Что такое remote desktop gateway?
Имена всех служб удаленных рабочих столов изменились в Windows Server 2008 R2. Название служб удаленных рабочих столов изменится в
Диспетчер шлюза удалённых рабочих столов
Напомню, что с помощью консоли Remote Desktop Services можно настроить только самые основные параметры шлюза RD. Для более гибкой настройки в новой версии Windows Server 2008 можно использовать диспетчер шлюзов удаленных рабочих столов.
С помощью подпункта Fellow Page меню Terminal Services менеджер сервера может отправить сообщение на адрес сервера. tsgateway.msc
В начальном окне диспетчера шлюзов отображается самая основная статистика, например, количество соединений, выполненных к данному конкретному серверу, и количество соединений, выполненных через канал.
Перейдите в пункт меню Мониторинг, чтобы увидеть список подключенных пользователей. В зависимости от общего представления статистики и отключенных пользователей.
Импорт и экспорт параметров сервера шлюза удалённых рабочих столов
Полезно установить один из серверов шлюза в качестве эталона, если вам нужно развернуть несколько серверов.
Расширенное окно можно использовать для редактирования контекстного меню сервера, если это необходимо. Оно включает разделы для настроек конфигурации и политики экспорта.
Для экспорта политики и параметров конфигурации сервера необходимо выбрать соответствующий пункт из контекстного меню нужного сервера. Введите в окне имя файла настроек, представленное в распространенном формате XML.
Зайдите в нужную оснастку (или добавьте ее туда) для импорта настроек. Укажите расположение нужного файла в окне настроек.
После успешного импорта необходимо перезагрузить сервер, на котором были установлены настройки.
Как подключиться
Теперь необходимо настроить RDP-соединение. В окне “Параметры” нажмите кнопку после нажатия комбинации клавиш Win R и ввода команды mstsc.exe:
Адрес сервера и номер порта находятся в поле, выделенном красным цветом. Выберите “OK”.
Перейдите на вкладку “Общие”. Введите имена домена и пользователя:
Мастер настройки предложит вам ввести пароль для имени учетной записи. Получите доступ. Настройка завершена.
Настройка роли
Перейдите в “Менеджер сервера” и выберите слева закладку “Добавить роль”.
Первый пункт из списка:
Затем утилита предложит вам ввести имя сервера, для которого выдается роль. Нажмите “Далее” после того, как сделаете выбор из списка. На следующем шаге будет сформирован список доступных ролей сервера. Поместите, например, “Служба удаленных рабочих столов”:
После выбора кнопки “Далее” в окне будут показаны подробности о выбранной роли. Примите их и перейдите к следующему действию. Раздел “Сервер ролей” теперь имеет новую функцию. Перейдя в него, проверьте необходимые администратору параметры. Для примера давайте включим RDG:
Мастер установки проверяет совместимость выбранной роли и серверной ОС. Для функционирования RDG в операционной системе требуется полный набор программных инструментов и служб веб-администрирования:
Мы рекомендуем оставить выбранные службы включенными по умолчанию. Чтобы подтвердить установку, нажмите “Далее”.
Настройка сервера лицензирования
Вы можете проверить лицензирование удаленного рабочего стола, перейдя в диспетчер сервера служб удаленных рабочих столов.
Нажимаем ПКМ на наш сервер и выбираем Активировать.
Нажмите Далее после выбора метода подключения, Подключить авто.
После этого введите информацию об организации и нажмите кнопку Далее.
При установленной галочке запускается мастер активации сервера.
Сервер лицензирования появится после того, как мастер установки установит лицензии; нажмите Далее.
В зависимости от того, какой лицензией вы обладаете в настоящее время, выбор будет сделан.
Есть следующие типы лицензии:
В нашей ситуации мы выбрали корпоративный договор.
Вы должны добавить групповые политики после завершения установки; для этого нажмите Win R (или выберите “Выполнить” в меню “Пуск”).
Введите gpedit.msc в окне “Выполнить” и нажмите OK.
Это делается в редакторе локальной групповой политики. Здесь необходимо заменить две записи. Вы должны перейти в раздел Конфигурация компьютера, чтобы указать сервер лицензирования удаленного рабочего стола компьютера или ноутбука.
