Настройка безопасности RDP Windows Server 2016

Что такое компоненты сервера в Windows Server?

Компоненты сервера (Feature) – это функционал сервера, который не является основным на сервере, т.е. не выполняет основную роль сервера, но поддерживает или расширяет возможности одной или нескольких серверных ролей, служб ролей или управляет одной или несколькими ролями и службами.

Для установки компонентов сервера в Windows Server 2016 Вы можете использовать как графический инструмент, т.е. «Мастер добавления ролей и компонентов», так и Windows PowerShell. Для установки компонентов с помощью PowerShell, также как и для установки ролей и служб ролей используется специальный командлет Install-WindowsFeature, а для удаления Uninstall-WindowsFeature. Найти еще полезные командлеты Windows PowerShell Вы можете в материале «Справочник командлетов Windows PowerShell».

Существуют компоненты сервера, которые обязательны для функционирования некоторых ролей и служб ролей, другим словами Вы не сможете установить определенные роли без установки дополнительных компонентов сервера. Также есть компоненты сервера, для работы которых требуется установка некоторых служб ролей или других дополнительных компонентов, например «Шифрование диска BitLocker» требует наличие компонента «Enhanced Storage», а компоненту «Клиент печати через Интернет» необходимо несколько служб роли «Веб-сервер (IIS)».

Есть компоненты сервера, которые не расширяют функционал сервера, а управляют ролями и службами ролей, при этом они могут быть установлены на удаленных компьютерах, например для удаленного управления сервером существуют специальные компоненты «Средства удаленного администрирования сервера».

Где скачать?

Мы будем тестировать настройки на Windows Server 2016 Standart Evalution это пробная версия с ограниченным сроком действия — 180 дней.(Мы не нарушаем закон!)

Скачать Windows Server 2016 Standart Evalution можно по ссылке ниже.

Ссылка/Link: -ru/evalcenter/evaluate-windows-server-2016

И так переходим по ссылке, выбираем в каком виде мы хотим получить Windows — «ISO».(Рис.1)

Рис.1 — Выбираем в каком виде мы хотим получить Windows — ISO.

Заполняем анкету, Ставим галочку в чекбоксе «Yes»(Условия конфиденциальности), и жмём «Continue». Никаких подтверждений требоваться не будет, так что это занимает очень мало времени.(Рис.2)

Рис.2 — Заполнение анкету.

Выбираем свой язык, и жмём «Download».(Рис.3)

В результате скачается iso-образ, примерно с таким названием:

_REFRESH_SERVER_EVAL_X64FRE_

Объёмом: 6,52 Гб.

Рис.3 — Выбираем наш язык, и жмём Download.

Установка терминального сервера Windows Server 2016

Процесс инсталляции ничем не отличается от стандартной процедуры: предварительно создается загрузочный накопитель, с которого впоследствии запускается устройство, затем идет этап настройки будущего дистрибутива и разметка дискового пространства.

Создание загрузочной флешки

Чтобы создать инсталляционный накопитель, нужно заранее загрузить на компьютер образ ОС и установить специальную программу. В статье будет рассмотрено решение от компании Microsoft — USB/DVD Download Tool.

Пошаговое руководство:

1. На заглавном экране кликнуть по кнопке Browse и в появившемся окне файлового менеджера проложить путь к образу ОС. Нажать Next.

1. Определить флешку в качестве используемого носителя, щелкнув по кнопке USB device.

1. Из выпадающего меню выбрать название накопителя, который на этот момент должен быть вставлен в порт компьютера. Нажать Begin copying.

1. В появившемся диалоговом окне поочередно кликнуть кнопки Erase USB Device и Да.

Важно! В процессе выполнения операции все данные на флешке будут удалены.

Начнется процесс переноса инсталлятора ОС с образа на носитель. За ходом выполнения можно следить в окне утилиты. После завершения программу можно закрыть.

Запуск компьютера с накопителя

Для начала инсталляции Windows 2016 Terminal Server необходимо запустить компьютер с флешки. Делать это следует через Boot Menu, что позволит избежать множественных манипуляций в БИОСе.

Для каждой модели ноутбука или материнской платы сочетания входа в нужное меню отличается, поэтому рекомендуется при старте системы нажимать сразу несколько клавиш — F8, F11, F12, Esc.

После появления заглавного экрана необходимо посредством стрелочек на клавиатуре выделить название загрузочного носителя и нажать Enter.

Процесс инсталляции

Процесс установки является стандартным для семейства ОС Windows. Изначально следует выполнить предварительную настройку:

1. Выбрать язык, формат времени и метод ввода, кликнуть Далее.

1. Нажать кнопку Установить.

1. Определить устанавливаемую редакцию. Неопытным пользователям рекомендуется выбирать Standart, потому что в версии Core отсутствует графический интерфейс и все действия выполняются через консоль.

1. Принять лицензионное соглашение, поставив отметку напротив соответствующего пункта и кликнув Далее.

1. На этапе определения типа установки нажать по пункту «Выборочная: только установка Windows».

1. Выделить пустой раздел диска, на который будет установлена ОС, и нажать по строке «Создать». При необходимости предварительно очистить дисковое пространство посредством опции «Удалить».

Запустится процесс переноса данных с флешки на диск. После завершения операции компьютер перезапустится и необходимо будет задать пароль администратора.

