Среди пользователей достаточно много людей слышали о том, что существует некий RDP клиент.

Но немногие знают, что же это такое, зачем оно нужно и как с ним работать.

А на самом деле это просто незаменимая вещь для тех, кому нужно работать в нескольких местах, а перевозить с собой ноутбук возможности нет.

Зачем нужен RDP

Представьте, что вы работаете в офисе. В ваши обязанности входит составление графиков, оформление документации и другое. Вы выполняете все эти задачи на своем компьютере в офисе. Но рабочий день заканчивается, охранник говорит, что закроет помещение и в нем оставаться нельзя, а вам еще нужно выполнить несколько важных задач. Причем отложить их на завтра не получится.

И вот в этот момент на помощь приходит этот самый RDP. Представьте, что вы можете прийти домой, включить свой домашний компьютер и продолжать работать в том же рабочем столе и с теми же данными, что и в компьютере на работе. То есть, находясь дома, вы будете, фактически, работать на рабочем компьютере.

Рис. 1. RDP позволяет работать с одного компьютера на другом

Интересно?

Тогда продолжаем!

Расшифровываем RDP

RDP – это протокол удаленного рабочего стола. Именно такое определение дается в официальных источниках. Расшифровывается эта аббревиатура как «Remote Desktop Protocol». Собственно, это и переводится как протокол удаленного рабочего стола.

Никакой сложной науки здесь нет. Данный протокол действительно предназначен для того, чтобы с рабочим столом можно было работать удалено. Это означает, что вы находитесь на определенном расстоянии от того места, где действительно находится рабочий стол, и при этом имеете возможность работать с ним.

Собственно, клиент RDP – это программа, которая позволяет реализовывать функции этого самого протокола. Другими словами это программа, которая дает пользователю возможность работать с компьютером удалено. Вы можете совершенно спокойно организовать доступ к своему компьютеру, затем подключиться к нему с другого устройства и дальше работать. На самом деле ничего сложного в этом нет.

Рис. 2. Удаленный доступ к компьютеру с планшета

Сегодня RDP клиенты существуют на самых разных операционных системах, в том числе:

Windows;
Mac OS;
Android;

Пользователи всех этих платформ имеют возможность совершенно спокойно организовывать удаленный доступ к своим устройствам. Более того, с аппарата на одной ОС можно сделать то же самое для аппарата с другой. К примеру, вы можете с планшета на Андроид подключиться к компьютеру на Виндовс.

В общем, очень полезная и интересная функция. А теперь мы рассмотрим то, как работать с этим протоколом и программами для работы с ним.

Клиент RDP на Windows

Самым первым и наиболее распространенным примером программы для работы с протоколом удаленного доступа является средство для подключения к удаленному рабочему столу на Windows. Собственно, протокол RDP и разрабатывался для этой операционной системы. А уже потом его начали использовать в других ОС.

На сегодняшний день в любой версии Виндовс есть встроенный инструмент под названием «Подключение к удаленному рабочему столу». Его можно найти в меню «Пуск» или же с помощью поиска. Оно везде называется одинаково.

Чтобы его использовать, необходимо сначала настроить компьютер, к которому вы будете подключаться, то есть с рабочим столом которого вы собираетесь работать. Для этого сделайте вот что:

Сначала нужно узнать IP-адрес компьютера, чтобы потом дать его другому устройству, с которого и будет осуществляться управление первым. Для этого выполните следующие действия:

запустите окно выполнения программ при помощи одновременного нажатия кнопок Win и R на клавиатуре;
в открывшемся окне, в единственном поле ввода, введите «cmd» и нажмите Enter на клавиатуре – тем самым вы запустите командную строку;

Рис. 3. Команда для запуска командной строки в окне выполнения программ

в командной строке введите команду «ipconfig» и снова нажмите Enter;
откроется вся доступная сетевая информация, найдите там строку «IPv4-адрес» - напротив него и будет IP-адрес, запомните его (!).

Рис. 4. Информация о сети в командной строке

Как видим, в нашем примере IP-адрес 192.168.1.88.

Теперь следует включить возможность доступа к компьютеру с помощью инструмента для удаленного управления. Для этого сделайте следующее:
- в меню «Пуск» откройте «Панель управления»;
- нажмите на раздел «Система и безопасность»;

Рис. 5. Раздел «Система и безопасность» в панели управления

в следующем окне нажмите на подраздел «Система»;

Рис. 6. Подраздел «Система»

в меню слева выберете «Дополнительные параметры системы»;
в открывшемся окне перейдите на вкладку «Удаленный доступ»;
поставьте отметки напротив пунктов, выделенных на рисунке 7 цифрами 1 и 2;
закройте все окна, а перед этим нажмите «Применить».

