Настройка удаленного приложения windows server 2019 для запуска 1s

Обновлено: 18.05.2024

Сеансы удаленного рабочего стола работают по зашифрованному каналу, поэтому никто не может просматривать ваш сеанс путем прослушивания в сети. Однако в методе, используемом для шифрования сеансов в более ранних версиях RDP, есть уязвимость. Эта уязвимость может сделать возможным несанкционированный доступ к вашему сеансу с помощью атаки «человек посередине».

Удаленный рабочий стол можно защитить с помощью SSL/TLS в Windows Vista, Windows 7, Windows 8, Windows 10 и Windows Server 2003/2008/2012/2016. *Некоторые перечисленные системы больше не поддерживаются Microsoft и поэтому не соответствуют стандартам безопасности Campus. Если неподдерживаемые системы все еще используются, требуется исключение безопасности.

Хотя удаленный рабочий стол более безопасен, чем инструменты удаленного администрирования, такие как VNC, которые не шифруют весь сеанс, всякий раз, когда администратору предоставляется удаленный доступ к системе, возникают риски. Следующие советы помогут защитить удаленный доступ к рабочим столам и серверам, которые вы поддерживаете.

Основные советы по безопасности для удаленного рабочего стола

1. Используйте надежные пароли

Надежные пароли для любых учетных записей с доступом к удаленному рабочему столу следует рассматривать как обязательный шаг перед включением удаленного рабочего стола. Советы см. в руководстве по сложности пароля кампуса.

2. Используйте двухфакторную аутентификацию

Отделы должны рассмотреть возможность использования двухфакторной аутентификации. Эта тема выходит за рамки этой статьи, но шлюзы удаленных рабочих столов можно настроить для интеграции с экземпляром Campus DUO. Другими доступными опциями, не поддерживаемыми кампусом, будет простой механизм контроля аутентификации с помощью смарт-карт на основе двухфакторных сертификатов. Этот подход использует сам узел удаленного рабочего стола в сочетании с YubiKey и RSA в качестве примеров.

3. Обновите программное обеспечение

Одним из преимуществ использования удаленного рабочего стола по сравнению со сторонними инструментами удаленного администрирования является то, что компоненты автоматически обновляются с использованием последних исправлений безопасности в рамках стандартного цикла исправлений Microsoft. Убедитесь, что вы используете последние версии как клиентского, так и серверного программного обеспечения, включив и проведя аудит автоматических обновлений Microsoft. Если вы используете клиенты удаленного рабочего стола на других платформах, убедитесь, что они по-прежнему поддерживаются и у вас установлены последние версии. Старые версии могут не поддерживать высокий уровень шифрования и иметь другие недостатки безопасности.

4. Ограничить доступ с помощью брандмауэров

Используйте брандмауэры (как программные, так и аппаратные, если они доступны), чтобы ограничить доступ к прослушивающим портам удаленного рабочего стола (по умолчанию TCP 3389). Использование шлюза RDP настоятельно рекомендуется для ограничения доступа RDP к рабочим столам и серверам (см. обсуждение ниже). В качестве альтернативы для поддержки подключения за пределами кампуса вы можете использовать программное обеспечение кампусной VPN, чтобы получить IP-адрес кампуса и добавить пул сетевых адресов кампусной VPN в правило исключения брандмауэра RDP. Посетите нашу страницу для получения дополнительной информации о VPN-сервисе кампуса.

5. Включить аутентификацию на уровне сети

Windows 10, Windows Server 2012 R2/2016/2019 также по умолчанию обеспечивают проверку подлинности на уровне сети (NLA). Лучше оставить это на месте, так как NLA обеспечивает дополнительный уровень аутентификации до установления соединения. Серверы удаленных рабочих столов следует настраивать так, чтобы разрешать подключения без NLA, только если вы используете клиенты удаленных рабочих столов на других платформах, которые его не поддерживают.

NLA должен быть включен по умолчанию в Windows 10, Windows Server 2012 R2/2016/2019.

