ไคลเอนต์ RDP สำหรับ Windows: การติดตั้งและการกำหนดค่า การตั้งค่า RDP (โปรโตคอลเดสก์ท็อประยะไกล)

เดสก์ท็อประยะไกลคืออะไร

การใช้ Windows Remote Desktop (rdp) อาจเป็นวิธีแก้ปัญหาที่มีประโยชน์และสะดวกมาก การเข้าถึงคอมพิวเตอร์ระยะไกล. เดสก์ท็อประยะไกลจะมีประโยชน์เมื่อใด หากคุณต้องการควบคุมคอมพิวเตอร์ของคุณจากระยะไกล (ไม่ว่าจะจากเครือข่ายท้องถิ่นหรือจากที่ใดก็ได้ในโลก) แน่นอนว่าบุคคลที่สาม เช่น และอื่นๆ สามารถใช้เพื่อวัตถุประสงค์เหล่านี้ได้ แต่บ่อยครั้งที่โปรแกรมเหล่านี้ต้องการการยืนยันการเข้าถึงที่ด้านข้างของคอมพิวเตอร์ระยะไกล โปรแกรมเหล่านี้ไม่เหมาะสำหรับการใช้งานคอมพิวเตอร์แบบขนานพร้อมกันโดยผู้ใช้หลายคน และยังทำงานช้ากว่าเดสก์ท็อประยะไกล ดังนั้นโปรแกรมดังกล่าวจึงเหมาะสมกว่าสำหรับความช่วยเหลือหรือการบำรุงรักษาระยะไกล แต่ไม่ใช่สำหรับงานประจำวัน

การใช้ Remote Desktop ค่อนข้างสะดวกเพื่อให้ผู้ใช้สามารถทำงานกับบางโปรแกรมได้ ตัวอย่างเช่น หากคุณต้องการสาธิตการทำงานของโปรแกรมให้กับผู้ใช้ระยะไกล (ให้สิทธิ์เข้าถึงการสาธิตสำหรับการทดสอบ) หรือตัวอย่างเช่น คุณมีคอมพิวเตอร์ที่มีประสิทธิภาพเพียงเครื่องเดียวในสำนักงานที่ติดตั้งโปรแกรมที่มีความต้องการสูง ในคอมพิวเตอร์ที่อ่อนแอเครื่องอื่นๆ ความเร็วจะช้าลง แต่ทุกคนจำเป็นต้องเข้าถึง ทางออกที่ดีคือการใช้เดสก์ท็อประยะไกล ทุกคนจากคอมพิวเตอร์ที่ "เสีย" เชื่อมต่อผ่าน rdp ไปยังเครื่องที่มีประสิทธิภาพและใช้โปรแกรมกับเครื่องนั้นโดยไม่รบกวนซึ่งกันและกัน

ที่อยู่ IP แบบคงที่ สิ่งที่จำเป็นสำหรับการเข้าถึงระยะไกลผ่าน rdp

ประเด็นสำคัญประการหนึ่งเกี่ยวกับ การตั้งค่าและใช้งานเดสก์ท็อประยะไกลในภายหลังคือความต้องการที่อยู่ IP แบบคงที่บนคอมพิวเตอร์ระยะไกล หากคุณกำลังตั้งค่าเดสก์ท็อประยะไกลที่จะใช้ภายในเครือข่ายท้องถิ่นเท่านั้น ก็ไม่มีปัญหา อย่างไรก็ตาม เดสก์ท็อประยะไกลส่วนใหญ่จะใช้สำหรับการเข้าถึงจากภายนอก ผู้ให้บริการส่วนใหญ่ให้ที่อยู่ IP แบบไดนามิกแก่สมาชิกและสำหรับการใช้งานปกติก็เพียงพอแล้ว โดยปกติแล้ว IP แบบคงที่ (“สีขาว”) จะมีการจัดเตรียมไว้ให้โดยมีค่าธรรมเนียมเพิ่มเติม

การตั้งค่า Windows Remote Desktop

เรารู้แล้วว่าทำไมเราถึงต้องการเดสก์ท็อประยะไกล ตอนนี้เรามาเริ่มตั้งค่ากัน คำแนะนำที่กล่าวถึงในที่นี้เหมาะสำหรับ Windows 7, 8, 8.1, 10 ในระบบปฏิบัติการที่ระบุไว้ทั้งหมด การตั้งค่าจะคล้ายกัน ความแตกต่างเล็กน้อยและเฉพาะในวิธีการเปิดบางหน้าต่างเท่านั้น

ก่อนอื่นเราต้องกำหนดค่าคอมพิวเตอร์ที่เราจะเชื่อมต่อ

ความสนใจ!บัญชีของคุณต้องมีสิทธิ์ของผู้ดูแลระบบ

1. เปิด เริ่ม - แผงควบคุม .

ใน Windows 8.1 และ 10 จะสะดวกในการเปิด แผงควบคุม โดยคลิกขวาที่ไอคอน เริ่มและเลือกจากรายการ แผงควบคุม .

จากนั้นเลือก ระบบและความปลอดภัย - ระบบ. (หน้าต่างนี้สามารถเปิดได้ด้วยวิธีอื่น: คลิก เริ่มจากนั้นคลิกขวาที่ คอมพิวเตอร์และเลือก คุณสมบัติ ).

การตั้งค่าการเข้าถึงระยะไกล .

3. ในส่วน เดสก์ท็อประยะไกล เลือก:

- อนุญาตการเชื่อมต่อจากคอมพิวเตอร์ที่ใช้ Remote Desktop ด้วยการตรวจสอบสิทธิ์ระดับเครือข่ายเท่านั้น . เหมาะสำหรับไคลเอนต์ที่ใช้ Remote Desktop เวอร์ชัน 7.0

- . เหมาะสำหรับการเชื่อมต่อไคลเอนต์เวอร์ชันเก่า

4. คลิก นำมาใช้ .

5. ตามปุ่ม เลือกผู้ใช้ หน้าต่างจะเปิดขึ้นซึ่งคุณสามารถระบุบัญชีบนคอมพิวเตอร์ที่จะได้รับอนุญาตให้เชื่อมต่อจากระยะไกล (ขั้นตอนนี้เรียกอีกอย่างว่าการเพิ่มผู้ใช้ในกลุ่ม )

ผู้ใช้ที่มีสิทธิ์ระดับผู้ดูแลระบบจะสามารถเข้าถึงผู้ปฏิบัติงานระยะไกลตามค่าเริ่มต้น อย่างไรก็ตาม นอกเหนือจากการเชื่อมต่อจริงแล้ว บัญชีใดๆ จะต้องมีการป้องกันด้วยรหัสผ่าน แม้แต่บัญชีผู้ดูแลระบบก็ตาม

6. เพิ่มเข้ากลุ่ม ผู้ใช้เดสก์ท็อประยะไกล ผู้ใช้ใหม่ที่มีสิทธิ์ปกติ (ไม่ใช่ผู้ดูแลระบบ) โดยกดปุ่ม เพิ่ม

ในสนาม ป้อนชื่อ ของวัตถุที่เลือกใส่ชื่อผู้ใช้ของเรา ฉันมีสิ่งนี้ การเข้าถึง1. คลิกกันได้เลย ตรวจสอบชื่อ .

หากทุกอย่างถูกต้อง ชื่อคอมพิวเตอร์จะถูกเพิ่มลงในชื่อผู้ใช้ คลิก ตกลง .

หากเราจำชื่อผู้ใช้ไม่ครบถ้วนหรือไม่ต้องการป้อนด้วยตนเอง ให้คลิก นอกจากนี้ .

ในหน้าต่างที่เปิดขึ้น ให้คลิกปุ่ม ค้นหา .

ในสนาม ผลการค้นหา ผู้ใช้คอมพิวเตอร์และกลุ่มท้องถิ่นทั้งหมดจะปรากฏขึ้น เลือกผู้ใช้ที่ต้องการแล้วคลิก ตกลง .

