remote Desktop for å la brukere jobbe med visse programmer. For eksempel, hvis du trenger å demonstrere driften av et program for en fjern bruker (gi demotilgang for testing). Eller du har for eksempel bare én kraftig datamaskin på kontoret som et krevende program er installert på. På andre svake datamaskiner bremser den ned, men alle trenger tilgang. Da ville en god løsning være å bruke et eksternt skrivebord: alle fra deres "døde" datamaskiner kobler seg via rdp til en kraftig og bruker programmet på den, uten å forstyrre hverandre.

Statisk IP-adresse. Hva trengs for ekstern tilgang via rdp

Et av de viktige punktene vedr konfigurere og deretter bruke det eksterne skrivebordet er behovet for en statisk IP-adresse på den eksterne datamaskinen. Hvis du setter opp et eksternt skrivebord som bare skal brukes innenfor det lokale nettverket, er det ikke noe problem. Imidlertid brukes eksternt skrivebord hovedsakelig for ekstern tilgang. De fleste tilbydere gir abonnenter dynamiske IP-adresser og for normal bruk er dette nok. Statiske (“hvite”) IP-er leveres vanligvis mot en ekstra avgift.

Sette opp Windows Remote Desktop

Vel, vi fant ut hvorfor vi trenger et eksternt skrivebord. La oss nå begynne å sette den opp. Instruksjonene som er diskutert her passer for Windows 7, 8, 8.1, 10. I alle de listede operativsystemene er innstillingene like, forskjellene er små og bare i hvordan du åpner noen vinduer.

Først må vi konfigurere datamaskinen vi skal koble til.

Merk følgende! Kontoen din må ha administratorrettigheter.

1. Åpne Start - Kontrollpanel .

I Windows 8.1 og 10 er det praktisk å åpne Kontrollpanel ved å høyreklikke på ikonet Start og velge fra listen Kontrollpanel .

Velg deretter system og sikkerhet - System. (Dette vinduet kan også åpnes på en annen måte: klikk Start, og høyreklikk deretter på Datamaskin og velg Egenskaper ).

Sette opp ekstern tilgang .

3. I seksjonen Fjernstyrt skrivebord velge:

- Tillat tilkoblinger bare fra datamaskiner som kjører Eksternt skrivebord med autentisering på nettverksnivå . Egnet for klienter som kjører versjon 7.0 av Remote Desktop.

- . Egnet for å koble til eldre versjoner av klienter.

4. Klikk Søke om .

5. Med knapp Velg brukere Et vindu åpnes der du kan spesifisere kontoer på datamaskinen som skal få lov til å koble til eksternt. (Denne prosedyren kalles også å legge til en bruker i en gruppe )

Brukere med administrative rettigheter har ekstern arbeidstakertilgang som standard. Men i tillegg til å faktisk koble til, må enhver konto være passordbeskyttet, også administratorkontoen.

6. Legg til i gruppe Brukere av eksternt skrivebord en ny bruker med normale rettigheter (ikke en administrator). For å gjøre dette, trykk på knappen Legg til

I felt Skriv inn navn av de valgte objektene, skriv inn navnet på brukeren vår. jeg har dette Tilgang 1. La oss klikke Sjekk navn .

Hvis alt er riktig, vil datamaskinnavnet bli lagt til brukernavnet. Klikk OK .

Hvis vi ikke husker det nøyaktige brukernavnet eller ikke vil skrive det inn manuelt, klikker du I tillegg .

Klikk på knappen i vinduet som åpnes Søk .

I felt søkeresultater Alle datamaskinbrukere og lokale grupper vises. Velg ønsket bruker og klikk OK .

Når du har valgt alle nødvendige brukere i vinduet Utvalg: Brukere trykk OK .

Nå til gruppen Brukere av eksternt skrivebord en bruker med en vanlig konto vil bli lagt til Tilgang 1. For å bruke endringene, klikk OK .

