Как защитить rdp windows 10

Обновлено: 07.07.2024

Представленная в Windows 10 версия 1607 Защитник Windows Remote Credential Guard помогает защитить учетные данные через подключение удаленного рабочего стола, перенаправляя запросы Kerberos обратно на устройство, запрашивающее подключение. Кроме того, в нем предусмотрены одновокая возможность для сеансов удаленного рабочего стола.

Учетные данные администратора имеют высокую привилегию и должны быть защищены. С помощью Защитник Windows remote Credential Guard для подключения во время сеансов удаленного рабочего стола, если целевое устройство скомпрометировано, учетные данные не будут выставлены, так как и производные учетных данных, и производные учетных данных никогда не передаются по сети на целевое устройство.

Сведения о сценариях подключения к удаленному рабочему столу, связанных с поддержкой helpdesk, см. в статье Remote Desktop connections and helpdesk support scenarios in this article.

Сравнение Защитник Windows службы удаленного управления учетными данными с другими вариантами подключения к удаленному рабочему столу

Следующая схема поможет вам понять, как работает стандартный сеанс удаленного рабочего стола на сервере без Защитник Windows удаленной охраны учетных данных:

Подключение RDP к серверу без Защитник Windows удаленного Guard.jpg.

Следующая схема помогает понять, как Защитник Windows remote Credential Guard, от чего он помогает защититься, и сравнивает его с режимом ограниченного администрирования:

Защитник Windows Remote Credential Guard.


Как показано, Защитник Windows Remote Credential Guard блокирует NTLM (разрешает только Kerberos), предотвращает атаки Pass-the-Hash (PtH), а также предотвращает использование учетных данных после отключения.

Используйте следующую таблицу для сравнения различных параметров безопасности подключения к удаленному рабочему столу:

Удаленные подключения к рабочему столу и сценарии поддержки helpdesk

Для сценариев поддержки helpdesk, в которых персоналу требуется административный доступ для предоставления удаленной помощи пользователям компьютеров с помощью сеансов удаленного рабочего стола, корпорация Майкрософт рекомендует не использовать Защитник Windows Remote Credential Guard в этом контексте. Это происходит потому, что если сеанс RDP инициирован в скомпрометированном клиенте, который уже контролирует злоумышленник, злоумышленник может использовать этот открытый канал для создания сеансов от имени пользователя (без ущерба для учетных данных), чтобы получить доступ к любым ресурсам пользователя в течение ограниченного времени (несколько часов) после отключения сеанса.

Поэтому вместо этого рекомендуется использовать режим ограниченного администрирования. Для сценариев поддержки helpdesk подключение RDP должно быть инициировано только с помощью коммутатора /RestrictedAdmin. Это помогает обеспечить, чтобы учетные данные и другие ресурсы пользователей не подвергались воздействию скомпрометированного удаленного хостов. Дополнительные сведения см. в статье Mitigating Pass-the-Hash and Other Credential Theft v2.

Чтобы еще больше укрепить безопасность, мы также рекомендуем внедрить локальное решение паролей администратора (LAPS) — расширение клиентской политики группы (CSE), внедренное в Windows 8.1, которое автоматизирует управление паролями местного администратора. LAPS снижает риск латеральной эскалации и других кибератак, облегчаемого при использовании клиентами одной и той же локальной учетной записи и пароля на всех компьютерах. Вы можете скачать и установить LAPS здесь.

Требования к службе удаленной защиты учетных данных

Чтобы использовать Защитник Windows Remote Credential Guard, клиент удаленного рабочего стола и удаленный хост должны соответствовать следующим требованиям:

Устройство клиента удаленного рабочего стола:

Должна быть запущена Windows 10 версия 1703, чтобы иметь возможность поставлять учетные данные, которые отправляются на удаленное устройство. Это позволяет пользователям работать в качестве разных пользователей без отправки учетных данных на удаленный компьютер.

Должно быть запущено Windows 10 версии 1607 или Windows Server 2016 для использования учетных данных пользователя. Это требует, чтобы учетная запись пользователя была в состоянии войти как на клиентские устройства, так и на удаленный хост.