Для проверки можно посмотреть параметр групповой политики Требовать аутентификацию пользователя для удаленных подключений с помощью аутентификации на уровне сети, который находится в папке Компьютер\Политики\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Безопасность. Этот параметр групповой политики должен быть включен на сервере с ролью узла сеансов удаленных рабочих столов.

6. Ограничьте количество пользователей, которые могут входить в систему с помощью удаленного рабочего стола

По умолчанию все администраторы могут входить в удаленный рабочий стол. Если на вашем компьютере есть несколько учетных записей администратора, вы должны ограничить удаленный доступ только теми учетными записями, которым это необходимо. Если удаленный рабочий стол не используется для системного администрирования, удалите весь административный доступ через RDP и разрешите только учетные записи пользователей, которым требуется служба RDP. Для отделов, которые управляют многими машинами удаленно, удалите учетную запись локального администратора из доступа RDP по адресу и вместо этого добавьте техническую группу.

Нажмите Пуск-->Программы-->Администрирование-->Локальная политика безопасности

.

В разделе «Локальные политики» -> «Назначение прав пользователя» выберите «Разрешить вход через службы терминалов». Или «Разрешить вход через службы удаленных рабочих столов»

Удалите группу «Администраторы» и оставьте группу «Пользователи удаленного рабочего стола».

Используйте панель управления системой, чтобы добавить пользователей в группу пользователей удаленного рабочего стола.

Типичная операционная система MS по умолчанию имеет следующие настройки, как показано в локальной политике безопасности:

Проблема в том, что «Администраторы» здесь по умолчанию, а ваша учетная запись «Локальный администратор» находится в группе администраторов. Несмотря на то, что рекомендуется соглашение о паролях, чтобы избежать идентичных паролей локального администратора на локальном компьютере и жестко контролировать доступ к этим паролям или соглашениям, использование учетной записи локального администратора для удаленной работы на компьютере не позволяет должным образом регистрировать и идентифицировать пользователя, использующего систему. Лучше всего переопределить локальную политику безопасности с помощью параметра групповой политики.

Для управления доступом к системам также полезно использовать «Группы с ограниченным доступом» с помощью групповой политики.

Если вы используете параметр «Группа с ограниченным доступом», чтобы поместить свою группу, например, «CAMPUS\LAW-TECHIES» в «Администраторы» и «Пользователи удаленного рабочего стола», ваши технические специалисты по-прежнему будут иметь удаленный административный доступ, но с помощью шагов выше вы удалили проблемную «учетную запись локального администратора», имеющую доступ по RDP. В дальнейшем при добавлении новых машин в OU под объектом групповой политики ваши настройки будут правильными.

7. Установите политику блокировки учетной записи

Настроив свой компьютер на блокировку учетной записи для определенного количества неверных ответов, вы поможете хакерам не получить доступ к вашей системе с помощью инструментов автоматического подбора пароля (это называется атакой методом грубой силы). Чтобы установить политику блокировки учетной записи:

1. Выберите "Пуск" --> "Программы" --> "Администрирование" --> "Локальная политика безопасности".
2. В разделе «Политика учетной записи» -> «Политика блокировки учетной записи» задайте значения для всех трех параметров. Три недействительные попытки с трехминутной блокировкой являются разумным выбором.

Рекомендации по обеспечению дополнительной безопасности

1. Не разрешайте прямой доступ RDP к клиентам или серверам за пределами кампуса.

Настоятельно не рекомендуется открывать RDP (порт 3389) для сетей за пределами кампуса, поскольку это известное направление для многих атак. В приведенных ниже параметрах перечислены способы повышения безопасности при разрешении RDP-доступа к системе.

После настройки шлюза RDP хосты должны быть настроены так, чтобы разрешать подключения RDP только с хоста шлюза или подсетей кампуса, где это необходимо.

2. Использовать шлюзы RDP (лучший вариант)

Служба шлюза RDP также поддерживает новое требование к службам удаленного доступа черновика обновления MSSND (требование 8), которое требует использования утвержденной службы (например, шлюза RDP, выделенного шлюза или bSecure VPN) для доступ к сети Калифорнийского университета в Беркли из общедоступного Интернета.

