Remote Desktop Protocol (RDP) to zastrzeżony przez firmę Microsoft protokół dostępu zdalnego używany przez administratorów systemów Windows do zdalnego zarządzania systemami Windows Server. To, co odróżnia protokół RDP od, powiedzmy, usług zdalnych Windows PowerShell lub Secure Shell (SSH), to obecność pełnego pulpitu graficznego, jak pokazano na rysunku 1.
Domyślnie składnik serwera RDP domyślnie nasłuchuje połączeń przychodzących na porcie TCP 3389, chociaż administrator może to zmienić ze względów bezpieczeństwa.
Aby mieć pewność, obecnie firma Microsoft dąży do zmniejszenia zależności administratorów od protokołu RDP i zamiast tego (a) wdraża serwery Windows w trybie Server Core lub Nano; oraz (b) zastosować administrację zdalną z wiersza polecenia programu Windows PowerShell zamiast protokołu RDP.
Uzasadnienie Microsoftu dla tej porady jest dwojakie:
Warstwa GUI zużywa niepotrzebne zasoby systemowe
Warstwa GUI poszerza obszar ataku Twoich serwerów
Niezależnie od tego, wielu administratorów jest przyzwyczajonych do zdalnej administracji opartej na protokole RDP i stara się to robić nawet w nowo wydanym systemie operacyjnym Windows Server 2016. Dowiedzmy się, jak włączyć RDP w Server 2016 (tl;dr: proces jest identyczny z Windows Server 2012 R2).
Menedżer serwera
Otwórz konsolę Menedżera serwera, przejdź do węzła Serwer lokalny i kliknij hiperłącze Pulpit zdalny, jak pokazano na rysunku 2.
Hiperłącze Pulpit zdalny to po prostu skrót do arkusza Właściwości systemu z elementu Panelu sterowania systemu. Wybierz opcję Zezwalaj na połączenia zdalne z tym komputerem i opcjonalnie włącz Zezwalaj na połączenia tylko z komputerów z uruchomionym programem Remote Destkop z uwierzytelnianiem na poziomie sieci (zalecane).
Uwierzytelnianie na poziomie sieci (NLA) chroni system Windows Server przed atakami typu „odmowa usługi” (DoS), wymagając uwierzytelnienia przed ustanowieniem jakiejkolwiek sesji graficznej przez serwer. NLA oszczędza również zasoby systemowe serwera.
Windows PowerShell
Z perspektywy niższego poziomu przychodzące połączenia RDP są włączane na serwerze za pomocą dwóch wartości rejestru i reguły zapory systemu Windows.
Otwórz sesję programu Windows PowerShell z podwyższonym poziomem uprawnień i uruchom następujące polecenia. Ten pierwszy tworzy wartość fDenyTSConnections i ustawia ją na 0 (wyłączone). Ma to sens, ponieważ nie chcemy odmawiać połączeń usług terminalowych (TS).
New-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal Server’ -Nazwa 'fDenyTSConnections’ -Value 0 -PropertyType dword -Force
Następne polecenie tworzy i włącza wartość UserAuthentication (Uwierzytelnianie warstwy sieciowej); NLA to dobry pomysł i powinieneś rozważyć włączenie go domyślnie na swoich serwerach.
New-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp’ -Nazwa 'UserAuthentication’ -Wartość 1 -PropertyType dword -Force
Następne polecenie włącza wstępnie zdefiniowaną regułę Zapory systemu Windows „Pulpit zdalny”. Następnie możemy wywołać polecenie cmdlet Get-NetFirewallRule PowerShell w celu weryfikacji, jak pokazano na rysunku 3.
Enable-NetFirewallRule -DisplayGroup „Remote Desktop”
Zasady grupy
Istnieje duże prawdopodobieństwo, że chcesz ujednolicić zachowanie protokołu RDP na wszystkich serwerach infrastruktury. Dlatego zwracamy się do zasad grupy, aby osiągnąć ten cel.