เมื่อคุณเลือกผู้ใช้ที่จำเป็นทั้งหมดในหน้าต่างแล้ว การเลือก: ผู้ใช้ กด ตกลง .

ตอนนี้ถึงกลุ่มแล้ว ผู้ใช้เดสก์ท็อประยะไกล ผู้ใช้ที่มีบัญชีปกติจะถูกเพิ่ม การเข้าถึง1. หากต้องการใช้การเปลี่ยนแปลง ให้คลิก ตกลง .

7. หากคุณใช้บุคคลที่สาม คุณจะต้องกำหนดค่าเพิ่มเติม กล่าวคือ เปิดพอร์ต TCP 3389 หากคุณมีไฟร์วอลล์ Windows ในตัวทำงานอยู่ คุณไม่จำเป็นต้องทำอะไรเลย ได้รับการกำหนดค่าโดยอัตโนมัติทันทีที่เราอนุญาตให้ใช้เดสก์ท็อประยะไกลบนคอมพิวเตอร์

นี่เป็นการเสร็จสิ้นการตั้งค่าพื้นฐานของคอมพิวเตอร์ระยะไกล

การตั้งค่าเครือข่าย การส่งต่อพอร์ต

ดังที่ได้กล่าวมาแล้วสำหรับ การเข้าถึงเดสก์ท็อประยะไกลคุณต้องมีที่อยู่ IP แบบคงที่

หากคุณไม่มีเราเตอร์และสายอินเทอร์เน็ตต่อเข้ากับคอมพิวเตอร์โดยตรง ให้ข้ามส่วนนี้และไปยังส่วนถัดไป หากคุณใช้เราเตอร์ คุณจะต้องทำการตั้งค่าเพิ่มเติม

หากคุณวางแผนที่จะใช้เดสก์ท็อประยะไกลบนเครือข่ายท้องถิ่นเท่านั้น การกำหนด IP ภายในเครื่องให้กับคอมพิวเตอร์ที่ต้องการก็เพียงพอแล้ว (ทำตามส่วนแรกโดยไม่ต้องส่งต่อพอร์ต) หากคุณต้องการเข้าถึงจากภายนอก คุณก็จำเป็นต้องมี . หากต้องการเปิดการเข้าถึงเดสก์ท็อประยะไกล คุณต้องส่งต่อพอร์ต TCP 3389

การตั้งค่าการเชื่อมต่อเดสก์ท็อประยะไกล

ตรงไปที่กันเลย เชื่อมต่อกับเดสก์ท็อประยะไกลนั่นคือการตั้งค่าในฝั่งไคลเอ็นต์

1. มาเปิดตัวกัน .

คุณสามารถทำได้ใน Windows 7 ผ่านเมนู เริ่ม - ทุกโปรแกรม - มาตรฐาน - การเชื่อมต่อเดสก์ท็อประยะไกล .

ใน Windows 8 จะสะดวกในการเปิดใช้งานผ่านการค้นหา คลิก เริ่มคลิกไอคอนรูปแว่นขยายที่มุมขวาบน และเริ่มป้อนคำว่า "ลบแล้ว" ในช่องค้นหา จากตัวเลือกการค้นหาที่นำเสนอ ให้เลือก การเชื่อมต่อเดสก์ท็อประยะไกล .

บนวินโดวส์ 10: เริ่ม - แอปพลิเคชันทั้งหมด - หน้าต่างมาตรฐาน - การเชื่อมต่อเดสก์ท็อประยะไกล .

2. ก่อนอื่น เรามาตรวจสอบว่าได้ติดตั้งเวอร์ชันโปรโตคอลใดไว้แล้ว โดยคลิกที่ไอคอนที่มุมซ้ายบนแล้วเลือกรายการ เกี่ยวกับโปรแกรม .

กำลังตรวจสอบเวอร์ชันโปรโตคอลเดสก์ท็อป ถ้า 7.0 หรือสูงกว่า แสดงว่าทุกอย่างเรียบร้อยดี คุณสามารถเชื่อมต่อได้

หากเวอร์ชันโปรโตคอลต่ำกว่า (เป็นไปได้ใน Windows เวอร์ชันเก่า) คุณจะต้องอัปเดตหรือลดระดับความปลอดภัยในการตั้งค่าของคอมพิวเตอร์ระยะไกล (เช่น เลือก อนุญาตการเชื่อมต่อจากคอมพิวเตอร์ที่ใช้ Remote Desktop เวอร์ชันใดก็ได้ (อันตรายกว่า) ).

คุณสามารถดาวน์โหลดการอัปเดตเดสก์ท็อประยะไกลสำหรับระบบปฏิบัติการรุ่นเก่าได้โดยใช้ลิงก์ด้านล่าง:

3. ระบุพารามิเตอร์การเชื่อมต่อ:

ในสนาม คอมพิวเตอร์เราลงทะเบียนที่อยู่ IP ของคอมพิวเตอร์ระยะไกลที่เราจะเชื่อมต่อ (ท้องถิ่น - หากเราเชื่อมต่อภายในเครือข่ายท้องถิ่นและของจริง (อันที่ผู้ให้บริการอินเทอร์เน็ตกำหนด) หากคอมพิวเตอร์ระยะไกลตั้งอยู่นอกเครือข่ายท้องถิ่น) ฉันมีตัวเลือกแรก

บันทึก.คุณสามารถค้นหาที่อยู่ IP แบบคงที่ภายนอกที่คุณมีได้ เช่น ผ่านบริการ Yandex.Internetometer

4. คลิก เสียบ .

คุณจะได้รับแจ้งให้ป้อนข้อมูลรับรองของคุณ ป้อนข้อมูลเข้าสู่ระบบและรหัสผ่านของผู้ใช้บนคอมพิวเตอร์ระยะไกลที่มีสิทธิ์ใช้เดสก์ท็อประยะไกล ในตัวอย่างของฉันมันคือ ผู้ดูแลระบบหรือ การเข้าถึง1. ฉันขอเตือนคุณว่าบัญชีจะต้องมีการป้องกันด้วยรหัสผ่าน

ป้อนชื่อผู้ใช้และรหัสผ่านของคุณแล้วทำเครื่องหมายที่ช่องถัดจากนั้น จำข้อมูลประจำตัว เพื่อไม่ให้เข้าในครั้งต่อไปที่คุณเชื่อมต่อ แน่นอน คุณสามารถจดจำข้อมูลประจำตัวของคุณได้ก็ต่อเมื่อคุณทำงานจากคอมพิวเตอร์ส่วนบุคคลที่บุคคลที่ไม่ได้รับอนุญาตไม่สามารถเข้าถึงได้

คลิก ตกลง .

คำเตือนจะปรากฏขึ้น ใส่เห็บ อย่าขอการเชื่อมต่อกับคอมพิวเตอร์เครื่องนี้อีก และกด ใช่ .

หากทุกอย่างถูกต้อง คุณจะเห็นเดสก์ท็อประยะไกลอยู่ตรงหน้าคุณ

บันทึก.ฉันขอเตือนคุณว่าคุณไม่สามารถเชื่อมต่อผ่านการทำงานระยะไกลพร้อมกันจากคอมพิวเตอร์หลายเครื่องภายใต้ผู้ใช้คนเดียวได้ นั่นคือหากมีการวางแผนว่าหลายคนจะทำงานกับคอมพิวเตอร์ระยะไกลในเวลาเดียวกันคุณจะต้องสร้างผู้ใช้แยกต่างหากและให้สิทธิ์ในการใช้เดสก์ท็อประยะไกลสำหรับแต่ละคน ซึ่งทำได้บนคอมพิวเตอร์ระยะไกล ตามที่กล่าวไว้ในตอนต้นของบทความ

การตั้งค่าเดสก์ท็อประยะไกลเพิ่มเติม

ตอนนี้บางคำเกี่ยวกับการตั้งค่าเพิ่มเติมสำหรับการเชื่อมต่อกับเดสก์ท็อประยะไกล

หากต้องการเปิดเมนูการตั้งค่า ให้คลิกที่ ตัวเลือก .