Активируйте эту политику и введите необходимую информацию о сервере лицензирования. В данном случае мы будем использовать наш локальный сервер 127.0.0.1 и применим настройки.
В данном случае мы переходим к узлу сеанса удаленного рабочего стола в разделе Конфигурация компьютера > Административные шаблоны Windows.
В нашем случае мы настроили устройство на активацию, установив политику и описав режим лицензирования.
Далее следует обновление групповой политики. Откройте Run, нажав Win R, введите gpupdate /force и нажмите Enter для завершения.
После успешной настройки лицензий мы настроили шлюз для удаленного рабочего стола.
Настройка шлюза удалённых рабочих столов
Окно свойств шлюза содержит все необходимые настройки. Окно можно открыть несколькими способами, в том числе:
- Выберите пункт главного меню Action, а затем Properties
- Перейдите в контекстное меню указанного сервера шлюза и выберите Properties
- Выберите Properties на панели действий
На вкладке General окна свойств Remote Desktop Server можно установить наибольшее количество соединений, которые могут быть сделаны с текущим сервером. Здесь вы можете выбрать один из следующих вариантов:
- Разрешите количество одновременных подключений не более (…). Разрешает определенное количество соединений.
- Разрешить максимальное количество одновременных подключений. Сервер будет соединен с этим количеством соединений, после чего он перестанет принимать новые соединения. Это максимальное число зависит от аппаратной производительности сервера.
- Запретить новые соединения. В этом случае все текущие соединения будут активны, но попытки создания новых соединений будут отклонены. Это значение полезно, если сервер необходимо выключить, например, в профилактических целях.
Вкладка SSL-сертификат позволяет взаимодействовать с текущим сертификатом и предоставляет подробную информацию о нем.
Подключение пользователей
Следующим шагом является создание пользователей, которые могут получить доступ к удаленному рабочему столу через шлюз удаленных рабочих столов.
Необходимо заполнить поля пользователя и пароля.
Удалите срок действия пароля с панели управления и добавьте его в группу “Пользователи удаленного рабочего стола”.
Подключитесь к серверу, затем добавьте новых пользователей.
Как на стороне компьютера, так и на устройстве, с которого мы будем соединяться с сервером.
Политики авторизации
Политики авторизации являются основными опциями в главном окне диспетчера шлюзов. Какими терминами обозначаются два типа политик?
- Политики авторизации подключения к удаленному рабочему столу (RD CAP) отвечают за определение того, каким группам пользователей разрешен доступ к ресурсам RDS через шлюз удаленного рабочего стола.
- Политики авторизации удаленного рабочего стола (RD RAP) отвечают за определение внутренних сетевых ресурсов, к которым могут получить доступ пользователи, подключающиеся через шлюз удаленного рабочего стола.
Создание новой политики авторизации ресурсов (rd rap) вручную
Давайте на примере политики авторизации обсудим систему авторизации ресурсов. Перейдите на вкладку политики авторизации ресурсов и выберите Создать новый блок, чтобы запустить окно создания политики.
Название вновь созданной политики и краткое описание – это два параметра, которые находятся на вкладке Общие. Кроме того, вы можете создать политику со статусом Выключена, если политика включена.
Определите, какие группы имеют доступ к внутренним ресурсам, на вкладке “Группы пользователей”.
Наиболее значимой вкладкой, вероятно, является вкладка Сетевые ресурсы. Она определяет набор сетевых ресурсов, к которым имеют доступ пользователи из ранее упомянутой группы.
,
- Выберите Active Directory Domain Services Network Resource Group. Использование этой опции предполагает, что нужная группа ресурсов уже хранится в Active Directory, и вы можете просто указать ее в этом поле. Выберите существующую группу, управляемую шлюзом удаленных рабочих столов, или создайте новую. С помощью этого пункта администратор может создать группу сетевых ресурсов, перечислив их по IP-адресу или имени. Помните, что эта группа видна только в диспетчере шлюзов и не является локальной для сервера (она недоступна в оснастке Local Users and Groups).
- Разрешить пользователям подключаться к любому сетевому ресурсу. Эта опция подразумевает, что пользователи, авторизованные на сервере шлюза, будут иметь доступ к любому внутреннему ресурсу.
