- Запрос сертификата для сервера терминала
- Изменить групповую политику
- Инструкция по настройке шлюза удаленных рабочих столов
- Как устранить ошибку проверки подлинности rdp
- Конфигурирование автоматического выпуска сертификатов
- Моментальный снимок решения
- Настройка безопасного rdp доступа к рабочей машине?
- Отключаем nla
- Очистка bitmap кэша rdp
- Ошибка сертификата при подключении по rdp: а как его обновить/заменить?
- Подключение через шлюз
- Проверка работоспособности
- Решение:
- Сложность:
- Смена стандартного порта remote desktop protocol
- Создание шаблона сертификата rdp в adcs
- Тестируем соединение
- Удаление журнала rdp подключений из реестра системы
- Установить сертификат удаленного рабочего стола
- Установка ssl-сертификата
- Установка и настройка клиента rdp
Запрос сертификата для сервера терминала
Прежде чем использовать SSL для соединения с сервером терминала, необходимо запросить соответствующий сертификат из центра сертификации корпоративной сети:
- Открыть оснастку Certificates консоли управления Microsoft Management Console (MMC) на сервере терминалов от имени учетной записи локального компьютера.
- Выбрать Certificates (Local Computer) в корневом каталоге консоли, затем перейти к пункту Options меню View. Выбрать Certificate Purpose в разделе Organize view mode by и нажать кнопку OK.
- Щелкнуть правой кнопкой мыши Server Authentication и выбрать Request new certificate в разделе All tasks.
- Нажать кнопку Next на экране приветствия. Выбрать режим Server Authentication (или Domain Controller Authentication). Установить флажок Advanced и нажать кнопку Next.
- Убедиться, что в качестве поставщика службы шифрования выбран Microsoft RSA SChannel Cryptographic Provider, а длина ключа — 1024. Нажать кнопку Next.
- Перейти к центру сертификации корпоративной сети (если он еще не выбран) и выбрать его. Нажать кнопку Next.
- Ввести понятное имя и описание сертификата. Нажать кнопку Next, а затем Finish.
После этого на экране должно появиться сообщение, что запрос к центру сертификации корпоративной сети был успешным.
Изменить групповую политику
Опять же, OCSP, используемый запросом отзыва сертификатов по умолчанию, но автор до сих пор не настроен, может только принудительно вызвать CRL, изменив групповую политику. Статус отзыва сертификата, этого шага можно избежать! Пожалуйста, свяжитесь с автором к тому времени! Спасибо
Запустить групповую политику gpedit.msc
[Конфигурация компьютера] -> [Настройки безопасности] -> [Политика открытого ключа]
Открыть [Настройка проверки пути сертификата]
Выберите вкладку [Отзыв]
Установите флажок [Определить эти параметры политики], [Всегда предпочитать список отзыва сертификатов (CRL) вместо ответа протокола OCSP в режиме онлайн (не рекомендуется) (P)]приложение->Перезагрузите машину, На этом этапе настройка на стороне сервера завершена.
Инструкция по настройке шлюза удаленных рабочих столов
Для того чтобы повысить уровень безопасности Windows-сервера бывает недостаточно сменить TCP-порт RDP . Рассмотрим настройку шлюза удаленных рабочих столов (Remote Desktop Gateway / Terminal Services Gateway) в домене Active Directory.
Remote Desktop Gateway, что это?
Remote Desktop Gateway — это роль Windows-сервера, обеспечивающая защищенное соединение, с помощью протокола SSL, с сервером по RDP. Главное преимущество этого решения в том, что не требуется развертывание VPN-сервера, для этого и используется шлюз.
Следует отметить, что начиная с Windows Server 2008 R2, были изменены названия всех служб удаленных рабочих столов. Именуемые ранее службы Terminal Services были переименованы в Remote Desktop Services.
Преимущества Remote Desktop Gateway в следующем:
- Используя зашифрованное соединение, шлюз позволяет подключаться к внутренним сетевым ресурсам без необходимости использования VPN-соединения удаленными пользователями;
- Шлюз дает возможность контроля доступа к определенным сетевым ресурсам, тем самым реализуя комплексную защиту;
- Шлюз разрешает подключение к сетевым ресурсам, которые размещены за межсетевыми экранами в частных сетях или NAT;
- С помощью консоли диспетчера шлюза появляется возможность настраивать политики авторизации для тех или иных условий, которые должны быть выполнены при подключении к сетевым ресурсам удаленными пользователями. В качестве примера, можно указать конкретных пользователей, которые могут подключаться к внутренним сетевым ресурсам, а также должен ли клиентский компьютер при этом быть членом группы безопасности AD, допустимо ли перенаправление устройства и диска;
- Консоль диспетчера шлюза содержит инструменты, предназначенные для отслеживания состояния шлюза. Используя их, вы можете назначить отслеживаемые события для аудита, например, неудачные попытки подключения к серверу шлюза служб терминалов.
