RDP Windows 7 не подключается к Windows Server 2016

Обновлено: 02.07.2024

Протокол удаленного рабочего стола (RDP) — это запатентованная технология Microsoft, которая позволяет компьютеру, на котором запущен клиент RDP, подключаться к другому компьютеру, на котором запущен сервер RDP. Все потребительские ОС Windows, начиная с Windows XP, поставлялись с клиентом RDP для подключения к удаленному рабочему столу (RDC). С другой стороны, все ОС Windows Server, начиная с Windows NT 4.0 и выше, имеют встроенные серверы RDP, хотя только некоторые версии Windows, созданные для потребительского рынка, поставлялись с серверами RDP. Среди этих ОС — Профессиональная и Корпоративная версии Windows 7.

Как включить RDP в Windows 7

RDP в Windows 7 Professional и Enterprise отключен по умолчанию. Сначала необходимо включить RDP, если вы используете Windows 7 Профессиональная на клиенте или удаленном рабочем столе.

Чтобы включить RDP в Windows 7, выполните следующие действия:

  1. Нажмите кнопку "Пуск" в Windows, щелкните правой кнопкой мыши "Компьютер" и выберите "Свойства".
    1. Перейдите на вкладку "Удаленное".
      1. В разделе «Удаленный рабочий стол» выберите второй или третий вариант. Для более широкой совместимости с различными версиями RDP, включая старые, выберите второй вариант. В противном случае выберите третий вариант, для которого требуются более новые версии удаленного рабочего стола с проверкой подлинности на уровне сети.
        1. Нажмите "ОК".

        После того как вы включили RDP в Windows 7, у вас не должно возникнуть проблем с его использованием для подключения к другому рабочему столу по сети, если вы являетесь администратором удаленного компьютера. Точно так же компьютер с Windows 7 должен иметь возможность обрабатывать входящие подключения от администратора на другом компьютере.

        Как проверить версию RDP в Windows 7

        Microsoft предоставляет RDC-клиенты, которые позволяют компьютерам, использующим более старые ОС, например Windows 7, подключаться к улучшенному программному обеспечению RDP-сервера в более новых ОС Windows и использовать его преимущества. Вы также можете обновить RDP в Windows 7 из-за проблем с безопасностью в старых версиях RDP.

        Перед обновлением проверьте, какая версия RDP установлена ​​на вашем устройстве. Для этого:

        1. Используйте поиск Windows, чтобы найти клиент RDC на компьютере с Windows 7.
          1. Запустить RDC.
            1. Щелкните левой кнопкой мыши значок RDC в левом верхнем углу окна RDC, затем щелкните левой кнопкой мыши «О программе». Вы должны увидеть номер версии внизу.

            RDP: обновление с Windows 7 до Windows 10

            Некоторые пользователи жаловались на то, что RDP не работает после обновления их компьютеров с Windows 7 до последней версии RDP. Это особенно верно при попытке подключиться с клиента Windows 7 к удаленному рабочему столу Windows 10. Если вы столкнулись с той же проблемой, попробуйте решить ее одним из следующих способов:

            • Убедитесь, что RDP на компьютерах с Windows 7 и Windows 10 включены.
            • Обновите компьютер с Windows 10.
            • Разрешить подключения RDP через брандмауэр, например брандмауэр Windows.

            Подробнее о версиях RDP, поддерживаемых в Windows 7

            Windows 7 поставлялась с RDP версии 7, когда она была выпущена в 2009 году. Пакет обновления 1 (SP1) для Windows 7 поставлялся с RDP 7.1.

            Когда Microsoft выпустила Windows 8 в 2012 году, она также выпустила надстройку RDP 8.0, содержащую клиентские и серверные компоненты для Windows 7 с пакетом обновления 1 (SP1), позволяющую настольным компьютерам Windows 7 подключаться к Windows 8 и наоборот. Последней версией RDP, совместимой с Windows 7, является RDP 8.1, в которой есть клиентский и серверный компоненты, которые можно установить отдельно в Windows 7 SP1.

