Avançar para o conteúdo

Como habilitar a área de trabalho remota no Windows Server 2016

    1652051805

    Remote Desktop Protocol (RDP) é um protocolo de acesso remoto proprietário da Microsoft que é usado por administradores de sistemas Windows para gerenciar sistemas Windows Server remotamente. O que diferencia o RDP de, digamos, a comunicação remota do Windows PowerShell ou Secure Shell (SSH) é a presença da área de trabalho gráfica completa, conforme mostrado na Figura 1.

    Por padrão, o componente do servidor RDP escuta conexões de entrada na porta TCP 3389 por padrão, embora isso possa ser alterado pelo administrador por motivos de segurança.

    Para ter certeza, o impulso atual da Microsoft é que os administradores reduzam sua dependência do RDP e, em vez disso, (a) implantem Windows Servers no modo Server Core ou Nano; e (b) empregar administração remota de linha de comando do Windows PowerShell em vez de RDP.

    A justificativa da Microsoft para esse conselho é dupla:

    Uma camada GUI consome recursos desnecessários do sistema
    Uma camada GUI amplia a superfície de ataque de seus servidores

    Independentemente disso, muitos administradores estão acostumados à administração remota baseada em RDP e procuram fazê-lo mesmo no sistema operacional Windows Server 2016 recém-lançado. Vamos aprender como habilitar o RDP no Server 2016 (tl;dr: o processo é idêntico ao do Windows Server 2012 R2).

    Gerenciador do Servidor

    Abra o console do Gerenciador do Servidor, navegue até o nó do Servidor Local e clique no hiperlink da Área de Trabalho Remota, conforme mostrado na Figura 2.

    O hiperlink da Área de Trabalho Remota é simplesmente um atalho para a folha Propriedades do Sistema no item Painel de Controle do Sistema. Selecione Permitir conexões remotas a este computador e, opcionalmente, habilite Permitir conexões somente de computadores que executam o Remote Destkop com Autenticação em Nível de Rede (recomendado).

    A autenticação em nível de rede (NLA) protege o Windows Server contra ataques de negação de serviço (DoS) exigindo que a autenticação ocorra antes que qualquer sessão gráfica seja estabelecida pelo servidor. O NLA também conserva os recursos do sistema do servidor.

    Windows PowerShell

    De uma perspectiva de nível inferior, as conexões RDP de entrada são habilitadas em um servidor por meio de dois valores do Registro e uma regra do Firewall do Windows.
    Abra uma sessão elevada do Windows PowerShell e execute os comandos a seguir. Este primeiro cria o valor fDenyTSConnections e o define como 0 (desativado). Isso faz sentido, porque não queremos negar conexões de serviços de terminal (TS).

    New-ItemProperty -Path ‘HKLM:SystemCurrentControlSetControlTerminal Server’ -Name ‘fDenyTSConnections’ -Value 0 -PropertyType dword -Force

    O próximo comando cria e habilita o valor UserAuthentication (Network Layer Authentication); O NLA é uma boa ideia e você deve considerar ativá-lo por padrão em seus servidores.

    New-ItemProperty -Path ‘HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp’ -Name ‘UserAuthentication’ -Value 1 -PropertyType dword -Force

    O próximo comando habilita a regra predefinida do Firewall do Windows “Área de Trabalho Remota”. Podemos então invocar o cmdlet Get-NetFirewallRule PowerShell para verificar, conforme mostrado na Figura 3.
    Enable-NetFirewallRule -DisplayGroup ‘Remote Desktop’

    Política de grupo

    As chances são boas de que você queira padronizar o comportamento RDP em todos os seus servidores de infraestrutura. Portanto, recorremos à Diretiva de Grupo para atingir esse objetivo.

    Comece criando, vinculando e delimitando um novo Objeto de Diretiva de Grupo (GPO) direcionado aos servidores que devem compartilhar as configurações do servidor RDP.

    Em seguida, navegue até o seguinte caminho de Diretiva de Grupo e adicione uma nova entrada de Grupos Restritos (mostrada na Figura 4):
    Computer ConfigurationPoliciesWindows SettingsSecurity SettingsRestricted Groups

    Você pode personalizar a associação no grupo interno Usuários da Área de Trabalho Remota dos servidores; os membros deste grupo podem estabelecer sessões RDP para o servidor. Observe que o grupo Administradores local (e, por extensão, o grupo global Administradores de Domínio) recebe automaticamente esse privilégio no Active Directory.

    As três configurações de Diretiva de Grupo a seguir governam:

    Exceções de RDP de entrada do Firewall do Windows
    Direito do usuário para estabelecer sessões RDP
    Exigindo NLA

    Configuração do computadorModelos administrativosRedeConexões de redeFirewall do WindowsPerfil de domínioFirewall do Windows: Permitir exceções de área de trabalho remota de entrada

    Configuração do ComputadorModelos AdministrativosComponentes do WindowsServiços de Área de Trabalho Remota Host de Sessão de Área de Trabalho RemotaConexõesPermitir que o usuário se conecte remotamente usando os Serviços de Área de Trabalho Remota

    Configuração do ComputadorModelos AdministrativosComponentes do WindowsServiços de Área de Trabalho Remota Host de Sessão de Área de Trabalho RemotaSegurançaExigir autenticação de usuário para conexões remotas usando NLA

    Criando a conexão do cliente

    O Windows Client e o Windows Server incluem o cliente Microsoft RDP, chamado Remote Desktop Connection. Minha maneira favorita de invocar essa ferramenta é:

    Pressione a TECLA WINDOWS+R

    Digite mstsc (que significa “Microsoft Terminal Services Client”)

    Pressione Enter

    Mostro a interface de usuário da Conexão de Área de Trabalho Remota na Figura 5.

    O que é legal sobre os clientes RDP é que eles estão disponíveis para praticamente todos os sistemas operacionais de desktop ou móveis. Aqui está uma lista representativa:

    Android: Área de Trabalho Remota da Microsoft
    iOS: Área de Trabalho Remota da Microsoft
    Linux: rdesktop
    macOS: Área de Trabalho Remota da Microsoft
    Windows Phone: Área de Trabalho Remota da Microsoft

    Observe que o Windows Server oferece suporte apenas a duas sessões RDP simultâneas. Se você precisar de mais do que isso, precisará instalar a função de servidor Host de Sessão dos Serviços de Área de Trabalho Remota (RDS) e adquirir licenças de conexão RDS adicionais da Microsoft.

    Pensamentos finais

    Se você configurou o RDP em versões anteriores do Windows Server, verá que o Windows Server 2016 se comporta exatamente da mesma maneira. Tenha em mente, no entanto, que a adoção cada vez maior da Microsoft da postura de segurança “assumir violação” e o cenário de nuvem híbrida e sua filosofia de “gerenciar rebanhos, não animais de estimação” significa que a ênfase está na automação de linha de comando em vez do RDP on-off Sessões de GUI.

    10 melhores novos recursos do Windows Server 2016
    Windows 10 para profissionais de TI: tutoriais, dicas e truques
    Os 6 principais aplicativos do Windows 10 para profissionais de TI

    0 0 votes
    Rating post
    Subscribe
    Notify of
    guest
    0 comments
    Inline Feedbacks
    View all comments
    0
    Would love your thoughts, please comment.x