Remote access что это за служба
Удаленный доступ
применимо к: Windows server 2022, Windows server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10
руководство по удаленному доступу содержит общие сведения о роли сервера удаленного доступа в Windows Server 2016 и охватывает следующие темы:
Дополнительные сведения о других сетевых технологиях см. в разделе Networking in Windows Server 2016.
Роль сервера удаленного доступа — это логическая группа этих связанных технологий доступа к сети: Служба удаленного доступа (RAS), Маршрутизацияи прокси веб-приложения. Эти технологии являются службами ролей роли сервера удаленного доступа. при установке роли сервера удаленного доступа с помощью мастера добавления ролей и компонентов или Windows PowerShell можно установить одну или несколько из этих трех служб ролей.
Не пытайтесь развернуть удаленный доступ на виртуальной машине (ВМ) в Microsoft Azure. использование удаленного доступа в Microsoft Azure не поддерживается. удаленный доступ на виртуальной машине Azure нельзя использовать для развертывания VPN, directaccess или любой другой функции удаленного доступа в Windows Server 2016 или более ранних версиях Windows Server. дополнительные сведения см. в статье поддержка серверного программного обеспечения майкрософт для Microsoft Azure виртуальных машин.
Служба удаленного доступа (RAS) — шлюз RAS
При установке службы роли DirectAccess и VPN развертывается шлюз службы удаленного доступа (шлюз RAS). Вы можете развернуть шлюз RAS для одного клиента: VPN-сервер шлюза RAS, многоклиентский шлюз RAS и сервер DirectAccess.
Шлюз RAS — один клиент. С помощью шлюза RAS можно развернуть VPN-подключения, чтобы предоставить конечным пользователям удаленный доступ к сети и ресурсам Организации. если клиенты работают Windows 10, можно развернуть Always On VPN, которая обеспечивает постоянное подключение между клиентами и сетью организации, когда удаленные компьютеры подключены к интернету. С помощью шлюза RAS можно также создать VPN-подключение типа «сеть — сеть» между двумя серверами в разных местах, например между основным офисом и филиалом, и использовать преобразование сетевых адресов (NAT), чтобы пользователи в сети могли получать доступ к внешним ресурсам, таким как Интернет. Кроме того, шлюз RAS поддерживает протокол BGP (BGP), который предоставляет службы динамической маршрутизации, если расположения удаленных офисов также имеют граничные шлюзы, поддерживающие BGP.
Шлюз RAS — клиент. Шлюз RAS можно развернуть как многоклиентский, шлюз и маршрутизатор на основе программного обеспечения, если вы используете виртуализацию сети Hyper-V или используете сети виртуальных машин, развернутые с помощью виртуальных локальных сетей (VLAN). С помощью шлюза RAS поставщики облачных служб (CSP) и предприятия могут включить маршрутизацию центрального и облачного трафика между виртуальными и физическими сетями, включая Интернет. С помощью шлюза RAS клиенты могут использовать VPN-подключения типа «точка — сеть» для доступа к сетевым ресурсам виртуальной машины в центре обработки данных откуда угодно. Вы также можете предоставить клиентам VPN-подключения типа «сеть — сеть» между удаленными сайтами и центром обработки данных CSP. Кроме того, можно настроить шлюз RAS с помощью BGP для динамической маршрутизации, а также включить преобразование сетевых адресов (NAT) для предоставления доступа к Интернету для виртуальных машин в сетях виртуальных машин.
шлюз RAS с многоклиентским возможностями также доступен в Windows Server 2012 R2.
Дополнительные сведения см. в статье шлюз RAS и протокол BGP (BGP).
Маршрутизация
Удаленный доступ можно использовать для маршрутизации сетевого трафика между подсетями в локальной сети. Маршрутизация обеспечивает поддержку маршрутизаторов преобразования сетевых адресов (NAT), маршрутизаторов локальной сети, использующих BGP, протокол RIP и маршрутизаторы с многоадресной рассылкой, с помощью протокола IGMP. В качестве полнофункционального маршрутизатора можно развернуть службу RAS на компьютере сервера или в виртуальной машине на компьютере с Hyper-V.
