Протокол удаленного рабочего стола (RDP) — это собственный протокол удаленного доступа Microsoft, который используется системными администраторами Windows для удаленного управления системами Windows Server. Что отличает RDP, скажем, от удаленного взаимодействия Windows PowerShell или Secure Shell (SSH), так это наличие полного графического рабочего стола, как показано на рис. 1.
По умолчанию серверный компонент RDP прослушивает входящие соединения через TCP-порт 3389 по умолчанию, хотя это может быть изменено администратором по соображениям безопасности.
Безусловно, текущие усилия Microsoft направлены на то, чтобы администраторы уменьшили свою зависимость от RDP и вместо этого (а) развернули серверы Windows в режиме Server Core или Nano; и (б) использовать удаленное администрирование из командной строки Windows PowerShell вместо RDP.
Обоснование Microsoft этого совета двоякое:
Слой GUI потребляет ненужные системные ресурсы
Слой графического интерфейса расширяет поверхность атаки ваших серверов.
Несмотря на это, многие администраторы привыкли к удаленному администрированию на основе RDP и стремятся сделать это даже в недавно выпущенной операционной системе Windows Server 2016. Давайте узнаем, как включить RDP в Server 2016 (вкратце: процесс идентичен Windows Server 2012 R2).
Менеджер сервера
Откройте консоль диспетчера серверов, перейдите к узлу «Локальный сервер» и щелкните гиперссылку «Удаленный рабочий стол», как показано на рис. 2.
Гиперссылка на удаленный рабочий стол — это просто ярлык для страницы «Свойства системы» из элемента «Панель управления системой». Выберите «Разрешить удаленные подключения к этому компьютеру» и при необходимости включите «Разрешить подключения только с компьютеров, на которых работает Remote Destkop с проверкой подлинности на уровне сети» (рекомендуется).
Проверка подлинности на уровне сети (NLA) защищает Windows Server от атак типа «отказ в обслуживании» (DoS), требуя проверки подлинности до того, как сервер установит какой-либо графический сеанс. NLA также экономит системные ресурсы сервера.
Windows PowerShell
С точки зрения более низкого уровня входящие RDP-подключения на сервере разрешены с помощью двух значений реестра и правила брандмауэра Windows.
Откройте сеанс Windows PowerShell с повышенными привилегиями и выполните следующие команды. Первый создает значение fDenyTSConnections и устанавливает для него значение 0 (выключено). Это имеет смысл, потому что мы не хотим запрещать подключения служб терминалов (TS).
New-ItemProperty -Path ‘HKLM:SystemCurrentControlSetControlTerminal Server’ -Name ‘fDenyTSConnections’ -Value 0 -PropertyType dword -Force
Следующая команда создает и включает значение UserAuthentication (аутентификация сетевого уровня); NLA — хорошая идея, и вам следует подумать о том, чтобы включить его по умолчанию на своих серверах.
New-ItemProperty -Path ‘HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp’ -Name ‘UserAuthentication’ -Value 1 -PropertyType dword -Force
Следующая команда включает предопределенное правило брандмауэра Windows «Удаленный рабочий стол». Затем мы можем вызвать командлет PowerShell Get-NetFirewallRule для проверки, как показано на рисунке 3.
Enable-NetFirewallRule -DisplayGroup ‘Remote Desktop’
Групповая политика
Скорее всего, вы хотите стандартизировать поведение RDP на всех серверах вашей инфраструктуры. Поэтому мы обращаемся к групповой политике для достижения этой цели.
Начните с создания, связывания и определения области действия нового объекта групповой политики (GPO), нацеленного на серверы, которые должны совместно использовать настройки RDP-сервера.
Затем перейдите к следующему пути групповой политики и добавьте новую запись Restricted Groups (показана на рис. 4):
Computer ConfigurationPoliciesWindows SettingsSecurity SettingsRestricted Groups
Вы можете настроить членство во встроенной группе пользователей удаленного рабочего стола серверов; члены этой группы могут устанавливать сеансы RDP с сервером. Обратите внимание, что локальная группа «Администраторы» (и, соответственно, глобальная группа «Администраторы домена») автоматически получает эту привилегию в Active Directory.
Следующие три параметра групповой политики управляют:
Входящие исключения RDP брандмауэра Windows
Право пользователя устанавливать сеансы RDP
Требование NLA
Конфигурация компьютераАдминистративные шаблоныСетьСетевые подключенияБрандмауэр WindowsПрофиль доменаБрандмауэр Windows: Разрешить входящие исключения удаленного рабочего стола
Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовПодключенияРазрешить пользователю удаленное подключение с помощью служб удаленных рабочих столов
Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsСлужбы удаленных рабочих столовСессии удаленных рабочих столовБезопасность хостаТребовать аутентификацию пользователя для удаленных подключений с помощью NLA
Создание клиентского соединения
Клиент Windows и Windows Server включают в себя клиент Microsoft RDP, который называется «Подключение к удаленному рабочему столу». Мой любимый способ вызвать этот инструмент:
Нажмите КЛАВИШУ WINDOWS+R
Введите mstsc (что означает «Клиент служб терминалов Microsoft»).
Нажмите Ввод
Я покажу вам пользовательский интерфейс подключения к удаленному рабочему столу на рисунке 5.
Что хорошо в клиентах RDP, так это то, что они доступны практически для любой настольной или мобильной операционной системы. Вот репрезентативный список:
Android: удаленный рабочий стол Майкрософт
iOS: удаленный рабочий стол Майкрософт
Linux: рабочий стол
macOS: удаленный рабочий стол Майкрософт
Windows Phone: удаленный рабочий стол Microsoft
Обратите внимание, что Windows Server поддерживает только два одновременных сеанса RDP одновременно. Если вам нужно больше, вам придется установить роль сервера узла сеансов служб удаленных рабочих столов (RDS) и приобрести дополнительные лицензии на подключение RDS у Microsoft.
Последние мысли
Если вы настроили RDP в предыдущих версиях Windows Server, вы обнаружите, что Windows Server 2016 ведет себя точно так же. Имейте в виду, однако, что постоянно расширяющееся использование Microsoft концепции безопасности «предположим нарушение» и гибридного облачного сценария и сопровождающей его философии «управляйте стадами, а не домашними животными» означает, что акцент делается на автоматизации командной строки, а не на включении-выключении RDP. Сеансы графического интерфейса.
10 лучших новых функций в Windows Server 2016
Windows 10 для ИТ-специалистов: учебные пособия, советы и рекомендации
Шесть лучших приложений для Windows 10 для ИТ-специалистов
