Параметры rdp tcp подключения windows server 2008

Обновлено: 07.07.2024

В этой статье обсуждается средство администрирования серверов терминала, конфигурация подключения.

Применяется к: Windows Server 2012 R2
Исходный номер КБ: 186566

Дополнительная информация

Когда вы откроете этот инструмент, вы увидите, что по умолчанию создается одно подключение , подключение RDP-TCP. Как правило, это единственное подключение, которое необходимо определить. Ничего не нужно сделать, чтобы включить это подключение.

Подключение RDP-TCP — это подключение к розетке через порт TCP 3389. В этом средстве можно указать, как долго клиенты могут оставаться подключенными, следует ли запускать определенное приложение при подключении клиента, выбрать уровень шифрования и так далее.

Для каждого типа адаптеров может быть определено одно подключение. Таким образом, в обычном терминале Server с одним адаптером можно определить точно одно подключение, так как имеется только один тип подключения. Терминал Server 4.0 сам по себе без дополнительных служб поддерживает только RDP над подключениями TCP. Если добавить второй адаптер, можно определить второе подключение RDP-TCP для этого адаптер.

Продукт Metaframe Citrix может быть установлен на терминале Server, поэтому клиенты ICA Citrix, а не клиент RDP Майкрософт можно использовать для подключения к терминалу Server. В этом инструменте и в диспетчере пользователей вы найдете параметры, которые не применяются, если metaframe не установлен на сервере терминала.

На сервере Citrix Winframe Или на сервере терминала с установленным метафрамом клиенты могут создавать различные типы подключений для различных клиентов ICA (например, клиентов Macintosh, клиентов asynch, клиентов SPX).

Щелкнув правой кнопкой мыши определенное подключение, вы можете изменить конфигурацию подключения.

Обратите внимание, что имя подключения, тип и транспорт недоступны. Имя можно изменить в статье Подключение/переименование, но тип и транспорт не могут быть изменены.

В выпадаемом списке Lan Adapter показаны "Все lan-адаптеры. ". и все установленные адаптеры. Обратите внимание, что подключение по умолчанию применимо ко всем установленным адаптерам, поэтому просто потому, что у вас есть несколько адаптеров, не означает, что необходимо определить новые подключения. Можно, но это не обязательно.

Максимальное количество подключений означает то, что он говорит. Не путайте это с лицензированием. Этот параметр определяет количество подключений к розетке. По умолчанию неограничен.

Если выбрать клиентскую Параметры на экране Редактирование подключения, вы увидите список параметров, предназначенных в первую очередь для клиента Citrix ICA. Эти параметры не применяются к клиенту RDP. Поскольку клиент RDP устанавливает только один канал данных между клиентом и сервером, сопоставление с локальными устройствами невозможно. В клиентской сессии RDP все "локальные" ресурсы являются ресурсами терминала Server.

Однако клиенты ICA Citrix были изменены, чтобы создать несколько каналов данных между клиентом и сервером. Эти параметры включены для клиентов, которые загружают Metaframe на сервер терминала и используют клиентов ICA.

Нажатие кнопки Advanced на экране Изменить конфигурацию открывает множество вариантов, хотя некоторые из них применяются только к клиенту Citrix ICA.

Обратите внимание на выбор "Наследуй пользовательские config", "Наследуй конфиг клиента" и "Наследуй клиент/пользователь config". Выбор конфигуры пользователей также доступен в диспетчере пользователей терминала Server в качестве параметров для определенных пользователей. Параметры конфигурации клиента можно установить у клиента с помощью параметра Client Configuration Manager (установленного с помощью программного обеспечения клиента) или в реестре клиента (для 32-битного) или .ini файла (для 16-битных).

Все значения, заданной на этом экране, применяются к всем подключениям на этом сервере терминала (и никакие другие, независимо от отношения к домену, эти параметры относятся к серверу терминала).

Обратите внимание также, что все значения, заданные здесь, переопределяют параметры для пользователей в диспетчере пользователей.

Ниже приведено описание различных расширенных параметров:

Если отключить Logon, вы отключит клиентские подключения. Это не позволяет не клиенту подключаться к серверу (для этого необходимо приостановить или остановить службы Server или Netlogon). Если вы хотите, чтобы клиенты не подключались и устанавливали сеансы терминалов, это именно то, где вы это делаете.