Должно быть запущено приложение Remote Desktop Classic Windows. Универсальное приложение удаленного рабочего стола Windows платформы не поддерживает Защитник Windows remote credential Guard.

Для подключения к удаленному хосту необходимо использовать проверку подлинности Kerberos. Если клиент не может подключиться к контроллеру домена, RDP пытается вернуться к NTLM. Защитник Windows Remote Credential Guard не разрешает откат NTLM, так как это может привести к риску учетных данных.

Удаленный хост Для удаленного рабочего стола:

  • Должно быть запущено по крайней мере Windows 10 версии 1607 или Windows Server 2016.
  • Необходимо разрешить подключение к ограниченному администратору.
  • Необходимо разрешить пользователю домена клиента доступ к подключениям удаленного рабочего стола.
  • Необходимо разрешить делегировать неэкспортируемые учетные данные.

Нет никаких требований к оборудованию для Защитник Windows Remote Credential Guard.

Клиентские устройства удаленного рабочего стола, работающие в более ранних версиях, как минимум Windows 10 версии 1607, поддерживают только учетные данные входа, поэтому клиентские устройства также должны быть соединены с доменом Active Directory. Клиент и сервер удаленного рабочего стола должны либо присоединяться к одному домену, либо к серверу удаленного рабочего стола можно присоединяться к домену, который имеет отношение доверия к домену клиентского устройства.

Удаленный хост GPO позволяет делегировать неэкспортируемые учетные данные для делегирования неэкспортируемых учетных данных.

Чтобы Защитник Windows службу удаленной учетной записи, пользователь должен пройти проверку подлинности на удаленный хост с помощью проверки подлинности Kerberos.

Удаленный хост должен работать Windows 10 версии 1607 или Windows Server 2016.

Требуется классическое Windows удаленного рабочего стола. Приложение универсальной Windows удаленного рабочего стола не поддерживает Защитник Windows remote credential Guard.

Включить Защитник Windows remote credential Guard

С помощью реестра необходимо включить службу удаленного администратора или Защитник Windows удаленной учетной записи на удаленном хосте.

Откройте редактор реестра на удаленном хосте.

Включить службу ограниченного администрирования и Защитник Windows службы удаленной защиты учетных данных:

Перейдите в HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa.

Добавьте новое значение DWORD с именем DisableRestrictedAdmin.

Чтобы включить службу ограниченного администрирования и Защитник Windows удаленной учетной записи, установите значение этого параметра реестра до 0, чтобы включить Защитник Windows remote Credential Guard.

Закройте редактор реестра.

Вы можете добавить это, запуская следующую команду из командной подсказки с повышенными уровнями:

Использование Защитник Windows службы удаленной защиты учетных данных

Начиная с Windows 10 версии 1703, вы можете включить Защитник Windows Remote Credential Guard на клиентских устройствах с помощью групповой политики или с помощью параметра с удаленным подключением к рабочему столу.

Включаем Защитник Windows службу удаленной защиты учетных данных с помощью групповой политики

Из консоли управления групповой политикой перейдите к делегацииучетных данных системы административных шаблонов -> **** -> **** -> компьютерной конфигурации.

Дважды щелкните Ограничение делегирования учетных данных удаленным серверам.

Защитник Windows Политика групповой защиты учетных данных удаленных учетных данных.

В соответствии с использованием следующего режима ограничения:

Если требуется либо ограниченный режим администрирования, либо Защитник Windows службы удаленной защиты учетных данных, выберите ограничение делегирования учетных данных. В этой конфигурации предпочтительнее Защитник Windows remote Credential Guard, но он будет использовать режим ограниченного администрирования (если поддерживается), если Защитник Windows удаленный защитник учетных данных не может быть использован.

Ни Защитник Windows, ни режим ограниченного администратора не отправляют учетные данные в понятном тексте на сервер удаленного рабочего стола.