แท็บทั่วไป

ที่นี่คุณสามารถเปลี่ยนการตั้งค่าการเชื่อมต่อได้ เมื่อคลิกที่ลิงค์แก้ไข คุณสามารถแก้ไขชื่อผู้ใช้และรหัสผ่านการเชื่อมต่อได้

คุณสามารถบันทึกการตั้งค่าการเชื่อมต่อที่กำหนดไว้แล้วได้ คลิกที่ปุ่ม บันทึกเป็น และเลือกสถานที่ เช่น เดสก์ทอป . ตอนนี้ เดสก์ทอป ทางลัดจะปรากฏขึ้นเพื่อเริ่มการเชื่อมต่อเดสก์ท็อประยะไกลทันทีโดยไม่จำเป็นต้องระบุพารามิเตอร์ วิธีนี้จะสะดวกมาก โดยเฉพาะอย่างยิ่งหากคุณทำงานกับคอมพิวเตอร์ระยะไกลหลายเครื่องเป็นระยะๆ หรือหากคุณไม่ได้กำหนดค่าด้วยตนเองและไม่ต้องการทำให้ผู้ใช้สับสน

แท็บหน้าจอ

บนแท็บ หน้าจอคุณสามารถระบุขนาดของเดสก์ท็อประยะไกลได้ (ไม่ว่าจะเป็นพื้นที่หน้าจอมอนิเตอร์ทั้งหมดหรือแสดงในหน้าต่างเล็ก ๆ แยกกัน)

คุณยังสามารถเลือกความลึกของสีได้ หากความเร็วการเชื่อมต่ออินเทอร์เน็ตของคุณช้า ขอแนะนำให้เลือกความลึกที่ต่ำกว่า

แท็บทรัพยากรในท้องถิ่น

ที่นี่คุณสามารถกำหนดค่าพารามิเตอร์เสียง (เล่นบนคอมพิวเตอร์ระยะไกลหรือบนคอมพิวเตอร์ไคลเอนต์ ฯลฯ ) ลำดับการใช้คีย์ลัด Windows (เช่น Ctrl+Alt+Del, Ctrl+C ฯลฯ ) เมื่อทำงานกับ เดสก์ท็อประยะไกล

หนึ่งในส่วนที่มีประโยชน์มากที่สุดที่นี่คือ อุปกรณ์และทรัพยากรภายในเครื่อง . โดยทำเครื่องหมายในช่อง เครื่องพิมพ์คุณจะได้รับความสามารถในการพิมพ์เอกสารจากเดสก์ท็อประยะไกลไปยังเครื่องพิมพ์ท้องถิ่นของคุณ เครื่องหมายถูก คลิปบอร์ด เปิดใช้งานคลิปบอร์ดเดียวระหว่างเดสก์ท็อประยะไกลและคอมพิวเตอร์ของคุณ นั่นคือคุณสามารถใช้การคัดลอกและวางตามปกติเพื่อถ่ายโอนไฟล์ โฟลเดอร์ ฯลฯ จากคอมพิวเตอร์ระยะไกลถึงของคุณและในทางกลับกัน

คลิกที่ปุ่ม รายละเอียดเพิ่มเติมคุณจะเข้าสู่เมนูการตั้งค่าที่คุณสามารถเชื่อมต่ออุปกรณ์เพิ่มเติมบนคอมพิวเตอร์ของคุณเข้ากับเดสก์ท็อประยะไกล

ตัวอย่างเช่น คุณต้องการเข้าถึงดิสก์ของคุณเมื่อทำงานบนคอมพิวเตอร์ระยะไกล ดี. จากนั้นคลิกที่เครื่องหมายบวกตรงข้าม อุปกรณ์เพื่อขยายรายการและทำเครื่องหมายที่ดิสก์ ดี. คลิก ตกลง .

ตอนนี้เมื่อคุณเชื่อมต่อกับเดสก์ท็อประยะไกล คุณจะเห็นและเข้าถึงดิสก์ของคุณ ดีผ่าน คอนดักเตอร์ราวกับว่ามันถูกเชื่อมต่อทางกายภาพกับคอมพิวเตอร์ระยะไกล

แท็บขั้นสูง

ที่นี่คุณสามารถเลือกความเร็วการเชื่อมต่อเพื่อให้ได้ประสิทธิภาพสูงสุด รวมถึงตั้งค่าการแสดงผลพื้นหลังเดสก์ท็อป เอฟเฟ็กต์ภาพ ฯลฯ

การลบการเชื่อมต่อเดสก์ท็อประยะไกล

สุดท้ายนี้ลองพิจารณาดู วิธีลบการเชื่อมต่อเดสก์ท็อประยะไกล. จำเป็นเมื่อใด? ตัวอย่างเช่น คุณเคยเข้าถึงคอมพิวเตอร์ของคุณจากระยะไกล แต่ตอนนี้ไม่จำเป็นแล้ว หรือคุณยังต้องป้องกันไม่ให้คนแปลกหน้าเชื่อมต่อกับเดสก์ท็อประยะไกลของคอมพิวเตอร์ของคุณอีกด้วย มันง่ายมากที่จะทำ.

1. เปิด แผงควบคุม - ระบบและความปลอดภัย - ระบบเหมือนที่พวกเขาทำไว้ตอนต้นบทความ

2. ในคอลัมน์ด้านซ้าย ให้คลิกที่ การตั้งค่าการเข้าถึงระยะไกล .

3. ในส่วน เดสก์ท็อประยะไกล เลือก:

- ไม่อนุญาตให้เชื่อมต่อกับคอมพิวเตอร์เครื่องนี้

พร้อม. ตอนนี้จะไม่มีใครสามารถเชื่อมต่อกับคุณผ่านเดสก์ท็อประยะไกลได้

เดสก์ท็อประยะไกลเป็นฟังก์ชันระบบปฏิบัติการที่ช่วยให้คุณสามารถจัดการคอมพิวเตอร์ระยะไกลแบบเรียลไทม์ โดยใช้เครือข่ายท้องถิ่นหรืออินเทอร์เน็ตเป็นสื่อกลางในการส่งข้อมูล มีการใช้งานเดสก์ท็อประยะไกลที่หลากหลาย ขึ้นอยู่กับโปรโตคอลหรือระบบปฏิบัติการ วิธีแก้ปัญหาที่พบบ่อยที่สุดในระบบปฏิบัติการ Windows คือ Remote Desktop Protocol (RDP) และในระบบที่ใช้เคอร์เนล Linux - VNC และ X11

วิธีเปิดใช้งานฟังก์ชันเดสก์ท็อประยะไกล

ตามค่าเริ่มต้น ความสามารถในการเป็นเซิร์ฟเวอร์เซสชัน RDP จะถูกปิดใช้งานบนเวิร์กสเตชัน Windows

คลิกขวาที่ไอคอน "My Computer" และเลือก "Properties" จากเมนูบริบท

เลือกรายการ "การตั้งค่าการเข้าถึงระยะไกล" ในเมนูด้านซ้าย สิ่งนี้จะต้องมีสิทธิ์ของผู้ดูแลระบบ

หน้าต่าง "คุณสมบัติของระบบ" จะเปิดขึ้นซึ่งในแท็บ "การเข้าถึงระยะไกล" คุณจะต้องตั้งค่าสิทธิ์การเข้าถึงคอมพิวเตอร์เครื่องนี้ตามที่ทำในภาพหน้าจอด้านล่าง

หากจำเป็น คุณสามารถเลือกผู้ใช้ที่คุณสามารถเข้าสู่ระบบได้

นอกจากนี้ หากคุณติดตั้งตัวกรองเครือข่าย (ไฟร์วอลล์) คุณจะต้องสร้างกฎการอนุญาตสำหรับการเชื่อมต่อกับคอมพิวเตอร์เครื่องนี้ในคุณสมบัติของอะแดปเตอร์เครือข่ายหรือในแอปเพล็ต Windows Firewall ในแผงควบคุม

