- Что такое remote desktop gateway?
- Доступ к приложениям remoteapp из windows xp
- Записки it специалиста
- Защита rdp соединения при помощи ssl.
- Инструкция по настройке шлюза удаленных рабочих столов
- Использование приложения удалённый рабочий стол на windows rt
- Использование средств групповой политики
- Использование средств панели инструментов windows 7 и windows 8/8.1 для доставки приложений remoteapp
- Как работает rohos logon key с remote desktop.
- Конфигурирование автоматического выпуска сертификатов
- Настроить настраиваемый сертификат ssl для rdp в windows server 2021 (и более поздних версиях) в режиме удаленного администрирования?
- Настройка
- Настройка внешнего вида страницы веб-доступа
- Настройка сервера лицензирования
- Настройка шлюза удаленных рабочих столов
- Подключение к vds серверу с mac os
- Подключение к виртуальному серверу с десктопной версии windows (xp, 7, 8, 8.1, 10)
- Подключение к серверу по rdp из ubuntu
- Подключение к удаленному рабочему столу
- Подключение к удаленному рабочему столу (rdp) из debian
- Подключение пользователей
- Подписываем rdp файл и добавляем отпечаток доверенного rdp сертификата
- Практическая информация
- Предупреждение о самоподписанном сертификате rdp
- Преимущества защиты терминального сервера.
- Проверка работоспособности
- Создание групповой политики для rdp подключений
- Создание шаблона сертификата rdp в adcs
- Типы usb ключей и технологии, подходящие для аутентификации через remote desktop с программой rohos logon key:
- Установка ssl-сертификата
- Установка ролей на windows server 2021
- Установка роли
- Установка сертификата на шлюз удаленных рабочих столов через let’s encrypt
- Этапы подготовки соединения с использованием программы rohos logon key:
Что такое remote desktop gateway?
Примечание: начиная с Windows Server 2008 R2 все службы удаленных рабочих столов были переименованы. Службы Terminal Services были переименованы в .
Доступ к приложениям remoteapp из windows xp
Тем клиентам, у которых до сих пор установлена Windows XP, штатно доставлять приложения предлагается только средствами веб-доступа. Однако же, никто не запрещает самому создавать RDP-файлы и распространять их. Сразу же возникает вполне резонный вопрос — где же их взять?
Записки it специалиста
Технический блог специалистов ООО»Интерфейс»
Защита rdp соединения при помощи ssl.
Протокол RDP с защитой на уровне сети (SSL), к сожалению, не получил широкого распространения среди системных администраторов, предпочитающих защищать терминальные соединения другим способом. Возможно это связано с кажущейся сложностью способа, однако это не так, в данном материале мы рассмотрим как просто и без затруднений организовать такую защиту.
Какие преимущества дает нам защита RDP при помощи SSL? Во первых надежное шифрование канала, проверку подлинности сервера на основании сертификата и проверку подлинности пользователя на уровне сети. Последняя возможность доступна начиная с Windows Server 2008.
Проверка подлинности на уровне сети производится до подключения к удаленному рабочему столу и отображения экрана входа в систему, это снижает нагрузку на сервер и значительно увеличивает его защиту от злоумышленников и вредоносных программ, а также снижает вероятность атак типа «отказ в обслуживании».
Для полноценного использования всех возможностей RDP через SSL клиентские ПК должны работать под управлением Windows XP SP3, Windows Vista или Windows 7 и использовать RDP клиент версии 6.0 или более поздней.
При использовании Windows Server 2003 SP1 и более поздних версий, будут доступны шифрование канала при помощи SSL (TLS 1.0) и проверка подлинности сервера, клиентские ПК должны иметь версию RDP клиента 5.2 или более позднюю.
В нашей статье мы будем рассматривать настройку терминального сервера на базе Windows Server 2008 R2, однако все сказанное будет справедливо и для Windows Server 2003 (за исключением отсутствующих возможностей).
Для успешной реализации данного решения в вашей сети должен находиться работающий центр сертификации, настройку которого мы рассматривали в предыдущей статье. Для доверия сертификатам выданным данным ЦС на терминальный сервер необходимо установить сертификат ЦС (или цепочку сертификатов) в хранилище Доверенные корневые центры сертификации.
Затем следует выполнить запрос сертификата подлинности сервера со следующими параметрами:
Инструкция по настройке шлюза удаленных рабочих столов
Для того чтобы повысить уровень безопасности Windows-сервера бывает недостаточно сменить TCP-порт RDP . Рассмотрим настройку шлюза удаленных рабочих столов (Remote Desktop Gateway / Terminal Services Gateway) в домене Active Directory.
Remote Desktop Gateway, что это?
