Настройка безопасности RDP Windows Server 2016

Далее будут рассмотрены пять мер, позволяющих существенно повысить безопасность RDP в Windows 2016. В статье предполагается, что сервер терминалов уже прошел предварительную настройку и работает. Все скриншоты соответствуют Windows Server 2016.

Особенности [ править | править код]

Впервые данный компонент был выпущен как «Сервер терминалов» в «Windows NT Server 4.0 Terminal Server Edition», которая являлась отдельной операционной системой и включала встроенный Service Pack 3 и дополнительные исправления. Начиная с Windows 2000 данные компонент является частью операционных систем семейства Windows NT[1] и улучшается в каждой версии Windows[2]. В Windows Server 2008 R2 был переименован в «Службы удалённого рабочего стола» (RDS)[3].

В свою очередь RDS используется следующими компонентами:

  • Удалённый помощник
  • Подключение к удалённому рабочему столу
  • Быстрое переключение пользователей

Первые два являются отдельными утилитами, которые позволяют пользователю контролировать удалённые компьютеры. В случае удалённого помощника удалённый пользователь получает приглашение и управление осуществляется в кооперативном режиме. Во втором случае удалённый пользователь открывает новую сессию на удалённом компьютере с правами и ограничениями своего аккаунта. Быстрое переключение пользователей позволяет переключать физическую консоль между аккаунтами без выхода/входа в эти аккаунты[4].

Несмотря на то, что RDS поставляется с большинством версий Windows NT начиная с Windows 2000, его возможности различаются в разных версиях Windows. Например, Windows XP Home Edition не принимает удалённые подключения к рабочему столу, за исключением удалённого помощника. Другие версии Windows для рабочих станция принимают только одно удалённое подключение, блокируя при этом физическую консоль. Windows Server позволяет подключаться двум пользователям в одно и тоже время. Для большего количества пользователей необходимо докупать дополнительные лицензии[5].

Настройка удаленных приложений RemoteApp в Windows Server R2

Не все знают, что в дополнение к службе удаленных рабочих столов, в Windows Server 2008 R2 есть очень удобная служба удаленных приложений RemoteApp.

Суть RemoteApp в том, что к любым приложениям, установленным на данном сервере, можно получить удаленный доступ  с любого компьютера подключенного к сети.

В этом случае, выполняться программа будет на сервере, но её окно будет прорисовываться так, если бы пользователь запустил программу с локального компьютера.

Читайте также:  Какими способами можно изменить тип сети в Windows

Возможно сворачивать и разворачивать окно программы запущенной через RemoteApp, изменять его размеры и запускать сразу несколько программ вместе со своими локальными приложениями. Это очень удобный механизм, который может существенно облегчить администрирование некоторых программ и сократить расходы на их покупку.

Ниже я расскажу как настроить Удаленные приложения RemoteApp в Windows Server 2008 R2 на примере программы 1с:Предприятие 7.7.

1. Что понадобится

2. Создание RDP-файла или установщика для удаленной программы

Запускаем «Диспетчер удаленных приложений RemoteApp» («Пуск»  — «Администрирование» — «Службы удаленных рабочих столов» ) и в меню «Действия» слева нажимаем на «Добавить удаленные приложения RemoteApp» .

В запустившемся мастере нажимаем «Далее» , выбираем необходимое приложение, затем снова «Далее» и «Готово» .

После чего данная программа появится в списке удаленных приложений RemoteApp. Выделив его в таблице нажимаем на «Создать RDP-файл» в меню слева.

Запустится «Мастер удаленных приложений RemoteApp» , нажимаем «Далее» и попадаем на окно «Задание параметров пакета» .

Здесь можно выбрать каталог, куда сохранится RDP-файл, задать параметры шлюза удаленных рабочих столов, а также параметры сертификата для защищенных соединений. Но главное, можно поменять имя сервера и порт.

Изначально выставлены имя компьютера и порт RDP по умолчанию. С такими настройками приложение будет доступно только из локальной сети.

Если необходимо, чтобы программа запускалась и со всех компьютеров, подключенных к сети Интернет, то имя сервера нужно заменить на внешний IP-адрес, а также, по необходимости, изменить порт, который проброшен на маршрутизаторе для данного сервера, как показано на скриншоте ниже.

Порт также следует поменять, если вы меняли порт по умолчанию для сервера терминалов (о том как это сделать, можно прочитать здесь).

Завершаем работу мастера нажав «Далее» и «Готово» , после чего в указанном каталоге найдем файл с расширением rdp.