Прокси-сервер веб-приложения
Прокси веб-приложения — это служба роли удаленного доступа в Windows Server 2016. Прокси-сервер веб-приложения предоставляет функции обратного прокси-сервера для веб-приложений в корпоративной сети, что делает их доступными для пользователей с любых устройств из-за пределов корпоративной сети. Прокси веб-приложения предварительно проверяет подлинность доступа к веб-приложениям с помощью службы федерации Active Directory (AD FS) (AD FS), а также выступает в качестве AD FS прокси-сервера.
Дополнительные сведения см. в разделе прокси веб-приложения.
Удаленный доступ
Назначение
Используйте службу удаленного доступа (RAS) для создания клиентских приложений. В этих приложениях отображаются общие диалоговые окна службы RAS, Управление подключениями и устройствами удаленного доступа и работа с записями в телефонной книге. Служба RAS также обеспечивает следующее поколение серверных функций службы удаленного доступа (RAS) для Windows. Функции сервера RRAS следуют и создаются на основе службы удаленного доступа (RAS).
Где применимо
Служба удаленного доступа применима в любой вычислительной среде, которая использует ссылку на глобальную сеть (WAN) или виртуальную частную сеть (VPN). Служба RAS позволяет подключать удаленный клиентский компьютер к сетевому серверу по каналу WAN или VPN. Затем удаленный компьютер работает в локальной сети сервера, как будто удаленный компьютер подключен к локальной сети напрямую. API RAS позволяет программистам получать доступ к функциям RAS программным способом.
Аудитория разработчиков
API службы RAS предназначен для использования программистами C/C++. программисты Microsoft Visual Basic также могут найти полезные API. Программисты должны быть знакомы с основными понятиями сети.
Требования к среде выполнения
Некоторые функции в API RAS поддерживаются только на сетевых серверах, и другие функции поддерживаются только для сетевых клиентов. Дополнительные сведения о том, какие операционные системы поддерживают определенную функцию, см. в разделах о требованиях в документации.
улучшенная функциональность RAS в службе RRAS доступна для Windows NT Server 4,0 путем установки распространяемого компонента RRAS. все функции службы RRAS включены в Windows 2000 server, Windows server 2003 и Windows server 2008. приложения RRAS не могут выполняться на Windows NT Workstation 4,0 или в клиентских операционных системах, таких как Windows 95. Дополнительные сведения о том, какие операционные системы поддерживают определенную функцию, см. в разделах о требованиях в документации.
Управление удаленным доступом
1. vpn-подключение directaccess и маршрутизация и удаленный службы Access (RRAS). управление directaccess и vpn осуществляется в консоли управления удаленным доступом.
2. RRAS. Управление компонентами осуществляется в консоли маршрутизации и удаленного доступа.
Роль сервера удаленного доступа зависит от следующих компонентов:
— Веб-сервер (IIS): требуется для настройки сервера сетевых расположений и веб-проверки по умолчанию.
-Windows внутренняя база данных: используется для локального учета на сервере удаленного доступа.
— По умолчанию на сервере удаленного доступа, если роль удаленного доступа установлена и поддерживает пользовательский интерфейс консоли удаленного управления.
— Как вариант на сервере, на котором не запущена роль сервера удаленного доступа. В этом случае компонент будет использоваться для удаленного управления сервером удаленного доступа.
Эта функция включает в себя следующие компоненты:
— Графический интерфейс удаленного доступа и программы командной строки
— Модуль удаленного доступа для Windows PowerShell
Зависимости включают следующее:
— Консоль управления групповыми политиками
— Пакет администрирования диспетчера подключений RAS (CMAK)
-Windows PowerShell 3,0
-Графические средства управления и инфраструктура
Требования к оборудованию
Для этого сценария действуют следующие требования к оборудованию.