Remote Desktop Gateway – это роль Windows-сервера, обеспечивающая защищенное соединение, с помощью протокола SSL, с сервером по RDP. Главное преимущество этого решения в том, что не требуется развертывание VPN-сервера, для этого и используется шлюз.
Следует отметить, что начиная с Windows Server 2008 R2, были изменены названия всех служб удаленных рабочих столов. Именуемые ранее службы Terminal Services были переименованы в Remote Desktop Services.
Преимущества Remote Desktop Gateway в следующем:
- Используя зашифрованное соединение, шлюз позволяет подключаться к внутренним сетевым ресурсам без необходимости использования VPN-соединения удаленными пользователями;
- Шлюз дает возможность контроля доступа к определенным сетевым ресурсам, тем самым реализуя комплексную защиту;
- Шлюз разрешает подключение к сетевым ресурсам, которые размещены за межсетевыми экранами в частных сетях или NAT;
- С помощью консоли диспетчера шлюза появляется возможность настраивать политики авторизации для тех или иных условий, которые должны быть выполнены при подключении к сетевым ресурсам удаленными пользователями. В качестве примера, можно указать конкретных пользователей, которые могут подключаться к внутренним сетевым ресурсам, а также должен ли клиентский компьютер при этом быть членом группы безопасности AD, допустимо ли перенаправление устройства и диска;
- Консоль диспетчера шлюза содержит инструменты, предназначенные для отслеживания состояния шлюза. Используя их, вы можете назначить отслеживаемые события для аудита, например, неудачные попытки подключения к серверу шлюза служб терминалов.
Важно! Шлюз служб терминалов должен входить в домен Active Directory. Настройка шлюза выполняется только от имени администратора домена, на любом сервере в домене.
Установим роль.
Открываем Диспетчер серверов.
Выбираем “Добавить роли и компоненты”.
На этапе “Тип установки”, выбираем “Установка ролей и компонентов”.
Следующим шагом выбираем текущий сервер.
Роль сервера – Служба удаленных рабочих столов.
Переходим к службе ролей. Выбираем “Шлюз удаленных рабочих столов”.
Переходим к этапу подтверждения, нажимаем кнопку “Установить”.
Настройка политики авторизации подключения и ресурсов.
В открывшемся окне диспетчера шлюза удаленных рабочих столов, в левой части окна, раскрываем ветку с именем сервера → Политики → Политики авторизации подключений.
В правой части того же окна выбираем Создать новую политику → Мастер.
В открывшемся окне “Мастер создания новых политик авторизации” выбираем рекомендуемый параметр “Создать политику авторизации подключений к удаленным рабочим столам и авторизации ресурсов удаленных рабочих столов”. Нажимаем кнопку “Далее”.
На следующем шаге вводим удобное имя для политики авторизации подключения. Мы рекомендуем давать имена на английском языке.
В окне выбора групп кликаем по кнопке “Дополнительно”.
Окно изменит размеры. Нажимаем кнопку “Поиск”. В результатах поиска находим “Администраторы домена” и нажимаем кнопку “OK”.
В окне выбора группы проверяем выбранные имена объектов и нажимаем “OK”.

Группа добавлена. Для перехода к следующему шагу нажимаем кнопку “Далее”.
На следующем этапе выбираем пункт “Включить перенаправление устройств для всех клиентских устройств” и нажимаем “Далее”.
Устанавливаем таймауты – время простоя и время работы сессии, значения указаны в часах. Нажимаем “Далее”.
Проверяем выполненные настройки. Все правильно – нажимаем “Далее”.
На следующем этапе настроим политику авторизации ресурсов. Указываем желаемое имя политики. Нажимаем “Далее”.
Следующим шагом установим членство в группах. Обычно, группа уже установлена, но если это не выполнено, следует выполнить действия приведенные выше. Нажимаем “Далее”.
Выбираем доступные сетевые ресурсы. Для этого необходимо выбрать группу, которая содержит серверы на которых требуемые группы пользователей могли бы работать с удаленным рабочим столом. Нажимаем кнопку “Обзор”.
В окне выбора группы, нажимаем кнопку “Дополнительно”.
В измененном окне нажимаем кнопку “Поиск”. В окне результатов находим “Контроллеры домена”. Нажимаем “OK”.
Проверяем выбранные объекты и нажимаем “OK”.
Еще раз проверяем какая сетевая группа добавлена и нажимаем “Далее”.
Если номер RDP-порта неизменялся, устанавливаем значение переключателя в “Разрешить подключение только к порту 3389”. Если порт был изменен, следует указать новое значение.
Кликаем “Готово”
На этапе подтверждения создания политики нажимаем кнопку “Закрыть”.