Если требуется Защитник Windows службы удаленной защиты учетных данных, выберите Require Remote Credential Guard. С помощью этого параметра подключение удаленного рабочего стола будет успешным только в том случае, если удаленный компьютер будет отвечать требованиям, указанным ранее в этой теме.

Если требуется режим ограниченного администрирования, выберите Require Restricted Admin. Сведения о режиме ограниченного администратора см. в таблице СравнениеЗащитник Windows с другими вариантами подключения к удаленному рабочему столу , ранее в этом разделе.

Закройте консоль управления групповыми политиками.

Из командной подсказки ** запуститеgpupdate.exe/force** для обеспечения применения объекта групповой политики.

Использование Защитник Windows службы удаленного управления учетными данными с параметром удаленного подключения к рабочему столу

Если вы не используете групповую политику в организации или если не все удаленные хосты поддерживают remote Credential Guard, можно добавить параметр remoteGuard при запуске удаленного подключения к настольным компьютерам, чтобы включить Защитник Windows Remote Credential Guard для этого подключения.

Пользователь должен быть уполномочен подключаться к удаленному серверу с помощью протокола удаленного рабочего стола, например, будучи членом локальной группы пользователей удаленного рабочего стола на удаленном компьютере.

Соображения при использовании Защитник Windows удаленной службы учетных данных

Защитник Windows Remote Credential Guard не поддерживает комплексную проверку подлинности. Например, если вы пытаетесь получить доступ к файловом серверу с удаленного хоста, который требует утверждения устройства, доступ будет отказано.

Защитник Windows Remote Credential Guard можно использовать только при подключении к устройству, подключенном к домену Windows Server Active Directory, включая серверы, подключенные к домену AD, которые работают как виртуальные машины Azure (виртуальные машины). Защитник Windows Remote Credential Guard нельзя использовать при подключении к удаленным устройствам, подключенным к Azure Active Directory.

Remote Desktop Credential Guard работает только с протоколом RDP.

Учетные данные не отправляются на целевое устройство, но целевое устройство по-прежнему приобретает билеты на обслуживание Kerberos самостоятельно.


Необходимо позаботится чтобы пароль действительно не подобрали. Для этого нужен комплекс мер:

  • имена пользователей не должны быть стандартными
  • пароль должен быть сложным
  • количество неудачных попыток входа для пользователя должно быть ограничено

Как минимум нужно настроить в групповой локальной или доменной политике следующие параметры:


Computer Configuration\Security Settings\Local Policies\Account Policies\Password Policy

Minimum password length = 9

Password must meet complexity requirements = Enabled

Computer Configuration\Security Settings\Local Policies\Account Policies\Account Lockout Policy

Account lockout threshold = 5

Reset account lockout counter after = 30

Account lockout duration = 30

Так же необходимо выставить параметры безопасности на уровне RDP :

Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security

Require secure RPC communication = Enabled

Require use of specific security layer for remote (RDP) connections = SSL

Require user authentication for remote connections by using Network Level Authentication = Enabled

Set client connection encryption level = High

При таких настройках и нестандартных именах пользователей успешный подбор пароля (или его получение из сетевых пакетов) практически невозможны.

Это хорошо, но не снимает нагрузку на сервер из-за обработки неуспешных аутентификаций. При интенсивном переборе вероятна ситуация, в которой вместе с паразитными запросами будут отбрасываться и попытки входа реальных пользователей, которые будут получать отказы на вход через RDP , несмотря на правильно введенные логин и пароль.

Признаком данной ситуации станут события 5817 "Netlogon has failed an additional 129 authentication requests in the last 30 minutes. The requests timed out before they could be sent to domain controller \\server.ourdomain.local in domain OURDOMAIN."

KEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber

для применения нужен рестарт сервера.

Однако, по опыту замечено, что сканеры успешно обрабатывают данную ситуацию и через день-два новый порт уже вовсю сканируют.

Второй шаг, сделать на уровне маршрутизатора блокировку IP если с него создано некое количество сессий за единицу времени (если это возможно на вашем роутере).