Служба выделенного шлюза (управляемая). Требуется для доступа по протоколу RDP к системам с UC P4 или выше. Также необходимо настроить для DUO

В некоторых кампусных подразделениях в качестве шлюза удаленных рабочих столов используется VPS, управляемый IST. Приблизительно можно предположить, что 30-100 одновременных пользователей могут использовать один шлюз удаленных рабочих столов. HA на виртуальном уровне обеспечивает достаточно отказоустойчивый и надежный доступ; однако с балансировкой сетевой нагрузки можно реализовать несколько более сложную реализацию шлюза удаленных рабочих столов.

Установка конфигурации службы роли в основном соответствует описанию; однако рекомендуется использовать выданный Calnet доверенный сертификат Comodo. Использование самозаверяющего сертификата подходит для тестирования, а использование сертификата CalnetPKI может работать, если все клиенты доверяют корневому каталогу UCB. Сертификат Comodo обычно принимается лучше, чтобы ваши конечные пользователи не получали предупреждений о сертификате.

По сути, достаточно просто изменить вкладку "Дополнительно" вашего RDP-клиента:

3. Измените порт прослушивания для удаленного рабочего стола

Изменение порта прослушивания поможет «скрыть» удаленный рабочий стол от хакеров, которые сканируют сеть на наличие компьютеров, прослушивающих порт удаленного рабочего стола по умолчанию (TCP 3389). Это обеспечивает эффективную защиту от новейших червей RDP, таких как Morto. Для этого отредактируйте следующий раздел реестра (ВНИМАНИЕ: не пытайтесь сделать это, если вы не знакомы с реестром Windows и TCP/IP): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp. Измените порт прослушивания с 3389 на что-то другое и не забудьте обновить все правила брандмауэра с помощью нового порта. Хотя этот подход полезен, это безопасность через неизвестность, что не является самым надежным подходом к обеспечению безопасности. Вам следует убедиться, что вы также используете другие методы ограничения доступа, как описано в этой статье.

4. Туннельное подключение к удаленному рабочему столу через IPSec или SSH

5.Используйте существующие инструменты управления для регистрации и настройки RDP

Использование других компонентов, таких как VNC или PCAnywhere, не рекомендуется, так как они могут не обеспечивать аудит или защиту. При использовании RDP входы в систему проверяются в локальном журнале безопасности и часто в системе аудита контроллера домена. При мониторинге локальных журналов безопасности ищите аномалии в сеансах RDP, например попытки входа в систему из учетной записи локального администратора. RDP также имеет преимущество подхода централизованного управления через GPO, как описано выше. По возможности используйте объекты групповой политики или другие инструменты управления конфигурацией Windows, чтобы обеспечить согласованную и безопасную конфигурацию RDP на всех ваших серверах и настольных компьютерах.

Принудительно используя шлюз RDP, вы также получаете третий уровень аудита, который легче читать, чем прочесывать логины контроллера домена, и он отделен от целевой машины, поэтому он не подвержен несанкционированному вмешательству. Этот тип журнала значительно упрощает отслеживание того, как и когда используется RDP на всех устройствах в вашей среде.

Ограничение доступа к RDP с помощью брандмауэра Windows

Если у вас есть компьютер, управляемый кампусом:

• Обратитесь за помощью в ИТ-службу поддержки клиентов или в ИТ-поддержку вашего отдела.

Если у вас есть персональный компьютер и права администратора:

• Следуйте инструкциям в этой статье, чтобы обновить брандмауэр Windows, чтобы только авторизованные хосты и сети могли получить доступ к вашей системе через удаленный рабочий стол (RDP).

Настройки > Обновление и безопасность > Безопасность Windows > Брандмауэр и защита сети > Дополнительные параметры > Правила для входящих подключений > Удаленный рабочий стол — режим пользователя (TCP-In) > Свойства > Область действия > Удаленный IP-адрес > Добавить > Этот IP-адрес или подсеть< /p>

1. Безопасность Windows > Брандмауэр и защита сети

1. Правила для входящих подключений > Удаленный рабочий стол — Режим пользователя (TCP-входящий) > Свойства

1. В поле Этот IP-адрес или подсеть добавьте только те IP-адреса и сетевые подсети, которым должно быть разрешено подключение к службе удаленного рабочего стола (RDP) вашего компьютера. Некоторые распространенные примеры IP-адресов и подсетей кампуса перечислены в разделе ниже.