По окончании настройки окно будет выглядеть подобным образом.
Установим SSL-сертификат.
В том же окне “Диспетчер шлюза удаленных рабочих столов”, в левой окна кликаем по значку сервера, в основной части окна – “Просмотр и изменение свойств сертификата”.
В открывшемся окне “Свойства <имя_сервера>” переходим на вкладку “Сертификат SSL”. Устанавливаем переключатель “Создать самозаверяющий сертификат” и кликаем по кнопке “Создать и импортировать сертификат…”.
Хотя возможны еще 2 варианта:
- импорт ранее загруженного сертификата (самоподписанного ранее или стороннего);
- загрузка стороннего сертификата (например, Comodo) и его импорт;
В окне “Создание самозаверяющего сертификата” проверяем параметры и нажимаем кнопку “OK”.
Система уведомит, что сертификат был создан успешно. также присутствует информация, где можно найти сам файл сертификата. Нажимаем кнопку “OK”.
В окне свойств сервера, нажимаем кнопку “Применить”.
Самозаверенный сертификат установлен на TCP-порт 443 (SSL-порт по умолчанию).
Мы рекомендуем, в целях безопасности, изменить порт SSL, используемый по-умолчанию. Для этого, в основном меню окна, выбираем “Действия” → “Свойства”.
Переходим на вкладку “Параметры транспорта” и устанавливаем желаемое значение поля “HTTPS-порт”. Сохраняем параметры нажимая кнопку “Применить”.
Система запросит подтверждение – отвечаем ”Да”.
Выполним подключение через шлюз.
Открываем RDP-клиент, переходим на вкладку “Дополнительно” и нажимаем кнопку “Параметры”.
В открывшемся окне выбираем “Использовать следующие параметры сервера шлюза удаленных рабочих столов”. Указываем доменное имя сервера и через двоеточие (:) указываем SSL-порт. Метод входа – “Запрашивать пароль”. Нажимаем “OK”
Переходим на вкладку “Общие”. Указываем адрес компьютера и пользователя под которым будет выполняться подключение. Нажимаем кнопку “Подключить”
Программа запросит пароль от учетной записи.
Результаты работы шлюза можно проверить трассировкой – команда tracert.
Использование приложения удалённый рабочий стол на windows rt
На Windows RT так же можно использовать удалённые приложения RemoteApp способом отличным от веб-доступа. Для этого из магазина Windows Store необходимо установить приложение Удалённый рабочий стол (Remote Desktop).
После установки приложения, на первом его экране предлагаются различные варианты подключения. Нас интересует подключение приложений RemoteApp, потому переходим по ссылке Получить доступ к подключениям к удалённым приложениям RemoteApp и рабочим столам.
В качестве адреса подключения введём вымышленный электронный адрес, принадлежащий нашему домену, хотя, как мы видим, можно использовать и полный адрес.
Затем, вводим учётные данные пользователя приложений RemoteApp. Можно поставить галочку Запомнить учётные данные, что повысит удобство использования, но снизит безопасность.
После успешного выполнения установки, отобразится экран содержащий информацию о количестве установленных приложений RemoteApp и удалённых рабочих столов.
После процедуры добавления, программы RemoteApp доступны как со стартового экрана так непосредственно из приложения Удалённый рабочий стол.
Использование средств групповой политики
Удобнейшим способом доставки приложений RemoteApp и удалённых рабочих столов является использование групповых политик. Однако, штатная распространяется политика только на клиентские системы с Windows 8/8.1.
Использование средств панели инструментов windows 7 и windows 8/8.1 для доставки приложений remoteapp
Альтернативой использованию веб-страницы для доступа к приложениям RemoteApp и удалённым рабочим столам является использование средства доступа к удалённым приложениям RemoteApp и удалённым рабочим столам. Возможность его использования появилась еще в Windows 7 и получила логическое развитие в Windows 8/8.1.
В пользу использования такого метода доступа к приложениям RemoteApp говорит тот факт, что пользователю нет необходимости заходить на специальную веб-страницу, а достаточно выбрать приложение на стартовом экране или в меню Пуск. Ещё одним достоинством такого способа доставки приложений является возможность ассоциировать определённые типы файлов с приложениями RemoteApp.
Перед тем, как использовать данное средство необходимо убедиться, что сертификат сервера находится в хранилище доверенных корневых сертификатов. Если он туда не был импортирован, то необходимо выполнить процедуру импорта сертификата, как было описано выше.
Для того, чтобы получить доступ к средству подключения приложений RemoteApp необходимо на локальной рабочей станции зайти в Панель управления и там выбрать пункт Подключения к удалённым рабочим столам и приложениям RemoteApp.
