Протокол удаленного доступа windows

Время на прочтение10 мин

Количество просмотров151K

Как известно, протокол удаленного рабочего стола (Remote Desktop Protocol или RDP) позволяет удаленно подключаться к компьютерам под управлением Windows и доступен любому пользователю Windows, если у него не версия Home, где есть только клиент RDP, но не хост. Это удобное, эффективное и практичное средство для удаленного доступа для целей администрирования или повседневной работы. В последнее время оно приглянулось майнерам, которые используют RDP для удаленного доступа к своим фермам. Поддержка RDP включена в ОС Windows, начиная еще с NT 4.0 и XP, однако далеко не все знают, как ею пользоваться. Между тем можно открывать удаленный рабочий стол Microsoft с компьютеров под Windows, Mac OS X, а также с мобильных устройств с ОС Android или с iPhone и iPad.

Картинка с сайта: habr.com

Если должным образом разбираться в настройках, то RDP будет хорошим средством удаленного доступа. Он дает возможность не только видеть удаленный рабочий стол, но и пользоваться ресурсами удаленного компьютера, подключать к нему локальные диски или периферийные устройства. При этом компьютер должен иметь внешний IP, (статический или динамический), или должна быть возможность «пробросить» порт с маршрутизатора с внешним IP-адресом.

Серверы RDP нередко применяют для совместной работы в системе 1С, или на них разворачивают рабочие места пользователей, позволяя им подключаться к своему рабочему месту удаленно. Клиент RDP позволяет дает возможность работать с текстовыми и графическими приложениями, удаленно получать какие-то данные с домашнего ПК. Для этого на роутере нужно пробросить порт 3389, чтобы через NAT получить доступ к домашней сети. Тоже относится к настройке RDP-сервера в организации.

RDP многие считают небезопасным способом удаленного доступа по сравнению с использованием специальных программ, таких как RAdmin, TeamViewer, VNC и пр. Другой предрассудок – большой трафик RDP. Однако на сегодня RDP не менее безопасен, чем любое другое решение для удаленного доступа (к вопросу безопасности мы еще вернемся), а с помощью настроек можно добиться высокой скорости реакции и небольшой потребности в полосе пропускания.

Как защитить RDP и настроить его производительность

Шифрование и безопасность Нужно открыть gpedit.msc, в «Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Безопасность» задать параметр «Требовать использования специального уровня безопасности для удаленных подключений по методу RDP» и в «Уровень безопасности» выбрать «SSL TLS». В «Установить уровень шифрования для клиентских подключений» выберите «Высокий». Чтобы включить использование FIPS 140-1, нужно зайти в «Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности» и выбрать «Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания». Параметр «Конфигурация компьютера — Параметры Windows — Параметры безопасности — Локальные политики — Параметры безопасности» параметр «Учетные записи: разрешать использование пустых паролей только при консольном входе» должен быть включен. Проверьте список пользователей, которые могут подключаться по RDP.
Оптимизация Откройте «Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Среда удаленных сеансов». В «Наибольшая глубина цвета» выберите 16 бит, этого достаточно. Снимите флажок «Принудительная отмена фонового рисунка удаленного рабочего стола». В «Задание алгоритма сжатия RDP» установите «Оптимизация использования полосы пропускания. В «Оптимизировать визуальные эффекты для сеансов служб удаленных рабочих столов» установите значение «Текст». Отключите «Сглаживание шрифтов».

Базовая настройка выполнена. Как подключиться к удаленному рабочему столу?

Подключение к удаленному рабочему столу

Для подключения по RDP необходимо, на удаленном компьютере была учетная запись с паролем, в системе должны быть разрешены удаленные подключения, а чтобы не менять данные доступа при постоянно меняющемся динамическом IP-адресе, в настройках сети можно присвоить статический IP-адрес. Удаленный доступ возможен только на компьютерах с Windows Pro, Enterprise или Ultimate.

 
Для удаленного подключения к компьютеру нужно разрешить подключение  в «Свойствах Системы» и задать пароль для текущего пользователя, либо создать для RDP нового пользователя. Пользователи обычных аккаунтов не имеют права самостоятельно предоставлять компьютер для удаленного управления. Такое право им может дать администратор. Препятствием использования протокола RDP может стать его блокировка антивирусами. В таком случае RDP нужно разрешить в настройках антивирусных программ.

Стоит отметить особенность некоторых серверных ОС: если один и тот же пользователь попытается зайти на сервер локально и удаленно, то локальный сеанс закроется и на том же месте откроется удаленный. И наоборот, при локальном входе закроется удаленный сеанс. Если же зайти локально под одним пользователем, а удаленно — под другим, то система завершит локальный сеанс.

Подключение по протоколу RDP осуществляется между компьютерами, находящимися в одной локальной сети, или по интернету, но для этого потребуются дополнительные действия – проброс порта 3389 на роутере, либо соединение с удаленным компьютером по VPN.

Чтобы подключиться к удаленному рабочему столу в Windows 10, можно разрешить удаленное подключение в «Параметры — Система — Удаленный рабочий стол» и указать пользователей, которым нужно предоставить доступ, либо создать отдельного пользователя для подключения. По умолчанию доступ имеют текущий пользователь и администратор. На удаленной системе запустите утилиту для подключения.

Нажмите Win+R, введите MSTSC и нажмите Enter. В окне введите IP-адрес или имя компьютера, выберите «Подключить», введите имя пользователя и пароль. Появится экран удаленного компьютера.

Картинка с сайта: habr.com

При подключении к удаленному рабочему столу через командную строку (MSTSC) можно задать дополнительные параметры RDP:

Параметр Значение
/v:<сервер[: порт]> Удаленный компьютер, к которому выполняется подключение.
/admin Подключение к сеансу для администрирования сервера.
/edit Редактирование RDP-файла.
/f Запуск удаленного рабочего стола на полном экране.
/w:<ширина> Ширина окна удаленного рабочего стола.
/h:<высота> Высота окна удаленного рабочего стола.
/public Запуск удаленного рабочего стола в общем режиме.
/span Сопоставление ширины и высоты удаленного рабочего стола с локальным виртуальным рабочим столом и развертывание на несколько мониторов.
/multimon Настраивает размещение мониторов сеанса RDP в соответствии с текущей конфигурацией на стороне клиента.
/migrate Миграция файлов подключения прежних версий в новые RDP-файлы.

Картинка с сайта: habr.com

Для Mac OS компания Microsoft выпустила официальный RDP-клиент, который стабильно работает при подключении к любым версиям ОС Windows. В Mac OS X для подключения к компьютеру Windows нужно скачать из App Store приложение Microsoft Remote Desktop. В нем кнопкой «Плюс» можно добавить удаленный компьютер: введите его IP-адрес, имя пользователя и пароль. Двойной щелчок на имени удаленного рабочего стола в списке для подключения откроет рабочий стол Windows.

На смартфонах и планшетах под Android и iOS нужно установить приложение Microsoft Remote Desktop («Удаленный рабочий стол Майкрософт») и запустить его. Выберите «Добавить» введите параметры подключения — IP-адрес компьютера, логин и пароль для входа в Windows. Еще один способ — проброс на роутере порта 3389 на IP-адрес компьютера и подключение к публичному адресу роутера с указанием данного порта. Это делается с помощью опции Port Forwarding роутера. Выберите Add и введите:

Name: RDP
Type: TCP & UDP
Start port: 3389
End port: 3389
Server IP: IP-адрес компьютера для подключения.

А что насчет Linux? RDP –закрытый протокол Microsoft, она не выпускает RDP-клиентов для ОС Linux, но можно воспользоваться клиентом Remmina. Для пользователей Ubuntu есть специальные репозитории с Remmina и RDP.

Протокол RDP также используется для подключения к виртуальным машинам Hyper-V. В отличие от окна подключения гипервизора, при подключении по RDP виртуальная машина видит различные устройства, подсоединенных к физическому компьютеру, поддерживает работу со звуком, дает более качественное изображение рабочего стола гостевой ОС и т.д.

У провайдеров виртуального хостинга серверы VPS под Windows по умолчанию обычно также доступны для подключения по стандартному протоколу RDP. При использовании стандартной операционной системы Windows для подключения к серверу достаточно выбрать: «Пуск — Программы — Стандартные — Подключение к удаленному рабочему столу» или нажать Win+R и в открывшемся окне набрать MSTSC. В окне вводится IP-адрес VPS-сервера.

Нажав кнопку «Подключить», вы увидите окно с полями авторизации.

Чтобы серверу были доступны подключенные к вашему ПК USB-устройства и сетевые принтеры, при первом подключении к серверу выберите «Показать параметры» в левом нижнем углу. В окне откройте вкладку «Локальные ресурсы» и выберите требуемые параметры.

С помощью опции сохранения данных авторизации на удаленном компьютере параметры подключения (IP-адрес, имя пользователя и пароль) можно сохранить в отдельном RDP-файлом и использовать его на другом компьютере.

RDP также можно использовать для подключения к виртуальным машинам Azure.

Настройка другой функциональности удаленного доступа

В окне подключения к удаленному компьютеру есть вкладки с настраиваемыми параметрами.

Вкладка Назначение
«Экран» Задает разрешение экрана удаленного компьютера, то есть окна утилиты после подключения. Можно установить низкое разрешение и пожертвовать глубиной цвета.
«Локальные ресурсы» Для экономии системных ресурсов можно отключить воспроизведение звука на удаленном компьютере. В разделе локальных устройств и можно выбрать принтер и другие устройства основного компьютера, которые будут доступны на удаленном ПК, например, USB-устройства, карты памяти, внешние диски.

Подробности настройки удаленного рабочего стола в Windows 10 – в этом видео. А теперь вернемся к безопасности RDP.

Как «угнать» сеанс RDP?

Можно ли перехватывать сеансы RDS? И как от этого защищаться? Про возможность угона RDP-сессии в Microsoft Windows известно с 2011 года, а год назад исследователь Александр Корзников в своем блоге детально описал методики угона. Оказывается, существует возможность подключиться к любой запущенной сессии в Windows (с любыми правами), будучи залогиненным под какой-либо другой.

Некоторые приемы позволяют перехватить сеанс без логина-пароля. Нужен лишь доступ к командной строке NT AUTHORITY/SYSTEM. Если вы запустите tscon.exe в качестве пользователя SYSTEM, то сможете подключиться к любой сессии без пароля. RDP не запрашивает пароль, он просто подключает вас к рабочему столу пользователя. Вы можете, например, сделать дамп памяти сервера и получить пароли пользователей. Простым запуском tscon.exe с номером сеанса можно получить рабочий стол указанного пользователя — без внешних инструментов. Таким образом, с помощью одной команды имеем взломанный сеанс RDP. Можно также использовать утилиту psexec.exe, если она была предварительно установлена:

psexec -s \\localhost cmd

Или же можно создать службу, которая будет подключать атакуемую учетную запись, и запустить ее, после чего ваша сессия будет заменена целевой. Вот некоторые замечания о том, как далеко это позволяет зайти:

  • Вы можете подключиться к отключенным сеансам. Поэтому, если кто-то вышел из системы пару дней назад, вы можете просто подключиться прямо к его сеансу и начать использовать его.
  • Можно разблокировать заблокированные сеансы. Поэтому, пока пользователь находится вдали от своего рабочего места, вы входите в его сеанс, и он разблокируется без каких-либо учетных данных. Например, сотрудник входит в свою учетную запись, затем отлучается, заблокировав учетную запись (но не выйдя из нее). Сессия активна и все приложения останутся в прежнем состоянии. Если системный администратор входит в свою учетную запись на этом же компьютере, то получает доступ к учетной записи сотрудника, а значит, ко всем запущенным приложениям.
  • Имея права локального администратора, можно атаковать учетную запись с правами администратора домена, т.е. более высокими, чем права атакующего.
  • Можно подключиться к любой сессии. Если, например, это Helpdesk, вы можете подключиться к ней без какой-либо аутентификации. Если это администратор домена, вы станете админом. Благодаря возможности подключаться к отключенным сеансам вы получаете простой способ перемещения по сети. Таким образом, злоумышленники могут использовать эти методы как для проникновения, так и для дальнейшего продвижения внутри сети компании.
  • Вы можете использовать эксплойты win32k, чтобы получить разрешения SYSTEM, а затем задействовать эту функцию. Если патчи не применяются должным образом, это доступно даже обычному пользователю.
  • Если вы не знаете, что отслеживать, то вообще не будете знать, что происходит.
  • Метод работает удаленно. Вы можете выполнять сеансы на удаленных компьютерах, даже если не зашли на сервер.

Этой угрозе подвержены многие серверные ОС, а количество серверов, использующих RDP, постоянно увеличивается. Оказались уязвимы Windows 2012 R2, Windows 2008, Windows 10 и Windows 7. Чтобы не допустить угона RDP-сессий, рекомендуется использовать двухфакторную аутентификацию. Обновленные Sysmon Framework для ArcSight и Sysmon Integration Framework для Splunk предупреждают администратора о запуске вредоносных команд с целью угнать RDP-сессию. Также можно воспользоваться утилитой Windows Security Monitor для мониторинга событий безопасности.

Наконец, рассмотрим, как удалить подключение к удаленному рабочему столу. Это полезная мера нужна, если необходимость в удаленном доступе пропала, или требуется запретить подключение посторонних к удаленному рабочему столу. Откройте «Панель управления – Система и безопасность – Система». В левой колонке кликните «Настройка удаленного доступа». В разделе «Удаленный рабочий стол» выберите «Не разрешать подключения к этому компьютеру». Теперь никто не сможет подключиться к вам через удаленный рабочий стол.

В завершение – еще несколько лайфхаков, которые могут пригодиться при работе с удаленным рабочим столом Windows 10, да и просто при удаленном доступе.

  1. Для доступа к файлам на удаленном компьютере можно использовать OneDrive:

    Картинка с сайта: habr.com

    Картинка с сайта: habr.com

  2. Как перезагрузить удаленный ПК в Win10? Нажмите Alt+F4. Откроется окно:

    Картинка с сайта: habr.com

    Картинка с сайта: habr.com

    Альтернативный вариант — командная строка и команда shutdown.

    Картинка с сайта: habr.com

    Если в команде shutdown указать параметр /i, то появится окно:

    Картинка с сайта: habr.com

    Картинка с сайта: habr.com

    Картинка с сайта: habr.com

  3. В Windows 10 Creators Update раздел «Система» стал богаче на еще один подраздел, где реализована возможность активации удаленного доступа к компьютеру с других ОС, в частности, с мобильных посредством приложения Microsoft Remote Desktop:

    Картинка с сайта: habr.com

  4. По разным причинам может не работать подключение по RDP к виртуальной машине Windows Azure. Проблема может быть с сервисом удаленного рабочего стола на виртуальной машине, сетевым подключением или клиентом удаленного рабочего стола клиента на вашем компьютере. Некоторые из самых распространенных методов решения проблемы RDP-подключения приведены здесь.
  5. Из обычной версии Windows 10 вполне возможно сделать терминальный сервер, и тогда к обычному компьютеру смогут подключаться несколько пользователей по RDP и одновременно работать с ним. Как уже отмечалось выше, сейчас популярна работа нескольких пользователей с файловой базой 1С. Превратить Windows 10 в сервер терминалов поможет средство, которое хорошо себя зарекомендовало в Windows 7 — RDP Wrapper Library by Stas’M.
  6. В качестве «RDP с человеческим лицом» можно использовать Parallels Remote Application Server (RAS), но некоторые его особенности должны быть настроены на стороне Windows Server (либо в виртуальных машинах, которые вы используете).

Как видите, решений и возможностей, которые открывает удаленный доступ к компьютеру, множество. Не случайно им пользуется большинство предприятий, организаций, учреждений и офисов. Этот инструмент полезен не только системным администраторам, но и руководителям организаций, да и простым пользователям удаленный доступ тоже весьма полезен. Можно помочь починить или оптимизировать систему человеку, который в этом не разбирается, не вставая со стула, передавать данные или получить доступ к нужным файлам находясь в командировке или в отпуске в любой точке мира, работать за офисным компьютером из дома, управлять своим виртуальным сервером и т.д.

Удачи!

Картинка с сайта: habr.com

P.S. Мы ищем авторов для нашего блога на Хабрахабре.
Если у вас есть технические знания по работе с виртуальными серверами, вы умеете объяснить сложные вещи простыми словами, тогда команда RUVDS будет рада работать с вами, чтобы опубликовать ваш пост на Хабрахабре. Подробности по ссылке.

image

Картинка с сайта: habr.com

Источник

From Wikipedia, the free encyclopedia

Remote Desktop Protocol (RDP) is a proprietary protocol developed by Microsoft Corporation which provides a user with a graphical interface to connect to another computer over a network connection.[1] The user employs RDP client software for this purpose, while the other computer must run RDP server software.

Several clients exist for most versions of Microsoft Windows (including Windows Mobile but the support has ended), Linux (for example Remmina), Unix, macOS, iOS, Android, and other operating systems. RDP servers are built into the server and professional editions of Windows operating systems but not home editions; an RDP server for Unix and OS X also exists (for example xrdp). By default, the server listens on TCP port 3389[2] and UDP port 3389.[3]

Microsoft currently refers to their official RDP client software as Remote Desktop Connection, formerly «Terminal Services Client».

The protocol is an extension of the ITU-T T.128 application sharing protocol. Microsoft makes some specifications public on their website.[4]

https://learn.microsoft.com/en-us/windows-server/remote/remote-desktop-services/remotepc/change-listening-port?tabs=regedit

Every server and professional version of Microsoft Windows from Windows XP onward[5] includes an installed Remote Desktop Connection (RDC) («Terminal Services») client (mstsc.exe) whose version is determined by that of the operating system or by the last applied Windows Service Pack. The Terminal Services server is supported as an official feature on Windows NT 4.0 Terminal Server Edition, released in 1998, Windows 2000 Server, all editions of Windows XP except Windows XP Home Edition, Windows Server 2003, Windows Home Server, on Windows Fundamentals for Legacy PCs, in Windows Vista Ultimate, Enterprise and Business editions, Windows Server 2008 and Windows Server 2008 R2 and on Windows 7 Professional and above. The home versions of Windows do not support RDP.

Microsoft provides the client required for connecting to newer RDP versions for downlevel operating systems. Since the server improvements are not available downlevel, the features introduced with each newer RDP version only work on downlevel operating systems when connecting to a higher version RDP server from these older operating systems, and not when using the RDP server in the older operating system.[clarification needed]

Based on the ITU-T T.128 application sharing protocol (during draft also known as «T.share») from the T.120 recommendation series, the first version of RDP (named version 4.0) was introduced by Microsoft with «Terminal Services», as a part of their product Windows NT 4.0 Server, Terminal Server Edition.[1] The Terminal Services Edition of NT 4.0 relied on Citrix’s MultiWin technology, previously provided as a part of Citrix WinFrame atop Windows NT 3.51, in order to support multiple users and login sessions simultaneously. Microsoft required Citrix to license their MultiWin technology to Microsoft in order to be allowed to continue offering their own terminal-services product, then named Citrix MetaFrame, atop Windows NT 4.0. The Citrix-provided DLLs included in Windows NT 4.0 Terminal Services Edition still carry a Citrix copyright rather than a Microsoft copyright. Later versions of Windows integrated the necessary support directly. The T.128 application sharing technology was acquired by Microsoft from UK software developer Data Connection Limited.[6]

This version was introduced with Windows 2000 Server, added support for a number of features, including printing to local printers, and aimed to improve network bandwidth usage. The RDP clients available through the Windows 2000 Terminal Server Disk Creation Tool is tested and working on even 16 bit Windows 3.1 using 3rd party TCP/IP libraries such as Trumpet WinSock.

This version was introduced with Windows XP Professional and included support for 24-bit color and sound. It is supported on Windows 2000, Windows 9x, and Windows NT 4.0.[7] With this version, the name of the client was changed from Terminal Services Client to Remote Desktop Connection; the heritage remains to this day, however, as the underlying executable is still named mstsc.exe.

This version was introduced with Windows Server 2003, included support for console mode connections, a session directory, and local resource mapping. It also introduces Transport Layer Security (TLS) 1.0 for server authentication, and to encrypt terminal server communications.[8] This version is built into Windows XP Professional x64 Edition and Windows Server 2003 x64 & x86 Editions, and also available for Windows XP as a download.

This version was introduced with Windows Vista and incorporated support for Windows Presentation Foundation applications, Network Level Authentication, multi-monitor spanning and large desktop support, and TLS 1.0 connections.[9] The RDP 6.0 client is available on Windows XP SP2, Windows Server 2003 SP1/SP2 (x86 and x64 editions) and Windows XP Professional x64 Edition through KB925876. Microsoft Remote Desktop Connection Client for Macintosh OS X is also available with support for Intel and PowerPC Mac OS versions 10.4.9 and greater.

This version was released in February 2008 and is first included with Windows Server 2008 and Windows Vista with Service Pack 1 and later backported to Windows XP with Service Pack 3. The RDP 6.1 client is available on Windows XP SP2, Windows Server 2003 SP1/SP2 (x86 and x64 editions) and Windows XP Professional x64 Edition through KB952155.[10] In addition to changes related to how a remote administrator connects to the «console»,[11] this version has new functionality introduced in Windows Server 2008, such as connecting remotely to individual programs and a new client-side printer redirection system that makes the client’s print capabilities available to applications running on the server, without having to install print drivers on the server[12][13] also on the other hand, remote administrator can freely install, add/remove any software or setting at the client’s end. However, to start a remote administration session, one must be a member of the Administrators group on the server to which one is trying to get connected.[14]

This version was released to manufacturing in July 2009 and is included with Windows Server 2008 R2, as well as with Windows 7.[15] With this release, also changed from Terminal Services to Remote Desktop Services. This version has new functions such as Windows Media Player redirection, bidirectional audio, multi-monitor support, Aero glass support, enhanced bitmap acceleration, Easy Print redirection,[16] Language Bar docking. The RDP 7.0 client is available on Windows XP SP3 and Windows Vista SP1/SP2 through KB969084,[17] and is not officially supported on Windows Server 2003 x86 and Windows Server 2003 / Windows XP Professional x64 editions. It is also not officially supported on Windows Server 2008.

Most RDP 7.0 features like Aero glass remote use, bidirectional audio, Windows Media Player redirection, multiple monitor support and Remote Desktop Easy Print are only available in Windows 7 Enterprise or Ultimate editions.[18][19]

Release 7.1 of RDP was included with Windows 7 Service Pack 1 and Windows Server 2008 R2 SP1 in 2010. It introduced RemoteFX, which provides virtualized GPU support and host-side encoding.

This version was released in Windows 8 and Windows Server 2012. This version has new functions such as Adaptive Graphics (progressive rendering and related techniques), automatic selection of TCP or UDP as transport protocol, multi touch support, DirectX 11 support for vGPU, USB redirection supported independently of vGPU support, etc.[20][21] A «connection quality» button is displayed in the RDP client connection bar for RDP 8.0 connections; clicking on it provides further information about connection, including whether UDP is in use or not.[22]

The RDP 8.0 client and server components are available on Windows 7 SP1 and Windows Server 2008 R2 SP1 through KB2592687. The RDP 8.0 client is also available for Windows Server 2008 R2 SP1, but the server components are not. The RDC 8.0 client includes support for session encryption using the TLS 1.2 standard.[23] The add-on requires the DTLS protocol to be installed as prerequisite.[22] After installing the updates, for the RDP 8.0 protocol to be enabled between Windows 7 machines, an extra configuration step is needed using the Group Policy editor.[24]

A new feature in RDP 8.0 is limited support for RDP session nesting; it only works for Windows 8 and Server 2012 though, Windows 7 and Server 2008 R2 (even with the RDP 8.0 update) do not support this feature.[25]

The «shadow» feature from RDP 7, which allowed an administrator to monitor (snoop) on a RDP connection has been removed in RDP 8. The Aero Glass remoting feature (applicable to Windows 7 machines connecting to each other) has also been removed in RDP 8.[21][22]

This version was released with Windows 8.1 and Windows Server 2012 R2. The RDP 8.1 client, like the RDP 8.0 client, is available on Windows 7 SP1 and Windows Server 2008 R2 SP1 through KB2923545 but unlike the RDP 8.0 update for Windows 7, it does not add a RDP 8.1 server component to Windows 7. Furthermore, if RDP 8.0 server function is desired on Windows 7, the KB 2592687 (RDP 8.0 client and server components) update must be installed before installing the RDP 8.1 update.[26][27]

Support for session shadowing was added back in RDP version 8.1. This version also fixes some visual glitches with Microsoft Office 2013 when running as a RemoteApp.[26]

Version 8.1 of the RDP also enables a «restricted admin» mode. Logging into this mode only requires knowledge of the hashed password, rather than of its plaintext, therefore making a pass the hash attack possible.[28] Microsoft has released an 82-page document explaining how to mitigate this type of attack.[29]

Version 10.0 of the RDP was introduced with Windows 10 and includes the following new features: AutoSize zoom (useful for HiDPI clients).
In addition graphics compression improvements were included utilizing H.264/AVC.[30]

  • 32-bit color support. 8-, 15-, 16-, and 24-bit color are also supported.
  • Encryption: option of legacy 56-bit or 128-bit RC4 and modern MITM-resistant TLS since version 5.2[8]
  • Audio Redirection allows users to process audio on a remote desktop and have the sound redirected to their local computer.
  • File System Redirection allows users to use their local files on a remote desktop within the terminal session.
  • Printer Redirection allows users to use their local printer within the terminal session as they would with a locally- or network-shared printer.
  • Port Redirection allows applications running within the terminal session to access local serial and parallel ports directly.
  • The remote computer and the local computer can share the clipboard.
  • Compression goes beyond a framebuffer and takes advantage of font knowledge and tracking of window states (inherited from T.128); later extensions add more content-aware features (e.g MS-RDPCR2).

Microsoft introduced the following features with the release of RDP 6.0 in 2006:

  • Seamless Windows: remote applications can run on a client machine that is served by a Remote Desktop connection. It is available since RDP 6.[31]
  • Remote Programs: application publishing with client-side file-type associations.
  • Terminal Services Gateway: enables the ability to use a front-end IIS server to accept connections (over port 443) for back-end Terminal Services servers via an https connection, similar to how RPC over https allows Outlook clients to connect to a back-end Exchange 2003 server. Requires Windows Server 2008.
  • Network Level Authentication
  • Support for remoting the Aero Glass Theme (or Composed Desktop), including ClearType font-smoothing technology.
  • Support for remoting Windows Presentation Foundation applications: compatible clients that have .NET Framework 3.0 support can display full Windows Presentation Foundation effects on a local machine.
  • Rewrite of device redirection to be more general-purpose, allowing a greater variety of devices to be accessed.
  • Fully configurable and scriptable via Windows Management Instrumentation.
  • Improved bandwidth tuning for RDP clients.[citation needed]
  • Support for Transport Layer Security (TLS) 1.0 on both server and client ends (can be negotiated if both parties agree, but not mandatory in a default configuration of any version of Windows).
  • Multiple monitor support for allowing one session to use multiple monitors on the client (disables desktop composition)

Release 7.1 of RDP in 2010 introduced the following feature:

  • RemoteFX: RemoteFX provides virtualized GPU support and host-side encoding; it ships as part of Windows Server 2008 R2 SP1.

The latest version of RDP supports Transport Layer Security (TLS) version 1.1, 1.2 and 1.3 to protect RDP traffic.[32]

Version 5.2 of the RDP in its default configuration is vulnerable to a man-in-the-middle attack. Administrators can enable transport layer encryption to mitigate this risk.[33][34]

RDP sessions are also susceptible to in-memory credential harvesting, which can be used to launch pass the hash attacks.[35]

In March 2012, Microsoft released an update for a critical security vulnerability in the RDP. The vulnerability allowed a Windows computer to be compromised by unauthenticated clients and computer worms.[36]

RDP client version 6.1 can be used to reveal the names and pictures of all users on the RDP Server (no matter which Windows version) in order to pick one, if no username is specified for the RDP connection.[citation needed]

In March 2018 Microsoft released a patch for CVE-2018-0886, a remote code execution vulnerability in CredSSP, which is a Security Support Provider involved in the Microsoft Remote Desktop and Windows Remote Management, discovered by Preempt.[37][38]

In May 2019 Microsoft issued a security patch for CVE-2019-0708 («BlueKeep»), a vulnerability which allows for the possibility of remote code execution and which Microsoft warned was «wormable», with the potential to cause widespread disruption. Unusually, patches were also made available for several versions of Windows that had reached their end-of-life, such as Windows XP. No immediate malicious exploitation followed, but experts were unanimous that this was likely, and could cause widespread harm based on the number of systems that appeared to have remained exposed and unpatched.[39][40][41]

In July 2019, Microsoft issued a security patch for CVE-2019-0887, a RDP vulnerability that affects Hyper-V.[42]

In April 2025, a security researcher discovered that it is possible to log into accounts through RDP using passwords that have already been revoked. According to Microsoft, this was by design, and not a bug or vulnerability.[43]

Since the release of Remote Desktop Connection, there have been several additional Remote Desktop Protocol clients created by both Microsoft and other parties including Microsoft Remote Desktop, rdesktop, and FreeRDP.

In addition to the Microsoft-created Remote Desktop Services, open-source RDP servers on Unix include FreeRDP (see above), ogon project and xrdp. The Windows Remote Desktop Connection client can be used to connect to such a server. There is also Azure Virtual Desktop which makes use of RDP and is a part of the Microsoft Azure platform.

There is also a VirtualBox Remote Display Protocol (VRDP) used in the VirtualBox virtual machine implementation by Oracle.[44] This protocol is compatible with all RDP clients, such as that provided with Windows but, unlike the original RDP, can be configured to accept unencrypted and password unprotected connections, which may be useful in secure and trusted networks, such as home or office LANs. By default, Microsoft’s RDP server refuses connections to user accounts with empty passwords (but this can be changed with the Group Policy Editor[45]). External and guest authorization options are provided by VRDP as well. It does not matter which operating system is installed as a guest because VRDP is implemented on the virtual machine (host) level, not in the guest system. The proprietary VirtualBox Extension Pack is required.

Microsoft requires third-party implementations to license the relevant RDP patents.[46] As of February 2014, the extent to which open-source clients meet this requirement remains unknown.

Security researchers reported in 2016-17 that cybercriminals were selling compromised RDP servers on underground forums as well as specialized illicit RDP shops.[47][48] These compromised RDPs may be used as a «staging ground» for conducting other types of fraud or to access sensitive personal or corporate data.[49] Researchers further report instances of cybercriminals using RDPs to directly drop malware on computers.[50]

  • Comparison of remote desktop software
  • Desktop virtualization
  • Secure Shell
  • SPICE and RFB protocol
  • Virtual private server
  1. ^ a b Deland-Han. «Understanding Remote Desktop Protocol (RDP) – Windows Server». docs.microsoft.com. Archived from the original on October 17, 2020. Retrieved October 12, 2020.
  2. ^ «How to change the listening port for Remote Desktop». Microsoft. January 31, 2007. Archived from the original on November 4, 2007. Retrieved November 2, 2007. Microsoft KB article 306759, revision 2.2.
  3. ^ «Service Name and Transport Protocol Port Number Registry». Internet Assigned Numbers Authority. January 9, 2015. Retrieved January 13, 2015.
  4. ^ «rdesktop: A Remote Desktop Protocol Client». www.rdesktop.org. Archived from the original on December 1, 2008. Retrieved November 29, 2008.
  5. ^ Microsoft. «Connecting to another computer Remote Desktop Connection». Archived from the original on January 16, 2013. Retrieved December 22, 2012.
  6. ^ Implementing Collaboration Technologies in Industry, Bjørn Erik Munkvold, 2003; Chapter 7
  7. ^ «Windows XP Remote Desktop Connection software [XPSP2 5.1.2600.2180]». Microsoft.com. August 27, 2012. Archived from the original on September 8, 2010. Retrieved March 11, 2014.
  8. ^ a b «Configuring authentication and encryption». January 21, 2005. Archived from the original on March 18, 2009. Retrieved March 30, 2009. Microsoft Technet article
  9. ^ «Remote Desktop Connection (Terminal Services Client 6.0)». June 8, 2007. Archived from the original on July 17, 2007. Retrieved June 20, 2007. Microsoft KB article 925876, revision 7.0.
  10. ^ «Description of the Remote Desktop Connection 6.1 client update for Terminal Services in Windows XP Service Pack 2». microsoft. Archived from the original on August 29, 2008. Retrieved March 11, 2014.
  11. ^ «Changes to Remote Administration in Windows Server 2008». Terminal Services Team Blog. Microsoft. December 17, 2007. Archived from the original on March 5, 2009. Retrieved February 10, 2008.
  12. ^ «Terminal Services Printing». TechNet – Windows Server 2008 Technical Library. Agozik-Microsoft. January 10, 2008. Archived from the original on January 21, 2014. Retrieved February 10, 2008.
  13. ^ «Introducing Terminal Services Easy Print: Part 1 – Remote Desktop Services (Terminal Services) Team Blog – Site Home – MSDN Blogs». Blogs.msdn.com. Archived from the original on February 13, 2014. Retrieved February 13, 2014.
  14. ^ «Securing Remote Desktop (RDP) for System Administrators | Information Security Office». security.berkeley.edu. Archived from the original on October 12, 2020. Retrieved October 12, 2020.
  15. ^ «Remote Desktop Connection 7 for Windows 7, Windows XP & Windows Vista». Terminal Services Team Blog. Microsoft. August 21, 2009. Archived from the original on August 27, 2009. Retrieved August 21, 2009.
  16. ^ «Using Remote Desktop Easy Print in Windows 7 and Windows Server 2008 R2». Blogs.msdn.com. Archived from the original on May 8, 2010. Retrieved March 11, 2014.
  17. ^ «Announcing the availability of Remote Desktop Connection 7.0 for Windows XP SP3, Windows Vista SP1, and Windows Vista SP2». Blogs.msdn.com. Archived from the original on March 8, 2010. Retrieved March 11, 2014.
  18. ^ «Aero Glass Remoting in Windows Server 2008 R2». Blogs.msdn.com. Archived from the original on June 27, 2009. Retrieved March 11, 2014.
  19. ^ «Remote Desktop Connection 7 for Windows 7, Windows XP & Windows Vista». Blogs.msdn.com. Archived from the original on August 27, 2009. Retrieved March 11, 2014.
  20. ^ «Windows Server 2012 Remote Desktop Services (RDS) – Windows Server Blog – Site Home – TechNet Blogs». Blogs.technet.com. May 8, 2012. Archived from the original on October 5, 2013. Retrieved February 13, 2014.
  21. ^ a b «How Microsoft RDP 8.0 addresses WAN, graphics shortcomings». Searchvirtualdesktop.techtarget.com. Archived from the original on February 9, 2014. Retrieved February 13, 2014.
  22. ^ a b c «Remote Desktop Protocol (RDP) 8.0 update for Windows 7 and Windows Server 2008 R2». Support.microsoft.com. Archived from the original on October 25, 2012. Retrieved February 13, 2014.
  23. ^ «Incorrect TLS is displayed — Windows Server». June 5, 2024.
  24. ^ «Get the best RDP 8.0 experience when connecting to Windows 7: What you need to know – Remote Desktop Services (Terminal Services) Team Blog – Site Home – MSDN Blogs». Blogs.msdn.com. Archived from the original on February 12, 2014. Retrieved February 13, 2014.
  25. ^ «Running a Remote Desktop Connection session within another Remote Desktop Connection session is supported with Remote Desktop Protocol 8.0 for specific scenarios». Support.microsoft.com. November 2, 2012. Archived from the original on January 17, 2014. Retrieved February 13, 2014.
  26. ^ a b «Update for RemoteApp and Desktop Connections feature is available for Windows». Support.microsoft.com. February 11, 2014. Archived from the original on February 9, 2014. Retrieved March 11, 2014.
  27. ^ «Remote Desktop Protocol 8.1 Update for Windows 7 SP1 released to web – Remote Desktop Services (Terminal Services) Team Blog – Site Home – MSDN Blogs». Blogs.msdn.com. Archived from the original on February 22, 2014. Retrieved February 13, 2014.
  28. ^ «New «Restricted Admin» feature of RDP 8.1 allows pass-the-hash». Labs.portcullis.co.uk. October 20, 2013. Archived from the original on February 10, 2014. Retrieved March 11, 2014.
  29. ^ «Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques». Microsoft.com. Archived from the original on April 21, 2014. Retrieved March 11, 2014.
  30. ^ «Remote Desktop Protocol (RDP) 10 AVC/H.264 improvements in Windows 10 and Windows Server 2016 Technical Preview». Microsoft.com. Archived from the original on August 17, 2016. Retrieved January 12, 2016.
  31. ^ «[MS-RDPERP]: Remote Desktop Protocol: Remote Programs Virtual Channel Extension». Msdn.microsoft.com. Archived from the original on April 14, 2012. Retrieved February 13, 2014.
  32. ^ «[MS-RDPBCGR]: Enhanced RDP Security». April 23, 2024.
  33. ^ «National Vulnerability Database (NVD) National Vulnerability Database (CVE-2005-1794)». Web.nvd.nist.gov. July 19, 2011. Archived from the original on September 14, 2011. Retrieved February 13, 2014.
  34. ^ «Configuring Terminal Servers for Server Authentication to Prevent «Man in the Middle» Attacks». Microsoft. July 12, 2008. Archived from the original on November 6, 2011. Retrieved November 9, 2011.
  35. ^ «Mimikatz and Windows RDP: An Attack Case Study». SentinelOne. June 6, 2019. Archived from the original on October 16, 2020. Retrieved October 12, 2020.
  36. ^ «Microsoft Security Bulletin MS12-020 – Critical». Microsoft. March 13, 2012. Archived from the original on February 13, 2014. Retrieved March 16, 2012.
  37. ^ «CVE-2018-0886 – CredSSP Remote Code Execution Vulnerability». microsoft.com. Archived from the original on March 23, 2018. Retrieved March 23, 2018.
  38. ^ Karni, Eyal. «From Public Key to Exploitation: How We Exploited the Authentication in MS-RDP». Archived from the original on March 23, 2018. Retrieved March 23, 2018.
  39. ^ Cimpanu, Catalin. «Even the NSA is urging Windows users to patch BlueKeep (CVE-2019-0708)». ZDNet. Archived from the original on September 6, 2019. Retrieved June 20, 2019.
  40. ^ Goodin, Dan (May 31, 2019). «Microsoft practically begs Windows users to fix wormable BlueKeep flaw». Ars Technica. Archived from the original on July 22, 2019. Retrieved May 31, 2019.
  41. ^ Warren, Tom (May 14, 2019). «Microsoft warns of major WannaCry-like Windows security exploit, releases XP patches». The Verge. Archived from the original on September 2, 2019. Retrieved June 20, 2019.
  42. ^ Ilascu, Ionut (7 August 2019). «Microsoft Ignored RDP Vulnerability Until it Affected Hyper-V». Bleeping Computer. Archived from the original on 8 August 2019. Retrieved 8 August 2019.
  43. ^ Goodin, Dan (April 30, 2025). «Windows RDP lets you log in using revoked passwords. Microsoft is OK with that». Ars Technica. Retrieved May 13, 2025.
  44. ^ «VirtualBox Manual: 7.1. Remote Display (VRDP Support)». VirtualBox. Archived from the original on November 21, 2019. Retrieved February 27, 2020.
  45. ^ Bens, Jelle (January 31, 2010). «Jelle Bens: Windows 7 RDP with blank password». Jellebens.blogspot.ru. Archived from the original on May 8, 2013. Retrieved March 11, 2014.
  46. ^ «Remote Desktop Protocol Licensing Available for RDP 8». Blogs.msdn.com. December 11, 2014. Archived from the original on February 8, 2018. Retrieved February 8, 2018.
  47. ^ GReAT (June 15, 2016). «xDedic – the shady world of hacked servers for sale». SecureList. Archived from the original on December 15, 2018. Retrieved December 15, 2018.
  48. ^ Kremez, Vitali; Rowley, Liv (October 24, 2017). ««Ultimate Anonymity Services» Shop Offers Cybercriminals International RDP Servers». Archived from the original on December 15, 2018. Retrieved December 15, 2018.
  49. ^ Bisson, David (July 19, 2018). «Dark Web ‘RDP Shops’ Offer Access to Vulnerable Systems for as Little as $3». Security Intelligence. Archived from the original on December 15, 2018. Retrieved December 15, 2018.
  50. ^ Ragan, Steve (July 19, 2018). «Samsam infected thousands of LabCorp systems via brute force RDP». CSO Online. Archived from the original on December 15, 2018. Retrieved December 15, 2018.
  • Remote Desktop Protocol – from Microsoft’s Developer Network
  • Understanding the Remote Desktop Protocol – from support.microsoft.com
  • MS-RDPBCGR: Remote Desktop Protocol: Basic Connectivity and Graphics Remoting Specification – from Microsoft’s Developer Network

Источник

Представьте: вы сидите с ноутбуком под пальмой, а на экране — рабочий стол из офиса. Благодаря RDP (Remote Desktop Protocol) вы можете подключаться к ��воему компьютеру из любой точки мира — быстро, удобно и безопасно. В этой статье рассказываем, как настроить удалённый доступ, на какие ошибки обратить внимание и как всё сделать правильно с первого раза.

RDP − это проприетарный протокол, разработанный компанией Microsoft, который позволяет через графический интерфейс подключаться к удалённому компьютеру или серверу, работающему на Windows. Данный протокол обеспечивает передачу изображения и звука с одной стороны и управление при помощи сигналов, генерируемых клавиатурой и мышью, с другой. Ключевая задача RDP − поддержка доступа к файлам, каталогам и другим подключённым устройствам, типа принтеров и флеш-накопителей, со стороны обеих рабочих станций, связанных с помощью данного протокола.

Выглядит это следующим образом: пользователь на своём компьютере в определённом приложении указывает адрес удалённой машины, вводит соответствующий логин и пароль, после чего получает на своём мониторе экран удалённого компьютера и управляет им своими мышью и клавиатурой. При этом подключиться к любому компьютеру таким образом вряд ли получится. Подобного рода подключение должно быть разрешено со стороны удалённого узла при помощи определённых настроек.

Как мы уже упомянули выше, RDP является разработкой Microsoft и обеспечивает доступ к удалённым компьютерам, работающим, естественно, на Windows. Нюансы настройки могут отличаться в разных версиях WIndows, но в целом она идентична во всех релизах. Давайте разберём, как можно это сделать на примере сервера, который работает на Windows Server 2022.

Итак, во-первых, машина, которой вы хотите управлять, должна быть доступна по сети с компьютера, предназначенного для управления удалённым узлом. Связность между рассматриваемыми машинами будет достигнута, если сервер и ваш компьютер будут находиться в одной локальной вычислительной сети, например, в пределах сети офиса или предприятия, или если удалённая рабочая станция будет доступна через интернет, имея при этом собственный «белый» IP-адрес.

Для проверки доступности удалённого узла, как правило, используют утилиту ping. Чтобы воспользоваться ей, узнайте IP-адрес сервера или компьютера, к которому вы планируете подключиться, затем на своей рабочей станции нажмите комбинацию клавиш Win-R, введите в открывшееся окошко cmd, нажмите Ok и в командной строке запустите команду ping IP-address. Здесь вместо IP-address необходимо указать IP-адрес удалённой машины. Если она доступна, то вывод команды должен выглядеть примерно как на скриншоте ниже.

Теперь перейдём к нашему серверу, к которому мы хотим подключиться по RDP. На его рабочем столе нажмите комбинацию клавиш Win-X и вы попадёте в так называемое «Меню опытного пользователя» («Power User Menu»), где кликните в пункт «Система». В открывшемся окне «Параметры» выберите пункт «Удалённый рабочий стол» и переведите переключатель «Включить удалённый рабочий стол» в положение «Вкл». В принципе, на этом − всё, можно переходить к компьютеру, с которого мы будем подключаться к удалённому рабочему столу.

В Windows-системах есть встроенное клиентское приложение для подключения к удалённому рабочему столу. Чтобы запустить его, нажмите WIn-R, в открывшейся строке введите mstsc и нажмите Enter. Далее в окне подключения укажите IP-адрес удалённой машины, нажмите «Подключить», затем введите имя и пароль пользователя, и в итоге перед вами откроется рабочий стол вашего сервера.

При этом если кликнуть по стрелочке, раскрывающей дополнительные параметры подключения («Show Options»), можно сделать управление удалённым компьютером более комфортным. Например, во вкладке «Локальные ресурсы» вы можете настроить совместное использование буфера обмена как на локальной, так и на удалённой машине. Там же можно сделать так, чтобы ваш локальный диск отображался среди доступных файловых ресурсов удалённой рабочей станции. Это удобно при необходимости копировать что-либо с локального компьютера на удалённый и наоборот.

При подключении к удалённому рабочему столу могут возникнуть ошибки, мешающие осуществить данный процесс. Например, если учётная запись, с помощью которой вы пытаетесь соединиться с удалённым рабочим столом, не имеет прав для подобного рода подключений, система не допустит входа под именем этого пользователя.

Чтобы это исправить, вернитесь к удалённому серверу, при помощи Win-X перейдите в пункт «Система» и в разделе «Удалённый рабочий стол» кликните «Выберите пользователей, которые могут получить удалённый доступ к этому компьютеру».

Там добавьте в список пользователей учётную запись, с помощью которой вы планируете подключаться к удалённому серверу.

Ещё одной распространённой ошибкой, когда соединение с удалённым узлом никак не может произойти, является отсутствие разрешения на подключение со стороны брандмауэра − межсетевого экрана, защищающего доступ по сети от нежелательных подключений.

В этом случае снова вернитесь к серверу, нажмите Win-X, введите firewall.cpl и кликните ОК. Далее, войдите в «Дополнительные параметры», затем − в «Правила для входящих подключений» и создайте, или найдите и активируйте правила для удалённого рабочего стола.

Таким образом, вы перенесёте подключение по RDP из разряда «нежелательного» в разряд «возможно осуществимого» с точки зрения брандмауэра.

Итак, у вас есть доступ к рабочему столу удалённого компьютера. Как можно это использовать?

Во-первых, вы контролируете удалённую машину, в вашем распоряжении полноценный доступ к графическому интерфейсу Windows. Вы управляете его файлами, папками и приложениями. При наличии полномочий администратора вы контролируете удалённую систему практически полностью. Во-вторых, если удалённый компьютер работает под управлением серверной операционной системы, вы можете осуществлять несколько сеансов RDP одновременно. Ещё у вас есть возможность осуществлять обмен файлами между локальной и удалённой машиной через общий буфер обмена или проброс дисков.

В-третьих, в состав RDP входит ряд механизмов, направленных на защиту данных и предотвращение несанкционированного доступа к удалённой системе. Протокол шифрует весь передаваемый трафик, проверяет подлинность пользователя ещё до установления сессии. Применяя политику безопасности, администратор сервера, в частности, того, на примере которого мы рассматривали настройку подключения, может централизованно настраивать параметры доступа различных пользователей к системе.

Всеми данными преимуществами обладают виртуальные выделенные серверы, работающие на Windows, что позволяет использовать их в качестве узлов, доступ к которым осуществляется именно по RDP. И у этого есть определённые предпосылки, основная из которых это то, что такой сервер доступен в любое время и из любой точки мира, где есть интернет. Поскольку RDP по умолчанию встроен в Windows, и не требует сторонних клиентов, то организация доступа с Windows-компьютера выглядит просто − достаточно IP-адреса удалённого сервера и логина с паролем для подключения к нему. В личном кабинете хостинга RUVDS эти данные находятся на начальной вкладке страницы параметров виртуального сервера.

Более того, на Windows-серверах RUVDS доступ по RDP открыт изначально. Чтобы начать им пользоваться, нужно заказать VPS с любым релизом Windows-системы, и этого будет достаточно.

RDP заслуженно признаётся легкодоступным способом управления компьютером на расстоянии. Применение протокола позволяет организовать на удалённом узле централизованный ресурс для совместного использования в качестве, например, файлового сервера или сервера 1С. Главное при этом − грамотно организовать доступ. Всем удачи!

Источник

Подключение к рабочему столу удаленного хоста возможно несколькими способами. Например, при помощи сторонних приложений вроде UltraVNC. Но наиболее распространенным вариантом применения RDP (Remote Desktop Protocol) считается стандартная утилита Microsoft под простым названием Remote Desktop. В этом материале мы рассмотрим историю появления термина, принципов соединения, защиты данных, передаваемых при помощи протокола.

Rdp Протокол Что Это Такое, Для Чего Используется И Как Работает

Картинка с сайта: timeweb.cloud

Протокол Remote Desktop – детище разработчика софта Microsoft. Он изначально был практически единственным способом удаленного доступа к удаленным хостам или к рабочим местам с ПК администратора. Было еще одно предназначение: подключение к ресурсам более мощного сервера со слабых локальных машин (например, для сложных вычислений). Сегодня протокол RDP – это скорее инструмент для организации удаленных рабочих мест.

Подробнее об истории развития системы:

  1. Впервые протокол стали применять в 1998 году, соответствующую утилиту интегрировали в Windows NT 4.0 Terminal Server.
  2. Программное обеспечение для поддержки RDP Майкрософт продолжает использоваться во всех серверных и настольных системах вплоть до Windows 11/22 Server.
  3. Протокол RDP, несмотря наличие других технологий вроде VNC, остается в Виндовс базовым вариантом доступа к удаленным хостам.

Клиенты существуют практически для всех операционных систем — Linux, FreeBSD, macOS, iOS, Android, Symbian. На сегодняшний день существует версия RDP 10, хотя существующий софт поддерживает и предыдущие релизы. В новых появляются дополнительные функции, например, AutoSize масштабирование, улучшения сжатия графики с использованием кодека H.264/AVC.

Общие характеристики протокола:

  1. Поддерживаются 32 битные цвета и ниже (8, 15, 16, 24 бита).
  2. Защита данных осуществляется со 128-битных шифрованием (алгоритм RC4).
  3. Перенаправление звука, файловой системы, принтера, портов.
  4. Поддержка функции буфера обмена между удаленным и локальным компьютером.

Большую роль в появлении и развитии Remote Desktop сыграл бренд Citrix Systems. Он уже в начале 90-х гг. имел специализацию в сфере методов удаленного доступа к многопользовательским системам. Специалисты этой фирмы создали сетевую систему WinFrame, основанную на Windows NT 3.51. Для этого понадобилось выкупить права на исходный код. Результат – Microsoft уже в 1997 г. заключила контакт с Citrix Systems.

Его основная часть включала использование технологий в обновленном релизе Windows NT 4.0. Попутно компании договорились о том, что Citrix не будет распространять свои продукты, а переключится на создание модулей для платформ Майкрософт. Также проговорили разграничение прав на протоколы. За Citrix сохранился ICA (Independent Computing Architecture), а за Microsoft – RDP, построенный на базе ITU T.120.

Конкуренция между Citrix и Microsoft продолжается. Первая позиционирует себя как разработчик высокопроизводительных систем, хотя в линейке продуктов есть и «облегченные» решения. Вторая со своим Terminal Services вышла вперед на рынке однотипных конфигураций на серверах средней и малой мощности. Но постоянно работает над расширением функционала системы, чтобы охватить еще и сегмент, традиционно занятый такими компаниями, как Citrix.

Преимущества Terminal Services:

  1. Простая установка приложений со стороны клиента.
  2. Обслуживание пользовательских сессий с одного рабочего места.
  3. Работоспособность при активной лицензии Terminal Services.

Продукты Citrix выделяет простое развертывание, доступное управление, понятная политика изменения доступа.

cloud

Устройство сети, работающей на Terminal Services

Продукты Microsoft позволяют применять протокол RDP в двух разных режимах: для коннекта к серверам приложений (Terminal Server Mode) или управления настройками (Remote Administration Mode). Рассмотрим оба варианта.

Режим администрирования

Схему поддерживают все выпущенные релизы ОС Microsoft Windows. Различие касается только количества одновременно поддерживаемых коннектов с удаленными хостами. В локальных релизах это всегда одно – локальный вход или подключение с удаленного хоста. На серверных «ассортимент» побогаче: два сетевых коннекта и один клиент, расположенный локально.

Режим доступа к серверу терминалов

Второй вариант активен только на релизах Windows. Преимущество – нет лимитов на соединения, допускается любое их количество. Недостаток – для применения понадобится купить лицензии и настроить систему. Последний может устанавливаться как выделенный узел или сервер терминалов. Без перечисленного доступ предоставить не получится. Оба режима легко попробовать на облачных серверах Timeweb Cloud.

Принцип работы RDP

Система RDP – прикладной протокол TCP. Сначала компьютеры инициируют подключение. На транспортном уровне после подтверждения коннекта система инициализирует сессию RDP. После удачного завершения процедуры сервер терминалов включает трансляцию изображения рабочего стола и ввод с клавиатуры или мышки. Отображение возможно в виде картинки или отрисовкой графических примитивов.

Система поддерживает одновременную работу нескольких виртуальных каналов внутри одного физического соединения. Это необходимо, чтобы обеспечить работу следующих блоков:

  1. Печать на принтере или обмен данными по последовательному порту.
  2. Работа буфера обмена и иных операций с дисковой подсистемой.
  3. Использование подсистемы воспроизведения-записи звука.

Параметры, каким должны соответствовать создаваемые виртуальные каналы, задаются в начале, еще не этапе установления коннекта с хостом. При инициировании подключения применяют два варианта организации безопасности. Это интегрированная Standard RDP Security и подключаемая Enhanced RDP Security. Рассмотрим их функционал подробнее и разберемся, какими особенностями обладает каждая.

Standard RDP Security

Подход к защите передаваемой информации предполагает аутентификацию, шифрация данных и мониторинг целостности за счет модулей, интегрированных в RDP. В кодировании применяют алгоритм RC4 со сложностью ключа 40-168 бит (зависит от релиза Windows). При создании коннекта система генерирует пару ключей – для шифрации информации, переданной клиентом и сервером.

Процесс аутентификации выглядит так:

  1. Сначала система генерирует пару RSA-ключей.
  2. Затем создает сертификат открытого ключа (Proprietary Certificate).
  3. Его подписывают RSA-ключом, «зашитым» в Windows.
  4. Клиенту передают Proprietary Certificate для доступа к серверу терминалов.
  5. После проверки сертификата передается открытый ключ сервера.

Перечисленные действия активируются после указания аккаунта и его пароля, но только при подтверждении их корректности. Все передаваемые данные проходят проверку на целостность при помощи алгоритма MAC (Message Authentication Code). Он разработан на основе MD5 и SHA1. Есть возможность переключить систему на применение 3DES, ее поддержка появилась в Windows 2003 Server (необходима для соответствия стандарту FIPS).

Enhanced RDP Security

Второй вариант предполагает подключение внешних модулей – это TLS 1.0 и CredSSP. Протокол TLS появился в Windows Server с релиза 2003. Его используют, когда RDP поддерживает клиентская машина. Поэтому перед подключением желательно проверить утилиту – нужен релиз 6.0 или выше. Доступен выбор между генерацией собственного сертификата или использованием имеющегося в системе Windows.

Протокол CredSSP – это комбинированный продукт, совмещающий возможности TLS, Kerberos и NTLM. Преимущества решения:

  1. Разрешение на вход проверяется до завершения коннекта по RDP, такой подход экономит мощности сервера при большом объеме запросов.
  2. Шифрация и идентификация аккаунтов будет осуществляться по стандартам TLS.
  3. Единовременный вход на хост работает на базе Kerberos или NTLM.

Выбрать CredSSP можно при помощи флажка Use Network Level Authentication, доступного во всех ОС начиная с Windows Vista/2008 Server.

Порядок лицензирования Terminal Services

Популярным способом доступа считается «тонкий клиент». Его особенность – это необходимость создания и активации сервера лицензий, без которого система функционировать не будет (возможно подключение через «толстого клиента» или к стандартному рабочему столу, но только в удаленном варианте).

Выдача лицензий осуществляется в двух режимах. Без активации пользователю дают временную лицензию на период текущей сессии или другое лимитированное время. После активации пользователю на сервере выдается «постоянная» лицензия. Процедура выглядит как предоставление цифрового сертификата, подтверждающего легитимность подключаемой рабочей машины.

Типы клиентских лицензий:

  1. Temporary Terminal Server CAL – временная, ограниченная сроком функционирования.
  2. Device Terminal Server CAL – с привязкой к конкретному устройству.
  3. User Terminal Server CAL – привязанная к указанному в настройках пользователю.
  4. External Terminal Server Connector – рассчитанная на внешние подключения.

Рассмотрим варианты подробнее.

Лицензия «по времени»

Выдается пользователю на момент первого коннекта с сервером терминалом. Срок ее действия – 90 календарных дней, независимо от активности клиента. Если второе соединение прошло успешно, сервер попытается оформить на клиентскую машину постоянную лицензию. Обязательно наличие свободных лицензий в серверном хранилище.

Лицензия на компьютер

Вариант, предполагающий работу клиента с конкретного физического устройства. Срок работы лицензии выбирается в диапазоне от 52 до 89 дней. Если до его окончания осталось 7 и менее дней, сервер при любой попытке подключения будет пытаться заменить ее на постоянную. При смене устройства цикл будет запущен с нуля.

Лицензия на пользователя

Наиболее гибкий вариант лицензирования, т.к. позволяет работать с любого устройства, создает комфортные условия для развертывания удаленных рабочих мест. В этом режиме есть особенность – в Terminal Services нет встроенного счетчика подключений. Поэтому при коннекте любого последующего клиента объем доступных лицензий останется прежним.

Это не соответствует правилам Microsoft, но факт есть факт. Если требуется запустить одновременную выдачу лицензий на устройство и на пользователя, надо настроить сервер на первый вариант лицензирования. В комбинированном варианте также не будет счетчика на соединение разных клиентов, ограничить их можно только привязкой к оборудованию.

Лицензия на внешних пользователей

Отдельный тип лицензии для выдачи прав посторонним лицам. Лицензия не ограничивает количество клиентов независимо от оформленного объема, потому что, по соглашению EULA, для их формирования обязателен выделенный сервер. Это ограничивает доступ внешних клиентов к корпоративным сессиям. Популярности такой тип лицензий не заслужил из-за завышенной цены.

Подключение по RDP на macOS

Под операционные системы macOS компания Microsoft выпустила утилиту Remote Desktop, она доступна для скачивания в магазине приложений App Store. Процесс подключения с ней такой же, как и в Windows — сначала вводится IP-адрес сервера или его домен, затем при запросе логин и пароль пользователя, которому предоставлен доступ для удаленного управления.

После запуска возможна выдача сообщения о недоверенном сертификате. Все, что требуется от пользователя, это кликнуть “Показать сертификат” и отметить опцию “Всегда доверять…” После этого система всегда будет осуществлять соединение без дополнительных вопросов.

Подключение к удаленному рабочему столу в Ubuntu

При подключении из Windows к удаленному хосту с установленной системой Ubuntu используют все ту же утилиту Remote Desktop. Единственное, нужно подготовить сервер — установить на него поддержку технологии:

sudo apt install xrdp

После инсталляции запустите сервис:

sudo systemctl status rdp

В обратной ситуации, когда локальная машина работает под управлением Linux, пригодится утилита Remmina. Только в ней надо поменять протокол VNC на RDP. Несмотря на разные системы пользователь работает как в «родной» среде. Также используют клиенты Linux – Gnome Connection, Vinagre, Xfreerdp, Rdesktop.

Процесс установки пакета Remmina:

sudo apt-add-repository ppa:remmina-ppa-team/remmina-next
sudo apt-get update
sudo apt-get install remmina remmina-plugin-rdp libfreerdp-plugins-standard

Подробнее о Remmina и других клиентах мы писали в статье «RDP-клиенты для Linux».

Выводы

Мы завершили рассмотрение протокола RDP, узнали, что это такое и как работает. Остается лишь добавить, что серверу лицензий можно задать одну из двух возможных ролей. Первая предполагает работу в рамках домена или рабочей группы (Domain or Workgroup License Server). Вторая – работу внутри организации (Entire Enterprise License Server).

Выбор влияет на методику сканирования сервера лицензий. В первом случае система ищет его по Active Directory, во втором – через широковещательный запрос NetBIOS (в обоих вариантах корректность будет проверяться через RPC-запрос). Протестировать варианты можно на серверах Timeweb Cloud

Кстати, в официальном канале Timeweb Cloud собрали комьюнити из специалистов, которые говорят про IT-тренды, делятся полезными инструкциями и даже приглашают к себе работать. 

Источник

Информационные технологии стремительно развиваются, предлагая новые инструменты для эффективного взаимодействия с компьютерными системами. Среди них особое место занимает протокол, который позволяет удаленное управление компьютером. Такой подход решает множество задач, связанных с доступом к рабочим файлам и приложениям на удаленном устройстве.

Удаленная работа стала неотъемлемой частью современной профессиональной среды. Основную роль в реализации этой концепции выполняют специализированные протоколы доступа. Они обеспечивают безопасное и удобное подключение к удаленному рабочему месту, что особенно актуально в эпоху дистанционной занятости и глобализации бизнеса.

Благодаря протоколу удаленного доступа, сотрудники могут легко подключаться к своему рабочему компьютеру из любой точки мира. Это позволяет моментально удалять или изменять файлы, запускать тяжелые приложения и администрировать системы без физического присутствия в офисе. Подобные технологии значительно повышают продуктивность и упрощают управление IT-инфраструктурой.

История технологии RDP

Общая идея появления технологии удаленного доступа берет свое начало в стремлении людей управлять вычислительными ресурсами на расстоянии. Эта концепция позволила пользователям находиться далеко от серверов, но при этом получать к ним полноценный доступ, позволяя эффективнее и гибче использовать вычислительные мощности.

Первые попытки создать такую систему восходят к 90-м годам XX века. В это время компании начали разрабатывать протоколы для управления серверами с использованием сетевого соединения. Один из первых протоколов, позволивших осуществить удаленный доступ к настольным системам, был введен компанией Citrix. Он предоставил функциональность, значительно облегчившую жизнь администраторам и пользователям.

Ключевой поворот в развитии удаленных протоколов наступил, когда в конце 1990-х годов корпорация Microsoft представила собственный протокол под названием Remote Desktop Protocol (RDP). Появление этой технологии позволило существенно улучшить работу с удаленными системами благодаря новым возможностям и более высокой производительности.

С каждым годом новый протокол удаленного доступа эволюционировал. Улучшались его параметры безопасности и стабильности, добавлялись функциональные особенности, такие как передача аудио и видео, поддержка различных периферийных устройств. Разработчики активно работали над созданием более плавного и интуитивного взаимодействия с удаленными машинами.

В начале 2000-х годов расцвет технологии удаленного взаимодействия привел к внедрению RDP в широкий спектр продуктов Microsoft, включая операционные системы семейства Windows. Популяризация технологии позволила её использовать не только в корпоративных сетях, но и для личных целей, связанных с доступом к файлам и приложениям на домашнем компьютере из любой точки мира.