Однако, стоит учесть, что переборщики паролей, работают в рамках одной сессии кидая в неё пакет за пакетом, а RDP сервер, несмотря на большое количество неуспешных попыток и не будет ее разрывать. Поэтому, нужен сетевой экран, умеющий делать инспекцию пакетов на уровне приложения. Но такие устройства и их поддержка явно выходят за рамки бюджета маленькой фирмы.

На линуксе существует утилита fail 2 ban парсящая логи и блокирующая на уровне firewall адреса с которых происходит много неуспешных попыток входа.

Не то чтобы утилита, но вариант решения (это больше концепт идеи, чем рабочий вариант): fail2ban в виде скрипта.
Правда тема старая, решение костыльное (использования IPSec не по назначению). А ещё оно на VBScript :). Но решение вполне рабочее (было по крайней мере) :). Помню что проверял его на сервере и оно работало.

Можно использовать что-то подобное под Windows Server используя Powershell .

В нашем случае с параметром групповой политики Require use of specific security layer for remote ( RDP ) connections = SSL и включенным NLA события 4625 не будут содержать IP источника. И для Server 2008, чтобы видеть в событиях 4625 источник перебора прийдется ставить менее защишенный security layer = RDP .

Server 2012 более продвинутый, можно использовать настройки SSL+NLA и при этом ориентироваться на события 140 ( A connection from the client computer with an IP address of xxx.xxx.xxx.xxx failed because the user name or password is not correct. ) в Applications and Services Logs. Не путайте с NTFS событиями 140 ( The system failed to flush data to the transaction log. ) появляющимися в логе System.

Как только правила начинают накапливаться, чтобы их не стало сильно много, нужно удалять правила, которые старше ban _ duration .

Осталось настроить запуск скрипта в планировщике, например, каждый час или 30 минут. Это и будет единицей времени для ban _ treshold определенной нами в скрипте.

В идеале скрипт нужно доработать, должны создаваться не правила для firewall операционной системы, а командные файлы на сетевое оборудование, чтобы вредные пакеты даже не попадали внутрь сети.

Работает не только с RDP, но и может отслеживать:

И как вариант, можно рассмотреть RdpGuard, что достаточно актуально будет для облачных виртуальных серверов.

Добавлено 27.01.2021

Имел возможность реализовать защиту RDP соединения, при помощи готового решение для реализации двухфакторной аутентификации с защитой RDP от ESET (ESET Secure Authentication для защиты локального или удаленного входа в систему через протокол RDP).

Ссылки на получение пробной лицензии и загрузки для пользователей РФ.

Ссылка на решение ESET Secure Authentication, для пользователей Украины.

Есть простое и понятное видео, которое сам использовал при настройке ESET Secure Authentication.

Добавлено 19.02.2021

Есть ряд базовых советов, по защите от атак шифровальщиков и неизвестных угроз:

Добавлено 04.07.2021

Есть доступное по цене и надежное решение с готовым виртуальным сервером VPN для бизнеса, которое можно развернуть буквально за считанные минуты. Услуга предоставляется только для юридических лиц Украины. Узнать больше.

Бизнес-предложение для фирм, предприятий, частных лиц и организаций (облачные решения).

Резервное копирование данных, защита данных от потерь, организация удаленного офиса для сотрудников, настройка бухгалтерии в облаке, VDS/VPS , опытная и отзывчивая поддержка, обслуживание и сопровождение на базе TUCHA.UA. Данное предложение актуально для коммерческих и государственных структур. Узнать больше. Услуги предоставляются данной компанией по СНГ и за пределами (Европа, США).

Добавлено 21.10.2021

На сайте winitpro в обсуждении статьи, один из пользователей, поделился своим рабочим скриптом, который:

  • не зависит от языка системы и кодировок
  • сохраняет логи
  • проверяет на повторяющиеся IP адреса и отсекает их

Скрин на комментарий:


Ссылка на источник скрипта, приведена выше. Смотрите внимательно комментарии к статье по ссылке.