В левой части окна кликнем по ссылке Доступ к удалённым приложениям RemoteApp и рабочим столам, которая запустит соответствующий мастер. На первом шаге предлагается выбрать способ подключения: с помощью прямой ссылки либо с помощью электронного адреса. Рассмотрим оба случая.
Как работает rohos logon key с remote desktop.
Rohos Logon Key
интегрируется в процедуру авторизации Windows Terminal Services и добавляет уровень двухфакторной авторизации в существующую инфраструктуру контроля доступа в систему. После настройки Rohos Logon Key пользователи смогут входить на Удаленный Рабочий Стол либо только при помощи USB-Ключа, либо при помощи USB-Ключа и пароля.
Конфигурирование автоматического выпуска сертификатов
Переходим в Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Public Key Policies и выбираем Certificate Services Client — Auto-Enrollment Включаем автоматический выпуск сертификатов а так же настройки по их автоматическому обновлению:
Настроить настраиваемый сертификат ssl для rdp в windows server 2021 (и более поздних версиях) в режиме удаленного администрирования?
Оказывается, что большая часть данных конфигурации для RDSH хранится в Win32_TSGeneralSettingклассе в WMI в rootcimv2TerminalServicesпространстве имен. На настроенный сертификат для данного соединения ссылается значение Thumbprint этого сертификата в вызываемом свойстве SSLCertificateSHA1Hash.
ОБНОВЛЕНИЕ: Вот обобщенное решение Powershell, которое захватывает и устанавливает отпечаток первого сертификата SSL в персональном хранилище компьютера. Если в вашей системе несколько сертификатов, вам нужно добавить -Filterв gciкоманду опцию, чтобы убедиться, что вы ссылаетесь на правильный сертификат. Я оставил свой оригинальный ответ без изменений ниже для справки.
# get a reference to the config instance
$tsgs = gwmi -class "Win32_TSGeneralSetting" -Namespace rootcimv2terminalservices -Filter "TerminalName='RDP-tcp'"
# grab the thumbprint of the first SSL cert in the computer store
$thumb = (gci -path cert:/LocalMachine/My | select -first 1).Thumbprint
# set the new thumbprint value
swmi -path $tsgs.__path -argument @{SSLCertificateSHA1Hash="$thumb"}
Для того, чтобы получить значение отпечатка
- Откройте диалоговое окно свойств для вашего сертификата и выберите вкладку Подробнее
- Прокрутите вниз до поля «Отпечаток» и скопируйте шестнадцатеричную строку, разделенную пробелом, в блокнот
- Удалите все пробелы из строки. Вы также захотите следить и удалять не-ascii-символы, которые иногда копируются непосредственно перед первым символом в строке. Это не видно в блокноте.
- Это значение, которое вам нужно установить в WMI. Это должно выглядеть примерно так: 1ea1fd5b25b8c327be2c4e4852263efdb4d16af4 .
Теперь, когда у вас есть значение отпечатка, вот одна строка, которую вы можете использовать для установки значения с помощью wmic:
wmic /namespace:\rootcimv2TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"
Или, если PowerShell – ваша вещь, вы можете использовать это вместо:
$path = (Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace rootcimv2terminalservices -Filter "TerminalName='RDP-tcp'").__path
Set-WmiInstance -Path $path -argument @{SSLCertificateSHA1Hash="THUMBPRINT"}
Примечание: сертификат должен находиться в «Персональном» хранилище сертификатов для учетной записи компьютера.
Настройка
Поставщик услуг безопасности CredSSP является частью операционной системы и входит в состав Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2. Кроме того, он может быть установлен в качестве отдельного обновления на Windows XP SP3.
1. Запустить редактор реестра regedit и перейти в ветку: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa.
2. Добавить значение tspkg
к ключу Security
Packages
3. Перейти
в
ветку
реестра
: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProviders
.
4. Добавить значение credssp.dll
к ключу SecurityProviders
(остальные значения этого ключа следует оставить неизменными).
После того как CredSSP включен, необходимо настроить его использование с помощью групповых политик или соответствующих им ключей реестра. Для настройки SSO на клиентских компьютерах используются групповые политики из раздела:
Настройка внешнего вида страницы веб-доступа
Изменение имени рабочей области.Первым делом хотелось бы поменять надпись Work Resouces на что-то другое, например, на Удалённые приложения RemoteApp. Эта надпись обозначает имя рабочей области (Workspace) и управлять ею можно средствами PowerShell.
На любом сервере фермы RDS запустим PowerShell от имени администратора. Я эту операцию выполняю на сервере посредника подключений — rdcb.domain.local. итак, для того, чтобы посмотреть идентификатор рабочей области и её имя используем командлет Get-RDWorkspace (синтаксис).