Важно! Шлюз служб терминалов должен входить в домен Active Directory. Настройка шлюза выполняется только от имени администратора домена, на любом сервере в домене.
Установим роль.
Открываем Диспетчер серверов.
Выбираем “Добавить роли и компоненты”.
На этапе “Тип установки”, выбираем “Установка ролей и компонентов”.
Следующим шагом выбираем текущий сервер.
Роль сервера — Служба удаленных рабочих столов.
Переходим к службе ролей. Выбираем “Шлюз удаленных рабочих столов”.
Переходим к этапу подтверждения, нажимаем кнопку “Установить”.
Настройка политики авторизации подключения и ресурсов.
В открывшемся окне диспетчера шлюза удаленных рабочих столов, в левой части окна, раскрываем ветку с именем сервера → Политики → Политики авторизации подключений.
В правой части того же окна выбираем Создать новую политику → Мастер.
В открывшемся окне “Мастер создания новых политик авторизации” выбираем рекомендуемый параметр “Создать политику авторизации подключений к удаленным рабочим столам и авторизации ресурсов удаленных рабочих столов”. Нажимаем кнопку “Далее”.
На следующем шаге вводим удобное имя для политики авторизации подключения. Мы рекомендуем давать имена на английском языке.
В окне выбора групп кликаем по кнопке “Дополнительно”.
Окно изменит размеры. Нажимаем кнопку “Поиск”. В результатах поиска находим “Администраторы домена” и нажимаем кнопку “OK”.
В окне выбора группы проверяем выбранные имена объектов и нажимаем “OK”.

Группа добавлена. Для перехода к следующему шагу нажимаем кнопку “Далее”.
На следующем этапе выбираем пункт “Включить перенаправление устройств для всех клиентских устройств” и нажимаем “Далее”.
Устанавливаем таймауты — время простоя и время работы сессии, значения указаны в часах. Нажимаем “Далее”.
Проверяем выполненные настройки. Все правильно — нажимаем “Далее”.
На следующем этапе настроим политику авторизации ресурсов. Указываем желаемое имя политики. Нажимаем “Далее”.
Следующим шагом установим членство в группах. Обычно, группа уже установлена, но если это не выполнено, следует выполнить действия приведенные выше. Нажимаем “Далее”.
Выбираем доступные сетевые ресурсы. Для этого необходимо выбрать группу, которая содержит серверы на которых требуемые группы пользователей могли бы работать с удаленным рабочим столом. Нажимаем кнопку “Обзор”.
В окне выбора группы, нажимаем кнопку “Дополнительно”.
В измененном окне нажимаем кнопку “Поиск”. В окне результатов находим “Контроллеры домена”. Нажимаем “OK”.
Проверяем выбранные объекты и нажимаем “OK”.
Еще раз проверяем какая сетевая группа добавлена и нажимаем “Далее”.
Если номер RDP-порта неизменялся, устанавливаем значение переключателя в “Разрешить подключение только к порту 3389”. Если порт был изменен, следует указать новое значение.
Кликаем “Готово”
На этапе подтверждения создания политики нажимаем кнопку “Закрыть”.
По окончании настройки окно будет выглядеть подобным образом.
Установим SSL-сертификат.
В том же окне “Диспетчер шлюза удаленных рабочих столов”, в левой окна кликаем по значку сервера, в основной части окна — “Просмотр и изменение свойств сертификата”.
В открывшемся окне “Свойства <имя_сервера>” переходим на вкладку “Сертификат SSL”. Устанавливаем переключатель “Создать самозаверяющий сертификат” и кликаем по кнопке “Создать и импортировать сертификат…”.
Хотя возможны еще 2 варианта:
- импорт ранее загруженного сертификата (самоподписанного ранее или стороннего);
- загрузка стороннего сертификата (например, Comodo) и его импорт;
В окне “Создание самозаверяющего сертификата” проверяем параметры и нажимаем кнопку “OK”.