2 Комментарии

Приветствуются комментарии с полезной информацией: уточнениями, дополнениями, вопросами. Очень хорошо, когда вы делитесь своим опытом. Ваш опыт и информация, могут быть полезны другим.
Категорически запрещено в комментариях использование ненормативной лексики (в том числе нецензурную речь). Комментарии со спамом и рекламой, не пройдут модерацию.
Все комментарии, проходят модерацию и публикуются только после рассмотрения и одобрения.

По поводу fail2ban в виде скрипта: я так понимаю он для англоязычной версии виндовс (у меня ругается "ParseExact") я так понимаю на региональные настройки дата-время. Подскажите пожалуйста, как запустить скрипт на русской виндовс? (для меня PS-синяя cmd)


Для русской версии ОС, необходимо использовать кодировку 1251. Скорее всего, должно помочь. К сожалению, нет возможности проверить точно. Вообще, приводил в данной заметке ссылку на вариант. Позволяет автоматически блокировать в брандмауэре Windows IP адреса, с которых происходят попытки перебора паролей к RDP. Обратите внимание на комментарии к статье. Там есть несколько вариантов скриптов от пользователей, в том числе и для русской версии ОС с автоматическим выбором языка.

И второй способ, при помощи утилиты IPBan. Данная утилита, позволяет реализовать то, что указано в данной заметке посредством скрипта fail2ban в Powershell, только более простым и понятным способом.

При этом, стоит по возможности, использовать VPN. Это более надежная защита, особенно при атаках шифровальщиков.

В этой инструкции описаны рекомендуемые действия по защите Вашего сервера.

Переименуйте стандартную учетную запись администратора

Нажмите Win + X и выберите «Управление компьютером»:

RDP_security_7.jpg

Затем выберите «Локальные пользователи» --→ «Пользователи» --→ кликните правой кнопкой мыши по имени пользователя «Администратор» и выберите «Переименовать»:

RDP_security_8.jpg

Переименуйте пользователя и используйте это имя для последующих подключений к удаленному рабочему столу.

Блокировка RDP-подключений для учетных записей с пустым паролем

Усилить безопасность можно запретив подключаться к учетным записям с пустым паролем. Для этого нужно включить политику безопасности «Учетные записи»: разрешить использование пустых паролей только при консольном входе»:

Откройте локальную политику безопасности (нажмите Win + R и введите команду secpol.msc)

Перейдите в раздел «Локальные политики» –-> «Параметры безопасности».

IPBan_edit_4.jpg

3. Дважды щелкните на политике «Учетные записи: разрешить использование пустых паролей. » и убедитесь, что она включена:

RDP_security_2.jpg

Вещь полезная, поэтому не оставляйте этот параметр без внимания.

Смена стандартного порта Remote Desktop Protocol

Не лишним будет сменить стандартный порт на котором работает протокол RDP. Как это сделать уже описано в наших инструкциях: Windows Server 2012 и Windows Server 2016.

Защита от буртфорса

Чтобы блокировать множественные попытки подключения с неверными данными, можно отслеживать журнал событий и вручную блокировать атакующие IP адреса посредством брандмауэра Windows или воспользоваться готовым приложением. Последний случай мы рассмотрим подробнее.

Для блокировки атакующих IP адресов будем использовать свободно распратраняющееся ПО - IPBan. Это приложение проверено и работает в Windows Server 2008 и всех последующие версях. Windows XP и Server 2003 - не роддерживаются. Алгоритм его работы простой: программа мониторит журнал событий Windows, фиксирует неудачные попытки входа в систему и, после 5-ти попыток злоумышленника подобрать пароль, блокирует IP адрес на 24 часа.