Как видно на скриншоте ниже, имя текущей рабочей области Work Resources. Изменим его на Удалённые приложения RemoteApp с помощью командлета Set-RDWorkspace (синтаксис) и проверим результат, выполнив командлет Get-RDWorkspace.
Настройка элементов страницы веб-доступа. Значок, который расположен рядом с именем рабочей области, так же можно поменять на, скажем, логотип компании. Сделать это можно подредактировав файл Site.xsl, который находится на сервере веб-доступа в папке %WINDIR%WebRDWebPages.
В этом же файле можно изменить и баннер, который является фоном для названия рабочей области и логотипа. Путь к фалу баннера можно изменить в разделе Customizable banner and Text row. Фон страницы веб-доступа можно изменить в файле, содержащем таблицы стилей — tswa.css.
Он расположен на сервере веб-доступа в папке %WINDIR%WebRDWebPagesru-RU. Если будет установлена локализация отличная от русской, то папка ru-RU будет называться согласно языку системы. Я строку с указанием файла изображения закомментирую. Это приведет к тому, что фон страницы установится в цвет определенный свойством background-color.
Выполнив приведенные выше изменения, получим следующий вид страницы для организации веб-доступа.
Следует обратить внимание на то, что если серверов веб-доступа несколько, то все операции по изменению внешнего вида страницы веб-доступа следует выполнять на всех серверах. Однако операцию смены названия рабочей области нужно выполнить единожды на любом сервере фермы RDS.
Настройка сервера лицензирования
Заходим в Диспетчер серверов – Средства – Remote Desktop Services – Диспетчер лицензирования удаленных рабочих столов.
В диспетчере нажимаем ПКМ на наш сервер и выбираем “Активировать сервер”.
Попадаем в “Мастер активации сервера”, вводим свои данные и нажимаем “Далее”.
В следующем пункте вводим “Сведения об организации” и нажимаем “Далее”.
Завершение работы мастера активации сервера выполняется с поставленной галочкой “Запустить мастер установки лицензий” чтобы попасть в оснастку установки лицензий.
В мастере установки лицензий мы видим параметры сервера лицензирования и нажимаем “Далее”.
В следующем окне мы выбираем лицензию в зависимости от приобретенной вами лицензии.
Имеется несколько типов лицензии:
В нашем случае мы выбираем “Соглашение “Enterprise Agreement”” и нажимаем “Далее”.
Завершаем работу мастера установки лицензий.
Для завершение установки лицензий осталось выполнить пункт по добавление групповых политик, для этого нажимаем ПКМ по меню “Пуск” и выбираем “Выполнить”.
В окне “Выполнить” вводим gpedit.msc и нажимаем “ОК”.
Попадаем в “Редактор локальной групповой политики”
В данной настройке требуется править две записи. Для того чтобы указать сервер лицензирования мы переходим в пункт:
Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Служба удаленных рабочих столов – Узел сеансов удаленных рабочих столов – Лицензирование – Использовать указанные серверы лицензирования удаленных рабочих столов.
Включаем данную политику и вводим требуемый сервер лицензирования. В нашем случае мы будем ссылаться на свой локальный сервер “localhost” и применяем настройку.
Для второго пункта мы переходи по следующему пути:
Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Служба удаленных рабочих столов – Узел сеансов удаленных рабочих столов – Лицензирование – Задать режим лицензирования удаленных рабочих столов.
Включаем политику и указываем режим лицензирования, в нашем случае мы активируем “на устройство” и применяем настройку.
Настройка по установки лицензий прошла успешно, далее мы настраиваем шлюз удаленных рабочих столов.
Настройка шлюза удаленных рабочих столов
Шлюз удаленных рабочих столов является сервисом посредником между клиентами из внешней сети и сеансов внутренней сети, обеспечивает безопасный обмен данными между ними.
Заходим в Диспетчер серверов – Средства – Remote Desktop Services – Диспетчер шлюза удаленных рабочих столов.
Нажимаем ПКМ по папке “Политики” и выбираем “Создание новых политик авторизации”.
Мы попадаем в “Мастер создания новых политик авторизации”.
По пунктам выбираем следующее:
Подключение к vds серверу с mac os
Для Mac OS компания Microsoft выпускает официальный RDP-клиент, который стабильно работает при подключении к любым версиям ОС Windows.
