Remote Desktop Protocol (RDP) é um protocolo de acesso remoto proprietário da Microsoft que é usado por administradores de sistemas Windows para gerenciar sistemas Windows Server remotamente. O que diferencia o RDP de, digamos, a comunicação remota do Windows PowerShell ou Secure Shell (SSH) é a presença da área de trabalho gráfica completa, conforme mostrado na Figura 1.
Por padrão, o componente do servidor RDP escuta conexões de entrada na porta TCP 3389 por padrão, embora isso possa ser alterado pelo administrador por motivos de segurança.
Para ter certeza, o impulso atual da Microsoft é que os administradores reduzam sua dependência do RDP e, em vez disso, (a) implantem Windows Servers no modo Server Core ou Nano; e (b) empregar administração remota de linha de comando do Windows PowerShell em vez de RDP.
A justificativa da Microsoft para esse conselho é dupla:
Uma camada GUI consome recursos desnecessários do sistema
Uma camada GUI amplia a superfície de ataque de seus servidores
Independentemente disso, muitos administradores estão acostumados à administração remota baseada em RDP e procuram fazê-lo mesmo no sistema operacional Windows Server 2016 recém-lançado. Vamos aprender como habilitar o RDP no Server 2016 (tl;dr: o processo é idêntico ao do Windows Server 2012 R2).
Gerenciador do Servidor
Abra o console do Gerenciador do Servidor, navegue até o nó do Servidor Local e clique no hiperlink da Área de Trabalho Remota, conforme mostrado na Figura 2.
O hiperlink da Área de Trabalho Remota é simplesmente um atalho para a folha Propriedades do Sistema no item Painel de Controle do Sistema. Selecione Permitir conexões remotas a este computador e, opcionalmente, habilite Permitir conexões somente de computadores que executam o Remote Destkop com Autenticação em Nível de Rede (recomendado).
A autenticação em nível de rede (NLA) protege o Windows Server contra ataques de negação de serviço (DoS) exigindo que a autenticação ocorra antes que qualquer sessão gráfica seja estabelecida pelo servidor. O NLA também conserva os recursos do sistema do servidor.
Windows PowerShell
De uma perspectiva de nível inferior, as conexões RDP de entrada são habilitadas em um servidor por meio de dois valores do Registro e uma regra do Firewall do Windows.
Abra uma sessão elevada do Windows PowerShell e execute os comandos a seguir. Este primeiro cria o valor fDenyTSConnections e o define como 0 (desativado). Isso faz sentido, porque não queremos negar conexões de serviços de terminal (TS).
New-ItemProperty -Path ‘HKLM:SystemCurrentControlSetControlTerminal Server’ -Name ‘fDenyTSConnections’ -Value 0 -PropertyType dword -Force
O próximo comando cria e habilita o valor UserAuthentication (Network Layer Authentication); O NLA é uma boa ideia e você deve considerar ativá-lo por padrão em seus servidores.
New-ItemProperty -Path ‘HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp’ -Name ‘UserAuthentication’ -Value 1 -PropertyType dword -Force
O próximo comando habilita a regra predefinida do Firewall do Windows “Área de Trabalho Remota”. Podemos então invocar o cmdlet Get-NetFirewallRule PowerShell para verificar, conforme mostrado na Figura 3.
Enable-NetFirewallRule -DisplayGroup ‘Remote Desktop’
Política de grupo
As chances são boas de que você queira padronizar o comportamento RDP em todos os seus servidores de infraestrutura. Portanto, recorremos à Diretiva de Grupo para atingir esse objetivo.
Comece criando, vinculando e delimitando um novo Objeto de Diretiva de Grupo (GPO) direcionado aos servidores que devem compartilhar as configurações do servidor RDP.
Em seguida, navegue até o seguinte caminho de Diretiva de Grupo e adicione uma nova entrada de Grupos Restritos (mostrada na Figura 4):
Computer ConfigurationPoliciesWindows SettingsSecurity SettingsRestricted Groups
Você pode personalizar a associação no grupo interno Usuários da Área de Trabalho Remota dos servidores; os membros deste grupo podem estabelecer sessões RDP para o servidor. Observe que o grupo Administradores local (e, por extensão, o grupo global Administradores de Domínio) recebe automaticamente esse privilégio no Active Directory.
As três configurações de Diretiva de Grupo a seguir governam:
Exceções de RDP de entrada do Firewall do Windows
Direito do usuário para estabelecer sessões RDP
Exigindo NLA
Configuração do computadorModelos administrativosRedeConexões de redeFirewall do WindowsPerfil de domínioFirewall do Windows: Permitir exceções de área de trabalho remota de entrada
Configuração do ComputadorModelos AdministrativosComponentes do WindowsServiços de Área de Trabalho Remota Host de Sessão de Área de Trabalho RemotaConexõesPermitir que o usuário se conecte remotamente usando os Serviços de Área de Trabalho Remota
Configuração do ComputadorModelos AdministrativosComponentes do WindowsServiços de Área de Trabalho Remota Host de Sessão de Área de Trabalho RemotaSegurançaExigir autenticação de usuário para conexões remotas usando NLA
Criando a conexão do cliente
O Windows Client e o Windows Server incluem o cliente Microsoft RDP, chamado Remote Desktop Connection. Minha maneira favorita de invocar essa ferramenta é:
Pressione a TECLA WINDOWS+R
Digite mstsc (que significa “Microsoft Terminal Services Client”)
Pressione Enter
Mostro a interface de usuário da Conexão de Área de Trabalho Remota na Figura 5.
O que é legal sobre os clientes RDP é que eles estão disponíveis para praticamente todos os sistemas operacionais de desktop ou móveis. Aqui está uma lista representativa:
Android: Área de Trabalho Remota da Microsoft
iOS: Área de Trabalho Remota da Microsoft
Linux: rdesktop
macOS: Área de Trabalho Remota da Microsoft
Windows Phone: Área de Trabalho Remota da Microsoft
Observe que o Windows Server oferece suporte apenas a duas sessões RDP simultâneas. Se você precisar de mais do que isso, precisará instalar a função de servidor Host de Sessão dos Serviços de Área de Trabalho Remota (RDS) e adquirir licenças de conexão RDS adicionais da Microsoft.
Pensamentos finais
Se você configurou o RDP em versões anteriores do Windows Server, verá que o Windows Server 2016 se comporta exatamente da mesma maneira. Tenha em mente, no entanto, que a adoção cada vez maior da Microsoft da postura de segurança “assumir violação” e o cenário de nuvem híbrida e sua filosofia de “gerenciar rebanhos, não animais de estimação” significa que a ênfase está na automação de linha de comando em vez do RDP on-off Sessões de GUI.
10 melhores novos recursos do Windows Server 2016
Windows 10 para profissionais de TI: tutoriais, dicas e truques
Os 6 principais aplicativos do Windows 10 para profissionais de TI