IP-адреса и подсети кампуса

Исходя из ваших потребностей, выбирайте только авторизованные IP-адреса и подсети кампуса для подключения к службе RDP вашего компьютера. Network Operations & Services поддерживает исходный список UC Berkeley Campus Networks, но некоторые распространенные примеры приведены ниже для справки.

IST RD Gateway
Чтобы получить доступ к вашей системе через RDP напрямую из Интернета, используйте Campus Remote Desktop Gateway. Шлюз удаленных рабочих столов позволит вам использовать ваш идентификатор CalNet с push-уведомлениями Duo для подключения. Вы можете авторизовать шлюз удаленных рабочих столов, добавив следующую подсеть в правило брандмауэра:

Кампусные VPN-сети удаленного доступа (bSecure Remote Access Services with GlobalProtect)
Чтобы получить доступ к вашей системе через RDP через кампусную VPN, добавьте одну или несколько следующих VPN-сетей в правило брандмауэра:< /p>

• Раздельные туннельные клиентские сети
  • 10.136.128.0/18
  • 136.152.16.0/20
  • 136.152.210.0/23

  Сети кампуса (на месте)

  Чтобы получить доступ к вашей системе через RDP, находясь в кампусе, добавьте соответствующие беспроводные или проводные сети кампуса в правило брандмауэра:

  • AirBears2 и беспроводные сети eduroam
    • 10.142.0.0/16, 136.152.28.0/22, 136.152.36.0/22, 136.152.142.0/24, 136.152.145.0/24, 136.152.148.0/22, 2607:f140:400::/48
    • 128.32.0.0/16, 136.152.0.0/16, 136.152.0.0/16, 192.31.105.0/24

    
    Эта работа находится под лицензией Creative Commons Attribution-NonCommercial 4.0 International License.

    Когда пользователь использует ссылку "Запустить приложение" в веб-приложении, вызывается средство запуска, которое получает необходимые учетные данные для запуска приложения. Приложение запускается с сервера перехода. В свою очередь, VDI отображает удаленное приложение на рабочей станции пользователя как локальное приложение. Перед запуском приложения необходимо настроить RDS.

    Настроить удаленное приложение

    1. Откройте диспетчер серверов. Выберите Службы удаленных рабочих столов > Коллекции.
    2. Выберите коллекцию, необходимую для настройки средства запуска приложений.

    
    

    
    

    1. Выберите LiebsoftLauncher.exe в папке установки средства запуска приложений на сервере переходов. Каталог по умолчанию для этого файла — C:\Program Files (x86)\Lieberman\Roulette\LaunchApp.
    2. Нажмите "Далее".

    
    

    1. На странице подтверждения нажмите "Опубликовать".

    
    

    1. После публикации приложения LiebsoftLauncher щелкните его правой кнопкой мыши в списке RemoteApp Programs. Выберите "Изменить свойства".
    2. На вкладке "Общие" установите для параметра "Показывать программу RemoteApp в веб-доступе к удаленным рабочим столам" значение "Нет".

    
    

    1. На вкладке "Параметры" выберите "Разрешить любые параметры командной строки".

    
    

    1. На вкладке «Назначение пользователя» мы настоятельно рекомендуем изменить параметр «Назначение пользователя», указав конкретного пользователя или группу пользователей. Вы будете подключены к серверу как предварительно назначенная учетная запись, которой можно управлять с помощью Privileged Identity. Это единственная учетная запись, которой требуется доступ для запуска программы. Назначенной учетной записи требуются все разрешения и права для запуска нужных программ.
    2. Нажмите "ОК".

    BeyondTrust — мировой лидер в области управления привилегированным доступом (PAM), который позволяет компаниям защищать и управлять всеми своими привилегиями. Подход BeyondTrust Universal Privilege Management обеспечивает безопасность и защиту привилегий в отношении паролей, конечных точек и доступа, предоставляя организациям прозрачность и контроль, необходимые для снижения рисков, обеспечения соответствия требованиям и повышения операционной производительности.