Аналогичным образом можно создать msi-установщик, нажав на «Создать пакет установщика Windows» .

При запуске получившегося таким образом установщика, он будет создавать RDP-ярлык на рабочем столе и в меню пуск с иконкой выбранного , если запустить получившийся RDP-файл с другого компьютера в сети, то появится окно ввода логина/пароля для входа на сервер.

После ввода данных увидим окно 1С:Предприятие так, как будто мы запустили его с локальной машины.

3. Настройка пользователей

Если приложение будут запускать несколько пользователей с одинаковыми настройками, то необязательно добавлять каждого на сервер.

Достаточно создать только одного пользователя, скажем User_1C (о том как создать пользователя можно прочитать здесь), настроить все параметры (список баз, принтеры пр.

) для этого пользователя и разрешить множественные сеансы.

Для того чтобы разрешить множественные сеансы заходим в «Пуск» — «Администрирование» — «Службы удаленных рабочих столов» — «Конфигурация узла сеансов удаленных рабочих столов» кликаем 2 раза по «Ограничить пользователя единственным сеансом» , в окне свойств снимаем галочку «Ограничить всех пользователей одиночными сеансами» .

Читайте также:  Как исключить проблему с недостатком памяти для системы Windows

Значение должно поменяться на «Нет» .

Кроме этого, надо знать еще об одном нюансе.

Дело в том, что при закрытии приложения, запущенного через RemoteApp, пользователь не выгружается автоматически, а отключенная учетная запись так и продолжает «висеть» на сервере.

Чтобы изменить это, в свойствах пользователей, которые будут запускать приложения через RemoteApp, на вкладке «Сеансы» устанавливаем «Завершение отключенного сеанса» через 1 минуту.

На этом настройка закончена. Мы выполнили ее таким образом, что несколько человек одновременно могут работать с программой 1С:Предприятие 7.

7 под одной учетной записью (для удобства работы можно создать несколько учетных записей, например, User_1c_Buh, User_1C_Operator, User_1C_Sklad и т. д.

или  же отдельную учетную запись для каждого пользователя).

Установка серверной операционной системы на примере MS Windows Server R

Перед началом установки нужно выполнить подготовительную работу. Вот основные пункты:1) Определитесь с редакцией операционной системы (standard, enterprise, datacenter и т.д.);2) Проверьте, соответствует ли ваш сервер минимальным системным требованиям выбранной редакции операционной системы;3) Подготовьте носитель с файлами для установки (в нашем случаеUSB-флэшка).

Установка серверной операционной системы на примере MS Windows Server R

Если вы планируете использовать данный сервер для хранения или обработки данных, лучше установить дополнительный жесткий диск для операционной системы. Также желательно убедиться в правильной организации работы сервера и после установки операционной системы Windows Server установить «родные» драйвера. Так что заранее скачайте их с официального сайта производителя или возьмите диск, который поставлялся вместе с вашим серверным оборудованием.

Подготовка окончена. Можно приступать к установке. В среднем по времени она займет примерно 15-20 минут, всё зависит от производительности вашего сервера.

Установка серверной операционной системы на примере MS Windows Server R

Ниже описаны ключевые этапы:1) Вставляем флэшку в рабочий USB разъём сервера;2) Включаем сервер;3) Путем нажатия кнопки F2 или DEL (зависит от модели материнской платы) попадаем в БИОС и выбираем загрузку с нашей флэшки. Сохраняем изменения и перезагружаемся.

Далее запустится процесс установки и мы будем работать с довольно простыми диалоговыми окнами

Установка серверной операционной системы на примере MS Windows Server R

1. Первоначально нам предложено выбрать языковые настройки и параметры местоположения:

Выбираем необходимые настройки и нажимаем кнопку ДАЛЕЕ.

Установка серверной операционной системы на примере MS Windows Server R

2. В следующем диалоговом окне нам предлагается на выбор несколько пунктов, но нас на данный момент интересует только установка:

Нажимаем кнопку УСТАНОВИТЬ.

Установка серверной операционной системы на примере MS Windows Server R

С редакцией операционной системы мы определились ранее:

Выбираем необходимую и нажимаем кнопку ДАЛЕЕ.

Установка серверной операционной системы на примере MS Windows Server R

3. Окно с условиями лицензионного соглашения:

Ставим галочку «Я принимаю условия лицензии» и нажимаем кнопку ДАЛЕЕ.