Требования к серверу
Компьютер, удовлетворяющий требованиям к оборудованию для Windows Server 2016. дополнительные сведения см. в разделе Windows Server 2016 требования к системе.
На сервере должно быть установлено и включено не менее одного сетевого адаптера. Только один адаптер должен быть подключен к внутренней корпоративной сети, и только один — к внешней сети (Интернету).
Если в качестве протокола перехода с IPv6 на IPv4 требуется Teredo, внешнему адаптеру сервера необходимы два последовательных открытых адреса IPv4. Если доступен только один сетевой адаптер, в качестве протокола перехода можно использовать только IP-HTTPS.
Минимум один контроллер домена. Серверы удаленного доступа и клиенты DirectAccess должны быть членами домена.
Если вы не хотите использовать самозаверяющие сертификаты для IP-HTTPS или сервера сетевых расположений либо хотите использовать сертификаты клиентов для проверки подлинности IPsec клиентов, на сервере необходимо установить центр сертификации (ЦС).
Требования к клиенту
Требования к серверу инфраструктуры и управления
Во время удаленного управления клиентскими компьютерами DirectAccess клиенты инициируют связь с серверами управления, например контроллерами доменов, серверами System Center Configuration и центра регистрации работоспособности. Эти серверы предоставляют службы, которые включают обновления Windows и антивирусных программ и средства проверки клиентов на соответствие требованиям защиты доступа к сети (NAP). Необходимые серверы следует развернуть до начала развертывания удаленного доступа.
требуется DNS-сервер, на котором работает Windows Server 2016, Windows Server 2012 r2, Windows Server 2012, Windows server 2008 R2 или Windows server 2008 с пакетом обновления 2 (SP2).
Требования к программному обеспечению
Для этого сценария действуют следующие требования к программному обеспечению.
Требования к серверу
Сервер удаленного доступа должен быть членом домена. Сервер можно развернуть на границе внутренней сети или за пограничным межсетевым экраном либо другим устройством.
Если сервер удаленного доступа расположен за пограничным межсетевым экраном или устройством преобразования сетевых адресов (NAT), на устройстве необходимо разрешить трафик на сервер удаленного доступа и с него.
Администратору, развертывающему сервер удаленного доступа, требуются права локального администратора на сервере и права пользователя домена. Кроме того, администратору требуются права для объектов групповой политики, которые используются при развертывании DirectAccess. Чтобы воспользоваться преимуществами функций, ограничивающих развертывание DirectAccess только мобильными компьютерами, для создания фильтра WMI требуются разрешения администратора домена на контроллере домена.
Если сервер сетевых расположений находится не на сервере удаленного доступа, для него потребуется отдельный сервер.
Требования к клиенту удаленного доступа:
Клиенты DirectAccess должны входить в состав домена. Домены, членами которых являются клиенты, могут принадлежать к общему лесу с сервером удаленного доступа или иметь двустороннее доверие с лесом или доменом сервера удаленного доступа.
Требуется группа безопасности Active Directory, в которую необходимо включить компьютеры, настраиваемые как клиенты DirectAccess. Компьютеры должны входить только в одну группу безопасности, включающую клиентов DirectAccess. Если клиенты включены в несколько групп, разрешение имен для клиентских запросов будет работать некорректно.
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
В сценарии развертывания управления удаленными клиентами DirectAccess компонент DirectAccess используется для поддержки работы клиентов через Интернет. В этом разделе описывается сценарий, включая этапы, роли, компоненты и ссылки на дополнительные ресурсы.
Windows Server 2016 и Windows Server 2012 объединить VPN directaccess и службы маршрутизации и удаленного доступа (RRAS) в одну роль удаленного доступа.
Помимо этой статьи доступны следующие разделы об управлении удаленным доступом.
Описание сценария
Клиентские компьютеры DirectAccess подключаются к интрасети при каждом подключении к Интернету, независимо от того, выполнил ли пользователь вход в систему компьютера. Ими можно управлять как ресурсами интрасети, обеспечивая соответствие изменениям групповой политики, обновлениям операционной системы, обновлениям решений по защите от вредоносных программ и другим организационным изменениям.