            Новые функции RDP 8.0, которые поддерживаются в Windows 7 с пакетом обновления 1 (SP1), включают адаптивную графику, динамическое перенаправление USB в сеансе, автоматический выбор транспортного протокола с использованием протокола управления передачей (TCP) или протокола пользовательских дейтаграмм (UDP), поддержку мультитач. , поддержка DirectX 11 для виртуальных графических процессоров (vGPU) и улучшенная система единого входа (SSO) с использованием веб-доступа к удаленному рабочему столу.

            RDP 8.1 содержит несколько улучшений, в том числе обратную поддержку теневого копирования сеансов и исправления визуальных сбоев при использовании Microsoft Office 2013 на удаленном рабочем столе. Он также устраняет проблемы с надежностью подключения, улучшает сообщения об ошибках при сбое подключения и решает проблему тайм-аута, когда подключение RDP простаивает более четырех минут.

            Расширьте возможности удаленного рабочего стола с помощью Parallels RAS

            Parallels® Remote Application Server (RAS) обеспечивает полноценный бесклиентский доступ к удаленным приложениям и рабочим столам через любой HTML5-совместимый браузер, включая Firefox, Google Chrome, Microsoft Edge и Safari. Он также поддерживает и обеспечивает продуктивную работу пользователей с помощью мобильных устройств.

            Parallels RAS обеспечивает упрощенное управление не только RDP, но и инфраструктурой виртуальных рабочих столов (VDI) и виртуальным рабочим столом Windows.Он предоставляет различные серверные инструменты, такие как конфигурация контейнера профилей FSLogix и оптимизация образов, которые облегчают работу вашего ИТ-персонала.

            Кроме того, Parallels RAS улучшает балансировку нагрузки ЦП, максимально увеличивает использование ресурсов, а также создает и развертывает виртуальные рабочие пространства "на лету". Он использует высокодоступные балансировщики нагрузки (HALB) для облегчения внешнего трафика к безопасным клиентским шлюзам и позволяет узлам сеансов удаленных рабочих столов и виртуальным рабочим столам автоматически масштабироваться по требованию с помощью служб подготовки и отмены подготовки групп на основе рабочей нагрузки.

            Parallels RAS также поддерживает все основные гипервизоры, включая Microsoft Hyper-V и VMware ESXi, и гиперконвергентные инфраструктуры, такие как Nutanix Acropolis и Scale Computing.

            Загрузите пробную версию и узнайте, как Parallels RAS может улучшить использование RDP в вашей организации.

            Многие из нас поставлены в тупик, и мы не можем в этом разобраться. К сожалению, сейчас это стало критической проблемой, и у нас закончились идеи. Приготовьтесь к утечке мозгов. вот все, что мы сделали до сих пор:

            Сервер администрируется нами, но принадлежит клиенту, который выполнил первоначальную настройку и присоединил его к своему домену. Он работает под управлением Server 2008 R2 с пакетом обновления 1.

            На удаленном сервере есть локальная учетная запись (не доменная учетная запись), для которой нам предоставили учетные данные. Мы обращаемся к удаленному серверу по IP-адресу, и наш IP-адрес — единственный, которому разрешен доступ к протоколу RDP на сайте, поэтому вы должны получать доступ изнутри нашего здания.

            Поэтому, если бы дело было только в различиях между Windows 7 и Windows 10, мы бы предположили, что дело в том, как RDP реализован между версиями ОС. Но у нас есть один-единственный пользователь Windows 7, который может получить доступ к удаленному серверу, используя точно такой же процесс.

            Я знаю, что в любом случае мы должны перейти на Windows 10, и мы развертываем ее как можно скорее, но эту проблему нужно решить быстрее, чем мы сможем восстановить все ПК, которым нужен доступ, с новой ОС, поэтому мы все еще нужно выяснить, что не так.

            При каждой попытке входа с нерабочего компьютера выдается сообщение: «Учетные данные, которые использовались для подключения к [IP], не работают», хотя мы уверены, что они верны. Мы набирали их, копировали и вставляли из нашего программного обеспечения для управления паролями десятки раз, и я лично часто сам вводил их, поэтому я знаю, что это не просто ошибка пользователя, перебирающего пароль.

            Пароль предоставляется в формате [домен]\[имя пользователя], где [домен] — это имя локального сервера, к которому мы пытаемся подключиться. Я убедился, что регистр имени ПК и имени пользователя также указан правильно, опять же, введя их самостоятельно, хотя это не должно иметь значения.