Сегодня протокол удаленного доступа продолжает свое развитие. Он позволяет решать множество современных задач, связанных с удалённой работой и администрированием. Постоянные обновления и улучшения делают его одним из наиболее востребованных инструментов для удаленного управления компьютерами и серверами в мире.

Сфера применения RDP

Использование протокола удалённого рабочего стола обладает значительными преимуществами как для индивидуальных пользователей, так и для организаций. Основные области, где применение данной технологии становится особенно актуальным, связаны с управлением и поддержкой рабочих систем, облачным хостингом, а также безопасным доступом к внутренним ресурсам компании.

Управление ИТ-инфраструктурой. Протокол удалённого доступа позволяет ИТ-специалистам осуществлять мониторинг и управление серверами и другими устройствами из любого места. Это обеспечивает оперативное решение технических проблем, обновление программного обеспечения и настройку систем без необходимости физического присутствия на объекте.

Поддержка и обслуживание пользователей. Использование удалённого подключения облегчает техническую поддержку для сотрудников и клиентов, особенно в крупных организациях. Специалист по техподдержке может подключиться к рабочему столу пользователя и устранить неполадки, установив необходимые обновления или проведя диагностику системы.

Облачные вычисления и виртуализация. Благодаря протоколу удалённого рабочего стола компании могут предоставлять доступ к виртуальным рабочим местам. Это позволяет сотрудникам работать с ресурсами компании из различных географических точек, используя минимальные аппаратные ресурсы на стороне клиента.

Безопасность и доступность. Протокол обеспечивает высокий уровень защиты данных при удалённых соединениях. Это важно для организаций, стремящихся обеспечить безопасность информации, особенно в условиях увеличения числа удалённых сотрудников. Применение двухфакторной аутентификации и шифрования данных усиливает защиту конфиденциальной информации.

Таким образом, технология удалённого рабочего стола находит применение в самых разных областях, где требуется эффективное и безопасное управление системами и ресурсами как внутри организации, так и за её пределами.

Преимущества использования протокола удалённого рабочего стола

Протокол удалённого рабочего стола предоставляет множество возможностей, позволяя пользователям и администраторам наращивать производительность и облегчать управление. Этот механизм выгодно отличается рядом преимуществ, которые делают его популярным инструментом для предоставления доступу к удалённым системам.

  • Удобство и комфорт работы: Используя удалённый протокол, сотрудники получают доступ к своему рабочему окружению с любого устройства. Им не нужно находиться в офисе, чтобы выполнять повседневные задачи – достаточно лишь иметь подключение к интернету. Это особенно актуально для работающих в условиях удалёнки или гибридного графика.
  • Снижение затрат: Администраторы могут централизованно управлять ресурсами без необходимости физически перемещаться к каждому устройству. Это позволяет сократить затраты на обслуживание и техническую поддержку, сократив расходы на транспорт и оптимизируя использование человеческих ресурсов.
  • Обеспечение безопасности: Протокол обеспечивает зашифрованное соединение между пользователем и сервером, защищая данные от несанкционированного доступа. Это важно для организаций, работающих с конфиденциальной информацией, так как способствует соблюдению политики информационной безопасности.
  • Масштабируемость и гибкость: Удалённый протокол позволяет легко масштабировать количество пользователей и рабочих станций по мере роста компании. Он гибко адаптируется к изменяющимся потребностям бизнеса, поддерживая динамичное развитие и модернизацию инфраструктуры.
  • Повышение доступности: Предоставление пользователям постоянного доступа к своим рабочим приложениям и данным вне зависимости от их местоположения. Это особенно важно в условиях, когда требуется быстрое реагирование на критические ситуации или поддержание непрерывности бизнес-процессов.

Эти преимущества делают использование удалённых протоколов привлекательным решением для многих организаций, стремящихся к улучшению управляемости и повышению эффективности своих процессов.

Настройка RDP на Windows

Процесс настройки удаленного рабочего стола на Windows позволяет получить доступ к компьютеру или серверу из любого места. Это особенно важно для администраторов и пользователей, которым необходимо работать с ресурсами и данными на удалённых системах.

Для начала необходимо включить поддержку протокола удаленного рабочего стола. Это делается через панель управления. Перейдите в раздел Система и безопасность, а затем в Система. Здесь выберите Удалённый доступ, где можно разрешить подключение к данному компьютеру с использованием Remote Desktop Protocol (RDP).

После включения поддержки RDP, вам нужно настроить параметры безопасности. Убедитесь, что включен фаервол, и добавьте порт 3389 в исключения, чтобы разрешить трафик по этому порту. Это стандартный порт для RDP. Для дополнительной защиты можно использовать VPN или другие методы шифрования.

Далее необходимо настроить права доступа. В разделе Удалённый доступ выберите пользователей, которым будет позволено подключаться к системе. Это можно сделать через кнопку Выбрать пользователей. Добавьте нужных пользователей и установите соответствующие права доступа.

Для подключения к компьютеру с другой системы, откройте программу Remote Desktop Connection. Введите IP-адрес или имя хоста удалённой машины. После ввода учетных данных начнётся сеанс подключения, и вы сможете управлять системной конфигурацией, а также удалять или добавлять файлы в удалённой системе.

Настройка RDP на Windows может быть завершена изменением дополнительных параметров, таких как возможность перезапуска системы удаленно, настройка разрешения экрана и передача локальных ресурсов. Эти параметры можно найти в настройках подключения к удаленному рабочему столу перед началом сеанса.

Таким образом, благодаря правильно настроенному Remote Desktop Protocol, можно эффективно управлять удалёнными ресурсами и безопасно подключаться к системам на базе Windows.

Безопасность работы с RDP

Шифрование данных: Одним из самых важных методов защиты является использование современных методов шифрования. Протокол поддерживает шифрование потока данных, что предотвращает перехват информации злоумышленниками. Актуальные версии протокола используют продвинутые криптографические алгоритмы, значительно повышающие уровень безопасности передачи данных.

Аутентификация и авторизация: Крайне важно использовать надежные формы аутентификации, такие как двухфакторная аутентификация (2FA). Это добавляет дополнительный уровень защиты, требуя не только пароль, но и одноразовый код. Разграничение прав доступа и установка строго определенных уровней привилегий для пользователей также снижают риски несанкционированного доступа.

Мониторинг и журналирование: Постоянный мониторинг сессий удаленного доступа позволяет быстрее выявить подозрительную активность. Важным шагом является журналирование всех событий, связанных с RDP-подключениями. Эти логи помогают в анализе инцидентов и укреплении общей системы безопасности.

Обновление программного обеспечения: Регулярное обновление системы и всех приложений, использующих протокол, минимизирует вероятность использования уязвимостей. Производители программного обеспечения регулярно выпускают патчи и обновления, закрывающие обнаруженные дыры в безопасности.

Настройка брандмауэра: Ограничение доступа к порту, используемому протоколом, с помощью брандмауэра помогает уменьшить риск атак. Можно настроить брандмауэр таким образом, чтобы доступ к удаленному рабочему столу был возможен только с определенных IP-адресов.

Ограничение количества неудачных попыток входа: Для предотвращения атак методом перебора паролей следует настроить ограничение на количество неудачных попыток входа. Это временно блокирует учетную запись или IP-адрес злоумышленника после нескольких неправильных попыток ввода пароля.

Эти меры обеспечат высокий уровень безопасности при использовании Remote Desktop Protocol и помогут защитить удаленные системы от киберугроз. Внедрение комплексных решений и постоянный анализ структуры сети являются ключевыми элементами эффективной стратегии ИТ-безопасности.

Популярные альтернативы RDP

В сегодняшнем мире современных технологий существует множество вариантов для удаленного доступа к компьютерам и серверам. Эти решения предназначены для различных целей: от удаленной технической поддержки до работы с удаленными ресурсами.

  • VNC (Virtual Network Computing): Этот протокол для удаленного доступа позволяет управлять рабочими столами целиком и полностью. Поддерживает кроссплатформенную работу, что делает его удобным для использования на различных операционных системах.
  • TeamViewer: Очень популярный сервис для удаленного управления компьютерами. Обладает множеством функций, включая передачу файлов и поддержку видеозвонков. Отличается простотой настройки и использования.
  • AnyDesk: Еще одна мощная альтернатива для удаленного доступа к рабочему столу. Понятный интерфейс и высокая быстрота передачи данных делают его отличным выбором для работы с интенсивными графическими приложениями и использованием программ на удаленных ПК.
  • Chrome Remote Desktop: Инструмент от Google для дистанционного управления компьютерами через браузер Chrome. Простой и интуитивно понятный интерфейс делает его доступным даже для неопытных пользователей.
  • NoMachine: Высокопроизводительное решение с поддержкой практически всех операционных систем. Предлагает функции перенаправления звука, работы с USB-устройствами и возможность адаптации к различным интернет-каналам для минимизации задержек.

Каждое из этих средств имеет свои уникальные особенности и может быть использовано для решения определенных задач при удаленном подключении. Независимо от конкретного выбора, все они надежны и эффективны в работе.

Источник

Понравилась статья? Поделить с друзьями:
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
  • Hp m1132 mfp драйвер windows 7 x32
  • Что значит oem лицензия windows
  • Get pc health check app windows 11
  • Как зайти в центр мобильности windows
  • Как войти в систему под администратором windows 10