В некоторых случаях серверам или компьютерам интрасети необходимо инициировать подключения к клиентам DirectAccess. Например, сотрудники службы поддержки могут использовать подключения удаленного рабочего стола для соединения с удаленными клиентами DirectAccess и устранения их неполадок. Этот сценарий позволяет обеспечивать подключение пользователей с помощью существующего решения удаленного доступа, используя DirectAccess лишь для удаленного управления.
DirectAccess предоставляет конфигурацию, которая поддерживает удаленное управление клиентами DirectAccess. Вы можете использовать параметр мастера развертывания, ограничивающий создание политик лишь теми, которые необходимы для удаленного управления клиентскими компьютерами.
В рамках этого развертывания параметры настройки на уровне пользователя, например принудительное туннелирование, интеграция защиты доступа к сети (NAP) и двухфакторная проверка подлинности, становятся недоступными.
Содержание сценария
Далее описываются этапы планирования и настройки сценария развертывания управления удаленными клиентами DirectAccess.
Планирование развертывания
Существует несколько требований к компьютерам и сети для планирования данного сценария, В их число входят следующие:
Топология сети и серверов. С помощью DirectAccess вы можете поместить сервер удаленного доступа на периферии вашей интрасети либо после устройства преобразования сетевых адресов или брандмауэра.
Сервер сетевых расположений DirectAccess. Сервер сетевых расположений используется клиентами DirectAccess, чтобы определить, находятся ли они во внутренней сети. Сервер сетевых расположений можно установить на сервере DirectAccess или на другом сервере.
Клиенты DirectAccess. Решите, какие управляемые компьютеры будут настроены как клиенты DirectAccess.
Настройка развертывания
Настройка развертывания состоит из нескольких этапов. Сюда входит следующее.
Настройка инфраструктуры. Настройте параметры DNS, при необходимости включите сервер и клиентские компьютеры в домен и настройте группы безопасности Active Directory.
В данном сценарии развертывания объекты групповой политики (GPO) создаются автоматически службой удаленного доступа. Дополнительные параметры объекта групповой политики для сертификатов см. в разделе Развертывание расширенного удаленного доступа.
Настройка сервера удаленного доступа и сетевых параметров. Настройте сетевые адаптеры, IP-адреса и маршрутизацию.
Настройка параметров сертификата. в этом сценарии развертывания мастер начало работы создает самозаверяющие сертификаты, поэтому нет необходимости настраивать более расширенную инфраструктуру сертификатов.
Настройка сервера сетевого расположения. в этом сценарии сервер сетевого расположения установлен на сервере удаленного доступа.
Планирование серверов управления DirectAccess. Администраторы могут удаленно управлять клиентскими компьютерами DirectAccess, размещенными за пределами корпоративной сети, через Интернет. Серверы управления включают компьютеры, используемые во время удаленного управления клиентами (например, серверы обновлений).
Настройка сервера удаленного доступа. Установите роль удаленного доступа и запустите мастер начальной настройки DirectAccess для настройки DirectAccess.
Проверка развертывания. Протестируйте клиенты DirectAccess, чтобы гарантировать, что они могут подключаться к внутренней сети и Интернету с помощью DirectAccess.
Практическое применение
Ниже описываются преимущества, предоставляемые развертыванием единого сервера удаленного доступа для управления клиентами DirectAccess.
простота доступа. управляемые клиентские компьютеры под управлением Windows 8 или Windows 7 можно настроить как клиентские компьютеры directaccess. Эти клиенты могут получить доступ к внутренним ресурсам сети с помощью DirectAccess, как только устанавливается подключение Интернету, без необходимости входить в профиль VPN-подключения. Клиентские компьютеры под управлением других операционных систем могут подключаться к внутренней сети через VPN. Управление DirectAccess и VPN осуществляется с помощью одной консоли и одинаковых мастеров.