            Я могу убедиться, что мы действительно подключаемся к удаленному серверу, и это не проблема сети, потому что неудачные попытки аутентификации отображаются в средстве просмотра событий удаленного сервера с исходным ПК, идентифицированным по имени. Ошибка "Не удалось войти в учетную запись" с "Неизвестным именем пользователя или неверным паролем".

            Итак, что могло возможно заставить удаленный сервер считать, что он не получил правильные учетные данные, даже если они были, а также зависеть от версии исходной операционной системы?

            Я попросил ИТ-персонал клиента изменить параметр "Разрешить подключения с компьютеров, на которых запущена любая версия удаленного рабочего стола (менее безопасная)", но это тоже не помогло.

            Мое единственное другое предположение заключалось в том, что рабочая и нерабочая машины имели разные версии RDP, но это тоже не так. Судя по окну «О программе», у них одна и та же версия:

            Рабочий клиент RPD:


            < бр />

            Неработающий RDP-клиент:


            < бр />

            Насколько мы можем судить, на удаленном сервере не включен протокол TLS.

            Я попробовал сторонний инструмент RDP, бесплатную версию Remote Desktop Manager, но это привело к той же ошибке.

            Я перепробовал все, что мог придумать, и у меня нет объяснений или даже идей, что делать дальше. Я в своем уме. Есть у кого идеи?

            Заранее спасибо, Spiceheads! Это самая странная проблема, которую я видел за всю свою карьеру.

            AlexG2490

            Этот человек является проверенным специалистом

            AlexG2490

            Если у вас возникли проблемы с использованием удаленного рабочего стола (RDP) на сервере Windows, вы можете исправить несколько вещей.Это руководство по устранению неполадок призвано помочь исключить некоторые из наиболее распространенных причин плохой работы.

            Проблемы с подключением

            Даже если у вас могут возникнуть проблемы с подключением с помощью удаленного рабочего стола Windows, вы всегда сможете войти в веб-консоль с панели управления UpCloud или с помощью подключения VNC, настройки которого указаны на вашем сервере.

            После того как вы подключитесь к своему серверу любым из упомянутых выше способов, вас должен приветствовать экран блокировки Windows. Войдите на сервер с учетной записью с правами администратора, чтобы продолжить устранение неполадок.

            Если соединение показывает что-то другое, кроме экрана блокировки, проверьте, отвечает ли сервер. Если он не реагирует на команды, возможно, вам придется перезапустить сервер.

            Настройки удаленного рабочего стола Windows

            Если вы вошли в систему и кажется, что сервер работает, но удаленный рабочий стол по-прежнему не может подключиться, убедитесь, что удаленное подключение разрешено. Самый простой способ добраться до этой опции — открыть sysdm.cpl, выполнив поиск в меню «Пуск». Затем перейдите на вкладку «Удаленное».

            Удаленный рабочий стол должен разрешать подключения с других компьютеров, чтобы эта функция работала. Если ваш сервер настроен на разрешение удаленного управления с проверкой подлинности на уровне сети, убедитесь, что ваш собственный компьютер поддерживает это, или разрешите любое соединение. Дополнительную информацию об аутентификации на уровне сети можно найти на сайте Microsoft TechNet.

            Оставаясь в настройках RDP, проверьте разрешенных пользователей, нажав Select Users или нажав S. Всем пользователям с правами администратора автоматически разрешается подключаться. Все обычные пользователи должны быть добавлены в этот список. Если вы пытались подключиться с учетными данными пользователя, у которого нет прав администратора, добавьте имя пользователя, под которым вы хотите подключиться, в список разрешенных пользователей.

            Брандмауэр

            Время от времени брандмауэр Windows может иметь некоторые ограничения, например, входящий протокол ICMP, который используется для ping-соединений, по умолчанию отключен. Откройте Брандмауэр Windows в режиме повышенной безопасности, выполнив поиск «брандмауэр» в меню «Пуск». Перейдите к списку Правила для входящих подключений и прокрутите вниз до правил Remote Desktop, нажав R.

            Windows Server 2008 должен отображать два правила: Удаленный рабочий стол (TCP-In) и Удаленный рабочий стол — RemoteFX (TCP-In). Оба они в большинстве случаев будут включены, если сервер по-прежнему использует стандартный TCP-порт 3389 для RDP-соединений.