Система уведомит, что сертификат был создан успешно. также присутствует информация, где можно найти сам файл сертификата. Нажимаем кнопку “OK”.
В окне свойств сервера, нажимаем кнопку “Применить”.
Самозаверенный сертификат установлен на TCP-порт 443 (SSL-порт по умолчанию).
Мы рекомендуем, в целях безопасности, изменить порт SSL, используемый по-умолчанию. Для этого, в основном меню окна, выбираем “Действия” → “Свойства”.
Переходим на вкладку “Параметры транспорта” и устанавливаем желаемое значение поля “HTTPS-порт”. Сохраняем параметры нажимая кнопку “Применить”.
Система запросит подтверждение — отвечаем ”Да”.
Выполним подключение через шлюз.
Открываем RDP-клиент, переходим на вкладку “Дополнительно” и нажимаем кнопку “Параметры”.
В открывшемся окне выбираем “Использовать следующие параметры сервера шлюза удаленных рабочих столов”. Указываем доменное имя сервера и через двоеточие (:) указываем SSL-порт. Метод входа — “Запрашивать пароль”. Нажимаем “OK”
Переходим на вкладку “Общие”. Указываем адрес компьютера и пользователя под которым будет выполняться подключение. Нажимаем кнопку “Подключить”
Программа запросит пароль от учетной записи.
Результаты работы шлюза можно проверить трассировкой — команда tracert.
Как устранить ошибку проверки подлинности rdp
8 мая 2021 г. Microsoft выпустило обновление, которое предотвращает удаленное выполнение кода с помощью уязвимости в протоколе CreedSSP.
После установки данного обновление пользователи не могут подключиться к удаленным ресурсам посредством RDP или RemoteApp. При подключении происходит такая ошибка:
Появление ошибки обусловлено установкой данных обновлений безопасности:
В данной статье мы рассмотрим варианты исправления данной ошибки.
Вариант №1: Убираем проверку подлинности.
Заходим в свойства компьютера, переходим на вкладку Удаленный доступ и снимаем галку с чекбокса.
Вариант №2 (рекомендуемый): Обновление клиентских и серверных ОС.
Устанавливаем специально выпущенные патчи обновления, которые закрыли уязвимость в RDP-клиенте. Данные обновления можно посмотреть на сайте Microsoft. После установки данного обновления, мы обновляем CredSSP.
Вариант №3: Через групповые политики.
Локально заходим в групповые политики устройства, к которому пытаемся подключиться. Для того чтобы открыть редактор групповых политик выполним следующее действие: Нажимаете Win R, а затем введите gpedit.msc. Переходите по данному пути: Конфигурация компьютера > Административные шаблоны > Система > Передача учетных данных > Защита от атак с использованием криптографического оракула.
В свойствах данной политики выбираем пункт Включено и ниже в параметрах выбираем уровень защиты Оставить уязвимость.
После того, как данные действия выполнены, необходимо зайти в командную строку от имени администратора и выполнить данную команду:
Вариант №4. Редактирование реестра.
Локально заходим на устройство, к которому пытаемся подключиться и нажимаем Win R. Вводим regedit. После того, как откроется редактор реестра идем по следующему пути:
Затем находим параметр AllowEncryptionOracle, открываем его и ставим значение 2.
После выполнения данных действий с реестром выполняем перезагрузку устройства.
Нужна помощь в настройке RDP-подключений? Обращайтесь к нам!
Конфигурирование автоматического выпуска сертификатов
Переходим в Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Public Key Policies и выбираем Certificate Services Client — Auto-Enrollment Включаем автоматический выпуск сертификатов а так же настройки по их автоматическому обновлению:
Моментальный снимок решения
Задача: дать пользователям возможность проверить подключение к доверенному серверу Windows Terminal Services; обеспечить надежное принудительное шифрование RDP-трафика.
Решение: использовать SSL-функцию клиента Remote Desktop Connection в Windows 2003 SP1 и более поздних версиях ОС для проверки подлинности сервера и шифрования трафика.
Требуемые ресурсы: Windows 2003 SP1 или более поздняя версия ОС на сервере терминала; XP или Windows 2000 на клиентских ПК.
Уровень сложности: ***00.
Этапы решения:
- Установить и настроить программное обеспечение RDP-клиента на клиентской системе.