Простота управления. Администраторы удаленного доступа могут удаленно управлять клиентскими компьютерами DirectAccess, подключенными к Интернету, даже если они находятся за пределами внутренней корпоративной сети. Серверы управления могут автоматически исправить клиентские компьютеры, которые не отвечают корпоративным требованиям. Одним или несколькими серверами удаленного доступа можно управлять с одной консоли управления удаленным доступом.
Роли и компоненты, используемые в данном сценарии
В следующей таблице перечислены роли и компоненты, необходимые для сценария.
RDP. Игра в три буквы
Как известно, протокол удаленного рабочего стола (Remote Desktop Protocol или RDP) позволяет удаленно подключаться к компьютерам под управлением Windows и доступен любому пользователю Windows, если у него не версия Home, где есть только клиент RDP, но не хост. Это удобное, эффективное и практичное средство для удаленного доступа для целей администрирования или повседневной работы. В последнее время оно приглянулось майнерам, которые используют RDP для удаленного доступа к своим фермам. Поддержка RDP включена в ОС Windows, начиная еще с NT 4.0 и XP, однако далеко не все знают, как ею пользоваться. Между тем можно открывать удаленный рабочий стол Microsoft с компьютеров под Windows, Mac OS X, а также с мобильных устройств с ОС Android или с iPhone и iPad.
Если должным образом разбираться в настройках, то RDP будет хорошим средством удаленного доступа. Он дает возможность не только видеть удаленный рабочий стол, но и пользоваться ресурсами удаленного компьютера, подключать к нему локальные диски или периферийные устройства. При этом компьютер должен иметь внешний IP, (статический или динамический), или должна быть возможность «пробросить» порт с маршрутизатора с внешним IP-адресом.
Серверы RDP нередко применяют для совместной работы в системе 1С, или на них разворачивают рабочие места пользователей, позволяя им подключаться к своему рабочему месту удаленно. Клиент RDP позволяет дает возможность работать с текстовыми и графическими приложениями, удаленно получать какие-то данные с домашнего ПК. Для этого на роутере нужно пробросить порт 3389, чтобы через NAT получить доступ к домашней сети. Тоже относится к настройке RDP-сервера в организации.
RDP многие считают небезопасным способом удаленного доступа по сравнению с использованием специальных программ, таких как RAdmin, TeamViewer, VNC и пр. Другой предрассудок – большой трафик RDP. Однако на сегодня RDP не менее безопасен, чем любое другое решение для удаленного доступа (к вопросу безопасности мы еще вернемся), а с помощью настроек можно добиться высокой скорости реакции и небольшой потребности в полосе пропускания.
Как защитить RDP и настроить его производительность
| Шифрование и безопасность | Нужно открыть gpedit.msc, в «Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Безопасность» задать параметр «Требовать использования специального уровня безопасности для удаленных подключений по методу RDP» и в «Уровень безопасности» выбрать «SSL TLS». В «Установить уровень шифрования для клиентских подключений» выберите «Высокий». Чтобы включить использование FIPS 140-1, нужно зайти в «Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности» и выбрать «Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания». Параметр «Конфигурация компьютера — Параметры Windows — Параметры безопасности — Локальные политики — Параметры безопасности» параметр «Учетные записи: разрешать использование пустых паролей только при консольном входе» должен быть включен. Проверьте список пользователей, которые могут подключаться по RDP. |
| Оптимизация | Откройте «Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Среда удаленных сеансов». В «Наибольшая глубина цвета» выберите 16 бит, этого достаточно. Снимите флажок «Принудительная отмена фонового рисунка удаленного рабочего стола». В «Задание алгоритма сжатия RDP» установите «Оптимизация использования полосы пропускания. В «Оптимизировать визуальные эффекты для сеансов служб удаленных рабочих столов» установите значение «Текст». Отключите «Сглаживание шрифтов». |
Базовая настройка выполнена. Как подключиться к удаленному рабочему столу?