Если вы привыкли останавливать или останавливать службы Server или Netlogon, чтобы не подключать пользователей к серверу, у вас будет соблазн остановить службу Terminal Server. Эту службу нельзя остановить. Вы можете изменить его на ручное или отключенное, но при перезапуске сервера эта служба вернется к автоматической и запустится. Данное поведение является особенностью продукта. Эта служба является неотъемлемой частью работы терминала Server.

Остановка служб Server или Netlogon не мешает подключать клиентов терминала Server. Эти подключения используют другой путь подключения. Кроме того, отключение логотипа в конфигурации подключения — это способ отказа в подключениях к клиенту. Кроме того, можно отказать в подключениях на основе разрешений (более подробные ниже).

Время Параметры (в минутах)

Здесь вы можете выбрать, как долго должно поддерживаться подключение, как долго должно поддерживаться отключенное сеанс в памяти и как долго сеанс должен быть разрешен простаивать перед отключением.

Время ожидания подключения определяет, как долго клиент может оставаться на связи независимо от того, простаивает сеанс или нет.

Время отключения сеанса определяет, сколько времени сеанса отключения должно быть в памяти. Если клиент отключается (а не отключается), сеанс не прекращается. Вместо этого он удерживается в памяти, чтобы клиент снова подключил сеанс и восстановить его. Приложения, которые были запущены ранее, по-прежнему должны быть доступны.

Время ожидания простоя сеанса определяет, как долго сеанс без действия должен оставаться подключенным. Включение часов Панели меню позволит создать достаточно непрерывного трафика, чтобы сеанс не простаивал.

Если вы отключаете время ожидания, по умолчанию для подключения — 120 минут, для отключения — 10 минут, а для Idle — 30 минут.

Настройка этих значений здесь влияет на каждого клиента, который использует это подключение. Если вы хотите изменить значения для определенного пользователя, вы можете сделать это в Диспетчере пользователей. Однако имейте в виду, что значения конфигурации подключения переопределяют значения в диспетчере пользователей. Если вам нужны как расширенные параметры, установленные в конфигурации подключения, так и отдельные параметры для отдельных пользователей в диспетчере пользователей, вам потребуется добавить несколько сетевых адаптеров к терминалу Server и определить другое подключение для каждого адаптер.

Безопасность

Использование проверки подлинности по умолчанию NT. Это заставляет любого клиента, подключенного к этому подключению, использовать MSGINA. В противном случае может использоваться стороннее GINA.

Autologon

Если здесь ввели правильное имя пользователя, домен и пароль, клиенты автоматически войдите в систему в качестве этого пользователя после подключения. Этот подход имеет очевидные недостатки (например, профили, домашние каталоги). Однако, поскольку клиенты идентифицированы в системе по уникальным sessionID, а не их именам с логотипом, все клиенты могут использовать одно и то же имя с логотипом.

Начальная программа

Здесь можно указать программу, которая будет работать для каждого клиента после подключения и входа в систему.

Если здесь указана программа, это единственное приложение, которое запускается в этом подключении. Пользователь подключит, войдите и запустите это приложение (при условии, что безопасность не является проблемой), но не получит рабочий стол. Когда пользователь закрывает приложение, сеанс завершается. Это может быть полезной функцией в одной среде приложений.

Переопределения профилей пользователей: отключить обои

Отключение обоев может значительно сократить время перерисовки экрана. Это особенно полезно для клиентов, подключающихся к RAS.

При сломленном или приумно-неудаемом подключении

Если подключение потеряно или время отключено, у вас есть параметры отключения сеанса, что оставляет сеанс невредимым, чтобы пользователь мог восстановить подключение и продолжать работать, или вы можете сбросить подключение, которое завершает сеанс.

Отключены сеансы повторного подключения

Этот параметр используется только для устройств прямого подключения Citrix к серийному порту.

От любого клиента. Если сеанс отключен на одном устройстве, можно восстановить подключение с любого клиентского устройства.

Только для этого клиента. Если сеанс отключен, повторное подключение с другого клиентского устройства невозможно.

Теневая

Эта функция доступна только с клиентом Citrix ICA.

Еще одной особенностью конфигурации подключения является меню Security/Permissions.