    ©2003-2022 Корпорация BeyondTrust. Все права защищены. Другие товарные знаки, указанные на этой странице, принадлежат их соответствующим владельцам. BeyondTrust не является зарегистрированным банком, трастовой компанией или депозитарным учреждением. Он не имеет права принимать депозиты или доверительные счета и не лицензируется и не регулируется каким-либо государственным или федеральным банковским органом. 09.03.2022

    [WINDOWS SERVER 2019] Запустите программу с удаленного рабочего стола

    Всем доброе утро,
    Я установил Windows Server 2019 на сервер, до этого последний сервер, который я устанавливал, был с Windows Server 2008. Моя проблема заключается в том, чтобы запустить программу автоматически в сеансе удаленного рабочего стола, чтобы пользователь может использовать только эту программу и не имеет доступа к остальной части компьютера, когда программа закрыта, сеанс удаленного рабочего стола также должен быть закрыт. Я пытался сделать так, как было, по крайней мере, до Windows Server 2008, то есть установить программу запуска из раздела «Среда» пользователя, которая работала нормально. Сейчас в Windows Server 2019 я увидел, что есть возможность установить программу в среду, но по факту она не работает или программа не запускается и пользователю все доступно.
    Есть ли кто-нибудь, кто может помогите мне понять, как лучше всего решить мою проблему?
    Спасибо всем.

    4 ответа

    2. Насколько мне известно, для использования функции запуска программы при подключении требуется служба роли узла сеансов удаленных рабочих столов. Вы установили роль RDSH для сервера?

    3.Наиболее широко используемый метод отключения доступа к удаленному рабочему столу, но разрешения RemoteAPP, — это метод, описанный в приведенной ниже ветке:

    Конфигурация пользователя > Политики > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Среда удаленных сеансов > Запуск программы при подключении
    Поместите c:\windows\system32\logoff.exe в программу дорожка.
    Добавьте это в GPO пользователя, но не в GPO системного администратора.

    Надеюсь, это поможет, и, пожалуйста, помогите принять как ответ, если ответ полезен.

    Здравствуйте!
    Могу ли я узнать, полезна ли приведенная выше информация?

    Пожалуйста, не стесняйтесь, дайте нам знать, если у вас возникнут вопросы, и, пожалуйста, помогите отметить полезный ответ как ответ, чтобы закрыть ветку.

    Здравствуйте, Дженни,
    по причинам времени я еще не смог попробовать, как только я это сделаю, я дам вам знать, спасибо за вашу доступность.

    Здравствуйте, да, я установил службы узла удаленного рабочего стола.
    Я попытался, но получил несколько ошибок, и у меня возникли сомнения: должен ли узел RDP быть контроллером домена или принадлежать домену?

    Здравствуйте!
    Как правило, не рекомендуется устанавливать RDSH на контроллере домена Active Directory, поскольку разрешение пользователям запускать программы на контроллере домена может создать риски для безопасности и проблемы с производительностью.

    Кроме того, среду RDS можно настроить в домене или рабочей группе с соответствующим типом RDS CAL.

    Привет, Дженни,
    очень хорошо, потому что мне нужно, чтобы сервер не был контроллером домена и не принадлежал к домену. Тогда есть кое-что, что ускользает от меня, потому что я прочитал документы по ссылкам, которые вы мне прислали, но пытаюсь получить ошибки. Очевидно, я чего-то не понял.
    Я попробовал это из Power Shell, надеюсь, я правильно перевел, потому что это на итальянском языке:

    Я думаю, что не знаю и не понимаю, что входит в "SessionHost". Я попытался указать имя хоста сервера (Server2019), но получил другую ошибку:

    Потом пробовал как написано, другие ошибки:

    Здравствуйте!
    Похоже, вы пытаетесь создать коллекцию RDS и опубликовать удаленные приложения через RD Web.

    Надеюсь, это поможет, и, пожалуйста, помогите принять как ответ, если ответ полезен.

    Укажите отдельные приложения, которые размещаются/запускаются на виртуализированной машине, но выглядят так, как если бы они работали на рабочем столе пользователя, как локальные приложения. Приложения имеют свою собственную запись на панели задач, и их можно изменять и перемещать по мониторам. Идеально подходит для развертывания ключевых приложений и управления ими в защищенной удаленной среде, позволяя пользователям работать и настраивать свои собственные рабочие столы.

    Программы RemoteApp — это программы, доступ к которым осуществляется удаленно через особый тип подключения к удаленному рабочему столу и которые выглядят так, как будто они работают на локальном компьютере конечного пользователя. Вместо того, чтобы быть представленными пользователю на рабочем столе сервера, как при традиционном подключении к удаленному рабочему столу, программы RemoteApp интегрируются с рабочим столом клиентского компьютера, работая в собственном окне с изменяемым размером и собственной записью на панели задач. Если программы используют значки в области уведомлений, значки отображаются в области уведомлений клиентского компьютера. Любые всплывающие окна перенаправляются на локальный рабочий стол, а локальные диски и принтеры могут быть перенаправлены для отображения в программах RemoteApp. Многие пользователи могут не знать, что программа RemoteApp отличается от локальной программы.

    Для этой демонстрации требования к инфраструктуре:

    • 1 СЕРВЕР DC (DC-CLOUD.Sifad.ae)
    • 1 клиентский ПК под управлением Windows 10 (CLIENT-10)

    01 — откройте Диспетчер серверов. Нажмите Добавить роли и функции.

    
    

    02 — Нажмите "Далее", чтобы продолжить

    
    

    03 — выберите кнопку установки служб удаленных рабочих столов и нажмите «Далее», чтобы продолжить.

    
    

    04 — в поле "Выбор типа развертывания" нажмите "Быстрый запуск" (я выбрал этот вариант, потому что у меня есть только один сервер для RDS и удаленных приложений)

    
    

    05 — Затем в поле "Выберите сценарий развертывания" выберите "Развертывание рабочего стола на основе сеанса".

    
    

    06. В поле «Выбор сервера» проверьте свой сервер RDS и IP-адрес (в моем случае мой сервер RDS — DC-CLODU.Sifad.ae/172.16.1.254).

    
    

    07 — В поле "Подтвердить выбор" проверьте роли, которые нужно установить, и нажмите "Перезапустить место назначения". и нажмите "Развернуть".

    
    

    08 – дождаться завершения процесса. ваш сервер перезапустится после установки ролей RDS.

    
    
    

    09 — после входа на сервер в Диспетчере серверов щелкните Службы удаленных рабочих столов. а затем нажмите QuickSessionCollection, чтобы перейти к следующей настройке.

    
    

    10 – В столбце "Программы RemoteApp" нажмите "ЗАДАЧИ" и выберите "Опубликовать программы RemoteApp".

    
    

    11. Затем в поле «Выберите программы RemoteApps» выберите любое программное обеспечение, которое вы хотите опубликовать для наших пользователей. для моего случая. Я собираюсь использовать диспетчер серверов для публикации администратору. поэтому я выбираю диспетчер серверов.

    
    
    

    12. Затем в окне подтверждения проверьте программу, которую вы хотите опубликовать, и нажмите кнопку «Опубликовать», а затем «Закрыть».

    
    
    

    
    

    14. Затем нажмите «Дополнительная информация», затем нажмите «Перейти на веб-страницу» (не рекомендуется).

    
    

    15 – на странице "Рабочие ресурсы" введите имя пользователя и пароль своего домена.

    
    

    16. Наконец, у вас должен быть диспетчер серверов на странице RDWEB. в моем случае это мой диспетчер серверов только для администратора.

    
    

    17 — чтобы проверить работоспособность программы, дважды щелкните диспетчер серверов и нажмите кнопку «Подключиться».

    Читайте также:

      
    • Не запускается топливо в Windows 10
      
    • Сброс порта Windows 10
      
    • Что такое миниатюры в окнах
      
    • Состояние масштабирования на принимающей стороне Windows 7, что это такое
      
    • Ошибка установки. Узнайте, как исправить Windows 10