Рис. 7. Разрешение удаленного управления в разделе «Система»

Теперь вы можете совершенно спокойно подключаться к данному компьютеру. Эта операция тоже совсем несложная. Выполняется она в следующей последовательности:

Зайдите в меню «Пуск», выберете там список всех программ, затем раздел «Стандартные» и нажмите на инструмент под названием «Подключение к удаленному рабочему столу». Найти его будет несложно.

Рис. 8. Инструмент для подключения к удаленному рабочему столу в меню «Пуск»

Дальше в следующее окно нужно ввести тот IP-адрес, который мы определили на одном из предыдущих этапов. Напомним, что в нашем примере это 168.1.88. Этот адрес и нужно вводить в это самое окно. Когда это сделано, переходите к следующему шагу, но кнопку «Подключить» пока что не нажимайте. Вместо этого нажмите на надпись «Параметры», которая находится немного ниже и левее от поля ввода адреса.

Рис. 9. Окно инструмента для подключения к удаленному рабочему

Важно, чтобы вы имели возможность работать не только с папками и файлами, а еще и с устройствами, подключенными к компьютеру, над которым будет осуществляться управление. Поэтому в выпавшем окне перейдите на вкладку «Локальные ресурсы» и поставьте там галочки напротив пунктов «Принтеры» и «Буфер обмена». Вот теперь можно нажимать кнопку «Подключить» и, таким образом, переходить к следующему шагу.

Рис. 10. Параметры подключения к удаленному компьютеру

После этого произойдет подключение к указанному компьютеру по его адресу. Некоторые устанавливают на свои устройства систему учетных записей. В таком случае для подключения придется ввести логин и пароль. Но если на первом этапе описанной выше настройки вы ничего не делали для того, чтобы установить такую вот систему, ничего вводить не нужно.

Все просто! Не правда ли?

Теперь вы знаете, как использовать самый простой вариант RDP и совершенно спокойно можете установить удаленное подключение. Если у вас при этом возникнут какие-то вопросы или сложности, пишите об этом в комментариях ниже. Мы обязательно ответим.

Наверняка, многие из вас уже слышали и видели эту аббревиатуру - дословно переводится она, как Протокол удалённого рабочего стола (Remote Desktop Protocol) . Если кого-то интересуют технические тонкости работы этого протокола прикладного уровня - могут почитать литературу, начиная с той же самой википедии. Мы же рассмотрим чисто практические аспекты. А именно тот, что данный протокол позволяет удалённо подключаться к компьютерам, под управлением Windows различных версий с использованием встроенного в Windows инструмента «Подключение к удалённому рабочему столу».

Какие плюсы и минусы в использовании протокола RDP?

Начнём с приятного - с плюсов. Плюс состоит в том, что этот инструмент, который правильней называть Клиентом RDP , доступен любому пользователю Windows как на компьютере, с которого предстоит управлять удалённым, так и тому, кто хочет к своему компьютеру удалённый доступ открыть.

Через подключение к удалённому рабочему столу возможно не только видеть удалённый рабочий стол и пользоваться ресурсами удалённого компьютера, так и подключать к нему локальные диски, принтеры, смарткарты и т.п. Конечно, если вы захотите посмотреть видео или послушать музыку через RDP - вряд ли этот процесс доставит вам удовольствие, т.к. в большинстве случаев вы увидите слайд шоу, и звук скорей всего будет прерываться. Но, не под эти задачи разрабатывалась служба RDP.

Ещё одним несомненным плюсом является то, что подключение к компьютеру осуществляется безо всяких дополнительных программок, которые в большинстве своём платные, хотя и имеют свои достоинства. Время доступа к RDP-серверу (которым и является ваш удалённый компьютер) ограничивается лишь вашим желанием.

Минусов всего два. Один существенный, другой - не очень. Первый и существенный - для работы с RDP компьютер, к которому осуществляется подключение, должен иметь белый (внешний) IP, либо на этот компьютер должна быть возможность «пробросить» порт с маршрутизатора, который опять же должен иметь внешний IP. Статическим он будет или динамическим - значения не имеет, но он должен быть.

Второй минус - не такой существенный - последние версии клиента перестали поддерживать 16-цветную цветовую схему. Минимум - 15бит. Это сильно замедляет работу по RDP, когда вы подключаетесь по чахлому-дохлому интернету со скоростью, не превышающей 64 килобита в секунду.

Для чего можно использовать удалённый доступ по RDP?