Zacznij od utworzenia, połączenia i określenia zakresu nowego obiektu zasad grupy (GPO), który jest skierowany do serwerów, które powinny współużytkować ustawienia serwera RDP.
Następnie przejdź do następującej ścieżki zasad grupy i dodaj nowy wpis Grupy z ograniczeniami (pokazany na rysunku 4):
Konfiguracja komputeraPoliciesUstawienia systemu WindowsUstawienia zabezpieczeń Grupy z ograniczeniami
Członkostwo we wbudowanej grupie Użytkownicy pulpitu zdalnego serwera można dostosować; członkowie tej grupy mogą nawiązywać sesje RDP z serwerem. Należy zauważyć, że lokalna grupa Administratorzy (i, co za tym idzie, globalna grupa Administratorzy domeny) automatycznie otrzymuje to uprawnienie w usłudze Active Directory.
Następujące trzy ustawienia zasad grupy regulują:
Przychodzące wyjątki protokołu RDP Zapory systemu Windows
Prawo użytkownika do nawiązywania sesji RDP
Wymagający NLA
Konfiguracja komputeraSzablony administracyjneSiećPołączenia siecioweZapora systemu WindowsProfil domenyZapora systemu Windows: zezwalaj na przychodzące wyjątki pulpitu zdalnego
Konfiguracja komputeraSzablony administracyjneSkładniki systemu WindowsUsługi pulpitu zdalnego Host sesji pulpitu zdalnegoPołączeniaZezwalaj użytkownikowi na zdalne łączenie się za pomocą usług pulpitu zdalnego
Konfiguracja komputeraSzablony administracyjneSkładniki systemu WindowsUsługi pulpitu zdalnego Host sesji usług pulpitu zdalnegoSecurityWymagaj uwierzytelnienia użytkownika dla połączeń zdalnych za pomocą NLA
Tworzenie połączenia klienta
Zarówno klient Windows, jak i Windows Server zawierają klienta Microsoft RDP o nazwie Podłączanie pulpitu zdalnego. Moim ulubionym sposobem wywołania tego narzędzia jest:
Naciśnij KLAWISZ WINDOWS+R
Wpisz mstsc (co oznacza „Microsoft Terminal Services Client”)
Naciśnij enter
Pokazuję interfejs użytkownika usługi Podłączanie pulpitu zdalnego na rysunku 5.
Fajne w klientach RDP jest to, że są one dostępne dla niemal każdego stacjonarnego lub mobilnego systemu operacyjnego. Oto reprezentatywna lista:
Android: Pulpit zdalny Microsoft
iOS: Pulpit zdalny Microsoft
Linux: rdesktop
macOS: Pulpit zdalny Microsoft
Windows Phone: Pulpit zdalny Microsoft
Należy zauważyć, że system Windows Server obsługuje jednocześnie tylko dwie jednoczesne sesje RDP. Jeśli potrzebujesz więcej, musisz zainstalować rolę serwera Host sesji usług pulpitu zdalnego (RDS) i kupić dodatkowe licencje na połączenia RDS od firmy Microsoft.
Końcowe przemyślenia
Jeśli skonfigurowałeś protokół RDP w poprzednich wersjach systemu Windows Server, przekonasz się, że system Windows Server 2016 zachowuje się dokładnie w ten sam sposób. Należy jednak pamiętać, że coraz szersze podejście firmy Microsoft do postawy bezpieczeństwa „zakładaj naruszenie” i scenariusza chmury hybrydowej oraz towarzyszącej jej filozofii „zarządzaj stadami, a nie zwierzętami domowymi” oznacza, że nacisk kładzie się na automatyzację wiersza poleceń, a nie na RDP. Sesje GUI.
10 najlepszych nowych funkcji w Windows Server 2016
Windows 10 dla informatyków: samouczki, porady i wskazówki
6 najlepszych aplikacji dla systemu Windows 10 dla informatyków