  1. Cкачайте архив с программой здесь;
  2. В нем находятся два архива IPBan-Linux-x64.zip и IPBan-Windows-x86.zip, нам нужен последний. Распакуйте архив IPBan-Windows-x86.zip в любое удобное место (в примере это корень диска C:);
  3. Так как файлы скачанные с интернета система автоматически блокирует в целях безопасности, для работы приложения необходимо разблокировать все файлы. Щелкните правой кнопкой мыши на все извлеченные файлы и выберите свойства. Обязательно выберите «разблокировать», если этот параметр доступен. Либо, откройте окно PowerShell (Win + R, введите powershellи "ОК") и воспользуйтесь командой следующего вида:

IPBan_3_0.jpg

4. Вам нужно внести следующие изменения в локальную политику безопасности, чтобы убедиться, что в логах системы отображаются IP-адреса. Октройте "Локальную политику безопасности" (Win + R, введите secpol.msc и "OK"). Перейдите в "Локальные политики" --> "Политика аудита" и включить регистрацию сбоев для "Аудита входа в систему" и "Аудита событий входа в систему":

IPBan_4.jpg

5. Для Windows Server 2008 или эквивалентного вам следует отключить логины NTLM и разрешить только NTLM2-вход в систему. В Windows Server 2008 нет другого способа получить IP-адрес для входа в систему NTLM. Октройте "Локальную политику безопасности" (Win + R, введите secpol.msc и "OK"). Перейдите в "Локальные политики" --> "Параметры безопасности" --> "Сетевая безопасность: Ограничения NTLM: входящий трафик NTLM" и установите значение "Запретить все учетные записи":

IPBan_edit_1.jpg

6. Теперь необходимо создать службу IPBan, чтобы приложение запускалось при старте системы и работало в фоновом режиме. Запустите оснастку PowerShell (Win + R, введите powershell и "ОК") и выпоните команду типа:

IPBan_6_0.jpg

Перейдите в службы (Win + R, введите services.msc и "OK") и запустите службу IPBAN, в дальнейшем она будет запускаться автоматически:

IPBan_edit_3.jpg

В "Диспетчере задач" можно убедиться, что служба запущена и работает:

IPBan_8.jpg

Таким образом, программа следит за неудачными попытками авторизации и добавляет неугодные IP адреса в созданное правило для входящих подключений брандмауэра Windows:

IPBan_edit_2.jpg

IPBan_10.jpg

Заблокированные IP адреса можно разблокировать вручную. Перейдите на вкладку "Область" в свойствах правила "IPBan_0" и удалите из списка нужный Вам IP адрес:

Бытует мнение, что подключение по удаленному рабочему столу Windows (RDP) очень небезопасно в сравнении с аналогами (VNC, TeamViewer, пр). Как следствие, открывать доступ из вне к любому компу или серверу локальной сети очень опрометчивое решение — обязательно взломают. Второй аргумент против RDP как правило звучит так — «жрет трафик, для медленного интернета не вариант». Но чаще всего такое мнение ничем не аргументировано.

rdp0

Протокол RDP существует не первый день, его дебют состоялся еще не платформе NT 4.0 и надо сказать, что с тех пор утекло много воды. На данный момент RDP не менее безопасен, чем любое другое решение для удаленного доступа. Что касается требуемой полосы пропускания, так в этом плане есть куча настроек, с помощью которых можно добиться отличной отзывчивости и экономии полосы пропускания.

Короче говоря, если знать что, как и где настроить, то RDP будет очень хорошим средством удаленного доступа. Вопрос в другом, а много ли админов пытались вникнуть в настройки, которые спрятаны чуть глубже чем на поверхности?

Сейчас расскажу как защитить RDP и настроить его на оптимальную производительность.

Во-первых, версий RDP протокола существует много. Все дальнейшее описание будет применимо к RDP 7.0 и выше. Это значит, что у вас как минимум Windows Vista SP1. Для любителей ретро есть специальный апдейт для Windows XP SP3 KB 969084 который добавляет RDP 7.0 в эту операционку.

Настройка №1 — шифрование

На компьютере, к которому вы собираетесь подключаться открываем gpedit.msc Идем в Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Безопасность

Устанавливаем параметр «Требовать использования специального уровня безопасности для удаленных подключений по методу RDP» в значение «Включено» и Уровень безопасности в значение «SSL TLS 1.0»

rdp1

Этой настройкой мы включили шифрование как таковое. Теперь нам нужно сделать так, чтобы применялись только стойкие алгоритмы шифрования, а не какой-нибудь DES 56-bit или RC2.

rdp2

Но и это еще не предел. Самый максимальный уровень шифрования обеспечивается стандартом FIPS 140-1. При этом все RC2/RC4 автоматически идут лесом.

