** Remote Guard — инструмент предотвращает отправку учетных данных на удаленный компьютер. В отличие от Ограниченного администрирования, он поддерживает вход в систему с удаленного компьютера (все запросы перенаправляются обратно на машину).
HackWare.ru
Это первая часть подробного пошагового руководства по использованию RDP (Remote Desktop).
В этих уроках вы узнаете:
- для чего нужен RDP
- как включить RDP на Windows
- как подключиться к компьютеру по RDP
- как запустить сервер RDP на Linux
- как подключиться к компьютеру по RDP из Linux
- как проверить безопасность RDP протокола и какие программы существуют для обнаружения служб RDP, сканирования, брут-форса и взлома RDP
Что такое RDP
Удаленный рабочий стол позволяет вам подключаться к другому компьютеру, просматривать его экран, запускать на нем программы и работать на нем так, как будто вы сидите прямо перед ним.
Протокол удаленного рабочего стола (RDP) — это собственный протокол Microsoft, который предоставляет графический интерфейс для подключения пользователя к другому компьютеру через сетевое соединение. Для этого пользователь запускает программное обеспечение клиента RDP, а на другом компьютере должно быть запущено программное обеспечение сервера RDP.
Клиенты RDP доступны для большинства версий Microsoft Windows (включая Windows Mobile), Linux, Unix, macOS, iOS, Android и других операционных систем. Серверы RDP встроены в операционные системы Windows; существует также сервер RDP для Unix и OS X. По умолчанию сервер прослушивает TCP-порт 3389 и UDP-порт 3389.
Теперь Microsoft называет официальное клиентское программное обеспечение RDP Remote Desktop Connection, ранее Terminal Services Client.
Файл клиента называется mstsc.exe .
Как включить удалённый рабочий стол RDP
Клиент и сервер являются стандартными во всех версиях Windows. Для работы клиента не требуется никакой дополнительной настройки.
Что касается сервера, то он может быть отключен и/или доступ к порту RDP может быть заблокирован брандмауэром.
Как включить удалённый рабочий стол на Windows 10 и Windows 11 с помощью SystemPropertiesRemote
Это универсальный способ включения RDP на большинстве систем Windows.
Нажмите Win+r и введите:
SystemPropertiesRemote .
В появившемся окне выберите «Разрешить удаленные подключения к этому компьютеру»:
При необходимости добавьте пользователей, которые могут подключаться удаленно, нажав на кнопку «Выбрать пользователей». Нажмите на «Выбрать удаленный доступ», чтобы выбрать «Выбрать удаленный доступ»:
Чтобы правильно добавить пользователя, введите его имя:
И нажмите на кнопку «Проверить имена»:
Команду SystemPropertiesRemote можно также запустить из командной строки или PowerShell.
Как включить удалённый рабочий стол на Windows 11 в графическом интерфейсе
Откройте «Настройки», нажав Win+i .
На вкладке «Система» прокрутите список элементов вниз.
Найдите «Удаленный рабочий стол» и нажмите на него.
На вкладке «Удаленный рабочий стол» активируйте соответствующий ползунок.
Подтвердите выбранное действие:
Вы также можете выбрать пользователей, которые могут подключаться к компьютеру удаленно.
Как включить удалённый рабочий стол на Windows 10 в графическом интерфейсе
На машине, с которой вы хотите подключиться, откройте меню Пуск и щелкните значок Настройки :
Выберите систему:
На вкладке Удаленный рабочий стол выберите соответствующий ползунок. Вы также можете выбрать пользователей, которые могут подключаться к компьютеру удаленно.
Подтвердите выбранное действие:
Настройки можно активировать по желанию:
- Оставлять мой компьютер в режиме бодрствования для соединения, когда он подключён к электросети
- Сделать мой компьютер обнаруживаемым в частных сетях для активации подключения с удалённым доступом
Что такое RDP протокол
Terminal Server мир увидел сам, еще в 1998 году на операционной системе Windows NT 4.0 Terminal Server, я честно говоря не знал тогда что это такое, а в России в то время мы все играли в Денди или Сегу. Клиенты подключения RDP доступны сегодня для всех версий Windows, Linux, macOS и Android. В настоящее время последняя версия протокола RDP — 8.1.
Порт rdp по умолчанию
Я напишу, что порт rdp по умолчанию — 3389, думаю, все системные администраторы это знают.
Принцип работы протокола rdp
Теперь, когда мы знаем, что такое протокол удаленного рабочего стола, полезно понять, как он работает. Microsoft определяет две функции протокола RDP:
- Remote administration mode>для администрирования, вы попадаете на удаленный сервер и настраиваете и администрируете его
- Terminal Server mode>для доступа к серверу приложений, Remote App или совместное использование его для работы.
Если вы устанавливаете Windows Server 2008 R2 — 2016 без терминального сервера, по умолчанию он имеет две лицензии, и два пользователя могут подключаться к нему одновременно, в то время как третий должен подвозить кого-то на работу. В клиентских версиях Windows существует только одна лицензия, но и это можно обойти. Я рассказал об этом в своей статье о сервере терминалов Windows 7. Функция удаленного управления также может быть кластеризована и сбалансирована по нагрузке благодаря технологии NLB и серверу подключения Session Directory Service, который используется для индексации пользовательских сессий и позволяет пользователю подключаться к удаленному серверу терминалов в распределенной среде. Сервер лицензирования также является обязательным компонентом.
Протокол RDP работает через TCP-соединение и является прикладным протоколом. Когда клиент подключается к серверу, на транспортном уровне устанавливается сеанс RDP, где согласовываются методы связи и шифрования. Когда все переговоры завершены и инициализация закончена, сервер терминалов передает графический вывод клиенту и ожидает ввода данных с клавиатуры и мыши.
Протокол удаленного рабочего стола поддерживает несколько виртуальных каналов на одном соединении, что позволяет использовать дополнительные функции.
- Передать на сервер свой принтер или COM порт
- Перенаправить на сервер свои локальные диски
- Буфер обмена
- Аудио и видео
Этапы RDP соединения
- Установка соединения
- Согласование параметров шифрования
- Аутентификация серверов
- Согласование параметров RDP сессии
- Аутентификация клиента
- Данные RDP сессии
- Разрыв RDP сессии
Безопасность в RDP протоколе
Протокол Remote Desktop Protocol имеет два метода аутентификации: Standard RDP Security и Enhanced RDP Security, оба из которых более подробно описаны ниже.
Изменить порт rdp
Чтобы изменить порт rdp, необходимо выполнить следующие действия.
- Открываем редактор реестра (Пуск ->Выполнить ->regedit.exe)
- Переходим к следующему разделу:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Найдите ключ PortNumber и измените его значение на нужный номер порта.
Убедитесь, что это десятичное число, и используйте для примера порт 12345.
Затем перезапустите службу Remote Desktop Service из командной строки с помощью следующих команд:
Не забудьте открыть порт RDP в брандмауэре Windows после его изменения. Поэтому нажмите WIN+R и введите firewall.cpl в окне запуска.
Затем перейдите в раздел «Дополнительные настройки
Создайте новое входящее правило для нового порта rdp. Помните, что порт rdp по умолчанию — 3389.
Установите правило для порта.
Оставьте протокол на TCP и укажите новый номер порта RDP.
Правило разрешает подключение RDP через нестандартный порт.
При необходимости настройте необходимые сетевые профили.
Назовем правило с
Устанавливается соединение с узлом передачи данных.
Режим подключений
Основным методом является передача результатов в виде графических прототипов: Прямоугольники, линии, текст, эллипсы и так далее. Если не удается договориться о параметрах передачи примитивов, клиенту отправляется графическое изображение.
Клиент RDP обрабатывает команды от сервера терминалов и использует собственную графическую подсистему для отображения изображения. Вводимые пользователем данные передаются с помощью скан-кодов. Сигналы нажатия и отпускания клавиши передаются отдельно с помощью специальной маркировки.
Протокол удаленного рабочего стола поддерживает несколько виртуальных каналов в рамках одного сеанса. Это позволяет получить доступ к дополнительным опциям управления. Вы можете использовать принтер или порты, перенаправлять файловую систему, работать с одним буфером и использовать аудиоподсистему для передачи звука.
Принцип работы
RDP так же безопасен, как и другие протоколы удаленного доступа. Однако он должен быть правильно настроен для сохранения конфиденциальности.
-
Учитывая эти уязвимости и другие возможные пути атаки, давайте посмотрим, как можно улучшить безопасность.
Этот параметр включает только шифрование. Теперь вам нужно решить, какой алгоритм использовать.
Теперь соединение защищено 128-битным шифрованием. Если этого недостаточно, можно также использовать стандарт FIPS 140-1.
Последнее, что вам нужно сделать, это установить одинаково высокие требования безопасности для всех клиентов, подключающихся к удаленному серверу.
Безопасность RDP
По умолчанию для портов RDP установлено значение 3389. Оставлять его включенным небезопасно. Вы можете изменить порт с помощью редактора реестра.
- Слабые учетные данные пользователей. Например, часто встречаются одинаковые пароли для локальной работы и удаленного подключения, использование пустых паролей.
- Открытый порт 3389, который используется для подключения по умолчанию.
Теперь, чтобы подключиться к этому компьютеру, вы должны указать порт, отличный от того, который вы указали в реестре, а это не 3389.
Шифрование
- Нажмите сочетание Win+R и запустите файл gpedit.msc .
- Перейдите по пути «Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Службы удаленных рабочих столов» — «Узел сеансов удаленных рабочих столов» — «Безопасность».
- Включите параметр «Требовать использования специального уровня безопасности для удаленных подключений по методу RDP».
- Выберите уровень «SSL».
Кроме того, не обращайтесь к этому порту извне вашей сети. Используйте брандмауэр для его ограничения. В качестве альтернативы, если вам нужно открыть порт за пределами вашей сети, используйте VPN.
- Откройте параметр «Установить уровень шифрования для клиентских подключений».
- Выберите уровень шифрований «Высокий уровень».