Вы можете указать, какие порты будут использоваться для соединений, передаваемых от шлюза к внутренним ресурсам, на вкладке Разрешенные порты. На этой вкладке можно выбрать один из трех вариантов:
- Разрешает подключения только к порту 3389. Эта опция означает, что для подключения к ресурсам внутренней сети будет использоваться только стандартный протокол RDP.
- Разрешить подключения к следующим портам. В этом случае необходимо указать список портов, разрешенных для подключения. Эта опция полезна, когда протокол RDP настроен на нестандартный порт (отличный от 3389) или когда необходимо использовать дополнительные порты.
- Разрешить соединения на любом порту. Это наименее безопасный вариант, поскольку пользователь может использовать любой номер порта в своих целях, открывая широкий спектр возможностей.
Аналогично авторизации подключений, после создания новой политики отключите ее.
Установка ssl-сертификата
Для удаленного рабочего стола требуется установка SSL-сертификата. В консоли Remote Desktop Management Console щелкните имя сервера удаленного рабочего стола и выберите View or moderate certificates для установки SSL-сертификата.
Сертификаты из ЕС можно ввозить одним из трех способов:
- Создайте самоподписанный сертификат и импортируйте его;
- Импортируйте ранее загруженный сертификат (самоподписанный или от третьего лица);
- Загрузите сертификат от третьего лица (например, от Comodo) и импортируйте его;
Выберите подход; для нашего примера мы возьмем первый сценарий, который подразумевает создание и импорт самоподписанного сертификата.
Запишите имя сертификата и место его хранения на сервере. Выберите OK.
Сертификат будет получен.
Здесь будет показано, кому был выдан SSL-сертификат и когда истекает срок его действия. Чтобы сохранить изменения, нажмите Применить.
T CP-порт 443 (порт UPG) теперь является местом назначения SSL-сертификата.
В целях безопасности рекомендуется переключить порт SSL для удаленных рабочих станций на другой порт. Обычно предприятия используют порт 443, чтобы обмануть хакеров.
Щелкните правой кнопкой мыши имя сервера в консоли Remote Desktop Management (Действие) и выберите Свойства, чтобы изменить номер порта для шлюзов RD.
Установка роли
Нажмите Добавить роли и функции в диспетчере серверов после его открытия.
В качестве типа установки укажите Role-based or feature-based installation.
Выберите ваш сервер из пула.
Установите флажок Службы удаленных рабочих столов в следующем окне.
Вы увидите краткое описание вакансии.
Далее введите адрес вашей почты.
Если он еще не установлен, веб-сервер IIS и дополнительные инструменты администрирования будут доступны автоматически.
Добавить эти функции.
Кнопка Install на VPS должна быть использована для выбора всех компонентов.
Установка сертификата ssl
Для активации доступа через RDG необходимо сделать сертификат. Найдите раздел “Имя сервера” в рабочем окне RDG Manager. Из контекстного меню откройте пункт “Просмотр или изменение свойств сертификата”. В окне SSL выберите вкладку “Защита паролем”. создав три варианта. Выберите тот, что выделен красным цветом на скриншоте:
Введите имя сертификата и место, где он будет храниться после этого:
Для генерации нажмите “OK”. После этого рабочая область менеджера выглядит следующим образом:
Для повышения безопасности рекомендуется изменить порт по умолчанию соединения Remote Desktop Protocol. Откройте пункт “Свойства” в разделе “Действия” в RDG Manager. Активируйте вкладку “Свойства транспорта”. Измените значение в поле с красной звездочкой:
Мы подтверждаем изменения, закрываем окно.
Установка сертификата на шлюз удаленных рабочих столов через let’s encrypt
Скачать программу win-acme.
Копируем папку C:Scriptswin-acme.
Создайте 2 файла BAT:
Файл C:Scriptswin-acmeRegister.bat
Файл C:Scriptswin-acme Script.bat
Чек-лист безопасности windows server | инструкция
Вопрос безопасности сервера был и будет актуальным. Рассмотрим базовые правила обеспечения безопасности серверов под управлением ОС семейства Window Server.
Часто обновляйте установленное программное обеспечение и операционную систему.
Широко распространено мнение, что обновления Windows не нужны и должны быть отключены. Одна из самых больших ошибок заключается в следующем. Очень важно своевременно устанавливать обновления, особенно важные. На официальном сайте Центра обновления Windows есть программа, упрощающая эту задачу.