วิธีเชื่อมต่อกับเดสก์ท็อประยะไกล

มีหลายวิธีในการเชื่อมต่อกับเดสก์ท็อประยะไกล ไปที่เมนูหลักของระบบ “เริ่ม – โปรแกรมทั้งหมด – อุปกรณ์เสริม – การเชื่อมต่อเดสก์ท็อประยะไกล”

หรือรันคำสั่งในพรอมต์คำสั่งของ Windows (หรือ window ดำเนินการ»)

ทั้งสองวิธีนี้เทียบเท่ากันและเปิดโปรแกรมเดียวกัน - ตัวช่วยสร้างการเชื่อมต่อเดสก์ท็อประยะไกล

ในหน้าต่างตัวช่วยสร้าง คุณสามารถระบุชื่อหรือที่อยู่ IP ของคอมพิวเตอร์ที่คุณต้องการเชื่อมต่อ รวมถึงระบุพารามิเตอร์พิเศษ เช่น ความละเอียดหน้าจอ การถ่ายโอนทรัพยากรในเครื่อง (คลิปบอร์ด ดิสก์ในเครื่อง) หรือทรัพยากรระยะไกล (เสียง) .

ป้อนที่อยู่ IP ของโหนดระยะไกลแล้วกดปุ่ม “ เสียบ».

เป็นไปได้มากว่าเราจะเห็นคำเตือนเกี่ยวกับปัญหาในการตรวจสอบสิทธิ์คอมพิวเตอร์ระยะไกล หากเราแน่ใจว่าเราไม่ได้ทำผิดพลาดในการสะกดที่อยู่หรือชื่อเราสามารถคลิก "ใช่" หลังจากนั้นการเชื่อมต่อกับโหนดจะเริ่มต้นขึ้น

คุณจะต้องป้อนข้อมูลรับรองของผู้ใช้ระยะไกลด้วย

หากเราไม่ได้ทำผิดพลาดเลย หลังจากนั้นสักครู่เราจะเห็นเดสก์ท็อปของคอมพิวเตอร์ระยะไกลซึ่งเราสามารถดำเนินการบางอย่างได้ ควบคุมตัวชี้เมาส์ ป้อนอักขระจากแป้นพิมพ์ และอื่นๆ

ตามที่กล่าวไว้ข้างต้น เพื่อความสะดวกในการดูแลระบบ เราสามารถถ่ายโอนทรัพยากรภายในเครื่อง เช่น เครื่องพิมพ์ ไดรฟ์แบบลอจิคัล หรือคลิปบอร์ดไปยังเครื่องระยะไกลได้

เมื่อต้องการทำเช่นนี้ ในหน้าต่างตัวช่วยสร้างการเชื่อมต่อเดสก์ท็อประยะไกล ไปที่แท็บ "ทรัพยากรท้องถิ่น" คลิกที่ปุ่ม "รายละเอียดเพิ่มเติม..."

และในหน้าต่างที่เปิดขึ้น ให้เลือก ตัวอย่างเช่น Local disk (C:)

ตอนนี้เมื่อเชื่อมต่อเดสก์ท็อประยะไกลเราจะเห็นไดรฟ์ในเครื่อง (C:) ของคอมพิวเตอร์ที่ทำการเชื่อมต่อ

วิธีเพิ่มความปลอดภัยเดสก์ท็อประยะไกล

ไม่มีความลับใดที่การเปิดคอมพิวเตอร์โดยเปิดใช้งาน Remote Desktop และเชื่อมต่ออินเทอร์เน็ตนั้นไม่ปลอดภัย ความจริงก็คือผู้โจมตีหลายประเภทสแกนช่วงที่อยู่เครือข่ายอย่างต่อเนื่องเพื่อค้นหาบริการเครือข่ายที่ใช้งานอยู่ (รวมถึงเดสก์ท็อประยะไกล) โดยมีจุดประสงค์เพื่อแฮ็กเพิ่มเติม

วิธีหนึ่งที่ทำให้ผู้โจมตีค้นหาบริการ Terminal Services (RDP) ที่ทำงานอยู่ได้ยากขึ้นคือการเปลี่ยนหมายเลขพอร์ตมาตรฐานเป็นค่าอื่น ตามค่าเริ่มต้น บริการ RDP จะรับฟังพอร์ตเครือข่าย 3389/TCP เพื่อรอการเชื่อมต่อขาเข้า เป็นพอร์ตนี้ที่ผู้โจมตีพยายามเชื่อมต่อก่อน เราสามารถพูดได้อย่างมั่นใจเกือบ 100% ว่าหากพอร์ตที่มีหมายเลขนี้เปิดบนคอมพิวเตอร์แสดงว่ากำลังใช้งานระบบ Windows ที่อนุญาตการเข้าถึงระยะไกล

ความสนใจ! การดำเนินการเพิ่มเติมกับรีจิสทรีของระบบจะต้องดำเนินการอย่างระมัดระวัง การเปลี่ยนแปลงการตั้งค่าบางอย่างอาจทำให้ระบบปฏิบัติการไม่สามารถใช้งานได้

ในการเปลี่ยนหมายเลขพอร์ตของเดสก์ท็อประยะไกล คุณต้องเปิดตัวแก้ไขรีจิสทรีและเปิดส่วน:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

แล้วหา REG_DWORDพารามิเตอร์ PortNumber และเปลี่ยนค่าในระบบทศนิยมให้เป็นตัวเลขที่กำหนดเอง (จาก 1024 เป็น 65535)

หลังจากเปลี่ยนค่าแล้ว ควรรีสตาร์ทคอมพิวเตอร์ ตอนนี้ ในการเข้าถึงเดสก์ท็อประยะไกล คุณต้องระบุพอร์ตของเราเพิ่มเติมผ่านเครื่องหมายทวิภาค ในสถานการณ์นี้ คุณจำเป็นต้องระบุเป็นชื่อคอมพิวเตอร์ 10.0.0.119:33321

ผู้โจมตีที่ลองใช้พอร์ตมาตรฐานอาจสรุปได้ว่าคอมพิวเตอร์เครื่องนี้ไม่อนุญาตให้เข้าถึงระยะไกลผ่านโปรโตคอล RDP แน่นอนว่าวิธีนี้จะไม่ช่วยคุณจากการโจมตีแบบกำหนดเป้าหมาย เมื่อทุกพอร์ตเครือข่ายได้รับการตรวจสอบอย่างรอบคอบเพื่อค้นหาช่องโหว่ แต่จะปกป้องคุณจากการโจมตีเทมเพลตขนาดใหญ่

นอกจากนี้ คุณต้องใช้รหัสผ่านที่ค่อนข้างซับซ้อนและยาวสำหรับบัญชีที่ได้รับอนุญาตให้เข้าถึงผ่านเดสก์ท็อประยะไกล

บ่อยครั้งที่ผู้ใช้จำนวนมากที่ใช้เซสชันการเข้าถึงระยะไกลมีคำถามเกี่ยวกับวิธีการเปลี่ยนพอร์ต RDP ตอนนี้เรามาดูวิธีแก้ปัญหาที่ง่ายที่สุดและระบุขั้นตอนหลักหลายประการในกระบวนการตั้งค่าด้วย

โปรโตคอล RDP มีไว้เพื่ออะไร?