            В Windows Server 2012 правила разделены между доменными и частными или общедоступными профилями, а также протоколами TCP и UDP, что преобразуется в 4 отдельных правила Remote Desktop — User Mode, все из которых обычно включен.

            При желании в настройках брандмауэра вы можете включить ICMP для проверки связи. Нажмите F, чтобы найти правила под названием Общий доступ к файлам и принтерам (эхо-запрос — ICMPv4 — входящий) и v6 для обеих версий IP.

            Если вы уверены, что брандмауэр Windows разрешает подключения к удаленному рабочему столу, также проверьте настройки брандмауэра для конкретного сервера на панели управления UpCloud. Если вы установили входящее правило по умолчанию для отклонения, не забудьте добавить правило, разрешающее трафик на порт, который прослушивает сервер Remoter Desktop, по умолчанию 3389. Узнайте больше о брандмауэре UpCloud в обучающих материалах.

            Сетевое подключение

            Проверьте подключение к Интернету на своем сервере, чтобы убедиться, что все ваши сетевые ресурсы работают должным образом. Начните пинговать с вашего сервера. Откройте командную строку и введите cmd в поиске меню «Пуск». Нажмите Enter, затем используйте команду ниже.

            Если вы включили эхо-запросы от брандмауэра Windows, вы также можете попытаться пропинговать свой сервер со своего компьютера. Найдите общедоступный IP-адрес сервера в панели управления UpCloud в разделе «Сеть и общедоступная сеть».

            Если подключение к Интернету не работает, проверьте конфигурацию IP-адреса в командной строке с помощью следующей команды.

            В выходных данных будут перечислены все сетевые подключения ваших серверов, вы должны увидеть 3 адаптера Ethernet: частная сеть, общедоступный IPv4 и общедоступный IPv6. Убедитесь, что они совпадают с информацией о сети в сведениях о вашем сервере на вкладке «Сеть» на панели управления UpCloud.

            Если вы видите различия в выходных данных ipconfig и на странице сведений о сети вашего сервера, убедитесь, что все сетевые интерфейсы настроены на автоматическое получение IP-адресов. Для этого найдите Сетевые подключения в меню "Пуск" и нажмите клавишу ВВОД, чтобы открыть его. Откройте Свойства для одного из Ethernet-адаптеров, выберите Протокол Интернета версии 6 или 4 и нажмите кнопку Свойства. под. Убедитесь, что обе круговые кнопки установлены на автоматический режим, и нажмите OK для сохранения. Таким же образом проверьте все сетевые адаптеры на сервере.

            Медленное соединение

            Если подключение к удаленному рабочему столу работает, но работает медленно или время от времени отключается, попробуйте обновить сетевые драйверы. Загрузите последние версии драйверов Virtio для Windows.

            После загрузки ISO-файла на сервер в Windows Server 2008 для его распаковки потребуется такая программа, как 7zip. В Server 2012 вы можете просто смонтировать файл как диск.

            При наличии доступных файлов откройте Диспетчер устройств, просто выполнив поиск по имени в меню "Пуск" и нажав клавишу ввода. Перейдите к разделу Сетевые адаптеры, выберите каждый адаптер по одному и запустите Обновить программное обеспечение драйвера. В мастере обновления выберите Выполнить поиск драйвера на моем компьютере, введите местоположение драйвера в поле поиска и нажмите «Далее». Обратите внимание, чтобы параметр Включить подпапки оставался выбранным.

            Если вы были подключены через удаленный рабочий стол во время обновления сетевых драйверов, вы, вероятно, на мгновение отключитесь. Клиент должен иметь возможность автоматически восстанавливать соединение после успешной установки драйверов.

            Конфликт портов

            В некоторых случаях возможно, что другое приложение непреднамеренно использует тот же порт, что и удаленный рабочий стол. Это может вызвать проблемы с подключением или помешать удаленному рабочему столу подключиться.

            Проверьте порты, используемые программами. Введите приведенную ниже команду в командной строке.

            Netstat распечатает список используемых ими IP-адресов и номеров портов. Найдите строки с номером вашего порта удаленного рабочего стола (по умолчанию 3389) и проверьте идентификатор программы (PID) в конце этих строк. Один PID будет принадлежать службе RDP. Если вы видите другой PID, использующий тот же порт, они будут конфликтовать друг с другом.

            Чтобы узнать, каким программам принадлежат PID, используйте следующую команду в командной строке.

            Удаленный рабочий стол указан как svchost.exe TermService, любой другой PID, использующий тот же номер порта, вызывает проблемы.

            Изменить номер порта RDP

            Если есть конфликт портов, вы можете разрешить его, изменив порт, используемый одним из приложений. Microsoft рекомендует в идеале изменить порт, используемый любыми другими приложениями. Если это невозможно, номер порта, который прослушивает удаленный рабочий стол, можно изменить, выполнив несколько действий.

            Измените номер порта, так как это также поможет снизить количество попыток вторжения путем запутывания. Это не должно быть вашим единственным методом безопасности.

            Чтобы изменить номер порта, сначала нужно выбрать свободный порт, который не используется ничем другим на вашем сервере. Проверьте используемые в настоящее время порты с помощью netstat -a -o, как описано выше. Новый номер порта может быть любым от 1024 до 49151.

            Добавьте выбранный вами номер порта в правила Входящего трафика брандмауэра Windows, создав новое правило. В Мастере создания правила для нового входящего трафика выберите следующее

            • Тип правила: порт
            • Протокол и порты: TCP, определенные локальные порты

            В шагах выше

            это новый порт, который вы хотите прослушивать через RDP. Убедитесь, что новое правило брандмауэра настроено правильно. После того как вы измените порт RDP, он понадобится вам, чтобы иметь возможность снова подключиться.

            Номер порта для удаленного рабочего стола не предназначен для изменения, и единственный способ сделать это — изменить реестр. Мы настоятельно рекомендуем вам сделать резервную копию вашего сервера, прежде чем вносить какие-либо изменения.

            Откройте редактор, выполнив поиск regedit в меню "Пуск" и нажав клавишу ввода.

            Найдите следующий ключ в файловой системе реестра.

            Откройте раздел реестра PortNumber для редактирования, измените отображение на Decimal, введите новый номер порта и нажмите OK, чтобы сохранить изменения. .

            Чтобы изменения вступили в силу, вам потребуется перезапустить службу RDP. Снова откройте Службы, выполнив поиск в меню "Пуск" и нажав Enter, чтобы запустить программу.

            В списке Службы (локальные) прокрутите вниз, найдите Служба удаленного рабочего стола и перезапустите ее. Во всплывающем окне с запросом на перезапуск других связанных служб нажмите Да, чтобы продолжить.

            Вы будете отключены, если для внесения этих изменений использовали RDP. После этого просто повторно подключитесь к новому порту, указав его в поле Компьютер при подключении по протоколу RDP.

            С новым портом вы должны получить бесперебойный и надежный удаленный доступ.

            Получение помощи

            Если вы столкнулись с более серьезными проблемами или вам нужна помощь в чем-то другом, не стесняйтесь спрашивать. Когда вы обращаетесь в службу поддержки UpCloud, постарайтесь объяснить проблему как можно лучше. Включите все шаги, которые вы уже предприняли, вместе с их результатами при устранении проблемы. Это поможет нашей службе поддержки решить вашу проблему.

            Главный редактор и технический писатель в UpCloud с 2015 года. Энтузиаст облачных вычислений, пишущий о серверных технологиях и программном обеспечении.

            Сеансы удаленного рабочего стола работают по зашифрованному каналу, поэтому никто не может просматривать ваш сеанс путем прослушивания в сети. Однако в методе, используемом для шифрования сеансов в более ранних версиях RDP, есть уязвимость. Эта уязвимость может сделать возможным несанкционированный доступ к вашему сеансу с помощью атаки «человек посередине».

            Удаленный рабочий стол можно защитить с помощью SSL/TLS в Windows Vista, Windows 7, Windows 8, Windows 10 и Windows Server 2003/2008/2012/2016. *Некоторые перечисленные системы больше не поддерживаются Microsoft и поэтому не соответствуют стандартам безопасности Campus. Если неподдерживаемые системы все еще используются, требуется исключение безопасности.

            Хотя удаленный рабочий стол более безопасен, чем инструменты удаленного администрирования, такие как VNC, которые не шифруют весь сеанс, всякий раз, когда администратору предоставляется удаленный доступ к системе, возникают риски. Следующие советы помогут защитить удаленный доступ к рабочим столам и серверам, которые вы поддерживаете.