- Настроить клиентский компьютер на доверие к сертификатам, выданным CA корпоративной сети.
- Запросить сертификат для сервера терминала.
- Настроить сервер терминала на использование SSL.
- Протестировать соединение.
Настройка безопасного rdp доступа к рабочей машине?
Добрый день товарищи! Хочу реализовать возможность безопасного подключения к рабочей машине. Суть такова — имеется машина на win7, хочу сделать проверку при подключении по rdp более надежную, нежели просто логин/пароль.
Покапав в интернете нашел много различный вариантов. Хотелось бы реализовать такой метод, чтобы на клиентских машинах, вне корпоративной сети, с которых я буду подключаться, нужно было минимум доп.сотфа.
В идеале использовать только стандартные средства ms windows, без установки vpn клиентов, драйверов, токенов, смарткарт или подобного. Разворачивать в сети win server, с центром сертификации, для подключения к 1 машине думаю лишне, да и лицензию покупать надо.
Что посоветуете?
P.s. было бы круто сделать просто самопальный сертификат, сбросить на его на флеху, а рабочую машину заставить проверять есть ли нужный сертификат у клиента.
P.P.S в мир электронных сертификатов, шифрования и подобной паранойи попал впервые, поэтому от огромного количества решений по госту, iso и других технологий просто голова идет кругом.
P.P.P.S эти розовые фантазии навеяны необходимость часто подключаться с разных пк в наших филиалах. Каждый раз ставить ПО, для того чтобы подключиться к своей машине больно накладно, а подключаться придется часто.
Отключаем nla
Потребуется отключить Network Level Authentication. Это делается через меню «Удаленный доступ», которое найдете в свойствах системы. Необходимо поставить галочку или точку напротив следующей категории: «Разрешить подключения только с компьютеров…..».
Альтернативным вариантом остается отключение подлинности на уровне NLA.
- Начинаем наш путь в недра ПК с конфигураций компьютера.
- Далее переходим по «Административным шаблонам».
- «Компоненты Windows» позволят отыскать такой важный путь как «Службы удаленных рабочих столов».
- Продолжаем двигаться и теперь отыщем «Узел сеансов удаленных рабочих столов». Последним этапом поисков становится «Безопасность».
- Когда конечная директория найдена, в среднем окне отключаем следующую службу «Требовать проверку подлинности пользователя…». Снова ориентироваться нужно по последнему вкладышу – на многих ОС необходимая служба последняя.
Тут же подымаясь немного выше, замечаем пункт с названием «Требовать использования специального…». Он очень важен. Необходимо выставить корректный уровень безопасности. Переводим значение на нужный сервер RDP.
Обязательно перезапустите систему – без этого шага внесенные изменения не вступят в силу.
Очистка bitmap кэша rdp
В клиенте Remote Desktop Connection есть функционал кэширования изображений (persistent bitmap caching). Клиент RDP при подключении сохраняет редко изменяющиеся куски удаленого экрана в виде кэша растровых изображений. Благодаря этому клиент mstsc.exe загружает из локального кэша части экрана, которые не изменились с момента последней прорисовки. Этот механизм кэширования RDP уменьшает количество данных, передаваемых по сети.
RDP кэш представляет собой два типа файлов в каталоге %LOCALAPPDATA%MicrosoftTerminal Server ClientCache:
В этих файлах хранятся сырые растровые изображения RDP экрана в виде плиток 64×64 пикселя. С помощью простых PowerShell или Python скриптов (легко ищутся по запросу RDP Cached Bitmap Extractor) можно получить PNG файлы с кусками экрана рабочего стола и использовать их для получения конфиденциальной информации. Размер плиток мал, но достаточен для получения полезной информации для изучающего RDP кэш.
Вы можете запретить RDP клиенту сохранять изображение экрана в кэш, отключив опцию Persistent bitmap caching (Постоянное кэширование точечных рисунков) на вкладке Advanced.
Ошибка сертификата при подключении по rdp: а как его обновить/заменить?
Добрый день друзья!
Имеется сервер RDP на базе раскуроченной Windows 7.
Так уж вышло, что на сервере, для правильной работы одного хитрого приложения, пришлось выставить системную дату на 2021 год (дабы избавиться от назойливых попапов с просьбой обновиться).