Подключение к удаленному рабочему столу
Для подключения по RDP необходимо, на удаленном компьютере была учетная запись с паролем, в системе должны быть разрешены удаленные подключения, а чтобы не менять данные доступа при постоянно меняющемся динамическом IP-адресе, в настройках сети можно присвоить статический IP-адрес. Удаленный доступ возможен только на компьютерах с Windows Pro, Enterprise или Ultimate.
Для удаленного подключения к компьютеру нужно разрешить подключение в «Свойствах Системы» и задать пароль для текущего пользователя, либо создать для RDP нового пользователя. Пользователи обычных аккаунтов не имеют права самостоятельно предоставлять компьютер для удаленного управления. Такое право им может дать администратор. Препятствием использования протокола RDP может стать его блокировка антивирусами. В таком случае RDP нужно разрешить в настройках антивирусных программ.
Стоит отметить особенность некоторых серверных ОС: если один и тот же пользователь попытается зайти на сервер локально и удаленно, то локальный сеанс закроется и на том же месте откроется удаленный. И наоборот, при локальном входе закроется удаленный сеанс. Если же зайти локально под одним пользователем, а удаленно — под другим, то система завершит локальный сеанс.
Подключение по протоколу RDP осуществляется между компьютерами, находящимися в одной локальной сети, или по интернету, но для этого потребуются дополнительные действия – проброс порта 3389 на роутере, либо соединение с удаленным компьютером по VPN.
Чтобы подключиться к удаленному рабочему столу в Windows 10, можно разрешить удаленное подключение в «Параметры — Система — Удаленный рабочий стол» и указать пользователей, которым нужно предоставить доступ, либо создать отдельного пользователя для подключения. По умолчанию доступ имеют текущий пользователь и администратор. На удаленной системе запустите утилиту для подключения.
Нажмите Win+R, введите MSTSC и нажмите Enter. В окне введите IP-адрес или имя компьютера, выберите «Подключить», введите имя пользователя и пароль. Появится экран удаленного компьютера.
При подключении к удаленному рабочему столу через командную строку (MSTSC) можно задать дополнительные параметры RDP:
| Параметр | Значение |
| /v: | Удаленный компьютер, к которому выполняется подключение. |
| /admin | Подключение к сеансу для администрирования сервера. |
| /edit | Редактирование RDP-файла. |
| /f | Запуск удаленного рабочего стола на полном экране. |
| /w: | Ширина окна удаленного рабочего стола. |
| /h: | Высота окна удаленного рабочего стола. |
| /public | Запуск удаленного рабочего стола в общем режиме. |
| /span | Сопоставление ширины и высоты удаленного рабочего стола с локальным виртуальным рабочим столом и развертывание на несколько мониторов. |
| /multimon | Настраивает размещение мониторов сеанса RDP в соответствии с текущей конфигурацией на стороне клиента. |
| /migrate | Миграция файлов подключения прежних версий в новые RDP-файлы. |
Для Mac OS компания Microsoft выпустила официальный RDP-клиент, который стабильно работает при подключении к любым версиям ОС Windows. В Mac OS X для подключения к компьютеру Windows нужно скачать из App Store приложение Microsoft Remote Desktop. В нем кнопкой «Плюс» можно добавить удаленный компьютер: введите его IP-адрес, имя пользователя и пароль. Двойной щелчок на имени удаленного рабочего стола в списке для подключения откроет рабочий стол Windows.
На смартфонах и планшетах под Android и iOS нужно установить приложение Microsoft Remote Desktop («Удаленный рабочий стол Майкрософт») и запустить его. Выберите «Добавить» введите параметры подключения — IP-адрес компьютера, логин и пароль для входа в Windows. Еще один способ — проброс на роутере порта 3389 на IP-адрес компьютера и подключение к публичному адресу роутера с указанием данного порта. Это делается с помощью опции Port Forwarding роутера. Выберите Add и введите:
А что насчет Linux? RDP –закрытый протокол Microsoft, она не выпускает RDP-клиентов для ОС Linux, но можно воспользоваться клиентом Remmina. Для пользователей Ubuntu есть специальные репозитории с Remmina и RDP.
