Какие преимущества дает нам защита RDP при помощи SSL? Во первых надежное шифрование канала, проверку подлинности сервера на основании сертификата и проверку подлинности пользователя на уровне сети. Последняя возможность доступна начиная с Windows Server 2008. Проверка подлинности на уровне сети позволяет повысить безопасность сервера терминалов за счет того, что проверка происходит еще до начала сеанса.Проверка подлинности на уровне сети производится до подключения к удаленному рабочему столу и отображения экрана входа в систему, это снижает нагрузку на сервер и значительно увеличивает его защиту от злоумышленников и вредоносных программ, а также снижает вероятность атак типа "отказ в обслуживании".Для полноценного использования всех возможностей RDP через SSL клиентские ПК должны работать под управлением Windows XP SP3, Windows Vista или Windows 7 и использовать RDP клиент версии 6.0 или более поздней.При использовании Windows Server 2003 SP1 и более поздних версий, будут доступны шифрование канала при помощи SSL (TLS 1.0) и проверка подлинности сервера, клиентские ПК должны иметь версию RDP клиента 5.2 или более позднюю.В нашей статье мы будем рассматривать настройку терминального сервера на базе Windows Server 2008 R2, однако все сказанное будет справедливо и для Windows Server 2003 (за исключением отсутствующих возможностей).Для успешной реализации данного решения в вашей сети должен находиться работающий центр сертификации, настройку которого мы рассматривали в . Для доверия сертификатам выданным данным ЦС на терминальный сервер необходимо установить сертификат ЦС (или цепочку сертификатов) в хранилище Доверенные корневые центры сертификации.Затем следует выполнить запрос сертификата подлинности сервера со следующими параметрами: Имя - полное имя терминального сервера (т.е. server.domain.com если сервер входит в домен domain.com)Тип сертификата - Сертификат проверки подлинности сервераУстановите опцию Создать новый набор ключейCSP - Microsoft RSA SChannel Cryptographic Provider.Установите флажок Пометить ключ как экспортируемый.Для ЦС предприятия установите флажок Использовать локальное хранилище компьютера для сертификата. (В автономном ЦС данная опция недоступна).Отправьте запрос центру сертификации и установите выданный сертификат. Данный сертификат должен быть установлен в локальное хранилище компьютера, иначе он не сможет быть использован службами терминалов. Чтобы проверить это запустим консоль MMC (Пуск - Выполнить - mmc) и добавим оснастку Сертификаты (Файл - Добавить или удалить оснастку) для учетной записи компьютера. В корне консоли выберите Сертификаты (локальный компьютер) нажмите Вид - Параметры и установите режим просмотра Упорядочить сертификаты по назначению. Выданный сертификат должен находиться в группе Проверка подлинности сервера. Если вы получали сертификат с помощью изолированного (автономного) ЦС (сеть не имеет доменной структуры) то он по умолчанию будет установлен в хранилище учетной записи пользователя и придется выполнить ряд дополнительных действий.Откройте Internet Explorer - Свойства обозревателя - Содержимое - Сертификаты, выданный сертификат должен быть установлен в хранилище Личные. Произведите его экспорт. При экспорте укажите следующие опции:Да, экспортировать закрытый ключУдалить закрытый ключ после успешного экспортаПосле чего удалите сертификат из данного хранилища. В оснастке Сертификаты (локальный компьютер) выберите раздел Проверка подлинности сервера, щелкните на него правой кнопкой мыши Все задачи - Импорт и импортируйте сертификат.Теперь в Администрирование - Службы удаленных рабочих столов откройте Конфигурация узла сеансов удаленных рабочих столов ( в Windows Server 2003 Администрирование - Настройка служб терминалов). Выберите необходимое подключение и откройте его свойства. В самом низу нажмите кнопку Выбрать и выберите полученный на предыдущем шаге сертификат (в Windows Server 2003 это окно выглядит несколько по другому). После выбора сертификата укажите остальные свойства:Уровень безопасности SSL
Протокол RDP с защитой на уровне сети (SSL), к сожалению, не получил широкого распространения среди системных администраторов, предпочитающих защищать терминальные соединения другим способом. Возможно это связано с кажущейся сложностью способа, однако это не так, в данном материале мы рассмотрим как просто и без затруднений организовать такую защиту.
Автор: Уваров А.С. 21.11.2010 21:51
Защита RDP соединения при помощи SSL.
Технический блог специалистов ООО "Интерфейс"
Защита RDP соединения при помощи SSL. - Записки IT специалиста
xmlns:trackback="http://madskills.com/public/xml/rss/module/trackback/"
rdf:RDF xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#"
Протокол RDP с защитой на уровне сети (SSL), к сожалению, не получил широкого распространения среди системных администраторов, предпочитающих защищать терминальные соединения другим способом. Возможно это связано с кажущейся сложностью способа, однако это не так, в данном материале мы рассмотрим...
Защита RDP соединения при помощи SSL.
xmlns:dc="http://purl.org/dc/elements/1.1/"
rdf:RDF xmlns="http://web.resource.org/cc/"
Комментариев нет:
Отправить комментарий