ก่อนอื่น ขอกล่าวถึง RDP สักหน่อย หากคุณดูการถอดรหัสตัวย่อคุณจะเข้าใจการเข้าถึงระยะไกลนั้น

พูดง่ายๆ ก็คือนี่คือเครื่องมือสำหรับเทอร์มินัลเซิร์ฟเวอร์หรือเวิร์กสเตชัน การตั้งค่า Windows (และระบบเวอร์ชันใดก็ตาม) ใช้การตั้งค่าเริ่มต้นที่เหมาะกับผู้ใช้ส่วนใหญ่ อย่างไรก็ตามบางครั้งก็จำเป็นต้องเปลี่ยนแปลงสิ่งเหล่านี้

พอร์ต RDP มาตรฐาน: ควรจะเปลี่ยนหรือไม่

ดังนั้นไม่ว่าจะมีการปรับเปลี่ยน Windows อย่างไร โปรโตคอลทั้งหมดก็มีความหมายที่กำหนดไว้ล่วงหน้า นี่คือพอร์ต RDP 3389 ซึ่งใช้เพื่อดำเนินการเซสชันการสื่อสาร (เชื่อมต่อเทอร์มินัลหนึ่งไปยังเทอร์มินัลระยะไกล)

อะไรคือสาเหตุของสถานการณ์เมื่อจำเป็นต้องเปลี่ยนค่ามาตรฐาน? ประการแรกมีเพียงการสร้างความมั่นใจในความปลอดภัยของเครื่องคอมพิวเตอร์เท่านั้น ท้ายที่สุดแล้ว หากคุณดูด้วยพอร์ตมาตรฐานที่ติดตั้งไว้ โดยหลักการแล้ว ผู้โจมตีสามารถเจาะระบบได้อย่างง่ายดาย ตอนนี้เรามาดูวิธีการเปลี่ยนพอร์ต RDP เริ่มต้น

การเปลี่ยนการตั้งค่าในรีจิสทรีของระบบ

โปรดทราบทันทีว่าขั้นตอนการเปลี่ยนแปลงจะดำเนินการเฉพาะในโหมดแมนนวลเท่านั้น และไคลเอนต์การเข้าถึงระยะไกลนั้นไม่ได้จัดให้มีการรีเซ็ตหรือการติดตั้งพารามิเตอร์ใหม่

ขั้นแรกให้เรียกตัวแก้ไขรีจิสทรีมาตรฐานด้วยคำสั่ง regedit ในเมนู "Run" (Win + R) ที่นี่เราสนใจสาขา HKLM ซึ่งเราต้องลงแผนผังพาร์ติชันผ่านไดเร็กทอรีเทอร์มินัลเซิร์ฟเวอร์ไปยังไดเร็กทอรี RDP-Tcp ในหน้าต่างทางด้านขวาเราจะพบคีย์ PortNumber มันคือความหมายของมันที่เราจำเป็นต้องเปลี่ยนแปลง

เราเข้าสู่การแก้ไขและดู 00000D3D ที่นั่น หลายคนสับสนทันทีว่ามันคืออะไร และนี่เป็นเพียงการแสดงเลขฐานสิบหกของเลขฐานสิบ 3389 เพื่อระบุพอร์ตในรูปแบบทศนิยม เราใช้บรรทัดที่เกี่ยวข้องเพื่อแสดงการแสดงค่า จากนั้นระบุพารามิเตอร์ที่เราต้องการ

หลังจากนั้นเราจะรีบูทระบบและเมื่อพยายามเชื่อมต่อให้ระบุพอร์ต RDP ใหม่ วิธีเชื่อมต่ออีกวิธีหนึ่งคือใช้คำสั่งพิเศษ mstsc /v:ip_address:XXXXX โดยที่ XXXXX คือหมายเลขพอร์ตใหม่ แต่นั่นไม่ใช่ทั้งหมด

กฎไฟร์วอลล์ Windows

ขออภัย ไฟร์วอลล์ Windows ในตัวอาจบล็อกพอร์ตใหม่ ซึ่งหมายความว่าคุณต้องทำการเปลี่ยนแปลงการตั้งค่าของไฟร์วอลล์เอง

เรียกการตั้งค่าไฟร์วอลล์ด้วยการตั้งค่าความปลอดภัยขั้นสูง ที่นี่คุณควรเลือกการเชื่อมต่อขาเข้าก่อนแล้วคลิกที่บรรทัดเพื่อสร้างกฎใหม่ ตอนนี้เราเลือกรายการเพื่อสร้างกฎสำหรับพอร์ตจากนั้นป้อนค่าสำหรับ TCP จากนั้นอนุญาตการเชื่อมต่อปล่อยให้ส่วนโปรไฟล์ไม่เปลี่ยนแปลงและสุดท้ายก็กำหนดชื่อให้กับกฎใหม่หลังจากนั้นเราคลิกปุ่มกำหนดค่าให้เสร็จสมบูรณ์ สิ่งที่เหลืออยู่คือการรีบูทเซิร์ฟเวอร์และเมื่อเชื่อมต่อให้ระบุพอร์ต RDP ใหม่ผ่านโคลอนในบรรทัดที่เหมาะสม ตามทฤษฎีไม่น่าจะมีปัญหาอะไร

การส่งต่อพอร์ต RDP บนเราเตอร์

ในบางกรณี เมื่อคุณใช้การเชื่อมต่อไร้สายแทนการเชื่อมต่อแบบสายเคเบิล คุณอาจต้องส่งต่อพอร์ตบนเราเตอร์ของคุณ ไม่มีอะไรซับซ้อนเกี่ยวกับมัน

อันดับแรก ในคุณสมบัติของระบบ เราอนุญาตและระบุผู้ใช้ที่มีสิทธิ์ทำเช่นนั้น จากนั้นไปที่เมนูการตั้งค่าเราเตอร์ผ่านเบราว์เซอร์ (192.168.1.1 หรือท้าย 0.1 - ทั้งหมดขึ้นอยู่กับรุ่นของเราเตอร์) ในฟิลด์ (หากที่อยู่หลักของเราคือ 1.1) ขอแนะนำให้ระบุที่อยู่โดยเริ่มจากที่อยู่ที่สาม (1.3) และเขียนกฎสำหรับการออกที่อยู่สำหรับที่สอง (1.2)

จากนั้นในการเชื่อมต่อเครือข่าย เราใช้มุมมองรายละเอียด ซึ่งคุณควรดูรายละเอียด คัดลอกที่อยู่ MAC จริงจากที่นั่น และวางลงในพารามิเตอร์ของเราเตอร์

ตอนนี้ในส่วนการตั้งค่า NAT บนโมเด็มให้เปิดใช้งานการเชื่อมต่อกับเซิร์ฟเวอร์เพิ่มกฎและระบุพอร์ต XXXXX ซึ่งจะต้องส่งต่อไปยังพอร์ต RDP มาตรฐาน 3389 บันทึกการเปลี่ยนแปลงและรีบูตเราเตอร์ (พอร์ตใหม่จะ ไม่ได้รับการยอมรับโดยไม่ต้องรีบูตเครื่อง) คุณสามารถตรวจสอบการเชื่อมต่อบนเว็บไซต์พิเศษบางแห่ง เช่น ping.eu ได้ในส่วนการทดสอบพอร์ต อย่างที่คุณเห็นทุกอย่างเรียบง่าย

สุดท้าย โปรดทราบว่าค่าพอร์ตมีการกระจายดังนี้:

0 - 1023 - พอร์ตสำหรับโปรแกรมระบบระดับต่ำ
1024 - 49151 - พอร์ตที่จัดสรรเพื่อวัตถุประสงค์ส่วนตัว
49152 - 65535 - พอร์ตส่วนตัวแบบไดนามิก

โดยทั่วไป ผู้ใช้จำนวนมากมักจะเลือกพอร์ต RDP จากช่วงที่สามของรายการเพื่อหลีกเลี่ยงปัญหา อย่างไรก็ตาม ทั้งผู้เชี่ยวชาญและผู้เชี่ยวชาญแนะนำให้ใช้ค่าเหล่านี้ในการตั้งค่า เนื่องจากเหมาะสำหรับงานส่วนใหญ่

สำหรับขั้นตอนเฉพาะนี้ ส่วนใหญ่จะใช้ในกรณีของการเชื่อมต่อ Wi-Fi เท่านั้น อย่างที่คุณเห็นแล้วไม่จำเป็นต้องมีการเชื่อมต่อแบบใช้สายปกติ: เพียงเปลี่ยนค่าของรีจิสตรีคีย์และเพิ่มกฎสำหรับพอร์ตในไฟร์วอลล์

