RDP (Remote Desktop Protocol) — Национальная библиотека им. Н. Э. Баумана

Enhanced rdp security

В данном подходе используются внешние модули обеспечения безопасности:

Протокол TLS можно использовать, начиная с версии Windows 2003 Server, но только если его поддерживает RDP- клиент. Поддержка TLS добавлена, начиная с RDP -клиента версии 6.0.

При использовании TLS сертификат сервера можно генерировать средствами Terminal Sercives или выбирать существующий сертификат из хранилища Windows. [13][16]

Протокол CredSSP представляет собой совмещение функционала TLS, Kerberos и NTLM.

Рассмотрим основные достоинства протокола CredSSP:

  • Проверка разрешения на вход в удаленную систему до установки полноценного RDP- соединения, что позволяет экономить ресурсы сервера терминалов при большом количестве подключений
  • Надежная аутентификация и шифрование по протоколу TLS
  • Использование однократного входа в систему (Single Sign On ) при помощи Kerberos или NTLM

Возможности CredSSP можно использовать только в операционных системах Windows Vista и Windows 2008 Server. Данный протокол включается флагом Use Network Level Authentication в настройках сервера терминалов (Windows 2008 Server) или в настройках удаленного доступа (Windows Vista). [14]

Standard rdp security

При данном подходе аутентификация, шифрование и обеспечение целостности реализуется средствами, заложенными в RDP- протокол. [1]

Аутентификация

Аутентификация сервера выполняется следующим образом:

  1. При старте системы генерируется пара RSA- ключей
  2. Создается сертификат (Proprietary Certificate) открытого ключа
  3. Сертификат подписывается RSA- ключом, зашитым в операционную систему (любой RDP -клиент содержит открытый ключ данного встроенного RSA- ключа). [12]
  4. Клиент подключается к серверу терминалов и получает Proprietary Certificate
  5. Клиент проверяет сертификат и получает открытый ключ сервера (данный ключ используется в дальнейшем для согласования параметров шифрования)

Аутентификация клиента проводится при вводе имени пользователя и пароля.

Балансировка сетевой нагрузки

RDP использует преимущества балансировки сетевой нагрузки (NLB), если таковые имеются.

Кроме того, RDP содержит следующие функции:

  • Поддержка 24-битного цвета.
  • Улучшенную производительность по коммутируемым низкоскоростных соединений за счет уменьшения пропускной способности.
  • Smart Card аутентификацию с помощью служб удаленных рабочих столов.
  • Перехват клавиатуры. Способность направлять специальные комбинации клавиш Windows, в полноэкранном режиме, на локальном компьютере или на удаленном компьютере.
  • Перенаправление звука, портов, дисков и сетевого принтера. Звуки, которые воспроизводятся на удаленном компьютере можно услышать на клиентском компьютере под управлением RDC клиента, а также локальные диски клиента будут видны удаленному рабочему столу.
Предлагаем ознакомиться  Компьютерные вирусы. Типы, виды, пути заражения

Виртуальные каналы

Используя RDP архитектуру виртуального канала, уже существующие приложения могут быть дополнены и новые приложения могут быть разработаны таким образом, чтобы было возможно добавлять новые функции, которые требуют обмена данными между клиентским устройством и приложением, работающим в удаленном сеансе рабочего стола.

Использование буфера обмена

Пользователи могут удалять, копировать и вставлять текст и графику между приложениями, запущенными на локальном компьютере, работающими в удаленном сеансе рабочего стола, и находящимися в разных сессиях.

История появления rdp

Протокол Remote Desktop создан компанией Microsoft для обеспечения удаленного доступа к серверам и рабочим станциям Windows. Протокол RDP рассчитан на использование ресурсов высокопроизводительного сервера терминалов многими менее производительными рабочими станциями. Впервые сервер терминалов (версия 4.0)

появился в 1998 году в составе Windows NT 4.0 Terminal Server, на момент написания статьи (январь 2009 года) последней версией терминального сервера является версия 6.1, включенная в дистрибутивы Windows 2008 Server и Windows Vista SP1. В настоящее время RDP является основным протоколом удаленного доступа для систем семейства Windows, а клиентские приложения существуют как для OC от Microsoft, так и для Linux, FreeBSD, MAC OS X и др.

Говоря об истории появления RDP, нельзя не упомянуть компанию Citrix. Citrix Systems в 1990-х годах специализировалась на многопользовательских системах и технологиях удаленного доступа. После приобретения лицензии на исходные коды Windows NT 3.51 в 1995 году эта компания выпустила многопользовательскую версию Windows NT, известную как WinFrame.

В 1997 году Citrix Systems и Microsoft заключили договор, по которому многопользовательская среда Windows NT 4.0 базировалась на технологических разработках Citrix. В свою очередь Citrix Systems отказалась от распространения полноценной операционной системы и получала право на разработку и реализацию расширений для продуктов Microsoft.

Предлагаем ознакомиться  Биос батарейка в компьютере

В настоящее время основная конкурентная борьба между Citrix и Microsoft разгорелась в области серверов приложений для малого и среднего бизнеса. Традиционно решения на базе Terminal Services выигрывают в системах с не очень большим количеством однотипных серверов и схожих конфигураций, в то время как Citrix Systems прочно обосновалась на рынке сложных и высокопроизводительных систем.

Рассмотрим преимущества этих решений.

Сильные стороны Terminal Services:

  • Простота установки приложений для клиентской части сервера приложений
  • Централизованное обслуживание сессий пользователя
  • Необходимость наличия лицензии только на Terminal Services

Сильные стороны решений Citrix:

  • Простота масштабирования
  • Удобство администрирования и мониторинга
  • Политика разграничение доступа
  • Поддержка корпоративных продуктов сторонних разработчиков (IBM WebSphere, BEA WebLogic)

Особенности

Microsoft RDP включает в себя следующие особенности и возможности:

Отключение

Пользователь может вручную отключиться от сеанса удаленного рабочего стола без выхода из системы. Пользователь автоматически переподключается к отключенному сеансу, когда он снова входит в систему, либо из того же самого устройства или из другого устройства. Когда сеанс пользователя неожиданно завершается сбоем сети или клиента, пользователь отключается, но выход из системы не происходит.

Перенаправление печати

Приложения, работающие в рамках сеанса удаленного рабочего стола, могут использовать для печати принтер, подключенный к устройству клиента.

Резюме

Простой комплект утилит для удаленного соединения, без выбора протокола соединения, однако предельно понятный в установке и настройке. По существу, не хватает кроссплатформенности и удобного интерфейса для одновременной работы с несколькими устройствами.

[ ] Удаленная установка и обновление в удаленном режиме[ ] Наличие базовых настроек для RDP[ ] Работа по локальной и сети Интернет[ ] Бесплатность (при некоммерческом использовании)

Удаленное управление

Пользователь получает в распоряжение уникальный ID, для идентификации компьютера в сети, и временный пароль. Также, используя ID партнера (опционально — IP-адрес) и зная его пароль, можно установить подключение к удаленном устройству.

Предлагаем ознакомиться  Не включается компьютер черный экран

Доступны три режима подключения:

  • Удаленное управление: удаленное управление устройством или совместная работа на одном компьютере
    Все действия производятся на другом компьютере через окно удаленного управления. При этом, возможна смена разрешения и масштабирование, переключение между активными мониторами и другие опции.
  • Передача файлов: обмен файлами во время сеанса
    Для обмена данными в TeamViewer используется двухпанельный файловый менеджер, в котором доступны ресурсы хоста и клиента и основные файловые операции для работы с ними, как то: создание папок, удаление, копирование и др.
  • VPN: режим виртуальной сети
    Между компьютерами можно установить виртуальную частную сеть для предоставления общего доступа к устройствам (принтеры, съемные носители и др.).

Функции уменьшения полосы пропускания

RDP поддерживает различные механизмы, позволяющие уменьшить объем данных, передаваемых по сети. Механизмы включают в себя сжатие данных, постоянное кэширование растровых изображений, и кэширование пиктограмм и фрагментов в оперативной памяти. Постоянный кэш растрового изображения может обеспечить существенное улучшение производительности в условиях низкой пропускной способности, особенно при запуске приложений, которым необходимо широкое использование больших растровых изображений.

Целостность

Целостность сообщения достигается применением алгоритма генерации MAC (Message Authentication Code) на базе алгоритмов MD5 и SHA1.

Начиная с Windows 2003 Server, для обеспечения совместимости с требованиями стандарта FIPS (Federal Information Processing Standard) 140-1 возможно использование алгоритма 3DES для шифрования сообщений и алгоритма генерации MAC, использующего только SHA1, для обеспечения целостности. [15]

Шифрование

В качестве алгоритма шифрования выбран потоковый шифр RC4. В зависимости от версии операционной системы доступны различные длины ключа от 40 до 168 бит.

Максимальная длина ключа для операционных систем Winodws:

  • Windows 2000 Server – 56 бит
  • Windows XP, Windows 2003 Server – 128 бит
  • Windows Vista, Windows 2008 Server – 168 бит

При установке соединения после согласования длины генерируется два различных ключа: для шифрования данных от клиента и от сервера.

Оцените статью
Техничка
Adblock detector