Пользователям или группам могут быть назначены разрешения на подключение. Разрешения накопительные, за исключением No Access, поэтому пользователь, который обычно имеет гостевой доступ, но который является членом группы с полным доступом, получит полный доступ.

Отсутствие доступа

Как можно ожидать, это означает, что у вас нет доступа к подключению.

Гостевой доступ

Это позволяет войти в систему и отключить только вход. Гости не могут отключить сеансы или подключиться к отключенным сеансам.

Remote Desktop Services. Настройка параметров сеанса удаленного рабочего стола

Windows Server 2008 R2

Окрываем меню Пуск - Администрирование:

Затем Службы удаленных рабочих столов:

Конфигурация узла сеансов удаленных рабочих столов:

В окне Конфигурация узла сеансов удаленных рабочих столов выбираем Свойства в области Подключения:

Выбираем вкладку Сеансы:

Ставим галочку в чекбоксе Переопределить параметры пользователя. И выбираем в выпадающем меню необходимое значение параметра Завершение отключенного сеанса:

Также выбираем чекбокс Переопределить параметры пользователя - Отключить сеанс:

Нажимаем Ok. Настройка параметров сеанса удаленного рабочего стола закончена.

Windows Server 2012 R2

Открываем Диспетчер серверов и выбираем Службы удаленных рабочих столов:

После этого на вкладке Общие сведения выбираем последовательно Коллекция - Коллекция 1:

На вкладке Коллекция 1 в Свойствах (Свойства коллекции) - Задачи из выпадающего меню выбираем Изменить свойства:

В окне Коллекция сеансов выбираем пункт Сеанс:

В окне Настройка параметров сеанса выбираем необходимые параметры. Например, Когда достигнуто ограничение сеанса или подключение прервано - Завершить Сеанс:

Либо Отключиться от сеанса:

и нажимаем кнопку Применить:

Также можно самостоятельно выбрать (исходя из практических соображений) параметры Окончание разъединенного сеанса / Ограничение активного сеанса / Ограничение бездействующего сеанса из выпадающего меню:

Дано: терминальный сервер на базе Windows Server (в нашем случае - 2008R2, но это не суть, на самом деле). Вместе с терминальным сервером так-же автоматически создается соединение по-умолчанию, которое названо RDP-Tcp.

В данном соединении можно указать некие свойства, например, параметры входа в систему, свойства сессий, параметры клиента (например, запретить проброс локальных дисков, принтеров или еще чего) и т.д.

В большинстве случаев это все прекрасно работает с общими для всех настройками - т.е. хватает одного настроенного соединения RDP-Tcp на сервере терминалов. Как правило, системный администратор , ответственный за данный сервер, просто единожды настраивает данное соединение и все, далее уже рулит другими частями терминальника.

Однако случаются ситуации, когда для определенной группе пользователей, машин или еще чего, нужно создать отдельные условия использования терминальных сессий. Например, принудительно отключить проброс принтера, или ограничить цветовую гамму, или запретить проброс локальных дисков или буфера обмена и т.д.

Что нам в данном случае следует делать? Ну, первое, что приходит на ум - это поковыряться в ярлычке RDP-запуска, который выдан указанным лицам, сделав настройки прямо в нем. Однако это не шибко секьюрно - так или иначе, но человек все равно может поменять этот ярлык (да даже тупо создать рядом другой, с нужными ему настройками) и Ваши труды пойдут прахом.

Вторая мысль - а что, если сделать особые настройки для этого человека на самом сервере. А точнее - особые настройки для группы людей.

Вот на этой мысли давайте остановимся.

Разные настройки RDP-Tcp

Итак, на стороне сервера настройки соединений делаются через консоль "Конфигурация узла сеансов удаленных рабочих столов". Чтобы туда попасть:

Пуск -> Администрирование -> Службы удаленных рабочих столов -> Конфигурация узла сеансов удаленных рабочих столов

В открывшейся консоли мы видим окошко, в верхней части которого написано "Подключения", а в области подключений - одно единственное "RDP-Tcp". Это как раз и есть подключение по-умолчанию.

Если что-то поменять в этом подключении - то оно распространится на все следующие заходы на сервер, т.е. нам это не подходит.

Логично возникает мысль - а что, если создать новое подключение, связать его, например, с отдельным IP адресом, настроить отдельно и дать людям просто другой ярлык - ссылающийся на этот отдельный IP адрес.

Так и поступим, но для начала следует учесть один момент: RDP-Tcp соединения привязываются к физической сетевой карте! Да-да, я не опечатался, не к IP-адресу, не к имени компьютера, не к порту, а к физическому сетевому адаптеру. Это означает, что если у Вас только одна сетевая карта (или всего одна свободна для RDP-соединений), то второе подключение RDP-Tcp Вам попросту не создать!

Ход мысли инженеров Microsoft мне не ясен. Все больше и больше моментов в ОС этой конторы я замечаю, что проектировались, видимо, по сильнейшей обкурке или с дикого похмелья, в режиме "да пофик и так сойдет, лишь бы было".

Но факт остается фактом - покамест сетевая карта в ОС у Вас для RDP только одна - ничего не выйдет. Логичным решением является добавление еще одной сетевой карты - например, если Ваш сервер виртуализирован, то ничего сложного в этом нет (по крайней мере, если Вы пользуетесь нормальным серверным гипервизором, например, Xen или XenServer, или даже vmware). Если свободная сетевая карта уже есть и ее можно использовать - то проблем нет - используем ее.

Что-ж, давайте создадим еще одно RDP-Tcp соединение с уникальным набором настроек.

Создаем второе RDP-Tcp соединение

1) Настройте вторую сетевую карту. Укажите IP адрес и шлюз по-умолчанию. Да-да, шлюз на втором интерфейсе тоже указывать нужно, иначе трафик через второе RDP-Tcp соединение будет идти только внутри подсети, где находится сам сервер. Если оба IP адреса из одной подсети и шлюз, соответственно, одинаковый. все равно нужно указать его на обоих сетевых картах!

1а) Укажите IP, маску и шлюз. На ругань ОС о том, что два шлюза - это не есть нормально - отреагируйте спокойно.

1б) Зайдите в свойства TCP/IP, Дополнительно и на вкладку DNS и снимите галочку с "Зарегистрировать адреса этого подключения в DNS". Иначе Windows Server автоматически пропишет IP адрес второй сетевой карты как второй IP для своего сетевого имени и клиенты , которые "ходят" на данный терминальный сервер через DNS-имя (hostname) будут ходить рандомно как через первое RDP-Tcp соединение с настройками "для всех", так и через второе, с настройками "для определенных пользователей", что нам не надо.

1в) Укажите метрику больше единицы (например, 100), если второй IP адрес находится в той же подсети, что и первый.

2) Зайдите в консоль "Конфигурация узла сеансов удаленных рабочих столов".

3) Зайдите в настройки "RDP-Tcp" (которое по-умолчанию) - например, дважды щелкнув на нем мышкой.

3а) Перейдите на вкладку "Сетевой адаптер". У Вас сейчас, скорее всего, указано "Все сетевые адаптеры настроены для данного протокола". Выберите из выпадающего списка первую сетевую карту, через которую будут ходить люди с настройками "для всех" и сохраните изменения.

4) Теперь в правой части оснастки "Конфигурация узла сеансов удаленных рабочих столов" нажмите на "Создать подключение".

4а) Введите имя нового подключения, например, "RDP-Tcp 2" или как-то по своему, это не шибко важно.

4б) На следующей вкладке мастера - укажите вторую сетевую карту, через IP которой будут ходить люди "с особыми настройками".

4в) Завершите работу мастера - и у Вас появится второе RDP-Tcp соединение.

5) Зайдите в настройки нового соединения и поменяйте то, что Вам нужно подключений "с особыми свойствами".

6) Перезагрузите сервер (да-да, опять двадцать пять - Microsoft не умеет делать так, чтобы работало 24/7 - придется перезагружать).

7) Создайте ярлыки RDP для пользователей с "особыми настройками", указав в качестве сервера - второй IP адрес.

Все, отсюда у Вас существуют разные настройки для разных людей. Криво, топорно, но иначе Microsoft делать, видимо, не умеют. А жаль.

Как известно, протокол удаленного рабочего стола (Remote Desktop Protocol или RDP) позволяет удаленно подключаться к компьютерам под управлением Windows и доступен любому пользователю Windows, если у него не версия Home, где есть только клиент RDP, но не хост. Это удобное, эффективное и практичное средство для удаленного доступа для целей администрирования или повседневной работы. В последнее время оно приглянулось майнерам, которые используют RDP для удаленного доступа к своим фермам. Поддержка RDP включена в ОС Windows, начиная еще с NT 4.0 и XP, однако далеко не все знают, как ею пользоваться. Между тем можно открывать удаленный рабочий стол Microsoft с компьютеров под Windows, Mac OS X, а также с мобильных устройств с ОС Android или с iPhone и iPad.

Если должным образом разбираться в настройках, то RDP будет хорошим средством удаленного доступа. Он дает возможность не только видеть удаленный рабочий стол, но и пользоваться ресурсами удаленного компьютера, подключать к нему локальные диски или периферийные устройства. При этом компьютер должен иметь внешний IP, (статический или динамический), или должна быть возможность «пробросить» порт с маршрутизатора с внешним IP-адресом.

Серверы RDP нередко применяют для совместной работы в системе 1С, или на них разворачивают рабочие места пользователей, позволяя им подключаться к своему рабочему месту удаленно. Клиент RDP позволяет дает возможность работать с текстовыми и графическими приложениями, удаленно получать какие-то данные с домашнего ПК. Для этого на роутере нужно пробросить порт 3389, чтобы через NAT получить доступ к домашней сети. Тоже относится к настройке RDP-сервера в организации.

RDP многие считают небезопасным способом удаленного доступа по сравнению с использованием специальных программ, таких как RAdmin, TeamViewer, VNC и пр. Другой предрассудок – большой трафик RDP. Однако на сегодня RDP не менее безопасен, чем любое другое решение для удаленного доступа (к вопросу безопасности мы еще вернемся), а с помощью настроек можно добиться высокой скорости реакции и небольшой потребности в полосе пропускания.

Как защитить RDP и настроить его производительность

Шифрование и безопасность

Нужно открыть gpedit.msc, в «Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Безопасность» задать параметр «Требовать использования специального уровня безопасности для удаленных подключений по методу RDP» и в «Уровень безопасности» выбрать «SSL TLS». В «Установить уровень шифрования для клиентских подключений» выберите «Высокий». Чтобы включить использование FIPS 140-1, нужно зайти в «Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности» и выбрать «Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания». Параметр «Конфигурация компьютера — Параметры Windows — Параметры безопасности — Локальные политики — Параметры безопасности» параметр «Учетные записи: разрешать использование пустых паролей только при консольном входе» должен быть включен. Проверьте список пользователей, которые могут подключаться по RDP.

Оптимизация

Откройте «Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Среда удаленных сеансов». В «Наибольшая глубина цвета» выберите 16 бит, этого достаточно. Снимите флажок «Принудительная отмена фонового рисунка удаленного рабочего стола». В «Задание алгоритма сжатия RDP» установите «Оптимизация использования полосы пропускания. В «Оптимизировать визуальные эффекты для сеансов служб удаленных рабочих столов» установите значение «Текст». Отключите «Сглаживание шрифтов».

Базовая настройка выполнена. Как подключиться к удаленному рабочему столу?

Подключение к удаленному рабочему столу

Для подключения по RDP необходимо, на удаленном компьютере была учетная запись с паролем, в системе должны быть разрешены удаленные подключения, а чтобы не менять данные доступа при постоянно меняющемся динамическом IP-адресе, в настройках сети можно присвоить статический IP-адрес. Удаленный доступ возможен только на компьютерах с Windows Pro, Enterprise или Ultimate.

Для удаленного подключения к компьютеру нужно разрешить подключение в «Свойствах Системы» и задать пароль для текущего пользователя, либо создать для RDP нового пользователя. Пользователи обычных аккаунтов не имеют права самостоятельно предоставлять компьютер для удаленного управления. Такое право им может дать администратор. Препятствием использования протокола RDP может стать его блокировка антивирусами. В таком случае RDP нужно разрешить в настройках антивирусных программ.

Стоит отметить особенность некоторых серверных ОС: если один и тот же пользователь попытается зайти на сервер локально и удаленно, то локальный сеанс закроется и на том же месте откроется удаленный. И наоборот, при локальном входе закроется удаленный сеанс. Если же зайти локально под одним пользователем, а удаленно — под другим, то система завершит локальный сеанс.

Подключение по протоколу RDP осуществляется между компьютерами, находящимися в одной локальной сети, или по интернету, но для этого потребуются дополнительные действия – проброс порта 3389 на роутере, либо соединение с удаленным компьютером по VPN.

Чтобы подключиться к удаленному рабочему столу в Windows 10, можно разрешить удаленное подключение в «Параметры — Система — Удаленный рабочий стол» и указать пользователей, которым нужно предоставить доступ, либо создать отдельного пользователя для подключения. По умолчанию доступ имеют текущий пользователь и администратор. На удаленной системе запустите утилиту для подключения.

Нажмите Win+R, введите MSTSC и нажмите Enter. В окне введите IP-адрес или имя компьютера, выберите «Подключить», введите имя пользователя и пароль. Появится экран удаленного компьютера.

При подключении к удаленному рабочему столу через командную строку (MSTSC) можно задать дополнительные параметры RDP:

Параметр	Значение
/v:<сервер[: порт]>	Удаленный компьютер, к которому выполняется подключение.
/admin	Подключение к сеансу для администрирования сервера.
/edit	Редактирование RDP-файла.
/f	Запуск удаленного рабочего стола на полном экране.
/w:<ширина>	Ширина окна удаленного рабочего стола.
/h:<высота>	Высота окна удаленного рабочего стола.
/public	Запуск удаленного рабочего стола в общем режиме.
/span	Сопоставление ширины и высоты удаленного рабочего стола с локальным виртуальным рабочим столом и развертывание на несколько мониторов.
/multimon	Настраивает размещение мониторов сеанса RDP в соответствии с текущей конфигурацией на стороне клиента.
/migrate	Миграция файлов подключения прежних версий в новые RDP-файлы.

Для Mac OS компания Microsoft выпустила официальный RDP-клиент, который стабильно работает при подключении к любым версиям ОС Windows. В Mac OS X для подключения к компьютеру Windows нужно скачать из App Store приложение Microsoft Remote Desktop. В нем кнопкой «Плюс» можно добавить удаленный компьютер: введите его IP-адрес, имя пользователя и пароль. Двойной щелчок на имени удаленного рабочего стола в списке для подключения откроет рабочий стол Windows.

На смартфонах и планшетах под Android и iOS нужно установить приложение Microsoft Remote Desktop («Удаленный рабочий стол Майкрософт») и запустить его. Выберите «Добавить» введите параметры подключения — IP-адрес компьютера, логин и пароль для входа в Windows. Еще один способ — проброс на роутере порта 3389 на IP-адрес компьютера и подключение к публичному адресу роутера с указанием данного порта. Это делается с помощью опции Port Forwarding роутера. Выберите Add и введите:

А что насчет Linux? RDP –закрытый протокол Microsoft, она не выпускает RDP-клиентов для ОС Linux, но можно воспользоваться клиентом Remmina. Для пользователей Ubuntu есть специальные репозитории с Remmina и RDP.

Протокол RDP также используется для подключения к виртуальным машинам Hyper-V. В отличие от окна подключения гипервизора, при подключении по RDP виртуальная машина видит различные устройства, подсоединенных к физическому компьютеру, поддерживает работу со звуком, дает более качественное изображение рабочего стола гостевой ОС и т.д.

У провайдеров виртуального хостинга серверы VPS под Windows по умолчанию обычно также доступны для подключения по стандартному протоколу RDP. При использовании стандартной операционной системы Windows для подключения к серверу достаточно выбрать: «Пуск — Программы — Стандартные — Подключение к удаленному рабочему столу» или нажать Win+R и в открывшемся окне набрать MSTSC. В окне вводится IP-адрес VPS-сервера.

Нажав кнопку «Подключить», вы увидите окно с полями авторизации.

Чтобы серверу были доступны подключенные к вашему ПК USB-устройства и сетевые принтеры, при первом подключении к серверу выберите «Показать параметры» в левом нижнем углу. В окне откройте вкладку «Локальные ресурсы» и выберите требуемые параметры.

С помощью опции сохранения данных авторизации на удаленном компьютере параметры подключения (IP-адрес, имя пользователя и пароль) можно сохранить в отдельном RDP-файлом и использовать его на другом компьютере.