บทความนี้จะเริ่มต้นชุดบทความเกี่ยวกับการออกแบบและความปลอดภัยของโปรโตคอล RDP บทความแรกในชุดนี้จะวิเคราะห์การออกแบบ การใช้งาน และเทคโนโลยีหลักที่ฝังอยู่ในโปรโตคอลนี้

บทความต่อไปนี้จะกล่าวถึงประเด็นต่อไปนี้โดยละเอียด:

การทำงานของระบบย่อยการรักษาความปลอดภัยเดสก์ท็อประยะไกล
รูปแบบการแลกเปลี่ยนข้อมูลการบริการในรูปแบบ RDP
ช่องโหว่ของ Terminal Server และวิธีกำจัดช่องโหว่เหล่านี้
การเลือกบัญชีผู้ใช้โดยใช้โปรโตคอล RDP (พัฒนาโดย Positive Technologies ในด้านนี้)

ประวัติความเป็นมาของ RDP

Microsoft ได้สร้างโปรโตคอลเดสก์ท็อประยะไกลเพื่อให้สามารถเข้าถึงเซิร์ฟเวอร์และเวิร์กสเตชัน Windows ได้จากระยะไกล โปรโตคอล RDP ได้รับการออกแบบมาเพื่อแบ่งปันทรัพยากรของเทอร์มินัลเซิร์ฟเวอร์ประสิทธิภาพสูงกับเวิร์กสเตชันที่มีประสิทธิภาพน้อยกว่าจำนวนมาก เทอร์มินัลเซิร์ฟเวอร์เครื่องแรก (เวอร์ชัน 4.0) ปรากฏในปี 1998 โดยเป็นส่วนหนึ่งของ Windows NT 4.0 Terminal Server ในขณะที่เขียน (มกราคม 2009) เวอร์ชันล่าสุดของเทอร์มินัลเซิร์ฟเวอร์คือเวอร์ชัน 6.1 ซึ่งรวมอยู่ใน Windows 2008 Server และ Windows Vista การแจกแจง SP1 ปัจจุบัน RDP เป็นโปรโตคอลการเข้าถึงระยะไกลหลักสำหรับระบบตระกูล Windows และมีแอปพลิเคชันไคลเอ็นต์สำหรับทั้ง Microsoft OS และ Linux, FreeBSD, MAC OS X เป็นต้น

เมื่อพูดถึงประวัติของ RDP คงไม่มีใครพลาดที่จะพูดถึง Citrix Citrix Systems เชี่ยวชาญด้านระบบที่มีผู้ใช้หลายรายและเทคโนโลยีการเข้าถึงระยะไกลในช่วงทศวรรษ 1990 หลังจากได้รับลิขสิทธิ์ซอร์สโค้ด Windows NT 3.51 ในปี 1995 บริษัทได้เปิดตัว Windows NT เวอร์ชันผู้ใช้หลายคนที่เรียกว่า WinFrame ในปี 1997 Citrix Systems และ Microsoft ได้ทำข้อตกลงภายใต้สภาพแวดล้อมที่มีผู้ใช้หลายรายของ Windows NT 4.0 โดยอาศัยการพัฒนาเทคโนโลยี Citrix ในทางกลับกัน Citrix Systems ปฏิเสธที่จะเผยแพร่ระบบปฏิบัติการเต็มรูปแบบและได้รับสิทธิ์ในการพัฒนาและใช้งานส่วนขยายสำหรับผลิตภัณฑ์ของ Microsoft ส่วนขยายเหล่านี้เดิมเรียกว่า MetaFrame สิทธิ์ใน ICA (Independent Computing Architecture) ซึ่งเป็นโปรโตคอลแอปพลิเคชันสำหรับการโต้ตอบระหว่างธินไคลเอ็นต์และเซิร์ฟเวอร์แอปพลิเคชัน Citrix ยังคงอยู่กับ Citrix Systems และโปรโตคอล Microsoft RDP อิงตาม ITU T.120

ปัจจุบันการแข่งขันหลักระหว่าง Citrix และ Microsoft อยู่ในด้านเซิร์ฟเวอร์แอปพลิเคชันสำหรับธุรกิจขนาดเล็กและขนาดกลาง โดยทั่วไปแล้ว โซลูชันที่ใช้ Terminal Services จะชนะในระบบที่มีเซิร์ฟเวอร์ประเภทเดียวกันและการกำหนดค่าที่คล้ายกันไม่มากนัก ในขณะที่ Citrix Systems ก่อตั้งขึ้นอย่างมั่นคงในตลาดระบบที่ซับซ้อนและมีประสิทธิภาพสูง การแข่งขันได้รับแรงหนุนจากการเปิดตัวโซลูชันน้ำหนักเบาสำหรับระบบขนาดเล็กโดย Citrix และการขยายฟังก์ชันการทำงานของ Terminal Services อย่างต่อเนื่องโดย Microsoft

มาดูประโยชน์ของโซลูชันเหล่านี้กันดีกว่า

จุดแข็งของบริการเทอร์มินัล:

ติดตั้งง่ายของแอปพลิเคชันสำหรับฝั่งไคลเอ็นต์ของแอปพลิเคชันเซิร์ฟเวอร์
การบำรุงรักษาเซสชันผู้ใช้แบบรวมศูนย์
ต้องมีใบอนุญาตสำหรับบริการเทอร์มินัลเท่านั้น

จุดแข็งของโซลูชัน Citrix:

ง่ายต่อการปรับขนาด
ง่ายต่อการบริหารจัดการและติดตาม
นโยบายการควบคุมการเข้าถึง
การสนับสนุนสำหรับผลิตภัณฑ์องค์กรบุคคลที่สาม (IBM WebSphere, BEA WebLogic)

การออกแบบเครือข่ายโดยใช้ Terminal Services

Microsoft แนะนำสองโหมดในการใช้โปรโตคอล RDP:

สำหรับการดูแลระบบ (โหมดการดูแลระบบระยะไกล)
เพื่อเข้าถึงแอพพลิเคชั่นเซิร์ฟเวอร์ (โหมด Terminal Server)

RDP ในโหมดการดูแลระบบ

การเชื่อมต่อประเภทนี้ใช้ในระบบปฏิบัติการ Microsoft สมัยใหม่ทั้งหมด Windows เวอร์ชันเซิร์ฟเวอร์รองรับการเชื่อมต่อระยะไกลสองรายการและการเข้าสู่ระบบภายในเครื่องหนึ่งครั้งพร้อมกัน ในขณะที่เวอร์ชันไคลเอนต์รองรับการเข้าสู่ระบบเพียงครั้งเดียวเท่านั้น (ภายในเครื่องหรือระยะไกล) หากต้องการอนุญาตการเชื่อมต่อระยะไกล คุณต้องเปิดใช้งานการเข้าถึงเดสก์ท็อประยะไกลในคุณสมบัติของเวิร์กสเตชัน

RDP ในโหมดการเข้าถึงเทอร์มินัลเซิร์ฟเวอร์

โหมดนี้มีเฉพาะใน Windows เวอร์ชันเซิร์ฟเวอร์เท่านั้น ไม่จำกัดจำนวนการเชื่อมต่อระยะไกลในกรณีนี้ แต่จำเป็นต้องมีการกำหนดค่าเซิร์ฟเวอร์ใบอนุญาตและการเปิดใช้งานในภายหลัง สามารถติดตั้งเซิร์ฟเวอร์ใบอนุญาตได้บนเทอร์มินัลเซิร์ฟเวอร์หรือบนโหนดเครือข่ายที่แยกต่างหาก ความสามารถในการเข้าถึงเทอร์มินัลเซิร์ฟเวอร์จากระยะไกลจะมีให้หลังจากติดตั้งใบอนุญาตที่เหมาะสมบนเซิร์ฟเวอร์ใบอนุญาตแล้วเท่านั้น