Подключение к виртуальному серверу с десктопной версии windows (xp, 7, 8, 8.1, 10)
При использовании стандартной операционной системы Windows для подключения к серверу необходимо открыть следующий путь:
Пуск -> Программы -> Стандартные -> Подключение к удалённому рабочему столу
Либо просто нажмите комбинацию клавиш
Win R
и в открывшемся окне наберите
mstsc
В открывшемся окне необходимо указать IP-адрес созданного для вас VDS сервера. Если вы заказали сервер с несколькими IP-адресами, то можете использовать любой из них для подключения.IP-адрес вашего сервера указан возле вашего сервера в личном кабинете в разделе «Мои сервера».
После ввода IP-адреса сервера нажмите кнопку «Подключить» и вы увидите окно с полями авторизации. Здесь нужно выходить под новым пользователем:
Подключение к серверу по rdp из ubuntu
RDP – это закрытый протокол компании Microsoft, она же в свою очередь не выпускает RDP-клиентов для операционных систем семейства Linux.
Однако всё же есть различные рабочие версии от тех или иных производителей.
Мы рекомендуем использовать клиент
Remmina
Для пользователей Ubuntu есть специальный репозиторий с различными пакетами приложение, в числе которых есть Remmina и RDP.Установка производится в 3 простые команды, которые вводятся по очереди в Терминале:
Для установки пакета Remmina
sudo apt-add-repository ppa:remmina-ppa-team/remmina-nextУстанавливаем обновления
sudo apt-get updateУстанавливаем плагин протокола RDP
sudo apt-get install remmina remmina-plugin-rdp libfreerdp-plugins-standardЕсли вы до этого уже устанавливали или запускали существующую версию Remmina, то её необходимо перезапустить. Сделать это можно перехагружкой компьютера, либо выполнением следующей команды в том же терминале:
sudo killall remminaЕсли процесс запущен не был, то появится сообщение об ошибке: процесс не найден, что тоже нас устраивает.
Открываем меню поиска и находим там свежеустановленный пакет Remmina
Нажимаем на добавление нового подключения и заполняем поля данными для подключения и авторизации к вашему серверу (где находятся данные для подключения к именно вашему серверу описано выше):
После сохранения ваш сервер будет всегда доступен в списке подключений для быстрого доступа. Для подключения к нему дважды кликните мышкой по строчке вашего сервера.
При первом подключении к серверу вы можете увидеть информацию о недоверенном сертификате безопасности. Причина этого описана выше. Просто нажмите «ОК» и вы увидите рабочий стол вашего сервера.
Подключение к удаленному рабочему столу
При подключении мы увидим вот такое диалоговое окно сетевой идентификации.
Следует выбрать имя пользователя и ввести пароль учетной записи на TS.
Если проверка подлинности пароля прошла успешно, то происходит подключение к Удаленному Рабочему Столу. На этом этапе Rohos Logon Key проверяет наличие USB-Ключа пользователя.
Rohos Logon Key может остановить доступ, если USB-Ключ не подключен:
Если используется токен с одноразовым паролем, появится окно для его ввода.
Подключение к удаленному рабочему столу (rdp) из debian
RDP (подключение к удалённому рабочему столу) – это закрытый протокол компании Microsoft, они же в свою очередь не выпускает RDP-клиентов для операционных систем семейства Linux.
Но всё же есть различные рабочие версии от тех или иных компаний-разработчиков.
Мы рекомендуем использовать RDP-клиент
Remmina
Для установки приложения Remmina и плагина RDP к нему необходимо открыть менеджер установки пакетов:
Здесь в строке поиска вводим «Remmina» и выделяем все результаты для установки:
Установка занимает буквально 3-4 секунды, после чего сразу можно пользоваться приложением.Находим его в главном меню и запускаем:
Перед началом работы необходимо создать новое подключения для удобства в дальнейшем:
В открывшемся окне необходимо задать корректные параметры RDP подключения и данные для авторизации (указаны в личном кабинете UltraVDS):
После сохранения ваш сервер будет всегда доступен в списке подключений для быстрого доступа. Для подключения к нему просто дважды кликните мышкой по строчке вашего сервера.
При первом подключении к серверу вы можете увидеть информацию о недоверенном сертификате безопасности. Причина этого описана чуть выше. Просто нажмите «ОК» или «Принять» и вы увидите рабочий стол вашего сервера.
Подключение пользователей
Следующем этапом мы создаем пользователей для подключение к удаленному рабочему столу через шлюз удаленных рабочих столов.
Создаем нового пользователя и добавляем его в группу “Пользователи удаленного рабочего стола”, для этого заходим в Панель управления – Система – Настройка удаленного рабочего стола – Выбрать пользователей – Добавить.
Добавляем созданных пользователей, после чего подключаемся к серверу.
