Оценка трафика для RDP сессии пользователя на RDS сервере

Кроме того, у режима RD Shadow и rdp клиента появился ряд новых интересных возможностей. Полный список опций rdp клиента mstsc.exe, определяющих возможность удаленного подключения к сессии конечного пользователя:

Настройка прорисовки видео в RDP сессии. Читать целиком>>>>

Первое что необходимо сделать, это настроить глубину цвета (битность разрешения экрана), причем не принципиально где вы это делаете или на сервере или на тонких клиентах. Я лично предпочитаю делать на сервере. Для этого в параметре Limit maximum color depth (максимальная глубина цвета) ставим глубину 16 bit, хватает для 90% пользователей. Либо в свойствах RDP подключения на тонком клиенте устанавливаем 16 bit.

Второе, отключаем экранные заставки пользователей, пусть они лучше ругаются на отсутствие любимого водопада или экзотических островов, чем на скорость прокрутки в RDP сессии. Для этого идем в Конфигурация компьютера(Computer Configuration )-Политики(Policies)-Административные Шаблоны(Administrative Templates )-Компоненты Windows (Windows Components)- Remote Desktop Services Host и отключаем WallPaper.

Настройте сглаживание шрифтов ClearType, на самом деле это касается не только шрифтов, но и определит для пары тонкий клиент-сервер порядок передачи картинки, когда он включен, сервер передает не команды о том какой символ отобразить, а картинку целиком, причем предварительно ее сжимая, что заметно менее эффективно. Вы также можете сделать это как на стороне сервера, так и на стороне тонкого клиента на сервере это делается по тому же пути что и отключение WallPaper.

Четвертый параметр который мы рекомендовали Вам настроить также находится в Службах удаленных рабочих столов по тому же пути Конфигурация компьютера(Computer Configuration )-Политики(Policies)-Административные Шаблоны(Administrative Templates )-Компоненты Windows (Windows Components)- Remote Desktop Services Host и управляет как RDP обрабатывает и передает графические данные как текст или как мультимедиа. Поэтому если пользователи на тонких клиентах в основном работают с текстами таблицами и 1С, то параметр Оптимизация визуального качества (Optimize visual experience for RDP sessions) должен быть Text, ну а если нужны банеры, воспроизведение роликов, flash анимации и т.д. то Rich Multimedia. Фактически вы настраиваете алгоритм сжатия RDP сессии на сервере для ваших тонких клиентов, сжимать или не сжимать.

В терминальной сессии Windows Server, многие, поставив в настройках галочку на кешировать изображения, удивляются отсутствием прироста производительности, чаще всего это связано с малым объемом памяти, выделяемым для кеширования умолчанию. Поверьте лишних 10-20MB оперативной памяти выделяемой на RDP сессию, при десятках гигабайт на современных серверах дадут вам замечательный прирост производительности и позволят обойтись без настройки приоритета трафика или планировщика пакетов. Для этого зайдите в системный реестр regedit bи в ветке HKEY_CURRENT_USER — SOFTWARE — MICROSOFT — TERMINAL SRVER CLIENT создайте там параметры BitmapPersistCacheSize типа DWORD32 значение 5000 и BitmapCacheSize типа DWORD32 значение 10000 можно и больше.

Изменение всего шести этих параметров должно дать ощутимый прирост скорости прорисовки. В следующих статьях мы расскажем о настройке других параметров как отказ от плавно всплывающих меню, композиций, Windows Aero, настройке сжатия RDP сессий, приоритезации трафика и т.д.

К другим статьям

Где используется RDS

Remote Desktop Services — что это и зачем нужно? Этот компонент позволяет развернуть на одном устройстве программы, к которым имеют доступ пользователи других (клиентских) устройств. Это полезно в решении ряда типичных для бизнеса задач.

  • Развертывание ПО. Благодаря RDS ускоряется установка любого программного обеспечения — теперь его можно инсталлировать на одном устройстве вместо нескольких. Это актуально для приложений, которые отличаются сложностью и трудоемкостью в развертывании и настройке.
  • Сокращение числа установок к ПО. Приложения выполняются только на той машине, на которой они установлены. На остальные устройства передается изображение того, что происходит во время их выполнения. Это позволяет снизить требования к пропускной способности сети, которая используется для передачи данных между сервером и клиентскими машинами.
  • Организация удаленного доступа. К основному компьютеру с установленным ПО можно получать доступ с самых разных устройств: офисных ноутбуков, домашних ПК, мобильных устройств. При этом не важно, как далеко друг от друга находятся клиентское и серверное оборудование — главное, чтобы между ними был установлен канал связи (данные можно передавать по локальной сети или через интернет). Такой способ «общения» можно наладить между удаленными филиалами и центральным офисом компании.

Проверка работоспособности

После применения групповой политики Windows клиенты должны в автоматическом порядке получить сертификат. Если этого не произошло, стоит обратить внимание на:

  1. Отсутствие в правильной группе безопасности, которая указана в шаблоне;
  2. Отсутствие к ЦС необходимых сетевых портов от клиента. Напомню, это tcp/135 (RPC) и динамические порты tcp/49152—65535.
Проверка работоспособности

Проверить что сертификат был успешно выпущен можно в консоли ADCS:

Успешно выданный сертификат RDP

При следующем RDP подключении, стоит обратить внимание на наличие «замка» в верхнем меню RDP подключения. Нажав на этот «замок» можно удостоверится что используется нужный сертификат.

Проверка правильности сертификата в RDP подключении

Проверка работоспособности

На этом все. Если у вас возникли какие-либо вопросы, пожалуйста, пишите в комментарии.

Обязательные инструменты для удаленной работы

Облачные сервисы для совместной работы

Хранить рабочие файлы и папки с документами на домашнем компьютере не удобно и опасно. Для работы с документами обязательно используйте облачные сервисы G Suite или Office 365. Это очень практично и важно для защиты корпоративных данных. Удаленная работа в нашей команде практически невозможна без использования Google Диска.

Обязательные инструменты для удаленной работы

Сервисы G Suite и Office 365 предоставляют полноценный набор инструментов для совместной работы над текстовыми документами, Excel таблицами, презентациями. Все файлы, папки и документы хранятся в облаке, а не на рабочем столе домашнего ПК сотрудника. Это значит, что документы никогда не потеряются, к ним будет доступ из любой точки мира, вы всегда будете видеть актуальную версию документа, а все члены команды, которым открыт доступ, смогут вносить свои правки и комментарии. Также в комплекте есть инструменты для созвонов, таск-менеджеры и календари.

В политиках информационной безопасности запретите хранить рабочие документы на домашнем ПК. Все файлы должны храниться в облаке, а учетная запись пользователя в G Suite или Office 365 должна быть защищена двухфакторной аутентификацией. Для аутентификации безопаснее всего использовать аппаратные токены. Модель Protectimus Slim NFC подключается, как к Google аккаунту, так и к Office 365.

Мессенджеры

Обязательные инструменты для удаленной работы

Для общения команды необходимо выбрать удобный мессенджер (Telegram, Slack, Discord, Skype и т.п.). Если у вас небольшая команда (до 50 человек), подойдет Telegram. Более крупные компании предпочитают Slack. Для созвонов чаще всего используется Skype или Zoom.

Если Вы не хотите вести внутреннюю корпоративную переписку через стороннее приложение, обратите внимание на open source мессенджер Его можно установить на собственный корпоративный сервер, еще и бесплатно. Тогда все данные, которые будут передаваться сотрудниками внутри чата, останутся только на серверах компании.

Работа удаленно подразумевает, что выбранный мессенджер должен быть установлен у каждого сотрудника. Обычно создается один общий чат для всех сотрудников компании, в котором публикуются информационные сообщения, и небольшие чаты для каждого проекта отдельно, где люди будут обсуждать свои текущие задачи. Для решения серьезных вопросов лучше созваниваться.

