Безопасность службы Remote Desktop Services в Windows Server 2008 R2

Windows Server 2012 R2 — решение для организации единой инфраструктуры в компании любого размера. WS также применяют для аутентификации и идентификации пользователей. Рассмотрим начало работы с Windows Server 2012 R2: установку, настройку и добавление новых пользователей для удаленного доступа.

Шаг Выбор оборудования и подготовка сервера

В качестве сервера, желательно, выбрать профессиональное оборудование. Системные требования для файлового сервера не высокие:

  • Процессор может быть самый простой;
  • Оперативная память также не сильно используется;
  • Дисковая система — самый основной компонент. Ее объем зависит от специфики бизнеса. Примерная формула — не менее 15 Гб на пользователя и не менее 1 Тб на сервер. До 50 пользователей можно рассматривать диски SATA, после — SAS или SSD.

Например, для компании в 300 пользователей подойдет сервер с процессором Xeon E3, 8 Гб ОЗУ и 5 Тб дискового пространства на дисках SAS 10K.

Дополнительные требования

  1. Для обеспечения сохранности информации при выходе из строя жесткого диска, необходим RAID-контроллер. Настройка последнего выполняется из специального встроенного программного обеспечения, которое запускается при загрузке сервера;
  2. Сервер должен быть подключен к источнику бесперебойного питания;
  3. Необходимо предусмотреть резервное копирование. Для этого нужен дисковый накопитель (внешний жесткий диск) или другой сервер.

Подробнее о выборе оборудования читайте статью Как выбрать сервер.

Отныне только 64

Ранее сообщалось, что Win2k8 будет последней 32-битной версией серверной ОС. Так и произошло — R2 будет выпущена только для архитектур x64/ia64. Компании AMD и Intel уже не выпускают 32-битных процессоров для серверов на базе архитектуры x86, поэтому уход с рынка 32-битных и смещение акцентов в сторону 64-битных ОС и приложений выглядит вполне логично. Хотя поддержка 32-битных приложений в R2 осталась и реализована при помощи слоя эмуляции WOW64 (Windows on Windows64). По умолчанию в версии Server Core и Hyper-V поддержка WOW64 отключена. Чтобы включить поддержку 32-битных приложений, администратору достаточно выполнить одну команду:

Читайте также:  Фильтр защиты от записи на диск Unified Write Filter (UWF) в Windows 10

> dism /Online /Enable-Feature /FeatureName:ServerCore-WOW64

И – для поддержки 32-битных .NET-приложений:

> dism /Online /Enable-Feature /FeatureName:NetFx2-ServerCore > dism /Online /Enable-Feature /FeatureName:NetFx2-ServerCore-WOW64

Или так:

> start /w ocsetup ServerCore-WOW64 > start /w ocsetup NetFx2-ServerCore-WOW64

Разработчики получили рекомендации по адаптации, тестированию и проверке совместимости своих приложений с WOW64. Но, судя по всему, использование 32-битных приложений не приветствуется.

Текущая версия Win2k8 поддерживает до 64 логических процессора. В R2 их количество увеличили до 256. Учитывая, что в последнее время количество ядер на одном физическом процессоре постоянно увеличивается, такой запас лишним точно не будет. Причем, если ядра не используются, их можно выключить, тем самым, сэкономив толику электроэнергии. Виртуальная машина, запущенная под новым Hyper-V, поддерживает до 32 логических CPU (в предыдущем варианте их было всего 4). Кстати, под логическим процессором в Винде понимается не только количество ядер, но и одновременное количество обрабатываемых потоков. В сообщениях проскакивало, что Win2k8R2 может работать с 32 4-ядерными процессорами, каждое ядро которых одновременно обрабатывает по 2 потока данных (32 CPU х 4 ядра х 2 потока данных = 256).

Названы минимальные системные требования: 1.4 ГГц 64bit CPU, 512 Мб RAM, HDD 10 Гб. Рекомендуемые, как ты понимаешь, существенно выше. При планировании конфигурации сервера следует также учитывать, что версия Standard поддерживает максимум 32 Гб RAM, а Enterprise и Datacenter до 2 Тб RAM.

В R2 доступны и многие другие новинки; некоторые из них встречались в семерке. Так, в Windows Firewall может быть активно несколько профилей (Private, Public или Domain), что не вызывает проблем при подключении к нескольким сетям; добавлена поддержка http-ссылок в QoS, реализованы VPN Reconnect и DHCP Failover. Служба QoS позволяет приоритезировать трафик при доступе к определенным ресурсам. Ранее во вкладке "Application Name" в "Policy-Based QoS" было только два пункта, при помощи которых можно было задать либо все, либо определенные приложения. Теперь же вкладка называется "Application Name or URL", и здесь можно задать имя/шаблон http-ресурса, трафику которого будет назначаться повышенный приоритет. Новая функция VPN Reconnect, являющаяся частью RRAS ("Служба маршрутизации и дистанционного доступа"), позволяет VPN-клиенту автоматически восстанавливать VPN-подключение в ситуации, когда связь с VPN-сервером временно оборвалась (прежде это нужно было делать вручную или выжидать довольно длительный тайм-аут). Чтобы задействовать VPN Reconnect, следует выбрать тип VPN IKEv2 (Internet Key Exchange, описан в RFC 4306).