Обновление установленного вспомогательного программного обеспечения, такого как СУБД и кадры, имеет решающее значение.
Прежде всего, вы должны использовать авторитетные источники.
Перед загрузкой установочного пакета программного обеспечения, включая программное обеспечение с открытым исходным кодом, мы советуем вам подтвердить достоверность источника. Часто случается так, что на определенном веб-сайте обнаруживается скомпрометированное программное обеспечение. В установочный пакет может быть включен файл с вредоносным кодом.
Как правильно настроить межсетевой экран?
Очень важно знать, что сервер доступен через Интернет. Любое устройство, подобное брандмауэру, должно защищать ОС. Брандмауэр Windows может быть единственным оставшимся вариантом защиты от несанкционированных подключений к серверу, если таких устройств нет.
Вероятность причинения вреда выше, когда внутри системы имеется больше портов TCP/UDP для атаки серверов. Чтобы ответить на этот вопрос, мы должны определить, что блокировать. Порты 80 и 443 доступны при обращении к веб-серверу (этот адрес службы по умолчанию прослушивается).
Кроме этих портов существуют и другие “публичные” порты, поэтому имейте это в виду. Доступ к ним должен быть разрешен только определенным лицам. Порты экземпляра
- 3389 – RDP (протокол удаленного рабочего стола);
- 135-139 – NetBIOS;
- 445 – Samba (совместное использование файлов и папок);
- 5000 – 5050 – FTP в пассивном режиме;
- 1433 – 1434 – порты SQL;
- 3306 – стандартный порт MySQL;
- 53 – DNS
Создать правовые элементы очень просто. Откройте вкладку “Высокая безопасность” на панели управления в разделе Пуск > Управление и безопасность.
Щелкните правой кнопкой мыши “Правила для входящих соединений” в окне программы. Выберите “Согласиться с правилом” из контекстного меню. “.
Измените имя в учетной записи Администратора.
.
Вы должны создать отдельную учетную запись для каждого администратора, если сервером управляют несколько человек. Следовательно, виновник инцидента будет найден.
Использование ограниченной учетной записи пользователя.
В большинстве ситуаций достаточно иметь учетную запись с правами администратора. Мы советуем вам создать учетную запись с ограниченными правами. Злоумышленнику придется потрудиться, если учетная запись будет скомпрометирована, чтобы получить права администратора. Подобное действие может защитить сервер от его собственных действий.
В случае несанкционированного доступа под учетной записью администратора система будет полностью доступна для злоумышленника.
Укажите ограничения доступа и включите защиту паролем общих файлов и папок.
Мы настоятельно не рекомендуем клиентам без пароля и анонимным пользователям получать доступ к общим каталогам. Ничто не помешает ему подменить эту папку другой, если содержащиеся в ней файлы бесполезны или содержат вредоносные записи. Если не предотвратить такую подмену, может возникнуть ряд негативных последствий.
Мы советуем ограничить уровни доступа различных пользователей к файлам и папкам (чтение, запись) помимо пароля.
Включите запрос пароля, чтобы вы могли войти в систему, выйдя из режима ожидания.
При выходе из режима ожидания на физическом сервере (не удаленном или виртуальном) рекомендуется включить запрос пароля пользователя. Панель управления – это место, где вы настраиваете этот параметр. все на панели управления, и питание
Кроме того, вы должны определить пороги неактивности пользователя и запросы пароля “по возвращении”. Это не позволит пользователю забыть завершить сеанс RDP и заставить кого-то другого войти вместо него. Для настройки этого элемента следует использовать проверенную систему локальной политики secpol.msc.
Мастер настройки безопасности.
С помощью мастера настройки безопасности (SCW) можно создать XML-файлы политик безопасности, которые затем можно перенести на другие серверы. Эти политики включают общие системные настройки в дополнение к рекомендациям по использованию служб.
Корректно настроить политику безопасности.
Групповые политики для Active Directory следует регулярно обновлять и перестраивать после первоначальной настройки. В системе Windows можно добавить безопасность.
Для управления групповыми политиками можно использовать как встроенный инструмент Microsoft “gpmc.msc”, так и инструментальную программу, предоставляемую MSM (SCMC-Security Compliance Manager).
В рамках локальных политик безопасности использовать локальные политики.