Настройка другой функциональности удаленного доступа

В окне подключения к удаленному компьютеру есть вкладки с настраиваемыми параметрами.

Вкладка	Назначение
«Экран»	Задает разрешение экрана удаленного компьютера, то есть окна утилиты после подключения. Можно установить низкое разрешение и пожертвовать глубиной цвета.
«Локальные ресурсы»	Для экономии системных ресурсов можно отключить воспроизведение звука на удаленном компьютере. В разделе локальных устройств и можно выбрать принтер и другие устройства основного компьютера, которые будут доступны на удаленном ПК, например, USB-устройства, карты памяти, внешние диски.

Подробности настройки удаленного рабочего стола в Windows 10 – в этом видео. А теперь вернемся к безопасности RDP.

Как «угнать» сеанс RDP?

Можно ли перехватывать сеансы RDS? И как от этого защищаться? Про возможность угона RDP-сессии в Microsoft Windows известно с 2011 года, а год назад исследователь Александр Корзников в своем блоге детально описал методики угона. Оказывается, существует возможность подключиться к любой запущенной сессии в Windows (с любыми правами), будучи залогиненным под какой-либо другой.

Некоторые приемы позволяют перехватить сеанс без логина-пароля. Нужен лишь доступ к командной строке NT AUTHORITY/SYSTEM. Если вы запустите tscon.exe в качестве пользователя SYSTEM, то сможете подключиться к любой сессии без пароля. RDP не запрашивает пароль, он просто подключает вас к рабочему столу пользователя. Вы можете, например, сделать дамп памяти сервера и получить пароли пользователей. Простым запуском tscon.exe с номером сеанса можно получить рабочий стол указанного пользователя — без внешних инструментов. Таким образом, с помощью одной команды имеем взломанный сеанс RDP. Можно также использовать утилиту psexec.exe, если она была предварительно установлена:

Или же можно создать службу, которая будет подключать атакуемую учетную запись, и запустить ее, после чего ваша сессия будет заменена целевой. Вот некоторые замечания о том, как далеко это позволяет зайти:

Вы можете подключиться к отключенным сеансам. Поэтому, если кто-то вышел из системы пару дней назад, вы можете просто подключиться прямо к его сеансу и начать использовать его.
Можно разблокировать заблокированные сеансы. Поэтому, пока пользователь находится вдали от своего рабочего места, вы входите в его сеанс, и он разблокируется без каких-либо учетных данных. Например, сотрудник входит в свою учетную запись, затем отлучается, заблокировав учетную запись (но не выйдя из нее). Сессия активна и все приложения останутся в прежнем состоянии. Если системный администратор входит в свою учетную запись на этом же компьютере, то получает доступ к учетной записи сотрудника, а значит, ко всем запущенным приложениям.
Имея права локального администратора, можно атаковать учетную запись с правами администратора домена, т.е. более высокими, чем права атакующего.
Можно подключиться к любой сессии. Если, например, это Helpdesk, вы можете подключиться к ней без какой-либо аутентификации. Если это администратор домена, вы станете админом. Благодаря возможности подключаться к отключенным сеансам вы получаете простой способ перемещения по сети. Таким образом, злоумышленники могут использовать эти методы как для проникновения, так и для дальнейшего продвижения внутри сети компании.
Вы можете использовать эксплойты win32k, чтобы получить разрешения SYSTEM, а затем задействовать эту функцию. Если патчи не применяются должным образом, это доступно даже обычному пользователю.
Если вы не знаете, что отслеживать, то вообще не будете знать, что происходит.
Метод работает удаленно. Вы можете выполнять сеансы на удаленных компьютерах, даже если не зашли на сервер.

Наконец, рассмотрим, как удалить подключение к удаленному рабочему столу. Это полезная мера нужна, если необходимость в удаленном доступе пропала, или требуется запретить подключение посторонних к удаленному рабочему столу. Откройте «Панель управления – Система и безопасность – Система». В левой колонке кликните «Настройка удаленного доступа». В разделе «Удаленный рабочий стол» выберите «Не разрешать подключения к этому компьютеру». Теперь никто не сможет подключиться к вам через удаленный рабочий стол.

В завершение – еще несколько лайфхаков, которые могут пригодиться при работе с удаленным рабочим столом Windows 10, да и просто при удаленном доступе.

Читайте также: