Настройки протокола RDP

Настройка протокола RDP осуществляется в оснастке «Terminal Services Configuration» (рис. 6.15). Основная цель данных настроек состоит в установ- ке требования ввода пароля при регистрации и запрещении использования ре- сурсов рабочей станции, включая буфер обмена, принтеры и накопители.

Как уже отмечалось выше, терминальный сервер поддерживает шифро-

вание трафика. За  настройки шифрования отвечает раздел «General» (рис.

6.16), все настройки в этом разделе можно оставить по умолчанию.

Рис. 6.15.  Фрагмент окна настройки протокола RDP

Рис. 6.16.  Раздел «General»

В разделе «Logon Settings» необходимо включить требование ввода па- роля при регистрации — «Always prompt for password». Исходя из предполо- жения, что все пользователи будут работать со своими учетными записями, включается параметр «Use client-provided logon information».

В связи с тем, что не предполагается ограничений по длительности се- анса терминального доступа, в разделе «Sessions» следует оставить отключен- ные по умолчанию параметры «Override user settings» (рис. 6.17).

Для каждого пользователя терминального доступа возможна установка собственной программы для автоматического запуска. Это может быть вы- полнено путем изменения свойств пользователя в оснастке «Пользователи и

группы». В тех случаях, когда в свойствах пользователя какая-либо опреде- ленная программа не будет назначена, в окне терминала пользователю будет доступен его Рабочий стол (Desktop). В разделе «Environment» рекомендуется

установить пункт «Run initial program specified by user profile and Remote Desk- top Connections or Terminal Services client».

В связи с тем, что в окне терминального доступа не требуется установка дополнительного контроля действий пользователя, в разделе «Remote Control»

рекомендуется установить пункт «Do not allow remote control».

Рис. 6.17.  Рекомендуемые установки раздела «Sessions»

В разделе «Client Settings» (рис. 6.18) обязательно должны быть вклю- чены запреты использования ресурсов рабочей станции, так как при их от- ключении будет нарушена вся настраиваемая  политика безопасности. Кроме того, при их отключении появляется возможность внедрения на сервер вредо- носных программ. Обязательно должны быть установлены запреты на:

?     использование   совместного   буфера   обмена   (параметр   «Clipboard mapping»);

?    подключение  локальных  дисков  рабочей  станции    (параметр  «Drive mapping»);

?    использование принтеров рабочей станции (параметры «Windows printer mapping» и «LPT port mapping»);

?    использование  звуковой  карты  рабочей  станции  (параметр  «Audio

mapping») не влияет на политику безопасности, однако может существенно увеличить сетевой трафик и загруженность сервера при прослушивании поль- зователями звуковых файлов, поэтому в целях повышения производительно- сти сервера терминального доступа данный параметр также рекомендуется отключить.

Рис. 6.18.  Рекомендуемые установки раздела «Client Settings»

Дополнительно должен быть отключен параметр, позволяющий клиенту терминального доступа самостоятельно настраивать возможность подключе- ния локальных принтеров (должен быть снят параметр «Use connection seings from user settings»).

В  качестве дополнительной меры, повышающей производительность,

предлагается  ограничить  параметры  видеоизображения  (параметр  «Limit

Maxium Color Depth») глубиной 16 бит.

При количестве пользователей, не превышающем 30, применяется ма-

лая часть пропускной способности канала, и с этой точки зрения количество разрешенных подключений не имеет принципиального значения. Однако под

каждое соединение система выделяет некоторые ресурсы, кроме того, система для ускорения подключения пользователей к терминальному серверу поддер-

живает два резервных соединения (т.е. инициализированную среду).  Поэтому в целях экономии системных ресурсов желательно установить максимальное количество подключений, равное числу машин, с которых осуществляется ра-

бота  с  терминальным  сервером.  Это  значение  устанавливается  в  разделе

«Network Adapter» (рис. 6.19).

Рис. 6.19.  Рекомендуемые установки раздела «Network Adapter»

Установленные    по    умолчанию    разрешения    доступа    в    разделе

«Permissions» (рис. 6.20), позволяющие осуществлять доступ к терминальной службе для группы администраторов, необходимо изменить, разрешив доступ

лишь для группы «Remote Desktop Users» с правом User access. В списке дос- тупа необходимо установить две записи: для группы «Remote Desktop Users» и для  учетной  записи  «SYSTEM»  (рис.  6.21).  Для  группы  «Remote  Desktop Users»   необходимо   установить   минимально   необходимые   права:   Query

Information, Logon, Connect (рис. 6.22). Для учетной записи «SYSTEM» необ- ходимо установить минимально необходимые права: Query Information, Set Information, Remote Control (рис. 6.23).

Рис. 6.20.  Установки раздела «Permissions» по умолчанию

Рис. 6.21.  Рекомендуемый список доступа

Рис. 6.22.  Разрешения доступа группы «Remote Desktop Users»

Рис. 6.23.  Разрешения доступа учетной записи «SYSTEM»

В разделе «Server Settings» оснастки «Terminal Services Configuration» рекомендуется установить значения параметров, приведенные на рис. 6.24. В частности, рекомендуется ограничить  каждого  пользователя единственным сеансом работы, установив параметр «Restrict each user to one session». Ука- занное ограничение не даст возможности подключаться к серверу от имени уже работающего пользователя.

Рис. 6.24.  Рекомендуемые установки раздела «Server Settings»

Рис. 6.25.  Отключение пиктограммы свойств сетевого подключения

В связи с тем, что изображение обновленного экрана передается серве- ром MSTS каждый раз после изменений содержимого окон и рабочего стола пользователей, то с рабочего стола и из панели задач рекомендуется удалить все пиктограммы, изображение которых меняется с течением времени. В ча- стности, обязательно необходимо удалить пиктограмму, отображающую со- стояние сетевого подключения. Данная пиктограмма обновляется при получе- нии/отправке сетевых пакетов. Отправка изменения содержимого экрана, вы- полняемая MSTS, является причиной обновления данной пиктограммы, что, в свою очередь, приводит к отправке изменения содержимого окна. Таким обра- зом, наличие данной пиктограммы приводит к генерации ненужного сетевого трафика. Для удаления пиктограммы необходимо в свойствах подключения по локальной сети отключить параметр «При подключении вывести значок в об- ласти уведомлений» (рис. 6.25).

ВЫПОЛНИТЬ!

1.   Настроить виртуальную сеть между основной ОС и виртуальной машиной Windows Server 2003 таким образом, чтобы существовала возможность се- тевого доступа к ресурсам Windows Server 2003. Для этого в свойствах се- тевого адаптера виртуальной машины установить  возможность прямого соединения (Bridged).

2.   Добавить в ОС Windows Server 2003 службу MSTS. Для этого установить компоненты Terminal Server и Terminal Server Licensing (Control Panel ? Add or Remove Programs ? Add/Remove Windows Components). В процес-

се установки понадобится дистрибутив ОС Windows Server 2003.

3.   Разрешить     сетевой     доступ     к     каталогу     «C:\Windows\System32\

clients\tsclient», содержащему установочный комплект клиента MSTS. В

основной ОС установить программу-клиента MSTS из данного каталога.

4.   С использованием установленного клиента MSTS выполнить подключе-

ние к серверу терминального доступа, указав в параметрах подключения его IP-адрес, имя и пароль учетной записи администратора сервера.

5.   Открыть в терминальном окне произвольный текстовый документ, убе-

диться в возможности копирования его содержимого на диски основной

ОС.

6.   Разорвать терминальное соединение, выполнив в терминальном окне ко-

манду Start ? Logoff…

7.   Выполнив команду netstat -aon, получить перечень открытых сервером се-

тевых портов.

8.   Выполнить настройки ОС Windows Server 2003, последовательно  отклю- чив сетевые службы, функционирующие по умолчанию (см. п. 6.2.1), за исключением службы Terminal Services.

9.   Повторно выполнив команду netstat -aon,  проанализировать перечень ос-

тавшихся открытых сетевых портов.

10. Активизировать в ОС Windows Server 2003 программу «Брандмауэр Win- dows» (Windows Firewall). Выполнить настройки, запрещающие использо- вание всех портов за исключением TCP-порта 3389 (см. п. 6.2.1).

11. Из основной ОС с использованием сетевого сканера nmap убедиться в не-

возможности подключения к сетевым ресурсам ОС Windows Server 2003

за исключением TCP-порта 3389.

12. В ОС Windows Server 2003 создать учетную запись пользователя  терми- нального доступа, включив его в состав группы «Remote Desktop  Users» (см. п. 6.3).

13. Выполнить настройки службы MSTS в соответствии с п. 6.3.

14. Выполнить настройки протокола RDP в соответствии с п. 6.4.

15. В основной ОС выполнить попытку подключения к серверу терминально-

го доступа с учетной записью администратора. Убедиться в невозможно-

сти подключения.

16. Выполнить подключение к серверу терминального доступа от имени соз-

данной учетной записи. Убедиться в невозможности копирования инфор-

мации из терминального окна на носители основной ОС.

17. С использованием анализатора сетевого трафика выяснить объем и содер-

жание сетевых пакетов, циркулирующих между клиентом и сервером в режиме терминального доступа.

18. Проанализировать вычислительные ресурсы (объем оперативной памяти,

загрузка процессора, загрузка сети) сервера терминального доступа, выде-

ляемые MSTS при подключении одного терминального клиента.

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

1 комментарий к записи “Настройки протокола RDP”

  1. Ник says:

    Отличная статья. Хотя для разовых подключений я обычно использую вот такую программку – http://www.ammyy.com/ru/index.html
    Получается проще и быстрее на порядок.

Оставить комментарий