Обязательные инструменты для удаленной работы

Таск-менеджеры и CRM

Для постановки задач и контроля их выполнения понадобится таск-менеджер (Trello, Asana, Jira). А для эффективной работы с клиентами необходима CRM система (CRM — Customer Relationship Management или Управление отношениями с клиентами). Часто менеджеры задач и CRM системы идут в одном комплекте (Zoho, Bitrix, та же Asana). Каждый менеджер задач хорош по своему и подходит под разные типы проектов. Например, Jira часто используется в IT индустрии, так как это удобный инструмент для отслеживания этапов разработки. Trello часто выбирают небольшие компании, так как этот менеджер задач доступен бесплатно и при этом им очень просто и удобно пользоваться. Протестируйте несколько вариантов и выберите тот, который подойдет вам.

Читайте также:  ReFS – новая файловая система для Windows

Инструменты для видео-звонков, презентаций и конференций

Обязательные инструменты для удаленной работы

В условиях карантина все встречи и презентации необходимо будет проводить в онлайн-режиме. Также дистанционная работа заставит вас созваниваться с командой для обсуждения важных вопросов. При созвоне желательно всегда включать камеру и научиться расшаривать экран. Позаботьтесь о том, чтобы у вашей сейлз-команды было несколько настроенных инструментов для видеозвонков сразу: Skype, Zoom, Google Hangouts, GoToMeeting.

Подключение к сеансу

В «Диспетчере серверов» перейдите к созданной коллекции —> «Службы удаленных рабочих столов» —> «Коллекции» и выберите вашу коллекцию.

В данной инструкции её название «Моя коллекция«:

В списке «Подключения» выберите пользователя за которым вы хотите наблюдать или управлять, кликните на нём правой кнопкой мыши и нажмите «Теневая копия«:

В открывшемся окне выберите нужное Вам действие «Просмотреть» или «Управление«:

Далее увидите следующее сообщение:

В этот момент на экране пользователя vasya всплывет окно запроса на удаленное наблюдение:

У нас появится доступ, как только пользователь vasya примет запрос.

Чтобы подключаться без запроса, необходимо изменить параметры удалённого управления конкретного пользователя, в данном примере это vasya.

Перейдите по ветке: «Диспетчер серверов» —> «Средства» —> «Пользователи и компьютеры Active Directory» —> Ваш домен —> «Users«.

Кликните дважды по имени пользователя и выберите вкладку «Удалённое управление».

В параметре «Запрашивать разрешение пользователя» снимите галочку и выберите желаемый уровень управления сеансом пользователя.

Нажмите «Применить» —→ «Ок»:

Теперь Вы сможете подключаться, управлять или наблюдать за сеансом пользователя без его ведома.

Настройка политики авторизации соединений

Откройте оснастку диспетчера шлюза удалённых рабочих столов через командную строку, выполнив команду

Выберите в дереве сервер шлюза удалённых рабочих столов и откройте Политики — Политики авторизации подключений. Можно использовать существующую политику RDG_CAP_AllUsers, но крайне рекомендуется создать новую политику. Для этого вызовите контекстное меню, щёлкнул правой кнопкой мыши по Политикам авторизации подключений и выберите Создать новую политику — Мастер.

Следуя указаниям мастера создания новых политик авторизации укажите требуемые значения, при этом на шаге Требования при указании метода проверки подлинности Windows отметьте пункт Смарт-карта. Пункт Пароль можно оставить, но его будет необходимо отключить в свойствах политики после успешной проверки авторизации по смарт-карте. Укажите группу или группы пользователей, которым разрешается удалённый доступ по RDP.

Следуя дальнейшим указаниям мастера завершите настройку новой политики. В списке политик проверьте, что политика находится в состоянии Включено.

Инструкция по защите RDP подключения

В этой инструкции описаны рекомендуемые действия по защите Вашего сервера.

Читайте также:  Как создать и использовать виртуальный диск в Windows

Переименуйте стандартную учетную запись администратора

Нажмите Win + X и выберите «Управление компьютером»:

Затем выберите «Локальные пользователи» —→ «Пользователи» —→ кликните правой кнопкой мыши по имени пользователя «Администратор» и выберите «Переименовать»:

Инструкция по защите RDP подключения

Переименуйте пользователя и используйте это имя для последующих подключений к удаленному рабочему столу.

Блокировка RDP-подключений для учетных записей с пустым паролем

Усилить безопасность можно запретив подключаться к учетным записям с пустым паролем. Для этого нужно включить политику безопасности «Учетные записи»: разрешить использование пустых паролей только при консольном входе»:

  1. Откройте локальную политику безопасности (нажмите Win + R и введите команду )

  2. Перейдите в раздел «Локальные политики» –-> «Параметры безопасности».

         3. Дважды щелкните на политике «Учетные записи: разрешить использование пустых паролей…» и убедитесь, что она включена:

Вещь полезная, поэтому не оставляйте этот параметр без внимания.

Смена стандартного порта Remote Desktop Protocol

Инструкция по защите RDP подключения

Не лишним будет сменить стандартный порт на котором работает протокол RDP. Как это сделать уже описано в наших инструкциях: Windows Server 2012 и Windows Server 2016.

Защита от буртфорса

Чтобы блокировать множественные попытки подключения с неверными данными, можно отслеживать журнал событий и вручную блокировать атакующие IP адреса посредством брандмауэра Windows или воспользоваться готовым приложением. Последний случай мы рассмотрим подробнее. 

Для блокировки атакующих IP адресов будем использовать свободно распратраняющееся ПО — IPBan. Это приложение проверено и работает в Windows Server 2008 и всех последующие версях. Windows XP и Server 2003 — не роддерживаются.  Алгоритм его работы простой: программа мониторит журнал событий Windows, фиксирует неудачные попытки входа в систему и, после 5-ти попыток злоумышленника подобрать пароль, блокирует IP адрес на 24 часа.

Итак:

  1. Cкачайте архив с программой здесь;
  2. В нем находятся два архива  и , нам нужен последний. Распакуйте архив  в любое удобное место (в примере это корень диска C:);
  3. Так как файлы скачанные с интернета система автоматически блокирует в целях безопасности, для работы приложения необходимо разблокировать все файлы. Щелкните правой кнопкой мыши на все извлеченные файлы и выберите свойства. Обязательно выберите «разблокировать», если этот параметр доступен. Либо, откройте окно PowerShell (Win + R, введите powershell и «ОК») и воспользуйтесь командой следующего вида: get-childitem “местоположение папки” | unblock-file -confirm

    Например:

     4. Вам нужно внести следующие изменения в локальную политику безопасности, чтобы убедиться, что в логах системы отображаются IP-адреса. Октройте «Локальную политику безопасности» (Win + R, введите и «OK«). Перейдите  в «Локальные политики» —> «Политика аудита» и включить регистрацию сбоев для «Аудита входа в систему» и «Аудита событий входа в систему»:

Инструкция по защите RDP подключения

     5. Для Windows Server 2008 или эквивалентного вам следует отключить логины NTLM и разрешить только NTLM2-вход в систему. В Windows Server 2008 нет другого способа получить IP-адрес для входа в систему NTLM. Октройте «Локальную политику безопасности» (Win + R, введите и «OK«). Перейдите  в «Локальные политики» —> «Параметры безопасности» —> «Сетевая безопасность: Ограничения NTLM: входящий трафик NTLM» и установите значение «Запретить все учетные записи»:

     6. Теперь необходимо создать службу IPBan, чтобы приложение запускалось при старте системы и работало в фоновом режиме. Запустите оснастку PowerShell (Win + R, введите powershell и «ОК») и выпоните команду типа:

create IPBAN type= own start= auto binPath= c:\»Каталог с программой»\ DisplayName= IPBAN

Например:

 Перейдите в службы (Win + R, введите и «OK«) и запустите службу IPBAN, в дальнейшем она будет запускаться автоматически:

В «Диспетчере задач» можно убедиться, что служба запущена и работает:

Таким образом, программа следит за неудачными попытками авторизации и добавляет неугодные IP адреса в созданное правило для входящих подключений брандмауэра Windows:

Инструкция по защите RDP подключения

Заблокированные IP адреса можно разблокировать вручную. Перейдите на вкладку «Область» в свойствах правила «IPBan_0» и удалите из списка нужный Вам IP адрес:

Современная техника - портал Миникод