เมื่อใช้คลัสเตอร์เทอร์มินัลเซิร์ฟเวอร์และการปรับสมดุลโหลด จำเป็นต้องมีการติดตั้งเซิร์ฟเวอร์การเชื่อมต่อพิเศษ (Session Directory Service) เซิร์ฟเวอร์นี้จะจัดทำดัชนีเซสชันผู้ใช้ ซึ่งช่วยให้คุณสามารถเข้าสู่ระบบได้ เช่นเดียวกับการเข้าสู่ระบบเซิร์ฟเวอร์เทอร์มินัลที่ทำงานในสภาพแวดล้อมแบบกระจายอีกครั้ง

RDP ทำงานอย่างไร

Remote Desktop เป็นโปรโตคอลแอปพลิเคชันที่ใช้ TCP หลังจากสร้างการเชื่อมต่อแล้ว เซสชัน RDP จะเริ่มต้นที่เลเยอร์การขนส่ง ซึ่งมีการเจรจาพารามิเตอร์การถ่ายโอนข้อมูลต่างๆ หลังจากระยะการเริ่มต้นเสร็จสมบูรณ์แล้ว เทอร์มินัลเซิร์ฟเวอร์จะเริ่มส่งข้อมูลเอาท์พุตแบบกราฟิกไปยังไคลเอนต์และรอการป้อนข้อมูลด้วยแป้นพิมพ์และเมาส์ กราฟิกเอาท์พุตอาจเป็นสำเนาที่แน่นอนของหน้าจอกราฟิก โดยส่งทั้งรูปภาพและคำสั่งสำหรับการวาดภาพกราฟิกเบื้องต้น (สี่เหลี่ยมผืนผ้า เส้น วงรี ข้อความ ฯลฯ) การส่งสัญญาณเอาต์พุตโดยใช้พื้นฐานถือเป็นสิ่งสำคัญสำหรับโปรโตคอล RDP เนื่องจากจะช่วยประหยัดการรับส่งข้อมูลได้อย่างมาก และภาพจะถูกส่งเฉพาะในกรณีที่เป็นไปไม่ได้ด้วยเหตุผลบางประการ (ไม่สามารถตกลงกับพารามิเตอร์สำหรับการส่งแบบดั้งเดิมเมื่อตั้งค่าเซสชัน RDP) ไคลเอนต์ RDP ประมวลผลคำสั่งที่ได้รับและแสดงภาพโดยใช้ระบบย่อยกราฟิก ตามค่าเริ่มต้น การป้อนข้อมูลของผู้ใช้จะถูกส่งโดยใช้รหัสสแกนแป้นพิมพ์ สัญญาณสำหรับการกดและปล่อยปุ่มจะถูกส่งแยกกันโดยใช้แฟล็กพิเศษ

RDP รองรับช่องสัญญาณเสมือนหลายช่องภายในการเชื่อมต่อเดียว ซึ่งสามารถใช้เพื่อมอบฟังก์ชันการทำงานเพิ่มเติม:

โดยใช้เครื่องพิมพ์หรือพอร์ตอนุกรม
การเปลี่ยนเส้นทางระบบไฟล์
การสนับสนุนคลิปบอร์ด
โดยใช้ระบบย่อยเสียง

คุณลักษณะของช่องสัญญาณเสมือนจะได้รับการเจรจาระหว่างขั้นตอนการตั้งค่าการเชื่อมต่อ

มั่นใจในความปลอดภัยเมื่อใช้ RDP

ข้อกำหนดโปรโตคอล RDP เรียกร้องให้ใช้วิธีการรักษาความปลอดภัยแบบใดแบบหนึ่งจากสองวิธี:

ความปลอดภัย RDP มาตรฐาน (ระบบย่อยความปลอดภัยในตัว)
ความปลอดภัย RDP ที่ปรับปรุงแล้ว (ระบบย่อยความปลอดภัยภายนอก)

การรักษาความปลอดภัย RDP มาตรฐาน

ด้วยแนวทางนี้ การรับรองความถูกต้อง การเข้ารหัส และการประกันความสมบูรณ์จะถูกนำไปใช้โดยใช้วิธีการที่มีอยู่ในโปรโตคอล RDP

การรับรองความถูกต้อง

การรับรองความถูกต้องของเซิร์ฟเวอร์ดำเนินการดังนี้:

เมื่อระบบเริ่มทำงาน คู่คีย์ RSA จะถูกสร้างขึ้น
มีการสร้างใบรับรองกรรมสิทธิ์คีย์สาธารณะ
ใบรับรองได้รับการลงนามด้วยคีย์ RSA ที่ฮาร์ดโค้ดไว้ในระบบปฏิบัติการ (ไคลเอ็นต์ RDP ใดๆ มีคีย์สาธารณะของคีย์ RSA ในตัวนี้)
ไคลเอนต์เชื่อมต่อกับเทอร์มินัลเซิร์ฟเวอร์และได้รับใบรับรองกรรมสิทธิ์
ลูกค้าตรวจสอบใบรับรองและรับรหัสสาธารณะของเซิร์ฟเวอร์ (รหัสนี้ใช้ในภายหลังเพื่อเจรจาพารามิเตอร์การเข้ารหัส)

การรับรองความถูกต้องของลูกค้าทำได้โดยการป้อนชื่อผู้ใช้และรหัสผ่าน

การเข้ารหัส

รหัสสตรีม RC4 ถูกเลือกเป็นอัลกอริธึมการเข้ารหัส ความยาวคีย์ที่แตกต่างกันจะมีให้เลือกตั้งแต่ 40 ถึง 168 บิต ขึ้นอยู่กับเวอร์ชันของระบบปฏิบัติการ

ความยาวคีย์สูงสุดสำหรับระบบปฏิบัติการ Winodws:

เซิร์ฟเวอร์ Windows 2000 - 56 บิต
Windows XP, เซิร์ฟเวอร์ Windows 2003 – 128 บิต
Windows Vista, เซิร์ฟเวอร์ Windows 2008 – 168 บิต

เมื่อมีการสร้างการเชื่อมต่อ หลังจากที่ยอมรับความยาวแล้ว จะมีการสร้างคีย์ที่แตกต่างกันสองคีย์: เพื่อเข้ารหัสข้อมูลจากไคลเอนต์และจากเซิร์ฟเวอร์

ความซื่อสัตย์

ความสมบูรณ์ของข้อความทำได้โดยใช้อัลกอริธึมการสร้าง MAC (รหัสตรวจสอบข้อความ) ตามอัลกอริธึม MD5 และ SHA1

ตั้งแต่ Windows 2003 Server ขึ้นไป การปฏิบัติตาม FIPS (Federal Information Processing Standard) 140-1 สามารถทำได้โดยใช้ 3DES สำหรับการเข้ารหัสข้อความและอัลกอริธึมการสร้าง MAC ของ SHA1 เท่านั้น เพื่อให้มั่นใจถึงความสมบูรณ์

การรักษาความปลอดภัย RDP ที่ได้รับการปรับปรุง

วิธีการนี้ใช้โมดูลความปลอดภัยภายนอก:

ทีแอลเอส 1.0
เครดิตเอสเอสพี

TLS สามารถใช้งานได้ตั้งแต่ Windows 2003 Server เป็นต้นไป แต่เฉพาะในกรณีที่ไคลเอ็นต์ RDP รองรับเท่านั้น เพิ่มการรองรับ TLS ตั้งแต่ไคลเอนต์ RDP เวอร์ชัน 6.0

เมื่อใช้ TLS คุณสามารถสร้างใบรับรองเซิร์ฟเวอร์ได้โดยใช้ Terminal Sercives หรือคุณสามารถเลือกใบรับรองที่มีอยู่จากร้านค้า Windows ได้

โปรโตคอล CredSSP เป็นการผสมผสานระหว่างฟังก์ชันการทำงานของ TLS, Kerberos และ NTLM

มาดูข้อดีหลักของโปรโตคอล CredSSP:

