Remote Desktop Protocol

  • Biztonsági alrendszer Work Remote Desktop
  • A formátum cseréje szolgáltatási információk a RDP
  • Sérülékenységek Terminal Server és hogyan lehet legyőzni őket
  • Válogatás a számlák RDP felhasználói fiókok Protocol (fejlődésének pozitív Technologies a szakmában)

Jelenleg a fő közötti verseny Citrix és a Microsoft tört ki az alkalmazás szerver a kis- és közepes méretű vállalkozások számára. Hagyományosan alapuló megoldások Terminal Services haszon rendszerek nem egy nagyon nagy számú szerverek az azonos típusú és hasonló konfigurációban, míg a Citrix Systems megszilárdította a piacon, a komplex és nagy teljesítményű rendszereket. Verseny fűtött kérdése könnyű megoldások kis rendszerek Citrix és a folyamatos bővítése Terminal Services funkcionalitás a Microsoft. [11]

Tekintsük az előnyöket ezek a megoldások.

Erősségek Terminal Services:

  • Könnyen telepíthető alkalmazások kliens oldalon az alkalmazás szerver
  • Központosított karbantartási felhasználói munkamenetek
  • Annak szükségességét, hogy az engedély csak a Terminal Services

Citrix megoldások Erősségek:

  • Könnyű skálázhatóság
  • Egyszerű adminisztráció és ellenőrzés
  • Hozzáférés-ellenőrzési politika
  • Támogatás külső fejlesztők a vállalati termékek (IBM WebSphere, BEA WebLogic)

A Microsoft azt javasolja, két felhasználási módjai az RDP protokoll:

  • adagolás (távfelügyeleti módja)
  • hozzáférés az alkalmazás szerver (Terminal Server módban)

RDP adminisztratív módban

Remote Desktop Protocol

RDP a terminál szerver hozzáférési mód

Remote Desktop Protocol

Ez az üzemmód csak akkor érhető el szerver Windows-verziók. A számos távoli kapcsolatok ebben az esetben nem korlátozott, de ehhez licenckiszolgálóként beállítása (License szerver), és ezt követő aktiválását. A licenc szerver lehet telepíteni a terminál szerver, és egy külön hálózati csomópont. Távoli hozzáférés egy terminál szerver nyit csak telepítése után a megfelelő engedélyt licenc szerver.

Remote Desktop egy olyan alkalmazás protokoll alapján a TCP. Miután a kapcsolat kezdeményezése RDP- ülésén a szállítási réteg, amelyben a különböző konzisztens adatátvitel paramétereit. A sikeres befejezése az inicializálási fázisban a terminál szerver elkezdi adni a kliens grafikus teljesítmény és megvárja bemenet a billentyűzet és az egér. Mivel a grafikus kimenet működhet egy másolata a grafikus képernyő, továbbítani a képet, és a csapat a rajz grafikus primitívek (téglalap, vonal, ellipszis, szöveg, stb.) O átviteli a primitívek egyik prioritása az RDP protokoll, mivel menti forgalom; és a kép kerül továbbításra, ha a másik nem lehetséges valamilyen okból (nem tudtak megállapodni a paramétereket a sebességváltó primitívek telepítésekor RDP-session). RDP- kliens feldolgozza a parancsokat, és megjeleníti egy képet a grafikus alrendszer. Az alapértelmezett felhasználói által továbbított billentyűzet szkennelési kódokat. lenyomásával és elengedésével jelet a külön-külön egy különleges zászlót. [1] [2]

RDP támogatja a több virtuális csatornák belül egyetlen vegyület, amely felhasználható, hogy további funkciókat:

  • A nyomtató vagy a soros porton
  • fájlrendszer átirányítása
  • támogatást nyújtanak a vágólap
  • használható audio alrendszer

Jellemzői virtuális csatornák illeszkedik a kapcsolat létrehozása közben.

Biztonsági ha RDP

Remote Desktop Protocol

RDP protokoll specifikáció előírja a használatát két lehetőség közül a biztonság:

  • Normál RDP Security (beágyazott biztonsági alrendszer)
  • Enhanced RDP Security (külső biztonsági alrendszer)

Ezzel a megközelítéssel, hitelesítés, titkosítás és integritását végrehajtása útján megállapított RDP- protokollt. [1]

hitelesítés

Szerver hitelesítés az alábbiak szerint végezzük:

  1. A rendszer indításakor kulcspár generálódik RSA-
  2. Készítsen Certificate (Saját bizonyítvány) Public Key
  3. A tanúsítvány aláírása RSA- gombot varrt az operációs rendszer (vagy RDP -client a nyilvános kulcsot tartalmazza a legfontosabb beágyazott RSA-). [12]
  4. Az ügyfél csatlakozik a terminál szerver és kap Saját bizonyítvány
  5. Az ügyfél ellenőrzi a tanúsítványt, és megkapja a szerver nyilvános kulcsával (ez a kulcs használható a jövőben, hogy megfeleljen a biztonsági beállításokat)

Az ügyfél hitelesítése végezzük, amikor belép egy felhasználói nevet és jelszót.

titkosítás

Mint egy titkosító algoritmus kiválasztott rejtjelfolyam RC4. Attól függően, hogy az operációs rendszer verzióját használhatja a különböző kulcshosszúságú 40 és 168 bit.

A kulcs maximális hossza az operációs rendszerek Winodws:

Ha létrejön a kapcsolat egyeztetést követően hossza generált két különböző kulccsal: titkosítási adatokat a kliens és a szerver.

becsületesség

üzenet sértetlenségét érjük el egy algoritmus generál MAC (Message Authentication Code) alapján MD5 és SHA1 algoritmussal.

Ez a megközelítés használja a külső biztonsági modulok:

Ha TLS kiszolgáló tanúsítványt lehet előállítani útján Terminal Sercives vagy válasszon ki egy meglévő tanúsítványt a Windows Store. [13] [16]

CredSSP protokoll TLS funkcionális kombinációban, Kerberos és NTLM.

Tekintsük az alapvető méltóságát CredSSP protokoll:

Amikor RDP elérni a vékony kliens alkalmazások az üzemmód beállítás igényel dedikált szerver licenc.

Remote Desktop Protocol

Állandó kliens licencek lehet telepíteni a szerver csak az aktiválási folyamat után, mielőtt az átjáró lehet kiadni az ideiglenes engedélyeket, korlátozottak. Az aktiválást követően az engedély szerver digitális igazolást a tulajdonosi és a hitelesség. Ezzel a bizonyítvány, a jogosítvány, szerver elvégzi a következő tranzakciók Microsoft adategyeztető adatbázis és fogadja az állandó CAL-okat Terminal Server. [6]

Típusú CAL licencet:

  • az ideiglenes engedély (Temporary Terminal Server CAL)
  • engedély „egy eszköz» (Device Terminal Server CAL)
  • engedély „per user» (Felhasználói Terminal Server CAL)
  • Licenc külső felhasználók számára (külső Terminal Server Connector)

Ez a fajta engedély kiadásakor az ügyfél, amikor először csatlakozik egy terminál szerver, érvényességét az engedély 90 nap. Miután sikeresen belépett az ügyfél továbbra is együttműködik az ideiglenes működési engedély, és a következő alkalommal csatlakozik a terminál szerver próbálja meg helyettesíteni az ideiglenes engedély állandó, ha rendelkezésre áll a tárolóban.

„Per eszköz” licenc

Ez engedélyt kell kiadni az egyes fizikai eszköz, amely összeköti az alkalmazás szerver. Az engedély érvényessége van beállítva véletlenszerűen intervallumban 52-89 napig. 7 nap letelte előtt a terminál kiszolgáló megpróbálja megújítani a licencet a licenc szerver minden új ügyfél kapcsolatot.

„Per felhasználó” licenc

Licensing „a felhasználó” további rugalmasságot nyújt, lehetővé téve a felhasználóknak, hogy csatlakozni a különböző eszközöket. A jelenlegi végrehajtása Terminal Services nem ellenőrző eszközök használata felhasználói licenccel, azaz a rendelkezésre álló engedélyek a licencszerveren nem csökken, ha az új felhasználók számára. A használata nem elegendő számú engedélyek klienskapcsolatokat sérti a licencszerződést a Microsoft. Ahhoz, hogy használni mind ugyanabban a terminál szerver ügyfél-hozzáférési engedélyek eszközök és a felhasználók számára, a kiszolgálót úgy kell beállítani, hogy a munka engedélyezési üzemmódban „a felhasználó számára.”

Az engedélyt a külső felhasználók számára

Ez egy különleges típusú engedély, csatlakozó külső felhasználók számára, hogy a vállalati terminál szerver. Ez a licenc nem korlátozhatja a kapcsolatok száma szerint azonban a felhasználó (EULA), akkor a szerver a külső kapcsolatokat kell kiválasztani, amely nem engedi meg annak használatát szervizelése ülésein a vállalati felhasználók számára. Mivel a magas ár az ilyen típusú engedély nem alkalmazzák széles körben.

az egyik a két szerep lehet állítani az engedély szerver:

  • A licenc szerver a tartomány vagy munkacsoport (Tartomány vagy munkacsoport License szerver)
  • vállalati licenc szerver (teljes Enterprise Server License)

Szerepek módjában különböznek az engedély szerver felfedezés: a szerepe Enterprise terminál szerver kikeresi licenckiszolgálókat a ActiveDirectoryba könyvtár, különben a keresési végezzük sugárzott NetBIOS- kérelmet. Mindegyik talált a szerver segítségével validált RPC lekérése. [8] [9]

Megoldások alkalmazás szerverek aktívan támogatni a Microsoft, bővített funkciókkal rendelkezik, további modulok kerülnek bevezetésre. A legfejlettebb technológiát, hogy egyszerűsítse az alkalmazások telepítésére és alkatrészek, amelyek felelősek a munkát a terminál szerver egy WAN hálózat. [5]

  • Terminal Services Nyomtatás - lehetővé teszi, hogy az ügyfél nyomtató nyomtatni alkalmazásokból a terminál szerver.
  • Terminal Services RemoteApp - hozzáférést biztosít bármely alkalmazás segítségével Terminal Services. A felhasználó számára, ebben az esetben a terminál szerver lesz teljesen átlátszó.
  • Terminal Services Web Access - lehetővé teszi az ügyfeleknek, hogy csatlakozzon egy RemoteApp program egy szabványos böngésző. A szerepe a hidat a RemoteApp áll webszerver.
  • Terminal Services Gateway - ez a technológia szervezi RDP munkája során kialakult kapcsolat HTTPS-. TS Gateway lehetővé teszi a távoli felhasználók számára, hogy csatlakozzon az alkalmazás szerver egy regionális hálózat vagy az internet segítségével egy biztonságos SSL- alagút és minimális hálózati eszközök konfigurációját.
  • Terminal Services Session Broker - lehetővé teszi, hogy megszervezzék a felhasználók, szerver platformok segítségével hálózati terheléselosztás.

Kapcsolódó cikkek