            Основные советы по безопасности для удаленного рабочего стола

            1. Используйте надежные пароли

            Надежные пароли для любых учетных записей с доступом к удаленному рабочему столу следует рассматривать как обязательный шаг перед включением удаленного рабочего стола. Советы см. в руководстве по сложности пароля кампуса.

            2. Используйте двухфакторную аутентификацию

            Отделы должны рассмотреть возможность использования двухфакторной аутентификации. Эта тема выходит за рамки этой статьи, но шлюзы удаленных рабочих столов можно настроить для интеграции с экземпляром Campus DUO. Другими доступными опциями, не поддерживаемыми кампусом, будет простой механизм контроля аутентификации с помощью смарт-карт на основе двухфакторных сертификатов. Этот подход использует сам узел удаленного рабочего стола в сочетании с YubiKey и RSA в качестве примеров.

            3. Обновите программное обеспечение

            Одним из преимуществ использования удаленного рабочего стола по сравнению со сторонними инструментами удаленного администрирования является то, что компоненты автоматически обновляются с использованием последних исправлений безопасности в рамках стандартного цикла исправлений Microsoft. Убедитесь, что вы используете последние версии как клиентского, так и серверного программного обеспечения, включив и проведя аудит автоматических обновлений Microsoft. Если вы используете клиенты удаленного рабочего стола на других платформах, убедитесь, что они по-прежнему поддерживаются и у вас установлены последние версии. Старые версии могут не поддерживать высокий уровень шифрования и иметь другие недостатки безопасности.

            4. Ограничить доступ с помощью брандмауэров

            Используйте брандмауэры (как программные, так и аппаратные, если они доступны), чтобы ограничить доступ к прослушивающим портам удаленного рабочего стола (по умолчанию TCP 3389). Использование шлюза RDP настоятельно рекомендуется для ограничения доступа RDP к рабочим столам и серверам (см. обсуждение ниже). В качестве альтернативы для поддержки подключения за пределами кампуса вы можете использовать программное обеспечение кампусной VPN, чтобы получить IP-адрес кампуса и добавить пул сетевых адресов кампусной VPN в правило исключения брандмауэра RDP. Посетите нашу страницу для получения дополнительной информации о VPN-сервисе кампуса.

            5. Включить аутентификацию на уровне сети

            Windows 10, Windows Server 2012 R2/2016/2019 также по умолчанию обеспечивают проверку подлинности на уровне сети (NLA). Лучше оставить это на месте, так как NLA обеспечивает дополнительный уровень аутентификации до установления соединения. Серверы удаленных рабочих столов следует настраивать так, чтобы разрешать подключения без NLA, только если вы используете клиенты удаленных рабочих столов на других платформах, которые его не поддерживают.

            NLA должен быть включен по умолчанию в Windows 10, Windows Server 2012 R2/2016/2019.

            Для проверки можно посмотреть параметр групповой политики Требовать аутентификацию пользователя для удаленных подключений с помощью аутентификации на уровне сети, который находится в папке Компьютер\Политики\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Безопасность. Этот параметр групповой политики должен быть включен на сервере с ролью узла сеансов удаленных рабочих столов.

            6. Ограничьте количество пользователей, которые могут входить в систему с помощью удаленного рабочего стола

            По умолчанию все администраторы могут входить в удаленный рабочий стол. Если на вашем компьютере есть несколько учетных записей администратора, вы должны ограничить удаленный доступ только теми учетными записями, которым это необходимо. Если удаленный рабочий стол не используется для системного администрирования, удалите весь административный доступ через RDP и разрешите только учетные записи пользователей, которым требуется служба RDP. Для отделов, которые управляют многими машинами удаленно, удалите учетную запись локального администратора из доступа RDP по адресу и вместо этого добавьте техническую группу.

            Нажмите Пуск-->Программы-->Администрирование-->Локальная политика безопасности

            .

            В разделе «Локальные политики» -> «Назначение прав пользователя» выберите «Разрешить вход через службы терминалов». Или «Разрешить вход через службы удаленных рабочих столов»

            Удалите группу «Администраторы» и оставьте группу «Пользователи удаленного рабочего стола».

            Используйте панель управления системой, чтобы добавить пользователей в группу пользователей удаленного рабочего стола.

            Типичная операционная система MS по умолчанию имеет следующие настройки, как показано в локальной политике безопасности:


            Проблема в том, что «Администраторы» здесь по умолчанию, а ваша учетная запись «Локальный администратор» находится в группе администраторов. Несмотря на то, что рекомендуется соглашение о паролях, чтобы избежать идентичных паролей локального администратора на локальном компьютере и жестко контролировать доступ к этим паролям или соглашениям, использование учетной записи локального администратора для удаленной работы на компьютере не позволяет должным образом регистрировать и идентифицировать пользователя, использующего систему. Лучше всего переопределить локальную политику безопасности с помощью параметра групповой политики.


            Для управления доступом к системам также полезно использовать «Группы с ограниченным доступом» с помощью групповой политики.

            Если вы используете параметр «Группа с ограниченным доступом», чтобы поместить свою группу, например, «CAMPUS\LAW-TECHIES» в «Администраторы» и «Пользователи удаленного рабочего стола», ваши технические специалисты по-прежнему будут иметь удаленный административный доступ, но с помощью шагов выше вы удалили проблемную «учетную запись локального администратора», имеющую доступ по RDP. В дальнейшем при добавлении новых машин в OU под объектом групповой политики ваши настройки будут правильными.


            7. Установите политику блокировки учетной записи

            Настроив свой компьютер на блокировку учетной записи для определенного количества неверных ответов, вы поможете хакерам не получить доступ к вашей системе с помощью инструментов автоматического подбора пароля (это называется атакой методом грубой силы). Чтобы установить политику блокировки учетной записи:

            1. Выберите "Пуск" --> "Программы" --> "Администрирование" --> "Локальная политика безопасности".
            2. В разделе «Политика учетной записи» -> «Политика блокировки учетной записи» задайте значения для всех трех параметров. Три недействительные попытки с трехминутной блокировкой являются разумным выбором.

            Рекомендации по обеспечению дополнительной безопасности

            1. Не разрешайте прямой доступ RDP к клиентам или серверам за пределами кампуса.

            Настоятельно не рекомендуется открывать RDP (порт 3389) для сетей за пределами кампуса, поскольку это известное направление для многих атак. В приведенных ниже параметрах перечислены способы повышения безопасности при разрешении RDP-доступа к системе.

            После настройки шлюза RDP хосты должны быть настроены так, чтобы разрешать подключения RDP только с хоста шлюза или подсетей кампуса, где это необходимо.

            2. Использовать шлюзы RDP (лучший вариант)

            Служба шлюза RDP также поддерживает новое требование к службам удаленного доступа черновика обновления MSSND (требование 8), которое требует использования утвержденной службы (например, шлюза RDP, выделенного шлюза или bSecure VPN) для доступ к сети Калифорнийского университета в Беркли из общедоступного Интернета.

            Служба выделенного шлюза (управляемая). Требуется для доступа по протоколу RDP к системам с UC P4 или выше. Также необходимо настроить для DUO

            В некоторых кампусных подразделениях в качестве шлюза удаленных рабочих столов используется VPS, управляемый IST. Приблизительно можно предположить, что 30-100 одновременных пользователей могут использовать один шлюз удаленных рабочих столов. HA на виртуальном уровне обеспечивает достаточно отказоустойчивый и надежный доступ; однако с балансировкой сетевой нагрузки можно реализовать несколько более сложную реализацию шлюза удаленных рабочих столов.

            Установка конфигурации службы роли в основном соответствует описанию; однако рекомендуется использовать выданный Calnet доверенный сертификат Comodo. Использование самозаверяющего сертификата подходит для тестирования, а использование сертификата CalnetPKI может работать, если все клиенты доверяют корневому каталогу UCB. Сертификат Comodo обычно принимается лучше, чтобы ваши конечные пользователи не получали предупреждений о сертификате.

            По сути, достаточно просто изменить вкладку "Дополнительно" вашего RDP-клиента:


            3. Измените порт прослушивания для удаленного рабочего стола

            Изменение порта прослушивания поможет «скрыть» удаленный рабочий стол от хакеров, которые сканируют сеть на наличие компьютеров, прослушивающих порт удаленного рабочего стола по умолчанию (TCP 3389). Это обеспечивает эффективную защиту от новейших червей RDP, таких как Morto. Для этого отредактируйте следующий раздел реестра (ВНИМАНИЕ: не пытайтесь сделать это, если вы не знакомы с реестром Windows и TCP/IP): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp. Измените порт прослушивания с 3389 на что-то другое и не забудьте обновить все правила брандмауэра с помощью нового порта. Хотя этот подход полезен, это безопасность через неизвестность, что не является самым надежным подходом к обеспечению безопасности. Вам следует убедиться, что вы также используете другие методы ограничения доступа, как описано в этой статье.

            4. Туннельное подключение к удаленному рабочему столу через IPSec или SSH

            5. Используйте существующие инструменты управления для регистрации и настройки RDP

            Использование других компонентов, таких как VNC или PCAnywhere, не рекомендуется, так как они могут не обеспечивать аудит или защиту. При использовании RDP входы в систему проверяются в локальном журнале безопасности и часто в системе аудита контроллера домена. При мониторинге локальных журналов безопасности ищите аномалии в сеансах RDP, например попытки входа в систему из учетной записи локального администратора. RDP также имеет преимущество подхода централизованного управления через GPO, как описано выше. По возможности используйте объекты групповой политики или другие инструменты управления конфигурацией Windows, чтобы обеспечить согласованную и безопасную конфигурацию RDP на всех ваших серверах и настольных компьютерах.

            Принудительно используя шлюз RDP, вы также получаете третий уровень аудита, который легче читать, чем прочесывать логины контроллера домена, и он отделен от целевой машины, поэтому он не подвержен несанкционированному вмешательству. Этот тип журнала значительно упрощает отслеживание того, как и когда используется RDP на всех устройствах в вашей среде.

            Ограничение доступа к RDP с помощью брандмауэра Windows

            Если у вас есть компьютер, управляемый кампусом:

            • Обратитесь за помощью в ИТ-службу поддержки клиентов или в ИТ-поддержку вашего отдела.

            Если у вас есть персональный компьютер и права администратора:

            • Следуйте инструкциям в этой статье, чтобы обновить брандмауэр Windows, чтобы только авторизованные хосты и сети могли получить доступ к вашей системе через удаленный рабочий стол (RDP).

            Настройки > Обновление и безопасность > Безопасность Windows > Брандмауэр и защита сети > Дополнительные параметры > Правила для входящих подключений > Удаленный рабочий стол — режим пользователя (TCP-In) > Свойства > Область действия > Удаленный IP-адрес > Добавить > Этот IP-адрес или подсеть< /p>

            Обновление настроек и безопасность

            1. Безопасность Windows > Брандмауэр и защита сети

            Брандмауэр и защита сети

            Расширенный брандмауэр

            1. Правила для входящих подключений > Удаленный рабочий стол — Режим пользователя (TCP-входящий) > Свойства

            RDP Inbound

            RDP Scope

            1. В поле Этот IP-адрес или подсеть добавьте только те IP-адреса и сетевые подсети, которым должно быть разрешено подключение к службе удаленного рабочего стола (RDP) вашего компьютера. Некоторые распространенные примеры IP-адресов и подсетей кампуса перечислены в разделе ниже.

            IP-адрес RDP

            IP-адреса и подсети кампуса

            Исходя из ваших потребностей, выбирайте только авторизованные IP-адреса и подсети кампуса для подключения к службе RDP вашего компьютера. Network Operations & Services поддерживает исходный список UC Berkeley Campus Networks, но некоторые распространенные примеры приведены ниже для справки.

            IST RD Gateway
            Чтобы получить доступ к вашей системе через RDP напрямую из Интернета, используйте Campus Remote Desktop Gateway. Шлюз удаленных рабочих столов позволит вам использовать ваш идентификатор CalNet с push-уведомлениями Duo для подключения. Вы можете авторизовать шлюз удаленных рабочих столов, добавив следующую подсеть в правило брандмауэра:

            Кампусные VPN-сети удаленного доступа (bSecure Remote Access Services with GlobalProtect)
            Чтобы получить доступ к вашей системе через RDP через кампусную VPN, добавьте одну или несколько следующих VPN-сетей в правило брандмауэра:< /p>