Для защиты учетных записей удаленных пользователей можно применять групповые политики безопасности.
Для управления локальными политиками можно использовать оснастку “Локальная политика безопасности”, которая активируется командой secpol.msc из Пуск – Выполнить (клавиша R Windows).
Защитить удаленные рабочие столы (RDP).
1. RDP-подключения для пользователей с пустыми паролями должны быть разрешены.
Вы должны использовать пароли для защиты от несанкционированных подключений к RDP. Для этого откройте Start S Admin.
Откройте локальную политику безопасности в полученной директории.
Выберите Local Policies в меню в правой части окна Local Security Policies. Найдите пункт “Учетные записи: Разрешить пустые пароли только для входа в консоль” в нижней части окна.
Дважды щелкните по этому элементу, чтобы выбрать его, затем переведите переключатель в положение “Отключено”. Нажмите кнопку “OK”.
2. Применять стандартный TCP-порт RDP.
В любом случае, изменение номеров TCP-портов распространенных служб на другие номера может повысить безопасность сервера.
Чтобы заменить порт:
1. открываем редактор Реестра Windows – Windows R
2. Сначала создайте резервную копию реестра (Файл экспорта).
3. Открываем файл HKE_LOCALMACHINES, компилируем его и находим номер порта.
4. Открываем параметр двойным кликом мыши. Выбираем Систему исчисления: Десятичная, указываем новое значение порта и закрываем окно редактора реестра.
5. Создайте необходимые правила брандмауэра Windows для того, чтобы иметь возможность подключиться к серверу. Согласуйте правило, щелкнув правой кнопкой мыши на “Правила для входящих подключений”.
В окне “Мастера” выбираем порт
Затем выбираем “Протокол TCP”, «Определенные локальные порты» и указываем новый номер.
Следующий шаг – “Разрешить подключение”
Установите флажки, чтобы указать, к каким сетям применяется правило.
На итоговом шаге указываем название правила и описание к нему.
6. Перезагружаем сервер, чтобы применить изменения.
7. Теперь переходим к IP-адресу или доменному имени и добавляем номер порта после двоеточия.
Настройте порт на службу терминала.
Вы можете управлять тем, кто имеет доступ к данным, передаваемым по протоколу HTTPS (SSL), используя службу TS Gateway для безопасных соединений удаленных рабочих столов. Этот инструмент позволяет установить рекомендации и стандарты авторизации для удаленных пользователей, а также всесторонне контролировать доступ к машинам.
- Пользователи или группы пользователей, которым разрешено подключаться к ресурсам внутренней сети;
- Сетевые ресурсы, к которым пользователи могут подключаться;
- Должны ли клиентские компьютеры иметь членство в Active Directory;
- Должны ли клиенты использовать аутентификацию с помощью смарт-карты или пароля, или они могут использовать один из вышеперечисленных методов аутентификации.
Как работает шлюз удаленного рабочего стола? Но вы можете использовать автономный, если у вас есть своя виртуальная машина.
T S установится на шлюзе.
1. Откройте диспетчер сервера.
2. Следует выбрать “Добавить роли и компоненты”.
Выберите “Установить роли и компоненты” в разделе “Тип установки”.
4. В качестве следующего шага следует выбрать текущий сервер.
5. Remote Desktop Service – это роль сервера.
6. Идем дальше. Следует выбрать “Шлюз удаленного рабочего стола”.
7. Мы переходим к этапу подтверждения, нажимаем кнопку “Установить”.
S SL-сертификат устанавливаем
После установки роли выберите Инструменты служб удаленных рабочих столов в окне Диспетчер сервера.
Щелкните значок сервера в левой части окна. Затем нажмите “Просмотр и изменение свойств сертификата” в главном разделе окна.
В окне “Свойства” переходим на вкладку «Сертификат SSL». Выбираем пункт “Создать и импортировать сертификат”, нажимаем кнопку «Указать наименование документа».
В зависимости от того, кто выдал сертификат, вы можете использовать один из следующих методов, если он у вас уже есть.
В новом окне необходимо проверить параметры. Если все правильно – нажимаем “OK”.
В новом системном окне вам будет сообщено, что сертификат успешно создан, и будет показано местоположение файла.
. Нажимаем “Применить”.
Только нужно настроить групповые политики.