Организации, как правило, используют RDP-сервера для совместной работы в программе 1С. А некоторые, даже, разворачивают на них рабочие места пользователей. Таким образом, пользователь, особенно, если у него разъездная работа, может при наличии 3G интернета или отельного/кафешного Wi-Fi - подключаться к своему рабочему месту удалённо и решать все вопросы.

В некоторых случаях домашние пользователи могут использовать удалённый доступ к своему домашнему компьютеру, чтобы получить какие-то данные с домашних ресурсов. В принципе, служба удалённого рабочего стола позволяет полноценно работать с текстовыми, инженерными и графическими приложениями. С обработкой видео и звука по вышеприведённым причинам - работать не получится, но всё равно - это очень существенный плюс. А ещё можно на работе просматривать закрытые политикой компании ресурсы, подключившись к домашнему компьютеру безо всяких анонимайзеров, vpn и прочей нечисти.

Подготавливаем интернет

В предыдущем разделе мы говорили о том, что для обеспечения возможности удалённого доступа по протоколу RDP нам необходим внешний IP-адрес. Этот сервис может обеспечить провайдер, поэтому звоним или пишем, или заходим в личный кабинет и организовываем предоставление этого адреса. В идеале он должен быть статический, но и с динамическим, в принципе, можно жить.

Если кому-то не понятна терминология, то статический адрес - это постоянный, а динамический - время от времени меняется. Для того, чтобы полноценно работать с динамическими IP-адресами придумали различные сервисы, которые обеспечивают привязку динамического домена. Что и как, скоро будет статья на эту тему.

Подготавливаем роутер

Если ваш компьютер подключен не напрямую к провайдерскому проводу к интернету, а через роутер - с этим устройством нам придётся тоже совершить некоторые манипуляции. А именно - пробросить порт сервиса - 3389 . В противном случае NAT вашего роутера попросту не будет пускать вас внутрь домашней сети. Тоже относится к настройке RDP-сервера в организации. Если вы не знаете, как пробросить порт - читайте статью про то, Как пробросить порты на маршрутизаторе (откроется в новой вкладке), потом возвращайтесь сюда.

Подготавливаем компьютер

Для того, чтобы создать возможность удалённого подключения к компьютеру, необходимо сделать ровно две вещи:

Разрешить подключение в Свойствах Системы;
- задать пароль для текущего пользователя (если он не имеет пароля), либо создать нового пользователя с паролем специально для подключения по RDP.

Как поступать с пользователем - решайте сами. Однако, имейте ввиду, что штатно не серверные операционные системы не поддерживают множественный вход. Т.е. если вы залогинились под собой локально (консольно), а потом зайдёте под тем же пользователем удалённо - локальный экран заблокируется и сеанс на том же самом месте откроется в окне Подключения к удалённому рабочему столу. Введёте пароль локально, не выйдя из RDP - вас выкинет из удалённого доступа, и вы увидите текущий экран на своём локальном мониторе. Тоже самое вас ждёт, если вы зайдёте консольно под одним пользователем, а удалённо попытаетесь зайти под другим. В этом случае система предложит завершить сеанс локального пользователя, что не всегда может быть удобно.

Итак, заходим в Пуск , щёлкаем правой кнопкой по меню Компьютер и нажимаем Свойства .

В свойствах Системы выбираем Дополнительные параметры системы

В открывшемся окне переходим на вкладку Удалённый доступ …

…нажимаем Дополнительно …

И ставим единственную галку на этой странице.

Это «домашняя» версия Windows 7 - у кого Pro и выше, будет больше флажков и возможно сделать разграничение доступа.

Нажимаем ОК везде.

Теперь, вы можете зайти в Подключение к удалённому рабочему столу (Пуск>Все программы>Стандартные), вбить туда IP-адрес компьютера, либо имя, если хотите подключиться к нему из своей домашней сети и пользоваться всеми ресурсами.

Вот так. В принципе, всё просто. Если вдруг будут какие-то вопросы или что-то останется непонятным - добро пожаловать в комментарии.

Многие пользователи очень часто сталкиваются с таким понятием, как RDP-клиент, хотя иногда до конца четко себе не представляют, что это за программы и для чего они нужны. Рассмотрим, что такое RDP-клиент (Windows XP и 7 возьмем в качестве действующей среды операционной системы). В заключение будет представлен список альтернативных приложений.

RDP-клиенты: что это и зачем они нужны

Чтобы определиться с пониманием сути таких программ, нужно просто расшифровать сокращение RDP. По сути, это специальный протокол , позволяющий подключаться к удаленному «Рабочему столу» с любого другого терминала или с мобильного устройства.