7. Hvis du bruker en tredjepart, må du konfigurere den i tillegg, nemlig åpne TCP-port 3389. Hvis du bare har den innebygde Windows-brannmuren i gang, trenger du ikke gjøre noe, det vil konfigureres automatisk så snart vi har tillatt bruk av eksternt skrivebord på datamaskinen.

Dette fullfører det grunnleggende oppsettet av den eksterne datamaskinen.

Nettverksinnstillinger, portvideresending

Som nevnt ovenfor, for ekstern skrivebordstilgang du trenger en statisk IP-adresse.

Hvis du ikke har noen rutere og Internett-kabelen går direkte til datamaskinen, hopper du over denne delen og går videre til neste. Hvis du bruker en ruter, må du gjøre flere innstillinger på den.

Hvis du planlegger å bruke det eksterne skrivebordet bare på et lokalt nettverk, vil det være nok å bare tilordne en lokal IP til ønsket datamaskin (følg den første delen, uten portvideresending). Trenger du tilgang utenfra, så trenger du også . For å åpne tilgang til det eksterne skrivebordet må du videresende TCP-port 3389.

Sette opp en ekstern skrivebordstilkobling

La oss gå direkte til koble til et eksternt skrivebord, det vil si innstillinger på klientsiden.

1. La oss lansere .

Du kan gjøre dette i Windows 7 via menyen Start - Alle programmene - Standard - Tilkobling til eksternt skrivebord .

I Windows 8 er det praktisk å starte gjennom søk. Klikk Start, klikk på forstørrelsesglassikonet i øvre høyre hjørne og begynn å skrive inn ordet «slettet» i søkefeltet. Velg fra de foreslåtte søkealternativene Tilkobling til eksternt skrivebord .

På Windows 10: Start - Alle applikasjoner - Standard Windows - Tilkobling til eksternt skrivebord .

2. Først av alt, la oss sjekke hvilken protokollversjon som er installert. For å gjøre dette, klikk på ikonet i øvre venstre hjørne og velg elementet Om programmet .

Kontrollerer skrivebordsprotokollversjonen. Hvis 7.0 eller høyere, så er alt i orden, du kan koble til.

Hvis protokollversjonen er lavere (dette er mulig på eldre versjoner av Windows), må du enten oppdatere den eller senke sikkerhetsnivået i innstillingene til den eksterne datamaskinen (dvs. velg Tillat tilkoblinger fra datamaskiner som kjører en hvilken som helst versjon av eksternt skrivebord (farligere) ).

Du kan laste ned Remote Desktop-oppdateringer for eldre operativsystemer ved å bruke koblingene nedenfor:

3. Angi tilkoblingsparametere:

I felt Datamaskin Vi registrerer IP-adressen til den eksterne datamaskinen som vi skal koble til. (Lokal - hvis vi kobler til innenfor det lokale nettverket og ekte (den gitt av Internett-leverandøren) hvis den eksterne datamaskinen er plassert utenfor det lokale nettverket). Jeg har det første alternativet.

Merk. Du kan finne ut hvilken ekstern statisk IP-adresse du har, for eksempel gjennom Yandex.Internetometer-tjenesten.

4. Klikk Å plugge .

Du vil bli bedt om å skrive inn legitimasjonen din. Skriv inn påloggingsinformasjonen og passordet til enhver bruker på den eksterne datamaskinen som har rettigheter til å bruke det eksterne skrivebordet. I mitt eksempel er det Admin eller Tilgang 1. Jeg minner om at kontoer må være passordbeskyttet.

Skriv inn brukernavn og passord og merk av i boksen ved siden av Husk legitimasjon , for ikke å legge inn dem neste gang du kobler til. Selvfølgelig kan du bare huske legitimasjonen din hvis du jobber fra en personlig datamaskin som ikke er tilgjengelig for uautoriserte personer.

Klikk OK .

En advarsel vil dukke opp. Sett en hake Ikke be om tilkoblinger til denne datamaskinen igjen og trykk Ja .

Hvis alt er gjort riktig, vil du se det eksterne skrivebordet foran deg.

