Протокол віддаленого робочого столу (RDP) — це власний протокол віддаленого доступу Microsoft, який використовується системними адміністраторами Windows для віддаленого керування системами Windows Server. Що відрізняє RDP від, скажімо, віддаленого зв’язку Windows PowerShell або Secure Shell (SSH), так це наявність повного графічного робочого столу, як показано на малюнку 1.
За замовчуванням компонент сервера RDP прослуховує вхідні з’єднання через порт TCP 3389 за замовчуванням, хоча це може бути змінено адміністратором з міркувань безпеки.
Безперечно, поточний прагнення Microsoft полягає в тому, щоб адміністратори зменшили свою залежність від RDP і замість цього (а) розгортали сервери Windows у режимі Server Core або Nano; і (b) використовувати віддалене адміністрування з командного рядка Windows PowerShell замість RDP.
Майкрософт виправдовує цю пораду двояко:
Рівень GUI споживає непотрібні системні ресурси
Рівень графічного інтерфейсу розширює поверхню атаки ваших серверів
Незважаючи на це, багато адміністраторів звикли до віддаленого адміністрування на основі RDP і прагнуть зробити це навіть у нещодавно випущеній операційній системі Windows Server 2016. Давайте дізнаємося, як увімкнути RDP в Server 2016 (tl;dr: процес ідентичний Windows Server 2012 R2).
Менеджер сервера
Відкрийте консоль диспетчера сервера, перейдіть до вузла «Локальний сервер» і клацніть гіперпосилання «Віддалений робочий стіл», як показано на малюнку 2.
Гіперпосилання на віддалений робочий стіл — це просто ярлик на аркуші властивостей системи з пункту Панелі керування системою. Виберіть Дозволити віддалені підключення до цього комп’ютера та за бажанням увімкніть Дозволити підключення лише з комп’ютерів, на яких запущено Remote Destkop з автентифікацією на рівні мережі (рекомендовано).
Аутентифікація на рівні мережі (NLA) захищає Windows Server від атак відмови в обслуговуванні (DoS), вимагаючи проведення автентифікації до того, як сервер встановлює будь-який графічний сеанс. NLA також зберігає ресурси серверної системи.
Windows PowerShell
З точки зору нижнього рівня, вхідні з’єднання RDP увімкнено на сервері за допомогою двох значень реєстру та правила брандмауера Windows.
Відкрийте сеанс Windows PowerShell з підвищеними можливостями та виконайте наведені нижче команди. Цей перший створює значення fDenyTSConnections і встановлює для нього значення 0 (вимкнено). Це має сенс, оскільки ми не хочемо відмовляти у підключенні служб терміналів (TS).
New-ItemProperty -Шлях ‘HKLM:SystemCurrentControlSetControlTerminal Server’ -Назва ‘fDenyTSConnections’ -Значення 0 -PropertyType dword -Force
Наступна команда створює та вмикає значення UserAuthentication (Автентифікація мережевого рівня); NLA — хороша ідея, і вам слід розглянути можливість увімкнути його за замовчуванням на ваших серверах.
New-ItemProperty -Шлях ‘HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp’ -Ім’я ‘UserAuthentication’ -Значення 1 -PropertyType dword -Force
Наступна команда вмикає попередньо визначене правило брандмауера Windows «Віддалений робочий стіл». Потім ми можемо викликати командлет Get-NetFirewallRule PowerShell для перевірки, як показано на малюнку 3.
Enable-NetFirewallRule -DisplayGroup «Віддалений робочий стіл»
Групова політика
Велика ймовірність того, що ви хочете стандартизувати поведінку RDP на всіх серверах вашої інфраструктури. Тому для досягнення цієї мети ми звертаємося до групової політики.
Почніть зі створення, зв’язування та визначення обсягу нового об’єкта групової політики (GPO), який націлений на сервери, які мають спільно використовувати параметри сервера RDP.
Далі перейдіть до наступного шляху групової політики та додайте новий запис обмежених груп (показаний на малюнку 4):
Computer ConfigurationPoliciesWindows SettingsSecurity SettingsRestricted Groups
Ви можете налаштувати членство у вбудованій групі користувачів віддаленого робочого столу; члени цієї групи можуть встановлювати сеанси RDP на сервері. Зауважте, що локальній групі адміністраторів (і, відповідно, глобальній групі адміністраторів домену) автоматично надається цей привілей у Active Directory.
Нижче наведено три параметри групової політики:
Винятки вхідного RDP брандмауера Windows
Право користувача встановлювати сеанси RDP
Вимагає NLA
Конфігурація комп’ютераАдміністративні шаблониМережеві мережеві підключення Профіль домену Брандмауер Windows Брандмауер Windows: дозволити виключення вхідного віддаленого робочого стола
Конфігурація комп’ютераАдміністративні шаблони Компоненти Windows Служби віддаленого робочого стола Сеанс віддаленого робочого стола HostConnections Дозволити користувачеві віддалено підключатися за допомогою служб віддаленого робочого стола
Конфігурація комп’ютера Адміністративні шаблони Компоненти Windows Служби віддаленого робочого стола Сеанс віддаленого робочого стола HostSecurity Вимагати автентифікації користувача для віддалених підключень за допомогою NLA
Створення клієнтського підключення
Клієнт Windows і Windows Server включають клієнт Microsoft RDP, який називається підключенням до віддаленого робочого столу. Мій улюблений спосіб викликати цей інструмент:
Натисніть клавішу WINDOWS+R
Введіть mstsc (що означає “Клієнт служб терміналів Microsoft”)
Натисніть ENTER
Я показую вам інтерфейс користувача підключення до віддаленого робочого столу на малюнку 5.
Що цікаво в клієнтах RDP, так це те, що вони доступні практично для кожної настільної або мобільної операційної системи. Ось список представників:
Android: віддалений робочий стіл Microsoft
iOS: віддалений робочий стіл Microsoft
Linux: rdesktop
macOS: віддалений робочий стіл Microsoft
Windows Phone: віддалений робочий стіл Microsoft
Зверніть увагу, що Windows Server підтримує лише два одночасних сеансу RDP одночасно. Якщо вам потрібно більше, тоді вам доведеться інсталювати роль сервера сесії служб віддаленого робочого стола (RDS) і придбати додаткові ліцензії на підключення RDS у Microsoft.
Останні думки
Якщо ви налаштували RDP у попередніх версіях Windows Server, ви побачите, що Windows Server 2016 веде себе точно так само. Однак майте на увазі, що постійно ширше охоплення Microsoft положення безпеки «припускати порушення» та сценарію гібридної хмари та супутньої філософії «керування стадами, а не домашніми тваринами» означає, що наголос робиться на автоматизації командного рядка, а не на вмиканні RDP. Сесії GUI.
10 найкращих нових функцій у Windows Server 2016
Windows 10 для ІТ-професіоналів: навчальні посібники, поради та підказки
6 найкращих програм Windows 10 для ІТ-спеціалістів