Впрочем, говорить только о доступе исключительно к «Рабочему столу» несколько неправильно. Практически любая программа такого типа, будь то RDP-клиент Windows XP, 7 и выше, позволяет получить доступ ко всем функциям и настройкам системы, а также к информации, хранящейся на И производить управление абсолютно всеми доступными параметрами можно с удаленного терминала, смартфона или планшета. Что касается настроек, они очень похожи (если используется, например, «родной» RDP-клиент для Windows 7 или же программный продукт стороннего разработчика).

Предварительное обновление для Windows XP

С настройкой приложений этого типа обычно проблем не возникает, поскольку все процессы максимально автоматизированы. Однако на некоторые нюансы обратить внимание все-таки нужно.

В Windows XP даже при установленном апдейте SP3 предусмотрена версия клиента 6.1. Установить клиент RDP 7.0 можно только в ручном режиме. К сожалению, при загрузке обновления с официального сайта Microsoft часто возникают проблемы, поэтому можно скачать обновление из другого источника. В данном случае имеется в виду пакет обновлений KB969084 (85) с учетом

После загрузки файла, который представлен в исполняемом варианте (EXE), просто запускаем его и ждем окончания процесса обновления. По завершении инсталляции компьютер или ноутбук в обязательном порядке нужно перезагрузить. Версия 7.0 в Windows XP позволит получить удаленный доступ даже к терминалам с десятой версией системы на борту.

Встроенный RDP-клиент для Windows 7: начальная настройка системы

В «семерке» тоже есть собственная программа удаленного доступа. Однако если в XP RDP-клиент можно обновить до версии 7.0, здесь изначально по умолчанию используется модификация 7.1, которая представлена в виде специальной утилиты MsTsc.exe.

Но перед началом настройки следует зайти в «Панель управления» и выбрать раздел «Система». Также доступ может осуществляться через меню свойств компьютера при клике на значке, находящемся на «Рабочем столе».

В левой части имеется раздел настройки удаленного доступа, в котором на соответствующей вкладке нужно поставить галочки напротив строк разрешения данной операции и подключения Дополнительно можно выбрать пользователей, на которых будут распространяться данные правила.

Общие правила настройки

Любой RDP-клиент для Windows можно вызвать стандартной командой mstsc, вводимой в полке консоли «Выполнить» (Win + R).

В окне подключения нужно ввести искомый IP-адрес сервера или терминала, с которым будет осуществляться сеанс связи. После этого система предложит ввести свои учетные данные, а затем произойдет переадресация на удаленный «Рабочий стол».

Для изменения настроек следует развернуть отображение всех параметров при помощи соответствующей кнопки. На вкладке общих настроек можно ввести имя компьютера и установить разрешение для сохранения текущих параметров. Так же просто на соответствующей вкладке настраивается яркость экрана и другие характеристики, с ним связанные. В локальных процессах производится регулировка качества звука, разрешение на использование сочетания клавиш и осуществляется выбор устройств, которые хотелось бы задействовать при подключении (принтеры, факсы и т. д.). На вкладке программ можно выбрать определенное приложение, которое будет запускаться автоматически при установке удаленного доступа. В разделе взаимодействия можно установить собственные параметры скорости соединения. Наконец, в дополнительных настройках можно выставить параметры проверки подлинности сервера.

Изменение параметров ограничения скорости соединения

Но это еще не все. Дело в том, что встроенные RDP-клиенты могут существенно ограничивать скорость доступа к удаленным терминалам (устанавливается лимит скорости обновления).

Изменить настройки можно в редакторе системного реестра, который вызывается командой regedit в меню «Выполнить». Здесь нужно выбрать ветку HKCU и в разделе SOFTWARE найти параметр MinSendInterval. Его значение по умолчанию установлено на 120 мс, но лучше изменить его и поставить 5-10 мс.

Попутно можно поменять значение объема кэша и параметры «пин-коннектора», но лучше их не трогать. А вот для ключа OrderDrawThreshold лучше выставить значение на уровне 1 мс.

Нужно ли менять порт?

Практически все известные RDP-клиенты для корректной работы используют порт 3389. Если по каким-либо причинам он не работает, для начала следует изменить настройки файрволла и создать для порта новое правило и ввести значение порта для протокола TCP.

В некоторых случаях может потребоваться на роутере, где аналогично брэндмауэру создается новое правило с указанием в качестве пробрасываемого порта значения 3389. Для правильной настройки желательно почитать документацию к маршрутизатору.