Настраиваем политику блокировки

Основная проблема в том, что по умолчанию Windows-server (даже 2016!) не защищен от брутфорса, поэтому безопасность RDP в Windows 2016 пребывает не на очень высоком уровне. При наличии какого-либо сервиса, в частности, FTP, вас могут брутфорсить, пока не получат доступ к системе, перебирая огромное множество логинов и паролей. Именно поэтому необходима настройка временной блокировки пользователя после нескольких неудачных попыток.

Необходимый набор правил и настроек называется Политика блокировки учетной записи (Account Lockout Policy). Пока вы еще не закрыли окно Локальная политика безопасности, перейдите в раздел Политики учетных записей, Политика блокировки учетной записи. Установите Пороговое значение блокировки — 5 (максимум 5 неудачных попыток входа), Продолжительность блокировки учетной записи — 30 (на 30 минут учетная запись будет заблокирована после 5 неудачных попыток входа).

Рис. 6. Настройка политики блокировки учетной записи

Запросить КП

Настройка терминального сервера в Windows Server

Итак, вы решили разделить ресурс созданного сервера на несколько пользователей и, определили что подключаться они будут к серверу средствами клиента удаленных рабочих столов.

В стандартном варианте Windows Server имеет две лицензии  удаленного рабочего стола для использования администраторами в целях настройки сервера.

Поэтому если к серверу требуется подключение более двух клиентов, понадобится активировать и настроить службу сервера терминалов. 

Настройка сервера терминалов Windows Server не зависит от того, каким способом установлена операционная система, это может быть как аппаратный сервер, на которой Windows Server установлена нативно, без использования гипервизора, так и виртуальный сервер. 

Наиболее частое применение терминального сервера Windows встречается в работе организации с 1С Предприятие. Настройка сервера для 1с в базом варианте не отличается от настройки для других применений.  

При установке служб терминального сервера Windows Server следует сразу учитывать, будет ли использоваться сервер в доменной среде, или продолжит пребывать в рабочей группе.  Далее опишем базовую настройку терминального сервера в Windows Server 2012 R2 в рабочей группе, как типовую для большинства небольших инсталляций, например на виртуальных или VPS серверах. 

Настройка службы сервера терминалов в Windows Server 2012 R2 

В случае, если доменную среду использовать не планируется:

1. Запустить средство управления «Диспетчер серверов»

Меню «Пуск» -> «Диспетчер серверов» или выполнить консольную команду «»

      2. Выбрать меню «Управление» -> «Добавить роли и компоненты»

     3. В пункте «Тип установки» выбираем «Установка ролей и компонентов»

         4. Выбираем сервер, на который будут установлены роли и компоненты, в нашем случае – это имя локального компьютера

       5. Выбираем дополнительную роль сервера: «Службы удаленных рабочих столов»

         6. Пропускаем выбор компонентов и переходим к выбору на странице «Службы ролей», выбираем и добавляем следующие компоненты: «Лицензирование удаленных рабочих столов» и «Узел сеансов удаленных рабочих столов»

           7. Выбираем, разрешено ли мастеру добавления ролей и компонентов перезагрузить сервер автоматически, или же это необходимо будет сделать вручную (рекомендуется в случае, если в данный момент с сервером работают другие пользователи)

      8. Жмем кнопку установить и дожидаемся полного завершения установки ролей после перезагрузки сервера:

        9. Запустить средство управления «Диспетчер серверов» и выбрать меню «Средства» -> «Terminal Services» -> «Средство диагностики лицензирования удаленных рабочих столов»

        10. В данном средстве мониторинга вы можете наблюдать все проблемы, связанные с лицензированием удаленных рабочих столов

• 11.  Необходимо задать режим лицензирования и выбрать соответствующий сервер лицензирования
• Заходим в редактор локальной групповой политики сервера – можно использовать консольную команду
• Следующий путь: «Конфигурация компьютера» -> «Административные шаблоны» -> «Компоненты Windows» -> «Службы удаленных рабочих столов» -> «Узел сеансов удаленных рабочих столов» -> «Лицензирование»
• Потребуется изменить следующие параметры политики:
• «Использовать указанные серверы лицензирования удаленных рабочих столов» -> «Включено» в поле «Использовать серверы лицензий» необходимо указать имя сервера лицензирования – в нашем случае, это WS2012R2RUS (имя компьютера можно посмотреть здесь: Система -> Полное имя компьютера)
• «Задать режим лицензирования удаленных рабочих столов» -> «Включено» в поле «Укажите режим лицензирования для сервера узла сеанса удаленных рабочих столов» выбрать режим «На устройство» или «На пользователя»
•               12.  Необходимо активировать сервер лицензирования на локальном компьютере, для этого переходим в Диспетчер серверов -> Средства -> Terminal Services -> Диспетчер лицензирования удаленных рабочих столов
• Выбираем сервер по имени нажимаем на него правой кнопкой мыши и выбираем «Активировать сервер»
• В мастере рекомендуется выбирать «Метод подключения» — «Авто» и указывать актуальные данные о пользователе. Если вы все сделали правильно, то сервер получит статус «Активирован»
• Осталось только установить приобретенные RDS лицензии, и можно начинать их использование.

Таким образом достаточно быстро можно настроить терминальный сервер в Windows Server и приступить к настройке прав и ролей пользователей, а также к настройке ваших приложений, например использовать сервер для 1с или другого программного обеспечения. Не забудьте также дополнительно проверить ваши настройки безопасности, а также активировать встроенный антивирус. 

Управление Виртуальными серверами VPS