Читайте также:  Net helpmsg 2182 Windows 10 как исправить?

Transport Layer Security (TLS)

В сессии RDS можно задействовать один из трех механизмов безопасности, позволяющих защитить соединение между клиентов и сервером RDS Session Host:

  • RDP security layer – используется  встроенное шифрование протокола RDP, является менее безопасным.
  • Negotiate – шифрование TLS 1.0 (SSL) будет использоваться в случае поддержки клиентом, если клиент его не поддерживает, будет использоваться обычный уровень безопасности RDP.
  • SSL – шифрование TLS использоваться для аутентификации сервера и шифрования передаваемых данных между клиентом и сервером.  Это наиболее безопасный режим.

Для обеспечения высокого уровня безопасности необходимо использовать шифрование SSL/TLS. Для этих целей необходимо иметь цифровой сертификат, он может быть самоподписанным либо выданным центром сертификации CA (что предпочтительнее).

В дополнении к уровню безопасности можно выбрать уровень шифрования соединения. Доступны следующие виды шифрования:

Transport Layer Security (TLS)
  • Low – используется 56 битное шифрование данных, отправляемых с клиента на сервер. Данные, передаваемые с сервера на клиент не шифруются.
  • Client Compatible – данный вид шифрования используется по умолчанию. В этом случае шифруется весь трафик между клиентом и сервером с максимальной длиной ключа, которую поддерживает клиент.
  • High – все данные передаваемые между клиентом и сервером в обе стороны шифруются 128 битным  ключом
  • FIPS Compliant – все данные передаваемые между клиентом и сервером в обе стороны шифруются методом FIPS 140-1.

Стоит отметить, что если используются уровни шифрования High или FIPS Compliant, то все клиенты, не поддерживающие данный вид шифрования, не смогут подключиться к серверу.

Настроить тип аутентификации сервера и уровень шифрования можно следующим образом:

  1. На сервере RD Session Host, откройте окно конфигурации Remote Desktop Session Host и перейдите в окно свойств.
  2. На вкладке General, в выпадающих меню выберите необходимый уровень безопасности и тип шифрования.
  3. Нажмите OK.
Читайте также:  Как создать загрузочную флешку (USB-диск) Windows 10

Настройка сервера для подключения по RDP

Чтобы к VDS можно было подключаться по RDP, должны быть установлены следующие роли и компоненты:

  • Службы удаленных рабочих столов.

  • Лицензирование удаленных рабочих столов

  • Узел сеансов удаленных рабочих столов

  • Шлюз удаленных рабочих столов

Все эти роли и компоненты мы установили в предыдущем разделе. Теперь нужно настроить групповую политику.

  1. Открываем «Поиск» на панели инструментов.

  2. Находим и открываем редактор групповых политик — .

  3. Переходим на ветку «Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Службы удаленных рабочих столов» — «Узел сеансов удаленных рабочих столов» — «Лицензирование».

  4. Разворачиваем пункт «Использовать указанные серверы лицензирования удаленных рабочих столов».

  5. В строке «Использовать серверы лицензий» указываем имя или адрес своего сервера.

  6. Возвращаемся обратно в раздел «Лицензирование» и открываем пункт «Задать режим лицензирования».

  7. Выбираем режим лицензирования — на пользователя или на устройство в зависимости от того, какой тип лицензии имеется.

После настройки групповых политик переходим к самому лицензированию.

  1. Открываем «Панель управления».

  2. Переходим в раздел «Администрирование» — Remote Desktop Services — «Диспетчер лицензирования».

  3. Кликаем по серверу правой кнопкой и нажимаем «Активировать».

  4. Выбираем метод подключения «Авто».

  5. Вводим имя, фамилию, организацию, страну расположения сервера. Можно указать любые данные, они не проверяются.

  6. Запускаем мастер установки лицензий.

  7. Выбираем программу лицензирования, по которой была приобретена лицензия.

  8. Вводим ключ активации, который получили после покупки лицензии.

  9. Указываем количество пользователей/устройств, если оно не определилось автоматически.

  10. Нажимаем «Готово», чтобы завершить работу мастера установки лицензий.

Затем нужно вернуться в раздел «Администрирование» — Remote Desktop Services — «Диспетчер лицензирования» и посмотреть, активирован ли сервер. Если да, значит, настройка успешно завершена.

На иконке сервера может быть желтый значок предупреждения. Чтобы устранить проблемы, нажимаем на ссылку «Рецензия». В меню будут пункты, которые необходимо отметить.