Подписываем rdp файл и добавляем отпечаток доверенного rdp сертификата
Если у вас отсутствует CA, но вы хотите, чтобы при подключении к RDP/RDS серверу у пользователей не появлялось предупреждения, вы можете добавить сертификат в доверенные на компьютерах пользователей.
Как описано выше получите значение отпечатка (Thumbprint) RDP сертификата:
Get-WmiObject -Class «Win32_TSGeneralSetting» -Namespace rootcimv2terminalservices|select|select SSLCertificateSHA1Hash
Используйте этот отпечаток для подписывания .RDP файла с помощью RDPSign.exe:
Практическая информация
В этом разделе рассмотрим ограничения на использование технологии прозрачной авторизации и проблемы, которые могут возникнуть при её применении.
«AllowDefCredentialsWhenNTLMOnly»=dword:00000001
«ConcatenateDefaults_AllowDefNTLMOnly»=dword:00000001
Предупреждение о самоподписанном сертификате rdp
По умолчанию в Windows для защиты RDP сессии генерируется самоподписанный
сертификат. В результате при первом подключении к RDP/RDS серверу через клиента mstsc.exe, у пользователя появляется предупреждение:
Чтобы продолжить установление RDP подключении пользователь должен нажать кнопку Да. Чтобы RDP предупреждение не появлялось каждый раз, можно включить опцию “Больше не выводить запрос о подключениях к этому компьютеру».
Преимущества защиты терминального сервера.
- Метод позволяет ограничить удаленный доступ для некоторых пользователей или списка пользователей.
- Такие пользователи обязаны каждый раз вставлять USB ключ или вводить код OTP.
- Каждый ключ уникален и не может быть подделан
- Нет необходимости подключать USB ключ непосредственно к серверу при его настройке.
- Не нужно устанавливать программу на каждый компьютер, с которого осуществляется доступ*.
- Администратору всего лишь необходимо предварительно настроить и выдать пользователю USB-Ключ для доступа.
Повышенная
безопасность посредством электронного
USB-Ключа либо Одноразовых паролей:
Перед тем как приступить к настройке Rohos Logon key необходимо определиться:
- какой тип USB-Ключа будет использован для авторизации;
- какой тип аутентификации вы хотите использовать:
1) двухфакторный = USB-Ключ Windows Пароль,
2) однофакторный = USB-Ключ (сюда также входит вариант USB-Ключ PIN-код ключа если таковой имеется),
3) использовать USB-Ключ только на локальном ПК. При этом Терминальный сервер не будет проверять наличие USB-Ключ у клиента.
* В случае использования USB flash drive
в качестве ключа доступа, на компьютер клиента необходимо установить одну из двух программ: либо программу , либо . В процессе создания ключа на сервере, на USB — накопитель будет скопирован , обеспечивающий использование USB диска в качестве ключа для подключения к Remote Desktop.
После того как вы определились с типом USB-Ключа и способом двухфакторной авторизации вы можете приступить к установке Rohos Logon Key .
Проверка работоспособности
После применения групповой политики Windows клиенты должны в автоматическом порядке получить сертификат. Если этого не произошло, стоит обратить внимание на:
- Отсутствие в правильной группе безопасности, которая указана в шаблоне;
- Отсутствие к ЦС необходимых сетевых портов от клиента. Напомню, это tcp/135 (RPC) и динамические порты tcp/49152—65535.
Проверить что сертификат был успешно выпущен можно в консоли ADCS:
При следующем RDP подключении, стоит обратить внимание на наличие «замка» в верхнем меню RDP подключения. Нажав на этот «замок» можно удостоверится что используется нужный сертификат.
Создание групповой политики для rdp подключений
Непосредственно сама конфигурация Windows машин будет централизовано выполнятся с помощью групповой политики. Я рекомендую создать отдельный экземпляр политики, в котором будет следующее:
- Задание имени шаблона сертификата для использования в RDP подключениях;
- Задание типа шифрования RDP подключений;
- Конфигурирование автоматического выпуска сертификатов.
Создание шаблона сертификата rdp в adcs
Первый шаг состоит в создании шаблона сертификата, с помощью которого Windows клиенты будут автоматически генерировать сертификаты используемые в RDP подключениях. Для этого в оснастке ADCS переходим к управлению шаблонами сертификатов:
Дублируем сертификат Computer
Задаем имя будущего шаблона:
Указываем настройки совместимости:
В Extensions, необходимо задать правильные Application Policies для поддержки TLS в RDP протоколе
Для этого удаляем Client Authentication и Server Authentication и добавляем Remote Desktop Authentication с OID 1.3.6.1.4.1.311.54.1.2, как показано на скриншоте:
Далее, необходимо задать группу безопасности, члены которой должны автоматически сгенерировать сертификат по этому шаблону. Для этого добавляем нужную группу безопасности в DACL и назначаем соответствующие права:
Завершающим шагом будет его выпуск на выдающем корпоративном ЦС:
Типы usb ключей и технологии, подходящие для аутентификации через remote desktop с программой rohos logon key:
- Smart-карты, Java Cards (Mifare 1K)
- Токены на основе PKCS11. Например SafeNet eToken, Securetoken ST3/4, senseLock trueToken, RuToken, uaToken, iKey.