Создайте уникальное имя для учетной записи, которую вы будете использовать для подключения к удаленному рабочему столу.
- Перейдите по пути «Конфигурация компьютера» — «Конфигурация Windows» — «Параметры безопасности» — «Локальные политики» — «Параметры безопасности».
- Включите параметр «Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания».
Чтобы переименовать учетную запись:
- Перейдите по пути «Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Службы удаленных рабочих столов» — «Безопасность».
- Включите параметр «Требовать безопасное RPC-подключение».
Смена порта
Клиент RDP — это программа, которую вы запускаете для подключения к удаленному компьютеру. Существуют клиенты RDP для каждой платформы — Windows, Android, iOS, macOS и т.д. С точки зрения безопасности клиент практически не представляет риска, поэтому почти все осложнения связаны с сервером RDP.
- Нажмите Win+R и выполните команду regedit .
- Откройте ветку HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp .
- Найдите PortNumber .
- Нажмите «Редактировать» — «Изменить».
- Выберите пункт «Десятичное».
- Укажите другой порт и нажмите «ОК» для сохранения.
- Закройте редактор реестра и перезагрузите систему.
В Windows клиент называется «Remote Desktop Connection» и запускается через командную строку с помощью «mstsc.exe» (Пуск — Выполнить — mstsc) или Win+R — mstsc.
Под macOS это программа Microsoft Remote Desktop, которая работает достаточно хорошо.
Изменение имени администратора
Когда вы подключаетесь к удаленному компьютеру под управлением Windows 7 или 10 через RDP, работающий там пользователь получает уведомление. Вы не можете работать «тайно» на удаленном компьютере. Либо вы видите экран, подключившись по RDP, либо экран используется обычным пользователем (если нет сервера терминалов). Версии Windows Home и Starter не принимают RDP-соединения.
Чтобы ввести другое значение, выполните следующие действия (относится ко всем версиям Windows, включая Windows Server 2008):
- Нажмите сочетание Win+X и выберите пункт «Управление компьютером».
- Раскройте разделы «Служебные программы» — «Локальные пользователи» — «Пользователи».
- Выберите в списке пользователя «Администратор».
- Кликните правой кнопкой и выберите «Переименовать».
- Укажите любое другое имя.
Клиент RDP
При подключении к удаленному рабочему столу теперь необходимо ввести новое значение после IP-адреса, например, 192.161.11.2:3381, разделенное двоеточием.
Вы также можете использовать PowerShell для внесения необходимых изменений:
Эта ошибка чаще всего возникает при проблемах с DNS-сервером. Клиент не может найти имя указанного сервера.
Чтобы устранить ошибку, необходимо сначала проверить, правильно ли установлен адрес хоста.
Ускорить RDP
В противном случае при возникновении ошибки следует выполнить следующие действия:
Замена старого значения порта новым
- открываете «Пуск». В поисковой строке внизу прописываете « regedit. exe »;
- откроется окошко, где нужно найти корневую директорию: HKEY_LOCAL_MACHINE. Открываете ее и ищете папку System, затем переходите по следующему пути: CurrentControlSet, открываете Control, затем — Terrminal Server и последней будет папка WinStations. Теперь кликаете по папке RDP-Tcp;
- найдите пункт « Port Number ». В правой колонке увидите шестнадцатиричное значение 00000D3D, которое соответствует стандартному RDP порту 3389;
- замените его на тот порт, который следует установить. Не забудьте пометить, что необходимо использовать десятичные числа, выделив необходимый пункт;
- сохраняете проделанные шаги и перезагружаете устройство;
- открываете Пуск, заходите в панель управления;
- находите пункт « Брандмауэр Windows » и в нем «Дополнительные параметры»;
- в открывшемся окне надо вписать правило для нового порта удаленного рабочего стола;
- прописываете новое правило ;
- вводите измененный порт и разрешаете подключение;
- указываете необходимые профили;
- устанавливаете название.
Замена с помощью утилиты PowerShell
- запустите PowerShell от администратора;
- введите директиву: Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\Terminal*Server\WinStations\RDP-TCP\ -Name PortNumber –Value 12345. Последние цифры являются портом на который меняете старый;
- рекомендуется сделать перезагрузку;
- после того, как устройство включится, введите команду «regedit» в меню «Пуск». Пройдите в директорию: HKEY _ LOCAL _ MACHINE, найдите папку CurrentControlSet, затем папку Control, перейдите в Terminal Server и откройте WinStations. Кликните по файлу RDP-Tcp. Тут должно быть установлено новое значение.
- Теперь нужно открыть порт RDP на сетевом экране. Входите в Powershell, вбиваете команду: netsh advfirewall firewall add rule name=»NewRDP» dir=in action=allow protocol=TCP localport= 49089. Цифры должны означать тот порт, на который перебили старый.
Не удалось открыть файл подключений default.rdp
- зайти в « Мои документы »;
- найти файл default.rdp. Если не найдете, поставьте галочку пункте « Параметры папок » для показа скрытых файлов и папок;
- теперь удалите этот файл и попробуйте подключиться повторно.