В окне “Диспетчер шлюза удаленных рабочих столов”, в левой колонке, раскрываем ветку сервера, выбираем “Политики”, затем “Политики авторизации подключений”. В правой колонке того же окна, выбираем “Создать новую политику” → “Мастер”.
В новом окне выберите “Создать только политику авторизации подключения к удаленному рабочему столу” и нажмите “Далее”.
Мы указываем желаемое имя для политики. Мы рекомендуем указывать имя латиницей.
На следующем этапе необходимо выбрать простой метод аутентификации, например, пароль или смарт-карту. Укажите только “Пароль”. Выберите “Добавить группу” в меню.
В окне выбора группы нажмите кнопку “Подробнее”.
Размер окна изменится. Выберите “Поиск” в меню. Нажмите OK после выбора “Администраторы домена”.
Проверьте имена выбранных объектов в окне выбора группы и нажмите “ОК”.
Команда включена. Нажмите кнопку “Далее”, чтобы перейти к следующему шагу.
Затем нажмите “Далее”, выбрав “Перенаправить устройства для всех клиентских устройств”.
Установите таймаут сеанса. и последующие действия. Чтобы запущенные в фоновом режиме пользовательские процессы не потребляли процессорное время, рекомендуется отключить сессию. Выберите “Далее”.
На крайнем этапе просматриваем сводку, нажимаем “Готово”.
На подтверждение создания политики нажимаем “Закрыть”.
Мы настроим политику авторизации ресурса.
Процесс выполняется аналогично предыдущему.
Перейдите в ветку “Политики и авторизация” в окне “Диспетчер удаленных рабочих столов”. Выберите опцию “Создать новую политику” “Мастера” в правой части окна.
Нажмите “Next” после выбора “Create only Remote Desktop Resource Authorization Policy” (Создать только политику авторизации ресурсов удаленного рабочего стола).
Выбор желаемого имени – это первый шаг в получении полиса авторизации. Вы обязательно должны использовать латинский алфавит. Выберите “Далее” в меню.
Для продвижения вперед выберите “Advanced” в окне выбора групп.
Окно изменит размер. Нажимаем кнопку “Поиск”. Нажимаем кнопку “Ок”.
Проверьте выбранные имена объектов в окне выбора группы, прежде чем нажать “OK”.
Группа добавлена. Нажимаем кнопку “Далее”.
Разрешите подключение к любым сетевым ресурсам на следующем шаге. Нажмите кнопку “Далее” после выбора соответствующего варианта.
Установите разрешенные порты. Оставьте порт сервера RDP на 3389, если не хотите его менять. Нажмите Далее или введите.
После просмотра настроек выберите “Готово”.
В обновленном окне нажимаем “Закрыть”.
Все соединения с серверной системой должны быть прерваны. Неиспользуемые службы должны быть отключены.
Планирование риска отказа сетевого элемента является одной из ключевых задач на этапе предпроектного планирования сетевой архитектуры. Если что-то ломается, виноватым может оказаться устройство. Серьезность последствий отказа возрастает с увеличением количества ролей на сервере. Если это вообще возможно, необходимо определить функции серверных систем на этапе проектирования, чтобы снизить риск и ущерб. при удалении ненужных ролей и служб сервера.
Идеальным сценарием является один сервер, выполняющий только одну задачу. Например, файловый сервер или контроллер домена и т.д. Разделение ролей на одну и другую на практике трудновыполнимо.
Изоляция ролей также может осуществляться с помощью виртуальных серверов. Производительность и стабильность веб-технологий очень высоки, и ни администраторы, ни пользователи не подвержены никаким ограничениям. Целый парк аппаратных средств можно заменить тщательно подобранным оборудованием и настроенным программным обеспечением.
Обзор Windows Nano Server.
Nano Server является следующим шагом. В новой версии дистрибутива запрещено использование графического интерфейса пользователя. WMI, инструмент управления Windows, и встроенный PowerShell являются единственными источниками управления. Этот дистрибутив Windows Server содержит на 92% меньше критических рекомендаций по безопасности. Доступ к Nano Server имеют только клиенты Microsoft Software Assurance и пользователи облачных вычислительных служб, таких как Amazon Web Service. Система Nano может быть установлена только в контейнере, начиная со сборки Windows Server 1709.