В связи с этим, поскольку системная дата на сервере отстает аж на 3 года, при подключении по RDP клиент ругается, что сертификат бука бяка, просрочен и так далее. Собственно если взглянуть на сертификат, принимаемый от сервера, то да: выпущен в 2021 году. заканчивается в 2021 году, а в реальности на клиенте 2020 год… Просрочен.
Вопрос: как на сервере перекурочить сертификат (и где он вообще лежит и как генерируется) таким образом, чтобы он жил не тужил хотя бы лет 5…? Возможно ли это?
Другой вариант извращений — если предложте, буду рад и благодарен!
Подключение через шлюз
Для подключения откройте стандартное приложение Windows Подключение к удаленному рабочему столу (mstsc.exe). На вкладке Дополнительно нажмите на кнопку Параметры.
В открывшемся окне выберите Использовать следующие параметры сервера шлюза удаленных рабочих столов. Введите имя сервера в следующем формате и нажмите OK:rdgateway.<ваш домен>:<порт>
На вкладке Общие в поле Компьютер введите домен, в поле Пользователь имя пользователя и нажмите Подключить. При необходимости можете сохранить параметры входа.
Примечание: пользователь должен иметь права подключения через шлюз, которые были настроены ранее.
Введите пароль от учетной записи.
В результате будет произведено подключение к удаленному рабочему столу через шлюз RD Gateway. Это можно проверить с помощью команды tracert:
Из вывода видно, что трассировка идет через шлюз.
Проверка работоспособности
После применения групповой политики Windows клиенты должны в автоматическом порядке получить сертификат. Если этого не произошло, стоит обратить внимание на:
- Отсутствие в правильной группе безопасности, которая указана в шаблоне;
- Отсутствие к ЦС необходимых сетевых портов от клиента. Напомню, это tcp/135 (RPC) и динамические порты tcp/49152—65535.
Проверить что сертификат был успешно выпущен можно в консоли ADCS:
При следующем RDP подключении, стоит обратить внимание на наличие «замка» в верхнем меню RDP подключения. Нажав на этот «замок» можно удостоверится что используется нужный сертификат.
Решение:
- Используйте «Службу сертификации AD», поставляемую с WIndowsServer, для генерации всегоPKIТо есть, с полной системой сертификации, естественно, все соответствующие вопросы сертификации решены. Недостаток в том, что операция очень сложная, преимущество безопасное, коммерческого уровня!
- Использование OpenSSL для самостоятельного создания сертификата сэкономит много шагов по сравнению с первым методом. Он прост в использовании и подходит для разработки и тестирования. Недостатком является то, что уровень безопасности не может достигать высоты для коммерческого использования. сертификат)
Сложность:
- Клиент должен проверить статус отзыва сертификата при подключении к удаленному рабочему столу сервера. Есть два способа проверить статус отзыва сертификата:CRL и OSCP
1.1 OCSP
По умолчанию параметр проверки пути сертификата использует OCSP, но поскольку мы являемся самозаверяющим сертификатом, Windows всегда будет запрашивать «Invalid Signer EKU» / «Invalid Signer EKU» при проверке, поэтому Мы не можем использовать этот метод для проверки статуса отзыва сертификата.
1.2 CRL
Когда OCSP не может удовлетворить наши потребности, мы можем использовать только CRL для проверки статуса отзыва сертификата, поэтому нам также нужно использовать сайт для предоставления CRL - Гибкое использование в OpenSSL
x509v3_config, В настоящее время во многих статьях не говорится о том, как добавить в сертификатТочка распространения CRL、Авторизованный доступ к информацииПричиной получения информации о расширении является то, что применение расширения сертификата X509z не понято. Конечно, в нем упоминается много статей, но оно не указано четко, что может смутить читателей.Читатели, использующие OpenSSL, настоятельно рекомендуютсяx509v3_config — X509 V3 certificate extension configuration format
Binggui быстро, бой в реальном времени!
Смена стандартного порта remote desktop protocol
Начнем со стандартной меры — смены стандартного порта Windows 2021 RDP, что позволит предотвратить атаку всем известных портов (well-known ports).Настройку порта можно осуществить с помощью реестра — HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServerWinStationsRDP-TcpPortNumber.