Установка серверной операционной системы на примере MS Windows Server R

4. Тип установки:

Нажимаем «Полная установка».

Установка серверной операционной системы на примере MS Windows Server R

5. Выбор раздела для установки:

В случае, если производим установку на отдельный жесткий диск, действуем так:

Установка серверной операционной системы на примере MS Windows Server R

Выделяем строку «Незанятое место на диске», нажимаем кнопку СОЗДАТЬ, далее кнопку ПРИМЕНИТЬ.

Читайте также:  Как узнать ключ продукта Windows 10: распишем суть

Появляется следующее окно:

Установка серверной операционной системы на примере MS Windows Server R

Нажимаем кнопку ОК, далее кнопку ДАЛЕЕ.

Всегда удаляйте старые системные разделы и создавайте новые, чтобы избежать дальнейших проблем.

Установка серверной операционной системы на примере MS Windows Server R

6. Установка началась. В процессе мы увидим следующие окна:7. Во время установки компьютер перезагрузится

Установка серверной операционной системы на примере MS Windows Server R

Если в настройках загрузки компьютера по умолчанию вы выбирали флэшку, то теперь нам нужно выбрать жесткий диск, на который мы производим установку. В противном случае мы опять вернемся к первоначальному этапу.

Если вы увидели окно входа в систему, то всё прошло удачно:

Установка серверной операционной системы на примере MS Windows Server R

Вводим пароль и его подтверждение и нажимаем кнопку «Стрелка вправо». Пароль должен содержать буквы разного регистра, цифры и быть длинной не менее восьми символов. Запишите пароль, чтобы не забыть, он понадобится после каждой перезагрузки системы.

8. Дожидаемся применения параметров:

Установка серверной операционной системы на примере MS Windows Server R

В части установки операционной системы мы закончили.

9. Теперь требуется минимальная первоначальная настройка

Установка серверной операционной системы на примере MS Windows Server R

Устанавливаем драйвера и перезагружаемся. После перезагрузки появится окно первоначальной настройки:

Здесь приведены основные пункты первоначальной настройки:

Установка серверной операционной системы на примере MS Windows Server R

a) Нам нужно активировать систему. Существует много способов это сделать. Про это читайте отдельно.

b) Установите нужный часовой пояс.

Установка серверной операционной системы на примере MS Windows Server R

c) Поменяйте имя сервера на нужное (пример srvTEST).

Перезагрузку можно произвести после всех остальных настроек.

Установка серверной операционной системы на примере MS Windows Server R

d) В настройках сети пропишите IP-адрес и маску подсети (пример , ).

e) Установите необходимые обновления из центра обновления Windows:

Установка серверной операционной системы на примере MS Windows Server R

В способе установки обновлений выберите пункт: «Искать обновления, но решение о загрузке и установке принимается мной».

Произведите поиск и установку обновлений.

Установка серверной операционной системы на примере MS Windows Server R

f) Для удобства дальнейшего администрирования настраиваем службу удаленных рабочих столов (может потребоваться для настройки Server 2008 для удалённой работы 1С:Бухгалтерия).

g) Добавьте пользователя для подключения.

Установка серверной операционной системы на примере MS Windows Server R

10. Первоначальная настройка операционной системы завершена

Перезагрузите сервер. После перезагрузки автоматически установятся сервер 2008 установлен и готов к дальнейшему развитию: добавлению ролей, установке программ и т.д. О том, что делать дальше читайте в следующих статьях.

Установка серверной операционной системы на примере MS Windows Server R

Настраиваем политику блокировки

Основная проблема в том, что по умолчанию Windows-server (даже 2016!) не защищен от брутфорса, поэтому безопасность RDP в Windows 2016 пребывает не на очень высоком уровне. При наличии какого-либо сервиса, в частности, FTP, вас могут брутфорсить, пока не получат доступ к системе, перебирая огромное множество логинов и паролей. Именно поэтому необходима настройка временной блокировки пользователя после нескольких неудачных попыток.

Необходимый набор правил и настроек называется Политика блокировки учетной записи (Account Lockout Policy). Пока вы еще не закрыли окно Локальная политика безопасности, перейдите в раздел Политики учетных записей, Политика блокировки учетной записи. Установите Пороговое значение блокировки — 5 (максимум 5 неудачных попыток входа), Продолжительность блокировки учетной записи — 30 (на 30 минут учетная запись будет заблокирована после 5 неудачных попыток входа).

Настраиваем политику блокировки

Рис. 6. Настройка политики блокировки учетной записи

Запросить КП