การตรวจสอบสิทธิ์ในการเข้าสู่ระบบระยะไกลก่อนที่จะสร้างการเชื่อมต่อ RDP เต็มรูปแบบ ซึ่งช่วยให้คุณประหยัดทรัพยากรเซิร์ฟเวอร์เทอร์มินัลเมื่อมีการเชื่อมต่อจำนวนมาก
การรับรองความถูกต้องและการเข้ารหัสที่แข็งแกร่งผ่านโปรโตคอล TLS
การใช้การลงชื่อเพียงครั้งเดียวกับ Kerberos หรือ NTLM

คุณสมบัติ CredSSP สามารถใช้ได้บนระบบปฏิบัติการ Windows Vista และ Windows 2008 Server เท่านั้น โปรโตคอลนี้เปิดใช้งานโดยแฟล็ก Use Network Level Authentication ในการตั้งค่าเทอร์มินัลเซิร์ฟเวอร์ (Windows 2008 Server) หรือในการตั้งค่าการเข้าถึงระยะไกล (Windows Vista)

รูปแบบการออกใบอนุญาตบริการเทอร์มินัล

เมื่อใช้ RDP การเข้าถึงแอปพลิเคชันในโหมดธินไคลเอ็นต์จำเป็นต้องตั้งค่าเซิร์ฟเวอร์สิทธิ์การใช้งานพิเศษ

สิทธิ์การใช้งานไคลเอนต์ถาวรสามารถติดตั้งบนเซิร์ฟเวอร์ได้หลังจากทำตามขั้นตอนการเปิดใช้งานเสร็จสิ้นแล้วเท่านั้น ก่อนขั้นตอนนี้ สิทธิ์การใช้งานชั่วคราวที่จำกัดในช่วงเวลาที่ถูกต้องสามารถออกได้ หลังจากเปิดใช้งาน เซิร์ฟเวอร์ใบอนุญาตจะได้รับใบรับรองดิจิทัลเพื่อยืนยันความเป็นเจ้าของและความถูกต้อง เมื่อใช้ใบรับรองนี้ เซิร์ฟเวอร์สิทธิ์การใช้งานสามารถทำธุรกรรมในภายหลังกับฐานข้อมูล Microsoft Clearinghouse และยอมรับ CAL แบบถาวรสำหรับเทอร์มินัลเซิร์ฟเวอร์

ประเภทของใบอนุญาตไคลเอ็นต์:

ใบอนุญาตชั่วคราว (Temporary Terminal Server CAL)
สิทธิ์การใช้งานอุปกรณ์ (Device Terminal Server CAL)
ใบอนุญาตผู้ใช้ (User Terminal Server CAL)
ใบอนุญาตสำหรับผู้ใช้ภายนอก (External Terminal Server Connector)

ใบอนุญาตชั่วคราว

ใบอนุญาตประเภทนี้จะออกให้กับลูกค้าเมื่อมีการเชื่อมต่อกับเทอร์มินัลเซิร์ฟเวอร์ครั้งแรก ใบอนุญาตมีอายุ 90 วัน เมื่อเข้าสู่ระบบสำเร็จ ไคลเอนต์ยังคงทำงานกับใบอนุญาตชั่วคราวต่อไป และครั้งต่อไปที่เทอร์มินัลเซิร์ฟเวอร์เชื่อมต่อ ไคลเอนต์จะพยายามแทนที่ใบอนุญาตชั่วคราวด้วยใบอนุญาตถาวร หากมีอยู่ในที่เก็บข้อมูล

ใบอนุญาตอุปกรณ์

ใบอนุญาตนี้ออกให้กับอุปกรณ์ทางกายภาพแต่ละเครื่องที่เชื่อมต่อกับแอปพลิเคชันเซิร์ฟเวอร์ ระยะเวลาที่ถูกต้องของใบอนุญาตจะถูกตั้งค่าแบบสุ่มระหว่าง 52 ถึง 89 วัน 7 วันก่อนวันหมดอายุ เทอร์มินัลเซิร์ฟเวอร์จะพยายามต่ออายุใบอนุญาตจากเซิร์ฟเวอร์ใบอนุญาตทุกครั้งที่ไคลเอ็นต์เชื่อมต่ออีกครั้ง

ใบอนุญาตผู้ใช้

การให้สิทธิ์การใช้งานต่อผู้ใช้ให้ความยืดหยุ่นเพิ่มเติมโดยอนุญาตให้ผู้ใช้เชื่อมต่อจากอุปกรณ์ที่หลากหลาย การใช้งาน Terminal Services ในปัจจุบันไม่มีการควบคุมการใช้สิทธิ์การใช้งานของผู้ใช้ เช่น จำนวนใบอนุญาตที่มีอยู่บนเซิร์ฟเวอร์ใบอนุญาตไม่ลดลงเมื่อผู้ใช้ใหม่เชื่อมต่อ การใช้ใบอนุญาตที่ไม่เพียงพอสำหรับการเชื่อมต่อไคลเอนต์ถือเป็นการละเมิดข้อตกลงใบอนุญาตของ Microsoft หากต้องการใช้ทั้งอุปกรณ์และ CAL ผู้ใช้บนเทอร์มินัลเซิร์ฟเวอร์เดียวกัน เซิร์ฟเวอร์จะต้องได้รับการกำหนดค่าให้ทำงานในโหมดการให้สิทธิ์การใช้งานต่อผู้ใช้

ใบอนุญาตสำหรับผู้ใช้ภายนอก

นี่คือใบอนุญาตชนิดพิเศษที่ออกแบบมาเพื่อเชื่อมต่อผู้ใช้ภายนอกกับเซิร์ฟเวอร์เทอร์มินัลขององค์กร ใบอนุญาตนี้ไม่ได้กำหนดข้อจำกัดเกี่ยวกับจำนวนการเชื่อมต่อ อย่างไรก็ตาม ตามข้อตกลงผู้ใช้ (EULA) จะต้องทุ่มเทเซิร์ฟเวอร์เทอร์มินัลสำหรับการเชื่อมต่อภายนอก ซึ่งไม่อนุญาตให้ใช้เพื่อให้บริการเซสชันจากผู้ใช้องค์กร เนื่องจากมีราคาสูง ใบอนุญาตประเภทนี้จึงไม่มีการใช้อย่างแพร่หลาย

เซิร์ฟเวอร์สิทธิ์การใช้งานสามารถมีบทบาทอย่างใดอย่างหนึ่งจากสองบทบาท:

เซิร์ฟเวอร์สิทธิ์การใช้งานโดเมนหรือเวิร์กกรุ๊ป
เซิร์ฟเวอร์สิทธิ์การใช้งานระดับองค์กรทั้งหมด

บทบาทจะแตกต่างกันในวิธีที่พวกเขาค้นหาเซิร์ฟเวอร์ใบอนุญาต: เมื่อใช้บทบาทองค์กร เทอร์มินัลเซิร์ฟเวอร์จะค้นหา ActiveDirectory สำหรับเซิร์ฟเวอร์ใบอนุญาต มิฉะนั้นการค้นหาจะดำเนินการโดยใช้คำขอออกอากาศ NetBIOS แต่ละเซิร์ฟเวอร์ที่พบจะถูกตรวจสอบความถูกต้องโดยใช้คำขอ RPC

เทคโนโลยีที่มีแนวโน้มบริการเทอร์มินัล

Microsoft ส่งเสริมโซลูชันสำหรับแอปพลิเคชันเซิร์ฟเวอร์อย่างจริงจัง กำลังขยายฟังก์ชันการทำงาน และกำลังแนะนำโมดูลเพิ่มเติม การพัฒนาที่ยิ่งใหญ่ที่สุดเกิดขึ้นได้จากเทคโนโลยีที่ช่วยลดความยุ่งยากในการติดตั้งแอปพลิเคชันและส่วนประกอบที่รับผิดชอบการทำงานของเทอร์มินัลเซิร์ฟเวอร์ในเครือข่ายทั่วโลก

คุณลักษณะต่อไปนี้ถูกนำมาใช้ใน Terminal Services สำหรับ Windows 2008 Server