Merk. Jeg minner om at du ikke kan koble til samtidig via fjernarbeid fra flere datamaskiner under én bruker. Det vil si at hvis det er planlagt at flere personer skal jobbe med den eksterne datamaskinen samtidig, må du for hver enkelt opprette en egen bruker og gi rettigheter til å bruke det eksterne skrivebordet. Dette gjøres på en ekstern datamaskin, som diskutert i begynnelsen av artikkelen.

Ytterligere innstillinger for eksternt skrivebord

Nå noen få ord om tilleggsinnstillinger for tilkobling til et eksternt skrivebord.

For å åpne innstillingsmenyen, klikk på Alternativer .

Generelt-fanen

Her kan du endre tilkoblingsinnstillinger. Ved å klikke på rediger-lenken kan du redigere brukernavnet og tilkoblingspassordet.

Du kan lagre de allerede konfigurerte tilkoblingsinnstillingene. Klikk på knappen Lagre som og velg et sted, for eksempel, Skrivebord . Nå på Skrivebord En snarvei vises som umiddelbart starter en ekstern skrivebordstilkobling uten å måtte spesifisere parametere. Dette er veldig praktisk, spesielt hvis du med jevne mellomrom jobber med flere eksterne datamaskiner eller hvis du ikke konfigurerer det selv og ikke vil forvirre brukere.

Skjerm-fanen

På fanen Skjerm du kan spesifisere størrelsen på det eksterne skrivebordet (om det skal oppta hele skjermen på skjermen eller vises i et lite separat vindu).

Du kan også velge fargedybde. Hvis Internett-tilkoblingshastigheten din er lav, anbefales det å velge en lavere dybde.

Kategorien Lokale ressurser

Her kan du konfigurere lydparametrene (spille den av på den eksterne datamaskinen eller på klientdatamaskinen osv.), rekkefølgen på bruk av Windows hurtigtastkombinasjoner (som Ctrl+Alt+Del, Ctrl+C osv.) når du arbeider med det eksterne skrivebordet.

En av de mest nyttige delene her er Lokale enheter og ressurser . Ved å merke av i boksen Skriver, får du muligheten til å skrive ut dokumenter fra et eksternt skrivebord til din lokale skriver. Hake Utklippstavle aktiverer en enkelt utklippstavle mellom det eksterne skrivebordet og datamaskinen. Det vil si at du kan bruke vanlige kopierings- og limoperasjoner for å overføre filer, mapper osv. fra en ekstern datamaskin til din og omvendt.

Klikk på knappen Mer informasjon, vil du bli tatt til innstillingsmenyen der du kan koble flere enheter på datamaskinen til det eksterne skrivebordet.

For eksempel vil du ha tilgang til disken din når du arbeider på en ekstern datamaskin D. Klikk deretter på plusstegnet ved siden av Enheter for å utvide listen og kryss av for disken D. Klikk OK .

Nå når du kobler til et eksternt skrivebord, vil du se og få tilgang til disken din D gjennom Dirigent som om den var fysisk koblet til den eksterne datamaskinen.

Avansert-fanen

Her kan du velge tilkoblingshastighet for å oppnå maksimal ytelse, samt stille inn visning av skrivebordsbakgrunn, visuelle effekter, etc.

Fjerne en ekstern skrivebordstilkobling

Til slutt, la oss vurdere hvordan du sletter en ekstern skrivebordstilkobling. Når trengs det? For eksempel pleide du å ha ekstern tilgang til datamaskinen din, men nå er det ikke behov for dette, eller du må til og med hindre fremmede fra å koble seg til det eksterne skrivebordet på datamaskinen din. Det er veldig enkelt å gjøre.

1. Åpne Kontrollpanel - system og sikkerhet - System, som de gjorde i begynnelsen av artikkelen.

2. Klikk på i venstre kolonne Sette opp ekstern tilgang .

3. I seksjonen Fjernstyrt skrivebord velge:

- Ikke tillat tilkoblinger til denne datamaskinen

Klar. Nå vil ingen kunne koble til deg via eksternt skrivebord.