Чтобы включить использование FIPS 140-1, нужно в этой же оснастке пойти в Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности.

Ищем параметр «Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания» и включаем его.

rdp3

И в завершении в обязательном порядке включаем параметр «Требовать безопасное RPC-подключение» по пути Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Безопасность.

rdp4

Этот параметр требует от подключающихся клиентов обязательное шифрование согласно тем установкам, которые мы настроили выше.

Теперь с шифрованием полный порядок, можно двигаться дальше.

Настройка №2 — смена порта

По умолчанию протокол RDP висит на порту TCP 3389. Для разнообразия его можно изменить, для этого в реестре нужно изменить ключик PortNumber по адресу

Настройка №3 — сетевая аутентификация (NLA)

По умолчанию, вы можете подключиться по RDP не вводя логин и пароль и увидеть Welcome-скрин удаленного рабочего стола, где уже от вас попросят залогиниться. Это как раз совсем не безопасно в том плане, что такой удаленный комп можно легко заDDoSить.

Поэтому, всё в той же ветке включаем параметр «Требовать проверку подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети»

rdp5

Настройка №4 — что еще проверить

Во-первых проверьте, что параметр «Учетные записи: разрешать использование пустых паролей только при консольном входе» включен. Параметр можно найти в Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Безопасность.

Во-вторых, не забудьте проверить список пользователей, которые могут подключаться по RDP

rdp6

Настройка №5 — оптимизация скорости

Идем в раздел Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Среда удаленных сеансов.

Здесь можно и нужно отрегулировать несколько параметров:

  • Наибольшая глубина цвета — можно ограничиться 16 битами. Это позволит сэкономить трафик больше чем в 2 раза по сравнению с 32х битной глубиной.
  • Принудительная отмена фонового рисунка удаленного стола — для работы он не нужен.
  • Задание алгоритма сжатия RDP — лучше установить значение Оптимизация использования полосы пропускания. В этом случае RDP будет жрать памяти чуть больше, но сжимать будет эффективнее.
  • Оптимизировать визуальные эффекты для сеансов служб удаленных рабочих столов — ставим значение «Текст». Для работы то что нужно.

В остальном при подключении к удаленному компу со стороны клиента дополнительно можно отключить:

  • Сглаживание шрифтов. Это сильно уменьшит время отклика. (Если у вас полноценный терминальный сервер, то этот параметр так же можно задать на стороне сервера)
  • Композицию рабочего стола — отвечает за Aero и пр
  • Отображение окна при перетаскивании
  • Визуальные эффекты
  • Стили оформления — если хочется хардкора .

rdp7

Остальные параметры типа фона рабочего стола, глубины цвета мы уже предопределили на стороне сервера.

Дополнительно на стороне клиента можно увеличить размер кэша изображений, делается это в реестре. По адресу HKEY_CURRENT_USERSOFTWAREMicrosoftTerminal Server Client нужно создать два ключа типа DWORD 32 BitmapPersistCacheSize и BitmapCacheSize

  • BitmapPersistCacheSize можно установить равным 10000 (10 Мб) По умолчанию этот параметр берет значение 10, что соответствует 10 Кб.
  • BitmapCacheSize так же можно установить равным 10000 (10 Мб). Вы вряд ли заметите, если RDP-подключение съест лишних 10 Мб от вашей оперативной памяти .

Про проброс всяких принтеров и пр говорить ничего не буду. Кому что нужно, то и пробрасывает.

В принципе на этом базовая настройка выполнена. В следующих обзорах расскажу, как можно еще улучшить и обезопасить RDP.

Используйте RDP правильно, всем стабильного коннекта!

Как сделать RDP терминал сервер на любой версии Windows смотрите здесь.

Читайте также: