Настройка безопасности RDP Windows Server 2016

Далее будут рассмотрены пять мер, позволяющих существенно повысить безопасность RDP в Windows 2016. В статье предполагается, что сервер терминалов уже прошел предварительную настройку и работает. Все скриншоты соответствуют Windows Server 2016.

Смена стандартного порта Remote Desktop Protocol

Начнем со стандартной меры — смены стандартного порта Windows 2016 RDP, что позволит предотвратить атаку всем известных портов (well-known ports). Настройку порта можно осуществить с помощью реестра — HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber.

Смена стандартного порта Remote Desktop Protocol

Рис. 1. Смена порта RDP в Windows Server 2016 с помощью редактора реестра

После этого запустите Брандмауэр Windows и на боковой панели слева выберите Дополнительные параметры. Далее — Правила для входящих соединений и нажмите кнопку Создать правило (на панели справа)

Смена стандартного порта Remote Desktop Protocol

Рис. 2. Правила для входящих подключений

В появившемся окне выберите Для порта и нажмите кнопку Далее. Затем выберите Определенные локальные порты и введите порт, указанный при редактировании реестра (рис. 3). В следующем окне мастера нужно выбрать Разрешить подключение(рис. 4).

Смена стандартного порта Remote Desktop Protocol

Рис. 3. Задаем новый порт

Рис. 4. Разрешаем подключение

Смена стандартного порта Remote Desktop Protocol

Собственно, на этом настройка завершена. Отключитесь от сервера и установите новое соединение. Не забудьте в настройках RDP-клиента Windows Server 2016 указать новый порт: IP-адрес_сервера: порт.

Процедура создания терминального сервера

Операционная система Windows 7 по умолчанию не предназначена для создания терминального сервера, то есть не предоставляет возможность работы нескольким пользователям одновременно в параллельных сессиях. Тем не менее, произведя определенные настройки ОС, можно добиться решения поставленной в данной статье задачи.

Важно! Перед произведением всех манипуляций, которые будут описаны ниже, создайте точку восстановления или резервную копию системы.

Способ 1: RDP Wrapper Library

Первый способ осуществляется с помощью небольшой утилиты RDP Wrapper Library.

Скачать RDP Wrapper Library

Способ 2: UniversalTermsrvPatch

Следующий способ предусматривает использование специального патча UniversalTermsrvPatch. Данный метод рекомендуется использовать только в том случае, если не помог предыдущий вариант действий, так как при обновлениях Windows придется проделывать каждый раз процедуру заново.

Читайте также:  Как закрыть компьютер от удаленного доступа

Скачать UniversalTermsrvPatch

  1. Прежде всего, создайте на компьютере учетные записи тех пользователей, которые будут использовать его в качестве сервера, как это делалось в предыдущем способе. После этого скачанный UniversalTermsrvPatch распакуйте из архива RAR.
  2. Зайдите в распакованную папку и запустите файл или , в зависимости от разрядности процессора на компьютере.
  3. После этого для внесения изменений в системный реестр запустите файл под названием «7 and », расположенный в том же каталоге. Затем перезагрузите компьютер.
  4. Необходимые изменения внесены. После этого нужно последовательно проделать все те манипуляции, которые мы описывали при рассмотрении предыдущего способа, начиная с пункта 11.

Отныне только 64

Ранее сообщалось, что Win2k8 будет последней 32-битной версией серверной ОС. Так и произошло — R2 будет выпущена только для архитектур x64/ia64. Компании AMD и Intel уже не выпускают 32-битных процессоров для серверов на базе архитектуры x86, поэтому уход с рынка 32-битных и смещение акцентов в сторону 64-битных ОС и приложений выглядит вполне логично. Хотя поддержка 32-битных приложений в R2 осталась и реализована при помощи слоя эмуляции WOW64 (Windows on Windows64). По умолчанию в версии Server Core и Hyper-V поддержка WOW64 отключена. Чтобы включить поддержку 32-битных приложений, администратору достаточно выполнить одну команду:

> dism /Online /Enable-Feature /FeatureName:ServerCore-WOW64

И – для поддержки 32-битных .NET-приложений:

> dism /Online /Enable-Feature /FeatureName:NetFx2-ServerCore > dism /Online /Enable-Feature /FeatureName:NetFx2-ServerCore-WOW64

Или так:

> start /w ocsetup ServerCore-WOW64 > start /w ocsetup NetFx2-ServerCore-WOW64

Разработчики получили рекомендации по адаптации, тестированию и проверке совместимости своих приложений с WOW64. Но, судя по всему, использование 32-битных приложений не приветствуется.

Текущая версия Win2k8 поддерживает до 64 логических процессора. В R2 их количество увеличили до 256. Учитывая, что в последнее время количество ядер на одном физическом процессоре постоянно увеличивается, такой запас лишним точно не будет. Причем, если ядра не используются, их можно выключить, тем самым, сэкономив толику электроэнергии. Виртуальная машина, запущенная под новым Hyper-V, поддерживает до 32 логических CPU (в предыдущем варианте их было всего 4). Кстати, под логическим процессором в Винде понимается не только количество ядер, но и одновременное количество обрабатываемых потоков. В сообщениях проскакивало, что Win2k8R2 может работать с 32 4-ядерными процессорами, каждое ядро которых одновременно обрабатывает по 2 потока данных (32 CPU х 4 ядра х 2 потока данных = 256).

Читайте также:  Как убрать автовыключение компьютера на Windows

Названы минимальные системные требования: 1.4 ГГц 64bit CPU, 512 Мб RAM, HDD 10 Гб. Рекомендуемые, как ты понимаешь, существенно выше. При планировании конфигурации сервера следует также учитывать, что версия Standard поддерживает максимум 32 Гб RAM, а Enterprise и Datacenter до 2 Тб RAM.

В R2 доступны и многие другие новинки; некоторые из них встречались в семерке. Так, в Windows Firewall может быть активно несколько профилей (Private, Public или Domain), что не вызывает проблем при подключении к нескольким сетям; добавлена поддержка http-ссылок в QoS, реализованы VPN Reconnect и DHCP Failover. Служба QoS позволяет приоритезировать трафик при доступе к определенным ресурсам. Ранее во вкладке "Application Name" в "Policy-Based QoS" было только два пункта, при помощи которых можно было задать либо все, либо определенные приложения. Теперь же вкладка называется "Application Name or URL", и здесь можно задать имя/шаблон http-ресурса, трафику которого будет назначаться повышенный приоритет. Новая функция VPN Reconnect, являющаяся частью RRAS ("Служба маршрутизации и дистанционного доступа"), позволяет VPN-клиенту автоматически восстанавливать VPN-подключение в ситуации, когда связь с VPN-сервером временно оборвалась (прежде это нужно было делать вручную или выжидать довольно длительный тайм-аут). Чтобы задействовать VPN Reconnect, следует выбрать тип VPN IKEv2 (Internet Key Exchange, описан в RFC 4306).

Установка терминального сервера для 1С

Сразу отметим, что установка терминального сервера требует определенных навыков и знаний. Если вы в них не уверены, обратитесь к специалистам, оказывающим услуги в области оптимизации высоконагруженных систем.

Но если вы решили действовать самостоятельно, рассмотрите пример установки терминального сервера для 1С в ОС Windows Server 2012:

  • Необходимо зайти на сервере в свойства соединения и прописать нужный IP-адрес;
Читайте также:  Windows PowerShell – что это такое и как запустить?

Рис.1 Прописываем IP-адрес

  • Чтобы проверить, виден ли наш сервер, попробуйте на клиентском компьютере прописать команду ping в командной строке;
  • Если пинг прошел успешно, на сервере откройте «Диспетчер серверов» и щелкните «Добавить роли и компоненты»;

Рис.2 Добавляем роли и компоненты

  • Выберите тип установки сервера – «Установка ролей и компонентов»;
  • Выбираем наш сервер для 1С из пула серверов и нажимаем «Далее»;

Рис.3 Выбираем сервер

  • На этапе выбора ролей сервера нам нужно найти и поставить галку напротив роли «Службы удаленных рабочих столов»;

Рис.4 Служба удаленных рабочих столов

  • Нажимаете два раза «Далее» и на этапе выбора служб ролей на сервере необходимо проставить две галки:
    • Лицензирование удаленных рабочих столов. При установке нажмите на всплывающую кнопку «Добавить компоненты»;
    • Узел сеансов удаленных рабочих столов.

Рис.5 Узел сеансов удаленных рабочих столов

  • В следующем окне проставьте «Автоматический перезапуск сервера, если требуется» и запустите установку сервера терминалов;

Рис.6 Установка сервера терминалов

  • Через некоторое время терминальный сервер для 1С будет успешно установлен.
Современная техника - портал Миникод