Протокол RDP также используется для подключения к виртуальным машинам Hyper-V. В отличие от окна подключения гипервизора, при подключении по RDP виртуальная машина видит различные устройства, подсоединенных к физическому компьютеру, поддерживает работу со звуком, дает более качественное изображение рабочего стола гостевой ОС и т.д.
У провайдеров виртуального хостинга серверы VPS под Windows по умолчанию обычно также доступны для подключения по стандартному протоколу RDP. При использовании стандартной операционной системы Windows для подключения к серверу достаточно выбрать: «Пуск — Программы — Стандартные — Подключение к удаленному рабочему столу» или нажать Win+R и в открывшемся окне набрать MSTSC. В окне вводится IP-адрес VPS-сервера.
Нажав кнопку «Подключить», вы увидите окно с полями авторизации.
Чтобы серверу были доступны подключенные к вашему ПК USB-устройства и сетевые принтеры, при первом подключении к серверу выберите «Показать параметры» в левом нижнем углу. В окне откройте вкладку «Локальные ресурсы» и выберите требуемые параметры.
С помощью опции сохранения данных авторизации на удаленном компьютере параметры подключения (IP-адрес, имя пользователя и пароль) можно сохранить в отдельном RDP-файлом и использовать его на другом компьютере.
Настройка другой функциональности удаленного доступа
В окне подключения к удаленному компьютеру есть вкладки с настраиваемыми параметрами.
| Вкладка | Назначение |
| «Экран» | Задает разрешение экрана удаленного компьютера, то есть окна утилиты после подключения. Можно установить низкое разрешение и пожертвовать глубиной цвета. |
| «Локальные ресурсы» | Для экономии системных ресурсов можно отключить воспроизведение звука на удаленном компьютере. В разделе локальных устройств и можно выбрать принтер и другие устройства основного компьютера, которые будут доступны на удаленном ПК, например, USB-устройства, карты памяти, внешние диски. |
Подробности настройки удаленного рабочего стола в Windows 10 – в этом видео. А теперь вернемся к безопасности RDP.
Как «угнать» сеанс RDP?
Можно ли перехватывать сеансы RDS? И как от этого защищаться? Про возможность угона RDP-сессии в Microsoft Windows известно с 2011 года, а год назад исследователь Александр Корзников в своем блоге детально описал методики угона. Оказывается, существует возможность подключиться к любой запущенной сессии в Windows (с любыми правами), будучи залогиненным под какой-либо другой.
Некоторые приемы позволяют перехватить сеанс без логина-пароля. Нужен лишь доступ к командной строке NT AUTHORITY/SYSTEM. Если вы запустите tscon.exe в качестве пользователя SYSTEM, то сможете подключиться к любой сессии без пароля. RDP не запрашивает пароль, он просто подключает вас к рабочему столу пользователя. Вы можете, например, сделать дамп памяти сервера и получить пароли пользователей. Простым запуском tscon.exe с номером сеанса можно получить рабочий стол указанного пользователя — без внешних инструментов. Таким образом, с помощью одной команды имеем взломанный сеанс RDP. Можно также использовать утилиту psexec.exe, если она была предварительно установлена:
Или же можно создать службу, которая будет подключать атакуемую учетную запись, и запустить ее, после чего ваша сессия будет заменена целевой. Вот некоторые замечания о том, как далеко это позволяет зайти:
Наконец, рассмотрим, как удалить подключение к удаленному рабочему столу. Это полезная мера нужна, если необходимость в удаленном доступе пропала, или требуется запретить подключение посторонних к удаленному рабочему столу. Откройте «Панель управления – Система и безопасность – Система». В левой колонке кликните «Настройка удаленного доступа». В разделе «Удаленный рабочий стол» выберите «Не разрешать подключения к этому компьютеру». Теперь никто не сможет подключиться к вам через удаленный рабочий стол.
В завершение – еще несколько лайфхаков, которые могут пригодиться при работе с удаленным рабочим столом Windows 10, да и просто при удаленном доступе.