Рис. 1. Смена порта RDP в Windows Server 2021 с помощью редактора реестра
После этого запустите Брандмауэр Windows и на боковой панели слева выберите Дополнительные параметры. Далее — Правила для входящих соединений и нажмите кнопку Создать правило (на панели справа)
Рис. 2. Правила для входящих подключений
В появившемся окне выберите Для порта и нажмите кнопку Далее. Затем выберите Определенные локальные порты и введите порт, указанный при редактировании реестра (рис. 3). В следующем окне мастера нужно выбрать Разрешить подключение(рис. 4).
Рис. 3. Задаем новый порт
Рис. 4. Разрешаем подключение
Собственно, на этом настройка завершена. Отключитесь от сервера и установите новое соединение. Не забудьте в настройках RDP-клиента Windows Server 2021 указать новый порт: IP-адрес_сервера: порт.
Создание шаблона сертификата rdp в adcs
Первый шаг состоит в создании шаблона сертификата, с помощью которого Windows клиенты будут автоматически генерировать сертификаты используемые в RDP подключениях. Для этого в оснастке ADCS переходим к управлению шаблонами сертификатов:
Дублируем сертификат Computer
Задаем имя будущего шаблона:
Указываем настройки совместимости:
В Extensions, необходимо задать правильные Application Policies для поддержки TLS в RDP протоколе
Для этого удаляем Client Authentication и Server Authentication и добавляем Remote Desktop Authentication с OID 1.3.6.1.4.1.311.54.1.2, как показано на скриншоте:
Далее, необходимо задать группу безопасности, члены которой должны автоматически сгенерировать сертификат по этому шаблону. Для этого добавляем нужную группу безопасности в DACL и назначаем соответствующие права:
Завершающим шагом будет его выпуск на выдающем корпоративном ЦС:
Тестируем соединение
После того как сервер терминала будет настроен на использование SSL, можно подключиться к серверу с рабочих станций. На экране 4 показан образец предупреждения, выдаваемого, если вместо указанного в сертификате полного имени домена введен IP-адрес сервера и если клиент не доверяет CA, выдавшему серверу сертификат.
Следует всегда использовать полное имя сервера терминала в клиенте Remote Desktop Connection для безошибочного подключения. Предупреждение также указывает, что с сертификатом сервера не все в порядке. В действительности это не так; просто клиент не доверяет CA, выдавшему сертификат серверу.
После загрузки и установки корневого сертификата центра сертификации на рабочей станции и ввода FQDN-сервера в клиенте Remote Desktop Connection будет установлено безопасное SSL-соединение с сервером. На безопасное соединение указывает маленький значок замка в правом верхнем углу экрана. Щелкнув на значке, можно получить информацию о сертификате сервера.
Удаление журнала rdp подключений из реестра системы
Информация о всех RDP подключениях хранится в реестре каждого пользователя. Удалить компьютер(ы) из списка истории RDP подключений штатными средствами Windows не получится. Придется вручную удалять параметры из реестра системы.
- Откройте редактор реестра regedit.exe и перейдите в ветку HKEY_CURRENT_USERSoftwareMicrosoftTerminalServerClient;
- Внутри этого раздела нас интересуют две ветки: Default (хранит историю о 10 последних RDP подключениях) и Servers (содержит список всех RDP серверов и имен пользователей, используемых ранее для входа);
- Разверните ветку реестра HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault, в которой содержится список 10 адресов или имен удаленных компьютеров, которые использовались последними (MRU – Most Recently Used). Имя (IP адрес) удаленного сервера хранится в значении ключа MRU*. Чтобы очистить историю последних RDP-соединений, выделите все ключи с именами MRU0-MRU9, щелкните правой клавишей и выберите пункт Delete;
- Теперь разверните ветку HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers. В ней содержится список всех RDP подключений, которые использовались ранее под этим пользователем. Разверните ветку с именем (IP адресом) любого хоста. Обратите внимание на значение параметра UsernameHint (подсказка имени пользователя). В нем указано имя пользователя, использующееся для подключения к RDP/RDS хосту. Именно это имя пользователя будет подставлено в окно клиента mstsc.exe, когда вы в следующий раз попытаетесь подключится к этому хосту. Кроме того в переменной CertHash находится отпечаток RDP сертификата сервера (см. статью о настройке доверенных TLS/SSL сертфикатов для RDP);
- Чтобы очистить историю всех RDP-подключений и сохраненных имен пользователей нужно очистить содержимое ветки реестра Servers. Т.к. выделить все вложенные ветки не получится, проще всего удалить ветку Servers целиком, а затем пересоздать ее вручную;
- Кроме указанных выше параметров и веток реестра, вам необходимо удалить файл дефолтного RDP подключения Default.rdp. В этом файле хранится информацию о самом последнем RDP подключении. Файл является скрытым и находится в каталоге Documents (Документы);
- Windows также сохраняет историю RDP подключений в списках быстрого перехода (jump lists). Если вы наберете в поисковой строке Windows 10
mstsc, то в списке появится ранее использованные RDP подключения. Вы можете отключить ведение истории быстрого перехода с помощью dword параметра реестра Start_TrackDocs в веткеHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced, либо можно очистить списки Resent Items, удалив файлы в каталоге%AppData%MicrosoftWindowsRecentAutomaticDestinations.
Примечание. Описанная методика очистки истории подключений Remote Desctop Connection применима для всех версий десктопных версий (от Windows XP и до Windows 10) и для серверных платформ Windows Server.
Установить сертификат удаленного рабочего стола
Используйте командыcertmgr.msc Откройте диспетчер сертификатов и развернителичный->сертификат, Дважды щелкните сертификат, который мы только что импортировали, выберитеДля получения более подробной информацииИ найтиотпечаток пальца, Скопируйте его содержимое в блокнот (или командную строку), удалитепустойЗапасной.PS: первая строка шестнадцатеричных пробелов скрыта.
Используйте команду
wmic / namespace: \ root cimv2 TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash = "Отпечаток пальца только что обработан"Появляется слово «успешное обновление», в случае неудачи внимательно проверьте детали.
Установка ssl-сертификата
Для шлюза удаленного рабочего стола должен быть установлен SSL-сертификат. Чтобы установить SSL-сертификат, щелкните имя сервера удаленного рабочего стола в консоли управления удаленным рабочим столом и выберите View or modify certificate properties.
Возможно 3 способа импорта сертификатов:
- создание самоподписанного сертификата и его импорт;
- импорт ранее загруженного сертификата (самоподписанного или стороннего);
- загрузка стороннего сертификата (например, Comodo) и его импорт;
Выберите подходящий вам способ, в нашем примере мы рассмотрим первый случай с генерацией и импортом самоподписанного сертификата.
Введите имя сертификата и его расположение на сервере. Нажмите OK.
Сертификат будет сгенерирован.
В результате отобразится — кому, кем и до какого числа выдан ssl-сертификат. Нажмите Apply для сохранения изменений.
Теперь самоподписанный SSL-сертификат успешно установлен на TCP-порт 443 (порт SSL по умолчанию).
В целях безопасности рекомендуется изменить порт SSL для шлюза удаленных рабочих столов на другой номер. Обычно компании делают это, чтобы попытаться обмануть хакеров, которые могут ориентироваться на стандартный порт 443.
Чтобы изменить номер порта для шлюза RD, щелкните правой кнопкой мыши имя сервера и выберите свойства в консоли управления удаленным рабочим столом (Action →Properties).
Установка и настройка клиента rdp
В системах Windows 2003 SP1 и более поздних файлы для нового клиента Remote Desktop Connection (версия 5.2.3790.1830) можно найти в папке C:windowssystem32clients sclientwin32. Следует учесть, что в настоящее время исходные файлы для установки версии 5.2 клиентской программы в рабочей станции имеются только в Windows 2003 SP1.
Файлы нужно разместить в папке win32 на общем диске, доступном для рабочих станций в сети предприятия. После этого можно вручную установить обновленный клиент Remote Desktop Connection на рабочей станции Windows XP или Windows 2000, подключившись к общему диску, запустив файл setup.exe и следуя инструкциям программы.
В версии 5.2 клиента Remote Desktop Connection появилась вкладка Security (экран 1), на которой можно указать, следует ли клиенту проверять сертификат сервера перед подключением к серверу. Возможны три варианта.
- No authentication — клиент не пытается проверить сертификат сервера перед подключением. Если для связи с сервером требуется аутентификация SSL, то клиент не сможет установить соединение.
- Require authentication — клиент проверяет сертификат сервера перед подключением к серверу. Если клиент не может определить подлинность сервера, то соединение с сервером установлено не будет.
- Attempt authentication — клиент проверяет сертификат сервера перед подключением к серверу. Клиент может установить соединение с сервером с SSL-аутентификацией или без нее, в зависимости от конфигурации сервера, даже если клиенту не удается полностью удостоверить подлинность сервера.