Альтернативные программы

Далеко не все пользователи согласны, что «родные» RDP-клиенты для Windows являются оптимальным решением для осуществления удаленного доступа. Сегодня таких программ выпускается очень много. Например, очень удобным считается клиент от корпорации Google.

Единственная загвоздка в том, что для его корректной работы необходимо иметь в системе установленную последнюю версию браузера Google Chrome. Зато в настройках он намного проще, а удобство использования выглядит получше, чем у стандартных утилит Windows.

Настроек здесь минимум, но главное условие предоставления доступа состоит в том, чтобы использовать собственную учетную запись сервисов Google. Для владельцев мобильных девайсов с ОС Android на борту это вообще проблемой не является. Зато в итоге управлять компьютером или ноутбуком можно даже с самого простенького смартфона.

Среди остальных утилит стоит отметить следующие:

FreeRDP.
Remmina.
Rdesktop и др.

Заключение

Что именно использовать, советовать сложно, ведь каждая программа имеет свои плюсы и минусы. Однако если провести некое сравнение, можно сделать вывод: нет ничего проще, нежели работать с собственными средствами Windows или установить Chrome Remote Desktop от Google. Но в любом случае предварительную настройку по разрешению или на первой стадии выполнить придется.

Данная статья открывает цикл статей, посвященных устройству и безопасности протокола RDP. В первой статье этого цикла анализируется устройство, использование и основные технологии, заложенные в данный протокол.

В следующих статьях будут подробно рассмотрены следующие вопросы:

Работа подсистемы безопасности Remote Desktop
Формат обмена служебной информацией в RDP
Уязвимые места сервера терминалов и пути их устранения
Подбор учетных записей пользователей по RDP протоколу (разработки компании Positive Technologies в данной области)

История появления RDP

Протокол Remote Desktop создан компанией Microsoft для обеспечения удаленного доступа к серверам и рабочим станциям Windows. Протокол RDP рассчитан на использование ресурсов высокопроизводительного сервера терминалов многими менее производительными рабочими станциями. Впервые сервер терминалов (версия 4.0) появился в 1998 году в составе Windows NT 4.0 Terminal Server, на момент написания статьи (январь 2009 года) последней версией терминального сервера является версия 6.1, включенная в дистрибутивы Windows 2008 Server и Windows Vista SP1. В настоящее время RDP является основным протоколом удаленного доступа для систем семейства Windows, а клиентские приложения существуют как для OC от Microsoft, так и для Linux, FreeBSD, MAC OS X и др.

Говоря об истории появления RDP, нельзя не упомянуть компанию Citrix. Citrix Systems в 1990-х годах специализировалась на многопользовательских системах и технологиях удаленного доступа. После приобретения лицензии на исходные коды Windows NT 3.51 в 1995 году эта компания выпустила многопользовательскую версию Windows NT, известную как WinFrame. В 1997 году Citrix Systems и Microsoft заключили договор, по которому многопользовательская среда Windows NT 4.0 базировалась на технологических разработках Citrix. В свою очередь Citrix Systems отказалась от распространения полноценной операционной системы и получала право на разработку и реализацию расширений для продуктов Microsoft. Данные расширения изначально назывались MetaFrame. Права на ICA (Independent Computing Architecture), прикладной протокол взаимодействия тонких клиентов с сервером приложений Citrix, остались за Citrix Systems, а протокол Microsoft RDP строился на базе ITU T.120.

В настоящее время основная конкурентная борьба между Citrix и Microsoft разгорелась в области серверов приложений для малого и среднего бизнеса. Традиционно решения на базе Terminal Services выигрывают в системах с не очень большим количеством однотипных серверов и схожих конфигураций, в то время как Citrix Systems прочно обосновалась на рынке сложных и высокопроизводительных систем. Конкуренция подогревается выпуском облегченных решений для небольших систем компанией Citrix и постоянным расширением функционала Terminal Services со стороны Microsoft.

Рассмотрим преимущества этих решений.

Сильные стороны Terminal Services:

Простота установки приложений для клиентской части сервера приложений
Централизованное обслуживание сессий пользователя
Необходимость наличия лицензии только на Terminal Services

Сильные стороны решений Citrix:

Простота масштабирования
Удобство администрирования и мониторинга
Политика разграничение доступа
Поддержка корпоративных продуктов сторонних разработчиков (IBM WebSphere, BEA WebLogic)

Устройство сети, использующей Terminal Services

Microsoft предполагает два режима использования протокола RDP:

для администрирования (Remote administration mode)
для доступа к серверу приложений (Terminal Server mode)

RDP в режиме администрирования

Данный вид соединения используется всеми современными операционными системами Microsoft. Серверные версии Windows поддерживают одновременно два удаленных подключения и один локальный вход в систему, в то время как клиентские - только один вход (локальный или удаленный). Для разрешения удаленных подключений требуется включить удаленный доступ к рабочему столу в свойствах рабочей станции.

RDP в режиме доступа к серверу терминалов

Данный режим доступен только в серверных версиях Windows. Количество удаленных подключений в данном случае не лимитируется, но требуется настройка сервера лицензий (License server) и его последующая активация. Сервер лицензий может быть установлен как на сервер терминалов, так и на отдельный сетевой узел. Возможность удаленного доступа к серверу терминалов открывается только после установки соответствующих лицензий на License server.

При использовании кластера терминальных серверов и балансировки нагрузки требуется установка специализированного сервера подключений (Session Directory Service). Данный сервер индексирует пользовательские сессии, что позволяет выполнять вход, а также повторный вход на терминальные серверы, работающие в распределенной среде.

Принцип работы RDP

Remote Desktop является прикладным протоколом, базирующимся на TCP. После установки соединения на транспортном уровне инициализируется RDP- сессия, в рамках которой согласуются различные параметры передачи данных. После успешного завершения фазы инициализации сервер терминалов начинает передавать клиенту графический вывод и ожидает входные данные от клавиатуры и мыши. В качестве графического вывода может выступать как точная копия графического экрана, передаваемая как изображение, так и команды на отрисовку графических примитивов (прямоугольник, линия, эллипс, текст и др.). Передача вывода с помощью примитивов является приоритетной для протокола RDP, так как значительно экономит трафик; а изображение передается лишь в том случае, если иное невозможно по каким-либо причинам (не удалось согласовать параметры передачи примитивов при установке RDP -сессии). RDP- клиент обрабатывает полученные команды и выводит изображения с помощью своей графической подсистемы. Пользовательский ввод по умолчанию передается при помощи скан-кодов клавиатуры. Сигнал нажатия и отпускания клавиши передается отдельно при помощи специального флага.

RDP поддерживает несколько виртуальных каналов в рамках одного соединения, которые могут использоваться для обеспечения дополнительного функционала:

использование принтера или последовательного порта
перенаправление файловой системы
поддержка работы с буфером обмена
использование аудио- подсистемы

Характеристики виртуальных каналов согласуются на этапе установки соединения.

Обеспечение безопасности при использовании RDP

Спецификация протокола RDP предусматривает использование одного из двух подходов к обеспечению безопасности:

Standard RDP Security (встроенная подсистема безопасности)
Enhanced RDP Security (внешняя подсистема безопасности)

Standard RDP Security

При данном подходе аутентификация, шифрование и обеспечение целостности реализуется средствами, заложенными в RDP- протокол.

Аутентификация

Аутентификация сервера выполняется следующим образом:

При старте системы генерируется пара RSA- ключей
Создается сертификат (Proprietary Certificate) открытого ключа
Сертификат подписывается RSA- ключом, зашитым в операционную систему (любой RDP -клиент содержит открытый ключ данного встроенного RSA- ключа).
Клиент подключается к серверу терминалов и получает Proprietary Certificate
Клиент проверяет сертификат и получает открытый ключ сервера (данный ключ используется в дальнейшем для согласования параметров шифрования)

Аутентификация клиента проводится при вводе имени пользователя и пароля.

Шифрование

В качестве алгоритма шифрования выбран потоковый шифр RC4. В зависимости от версии операционной системы доступны различные длины ключа от 40 до 168 бит.

Максимальная длина ключа для операционных систем Winodws:

Windows 2000 Server – 56 бит
Windows XP, Windows 2003 Server – 128 бит
Windows Vista, Windows 2008 Server – 168 бит

При установке соединения после согласования длины генерируется два различных ключа: для шифрования данных от клиента и от сервера.

Целостность

Целостность сообщения достигается применением алгоритма генерации MAC (Message Authentication Code) на базе алгоритмов MD5 и SHA1.

Начиная с Windows 2003 Server, для обеспечения совместимости с требованиями стандарта FIPS (Federal Information Processing Standard) 140-1 возможно использование алгоритма 3DES для шифрования сообщений и алгоритма генерации MAC, использующего только SHA1, для обеспечения целостности.

Enhanced RDP Security

В данном подходе используются внешние модули обеспечения безопасности:

TLS 1.0
CredSSP

Протокол TLS можно использовать, начиная с версии Windows 2003 Server, но только если его поддерживает RDP- клиент. Поддержка TLS добавлена, начиная с RDP -клиента версии 6.0.

При использовании TLS сертификат сервера можно генерировать средствами Terminal Sercives или выбирать существующий сертификат из хранилища Windows.

Протокол CredSSP представляет собой совмещение функционала TLS, Kerberos и NTLM.

Рассмотрим основные достоинства протокола CredSSP:

Проверка разрешения на вход в удаленную систему до установки полноценного RDP- соединения, что позволяет экономить ресурсы сервера терминалов при большом количестве подключений
Надежная аутентификация и шифрование по протоколу TLS
Использование однократного входа в систему (Single Sign On) при помощи Kerberos или NTLM

Возможности CredSSP можно использовать только в операционных системах Windows Vista и Windows 2008 Server. Данный протокол включается флагом Use Network Level Authentication в настройках сервера терминалов (Windows 2008 Server) или в настройках удаленного доступа (Windows Vista).

Схема лицензирования Terminal Services

При использовании RDP для доступа к приложениям в режиме тонкого клиента требуется настройка специализированного сервера лицензий.

Постоянные клиентские лицензии могут быть установлены на сервер только после прохождения процедуры активации, до ее прохождения возможна выдача временных лицензий, лимитированных по сроку действия. После прохождения активации серверу лицензий предоставляется цифровой сертификат, подтверждающий его принадлежность и подлинность. Используя этот сертификат, сервер лицензий может осуществлять последующие транзакции с базой данных Microsoft Clearinghouse и принимать постоянные клиентские лицензии для сервера терминалов.

Виды клиентских лицензий:

временная лицензия (Temporary Terminal Server CAL)
лицензия «на устройство» (Device Terminal Server CAL)
лицензия «на пользователя» (User Terminal Server CAL)
лицензия для внешних пользователей (External Terminal Server Connector)

Временная лицензия

Данный вид лицензии выдается клиенту при первом подключении к серверу терминалов, срок действия лицензии 90 дней. При успешном входе клиент продолжает работать с временной лицензией, а при следующем подключении сервер терминалов пробует заменить временную лицензию постоянной, при ее наличии в хранилище.

Лицензия «на устройство»

Эта лицензия выдается для каждого физического устройства, подключающегося к серверу приложения. Срок действия лицензии устанавливается случайным образом в промежутке от 52 до 89 дней. За 7 дней до окончания срока действия сервер терминалов пытается обновить лицензию с сервера лицензий при каждом новом подключении клиента.

Лицензия «на пользователя»

Лицензирование «на пользователя» обеспечивает дополнительную гибкость, позволяя пользователям подключаться с различных устройств. В текущей реализации Terminal Services нет средств контроля использования пользовательские лицензий, т.е. количество доступных лицензий на сервере лицензий не уменьшается при подключении новых пользователей. Использование недостаточного количества лицензий для клиентских подключений нарушает лицензионное соглашение с компанией Microsoft. Чтобы одновременно использовать на одном сервере терминалов клиентские лицензии для устройств и для пользователей, сервер должен быть настроен для работы в режиме лицензирования «на пользователя».

Лицензия для внешних пользователей

Это специальный вид лицензии, предназначенный для подключения внешних пользователей к корпоративному серверу терминалов. Данная лицензия не налагает ограничений на количество подключений, однако, согласно пользовательскому соглашению (EULA), сервер терминалов для внешних подключений должен быть выделенным, что не допускает его использования для обслуживания сессий от корпоративных пользователей. Из-за высокой цены данный вид лицензии не получил широкого распространения.

Для сервера лицензий может быть установлена одна из двух ролей:

Сервер лицензий для домена или рабочей группы (Domain or Workgroup License server)
Сервер лицензий предприятия (Entire Enterprise License Server)

Роли отличаются способом обнаружения сервера лицензий: при использовании роли Enterprise терминальный сервер выполняет поиск сервера лицензии по каталогу ActiveDirectory, в противном случае поиск выполняется при помощи широковещательного NetBIOS- запроса. Каждый найденный сервер проверяется на корректность при помощи RPC -запроса.

Перспективные технологии Terminal Services

Решения для серверов приложений активно продвигаются компанией Microsoft, расширяется функционал, вводятся дополнительные модули. Наибольшее развитие получили технологии, упрощающие установку приложений и компоненты, отвечающие за работу сервера терминалов в глобальных сетях.

В Terminal Services для Windows 2008 Server введены следующие возможности.

Распространённая задача: настроить удалённый доступ к компьютеру, который подключён к Интернету через роутер.

Решение: сделать перенаправление порта на роутере. Перенаправление порта ещё называют публикацией порта или пробросом порта . В английской терминологии используются термины Port Forwarding и Port Publishing .

Что такое проброс порта

Перенаправление порта — это сопоставление определённого внешнего порта шлюза (роутера, модема) с нужным портом целевого устройства в локальной сети (сервера, рабочей станции, сетевого хранилища, камеры, регистратора и т.п.)

А вот какой порт пробрасывать, зависит от того, каким способом вы хотите получать доступ к компьютеру.

Как настроить удалённый доступ через RDP (удалённый рабочий стол, терминал)

Подключения по протоколу RDP осуществляются на порт целевого 3389 компьютера. Что нужно сделать:

Шаг 1 Разрешить входящие RDP подключения на компьютере

Внимание! Осуществлять ВХОДЯЩИЕ подключение через Удалённый рабочий стол возможно к следующим редакциям ОС Windows:
Windows XP Professional;
Windows 7/8.1 Professional;
Windows 7/8.1 Ultimate;
Windows 7/8.1 Corporate.

В Windows XP Starter, Home Edition, в Windows Vista/7/8/8.1 Starter, Home Basic, Home Premium возможность входящих подключений отсутствует.

Для этого открываем Свойства системы (WIN+Break), нажимаем на ссылку Дополнительные параметры системы:

Переходим на вкладку Удалённый доступ , ставим переключатель в положение Разрешать подключения к этому компьютеру , снимаем галку Разрешать подключения только с компьютеров, на которых работает удалённый рабочий стол с проверкой подлинности на уровне сети (рекомендуется) и нажимаем ОК для применения настройки:

Шаг 2 Создать на компьютере учётную запись, под которой будет подключаться пользователь удалённого рабочего стола.

Требование №1. Эта учётная запись обязательно должна иметь пароль . Согласно настроек по умолчанию локальной политики безопасности, учётным записям без пароля подключение по RDP запрещено. Разрешать удалённый доступ незапароленным учётным записям в политиках безопасности не рекомендуется. Это создаст угрозу несанкционированного доступа со стороны злоумышленников.

Требование №2. Если пользователь НЕ является администратором на локальном компьютере, его необходимо добавить в группу . Это можно сделать двумя способами.

Как разрешить пользователю без административных привилегий подключаться к удалённому рабочему столу

Способ первый.

Нажмите правой кнопкой по системному ярлыку Этот компьютер и выберите Управление :

В окне Управление компьютером выберите Локальные пользователи и группы => Пользователи :

В списке найдите нужного пользователя и двойным щелчком вызовите его свойства:

Перейдите на вкладку Членство в группах и нажмите кнопку Добавить :

Нажмите кнопку Дополнительно :

Затем, кнопку Поиск :

Выделите в списке группу Пользователи удалённого рабочего стола и нажмите OK :

В окнах Выбор группы и Свойства: <пользователь> нажмите OK:

Способ второй.

Вызовите свойства системы (Win+Break) , нажмите Дополнительные параметры:

Зайдите на вкладку Удалённый доступ и нажимаем кнопку Выбрать пользователей :

Нажмите кнопку Добавить :

Нажмите Дополнительно :

и Поиск :

В списке выберите учётную запись пользователя, которому хотите предоставить права для удалённого доступа, и нажмите OK :

Теперь нажмите OK в двух следующих окнах:

Шаг 3 Создать на роутере правило проброса, согласно которому при запросе на заданный порт подключение будет перенаправляться на порт 3389 нужного компьютера.

В роутерах D-Link нужный раздел может называться Virtual Server , как в D-Link DIR-615:

Также, он может называться Port Forwarding , как, например, в DIR-300:

Суть одна и та же:

Даём произвольное имя правилу;
Открываем НЕстандартный порт на роутере, который не занят (поле Public Port );
Указываем IP-адрес целевого компьютера в сети, куда должен попадать удалённый пользователь (поле IP-Address );
Указываем номер порта, через который работает приложение или служба на компьютере. В нашем случае, для службы сервера удалённых рабочий столов это порт 3389 (поле Private Port ).

Если ваш провайдер выдаёт вашему роутеру динамический адрес, вам удобно воспользоваться службой Dynamic DNS. У компании D-Link есть свой сервис, где можно бесплатно зарегистрировать Интернет-адрес (т.е. домен) и настроить доступ к вашему роутеру и локальной сети через него.

Для настройки Dynamic DNS зайдите в раздел MAINTENANCE , выберите подраздел DDNS Settings и нажмите на ссылку Sign up … для перехода на сайт и регистрации домена. Затем настройте синхронизацию домена с IP-адресом роутера в области DYNAMIC DNS SETTINGS и сохраните настройки кнопкой Save Settings :