- Yubikey и OTP токены, например Google Authenticator
- USB Flash накопители. В этом случае после создания ключа на USB диск будет скопирован портативный компонент
программы.
Установка ssl-сертификата
Для шлюза удаленного рабочего стола должен быть установлен SSL-сертификат. Чтобы установить SSL-сертификат, щелкните имя сервера удаленного рабочего стола в консоли управления удаленным рабочим столом и выберите View or modify certificate properties.
Возможно 3 способа импорта сертификатов:
- создание самоподписанного сертификата и его импорт;
- импорт ранее загруженного сертификата (самоподписанного или стороннего);
- загрузка стороннего сертификата (например, Comodo) и его импорт;
Выберите подходящий вам способ, в нашем примере мы рассмотрим первый случай с генерацией и импортом самоподписанного сертификата.
Введите имя сертификата и его расположение на сервере. Нажмите OK.
Сертификат будет сгенерирован.
В результате отобразится – кому, кем и до какого числа выдан ssl-сертификат. Нажмите Apply для сохранения изменений.
Теперь самоподписанный SSL-сертификат успешно установлен на TCP-порт 443 (порт SSL по умолчанию).
В целях безопасности рекомендуется изменить порт SSL для шлюза удаленных рабочих столов на другой номер. Обычно компании делают это, чтобы попытаться обмануть хакеров, которые могут ориентироваться на стандартный порт 443.
Чтобы изменить номер порта для шлюза RD, щелкните правой кнопкой мыши имя сервера и выберите свойства в консоли управления удаленным рабочим столом (Action →Properties).
Установка ролей на windows server 2021
После подготовки Windows Server 2021, мы приступаем к установке ролей для настройки терминального сервера и шлюза удаленных рабочих столов.
Заходим в Диспетчер серверов – Управление – Добавить роли и компоненты.
Открывается “Мастер добавления ролей и компонентов”:
Добавление ролей на сервере:
Подтверждаем установку компонентов и проводим установку. После установки всех нужных нам ролей – перезагружаем сервер.
У нас вы можете взять готовый терминальный сервер 1С в аренду.
Установка роли
Откройте Диспетчер серверов и выберите пункт .
В качестве типа установки укажите Role-based or feature-based installation.
Выберите ваш сервер из пула.
В следующем окне отметьте .
Далее вы увидите краткую информацию о роли.
Далее добавьте сервис .
Для работы этого сервиса необходимо веб-сервер IIS и дополнительные административные инструменты, они будут предложены автоматически, если не были установлены ранее.
Добавьте данные функции.
Установите все выбранные компоненты на VPS с помощью кнопки Install.
Установка сертификата на шлюз удаленных рабочих столов через let’s encrypt
Скачиваем программу по ссылке:
Этапы подготовки соединения с использованием программы rohos logon key:
1. Установите программу Rohos Logon Key
на терминальном сервере
. В настройках программы укажите тип USB ключа.
2. Установите пакет Rohos Management Tools
на компьютер, с которого будет осуществляться доступ на удаленный рабочий стол для создания ключей.
3. Создание ключей
для доступа через RDC:
Подключите к локальному компьютеру ваш будущий USB ключ. Подключитесь к терминальному серверу через RDC. В настройках программы Remote Desktop
укажите, какие локальные ресурсы (USB диски или смарт-карты) следует предоставить удаленному компьютеру.
Запустите программу Rohos Logon Key
на терминальном сервере. Воспользуйтесь командой Setup a key
, укажите пользователя, для которого вы создаете ключ и, если необходимо, впишите его пароль.
Замечание
: Некоторые типы USB ключей можно создать в программе USB key manager
из пакета Rohos Managment tools
. Этот пакет устанавливается на компьютере администратора. После создания всех ключей в этой программе необходимо экспортировать их список на терминальный сервер. . В этой же программе есть кнопка, копирующая на USB накопитель программы.
4. Настройка Rohos Logon Key на Терминальном Сервере:
После создания всех ключей вы можете усилить безопасность сервера, запретив определенным пользователям доступ к нему без USB ключа. Откройте настройки программы Rohos Logon Key, список Разрешить доступ только с помощью USB-Ключа.
Варианты выбора: