Организация работы за компьютером может осуществляться удаленно. В этом случае пользователи будут подключаться к «главному» устройству и управлять им без непосредственного физического контакта. Такие технологии стремительно применяются в крупных компаниях, а также в небольших организациях.
Далее предстоит разобраться, что собой представляет RDP-сервер. Информация, представленная ниже, ориентирована преимущественно на тех, кто раньше не пользовался технологией удаленного подключения. Необходимо разобраться с принципами организации RDP, преимуществами и недостатками каждого подключения, а также с иными особенностями процесса.
Протокол Remote Desktop. Архитектура и возможности
Данная статья открывает цикл статей, посвященных устройству и безопасности протокола RDP. В первой статье этого цикла анализируется устройство, использование и основные технологии, заложенные в данный протокол.
Данная статья открывает цикл статей, посвященных устройству и безопасности протокола RDP. В первой статье этого цикла анализируется устройство, использование и основные технологии, заложенные в данный протокол.
В следующих статьях будут подробно рассмотрены следующие вопросы:
RDP (Remote Desktop Protocol) – это защищенный протокол сетевой связи, который Microsoft купила у компании Polycom. Он позволяет пользователям удаленно и безопасно подключаться к своим компьютерам. Кроме того, RDP используется сетевыми администраторами и DevOps-командами для удаленного обслуживания, диагностики и ремонта систем. Еще он находит применение в области поддержки сетевых топологий и LAN-протоколов.
- Что означает термин “удаленный рабочий стол”?
- Какими функциями обладает RDP?
- А как работает RDP?
- Преимущества и недостатки RDP.
- А как решить эти проблемы?
- Перспективные технологии Terminal Services
- Инфраструктура и комплект приложений
- Особенности с Unix-системами
- Enhanced RDP Security
- Устройство сети, использующей Terminal Services
- RDP в режиме администрирования
- Standard RDP Security
- Шифрование
- Целостность
- Принцип работы RDP
- Обеспечение безопасности при использовании RDP
- Схема лицензирования Terminal Services
- Краткая характеристика
- История появления RDP
- Способы реализации
- DaaS
- Собственный сервер
- Организация своими силами
- Запуск удаленного RDP Server
- Подключение клиента
- Способы организации и их особенности
- Терминальные серверы (RDS)
- Отдельная виртуальная машина (VDI)
- Плюсы и минусы
- Литература
Что означает термин “удаленный рабочий стол”?
Удаленный рабочий стол – это технология, позволяющая на расстоянии управлять компьютером или сервером через интернет. Этим часто пользуются IT-администраторы, которые управляют устройствами нескольких пользователей одновременно, используя Windows Server c включенной службой удаленных рабочих столов или терминальный сервер.
Стоит отметить, что пользователи иногда путают RDP c облачными вычислениями, поскольку обе технологии позволяют работать удаленно. На самом деле, на удаленном доступе сходство между RDP и облаком заканчивается.
В облачной среде пользователи получают доступ к файлам и приложениям, хранящимся на облачных серверах, а не на жестком диске своего настольного компьютера. Напротив, RDP напрямую соединяет пользователей с настольными компьютерами, позволяя им получать доступ к файлам и запускать приложения, как если бы они физически сидели перед этим компьютером. Оба инструмента полезны для удаленной работы, но работают совершенно по-разному.
Какими функциями обладает RDP?
Аутентификация по смарт-карте. Позволяет пользователям получать доступ к удаленному рабочему столу с помощью сертификатов, хранящихся на смарт-картах.
Сжатие передачи данных при подключении к серверу. R DP позволяет оптимизировать пропускную способность сети, поскольку большая часть экрана пользователя не обновляется, что исключает необходимость повторной передачи данных.
Использование нескольких дисплеев. Эта фича доступна IT-администраторам, которые могут подключаться к устройствам и дисплеям нескольких пользователей.
GPU-виртуализация. В RDP имеется набор протоколов RemoteFX который позволяет удаленно доставлять виртуальные рабочие столы по локальным сетям. RemoteFX обеспечивает более высокое качество работы пользователей, поскольку обеспечивает расширенное кодирование и виртуализацию графики.
Перенаправление аудио. Оно позволяет перенаправить аудио с удаленного рабочего стола на компьютер пользователя.
Перенаправление файловой системы. Оно позволяет отправлять файлы с подконтрольного устройства на удаленные компьютеры.
Перенаправление печати. Приложения, работающие в рамках сеанса удаленного рабочего стола, могут использовать для печати принтер, подключенный к устройству клиента.
Перенаправление портов. Приложения, работающие в рамках сеанса удаленного рабочего стола, могут получать доступ к локальным портам.
А как работает RDP?
RDP требует, чтобы пользователи установили клиентское программное обеспечение на машине, с которой они подключаются, и серверное программное обеспечение на машине, к которой они подключаются. После подключения к удаленному компьютеру удаленные пользователи видят тот же графический интерфейс пользователя (GUI) рабочего стола и получают доступ к файлам и приложениям так же, как если бы они работали локально.
Программное обеспечение RDP-клиента и сервера взаимодействует через сетевой порт 3389, используя транспортный протокол TCP/IP для передачи движений мыши, нажатий клавиш и других данных. R DP шифрует все передаваемые данные, чтобы злоумышленники не могли их перехватить. Из-за графического интерфейса взаимодействие клиента и сервера сильно асимметрично. В то время как клиент передает только относительно мало данных, вводимых мышью и клавиатурой, сервер должен передавать большой объем данных графического интерфейса.
Преимущества и недостатки RDP.
Несмотря на всю свою защищенность, RDP подвержен двум основным брешам в защите:
А как решить эти проблемы?
Просто следуйте следующим пунктам:
И все ваши RDP-соединения будут в безопасности!
Перспективные технологии Terminal Services
В Terminal Services для Windows 2008 Server введены следующие возможности:
Инфраструктура и комплект приложений
Для организации удаленного доступа используется RDP. По умолчанию для работы задействован порт 3389 TCP или UDP. Их можно изменить в настройках имеющегося программного обеспечения.
В качестве приложений для RDP используются такие пакеты как:
Обладатели Windows XP и новее могут пользоваться соответствующей технологией «по умолчанию». Все необходимое программное обеспечение уже будет размещено на устройстве. Для наиболее стабильного подключения рекомендуется задействовать бесплатную встроенную утилиту Windows Remote Desktop Connection.
При реализации технологии пользовательское устройство функционирует в режиме «тонкого клиента». Дисплей оборудования выполняет роль «экрана», передает картинку с удаленного компьютера. R DP сервер будет принимать нажатие на кнопки клавиатуры и движение мышью. За счет этого допускается оперирование имеющейся операционной системой.
Особенности с Unix-системами
В Windows 7 и более новых версиях операционных систем от Microsoft поддерживается встроенное программное обеспечение для организации работы по изучаемому протоколу. В Unix-подобных ОС применяются другие приложения:
Если клиент использует операционную систему Windows, не рекомендуется активировать протокол Remote Desktop относительно Linux и наоборот. Если воспользоваться соответствующим подключением, нельзя исключить сбои, неполадки и ошибки (особенно визуальные).
Enhanced RDP Security
В данном подходе используются внешние модули обеспечения безопасности:
Протокол TLS можно использовать, начиная с версии Windows 2003 Server, но только если его поддерживает RDP- клиент. Поддержка TLS добавлена, начиная с RDP -клиента версии 6.0.
Протокол CredSSP представляет собой совмещение функционала TLS, Kerberos и NTLM.
Рассмотрим основные достоинства протокола CredSSP:
Устройство сети, использующей Terminal Services
Microsoft предполагает два режима использования протокола RDP:
RDP в режиме администрирования

Данный режим доступен только в серверных версиях Windows. Количество удаленных подключений в данном случае не лимитируется, но требуется настройка сервера лицензий (License server) и его последующая активация. Сервер лицензий может быть установлен как на сервер терминалов, так и на отдельный сетевой узел. Возможность удаленного доступа к серверу терминалов открывается только после установки соответствующих лицензий на License server.
Standard RDP Security
Аутентификация сервера выполняется следующим образом:
Аутентификация клиента проводится при вводе имени пользователя и пароля.
Шифрование
В качестве алгоритма шифрования выбран потоковый шифр RC4. В зависимости от версии операционной системы доступны различные длины ключа от 40 до 168 бит.
Максимальная длина ключа для операционных систем Winodws:
При установке соединения после согласования длины генерируется два различных ключа: для шифрования данных от клиента и от сервера.
Целостность
Целостность сообщения достигается применением алгоритма генерации MAC (Message Authentication Code) на базе алгоритмов MD5 и SHA1.
Принцип работы RDP
RDP поддерживает несколько виртуальных каналов в рамках одного соединения, которые могут использоваться для обеспечения дополнительного функционала:
Характеристики виртуальных каналов согласуются на этапе установки соединения.
Обеспечение безопасности при использовании RDP

Спецификация протокола RDP предусматривает использование одного из двух подходов к обеспечению безопасности:
Схема лицензирования Terminal Services
При использовании RDP для доступа к приложениям в режиме тонкого клиента требуется настройка специализированного сервера лицензий.
Виды клиентских лицензий:
Временная лицензия
Данный вид лицензии выдается клиенту при первом подключении к серверу терминалов, срок действия лицензии 90 дней. При успешном входе клиент продолжает работать с временной лицензией, а при следующем подключении сервер терминалов пробует заменить временную лицензию постоянной, при ее наличии в хранилище.
Лицензия «на устройство»
Эта лицензия выдается для каждого физического устройства, подключающегося к серверу приложения. Срок действия лицензии устанавливается случайным образом в промежутке от 52 до 89 дней. За 7 дней до окончания срока действия сервер терминалов пытается обновить лицензию с сервера лицензий при каждом новом подключении клиента.
Лицензия «на пользователя»
Лицензирование «на пользователя» обеспечивает дополнительную гибкость, позволяя пользователям подключаться с различных устройств. В текущей реализации Terminal Services нет средств контроля использования пользовательские лицензий, т.е. количество доступных лицензий на сервере лицензий не уменьшается при подключении новых пользователей. Использование недостаточного количества лицензий для клиентских подключений нарушает лицензионное соглашение с компанией Microsoft. Чтобы одновременно использовать на одном сервере терминалов клиентские лицензии для устройств и для пользователей, сервер должен быть настроен для работы в режиме лицензирования «на пользователя».
Лицензия для внешних пользователей
Это специальный вид лицензии, предназначенный для подключения внешних пользователей к корпоративному серверу терминалов. Данная лицензия не налагает ограничений на количество подключений, однако, согласно пользовательскому соглашению (EULA), сервер терминалов для внешних подключений должен быть выделенным, что не допускает его использования для обслуживания сессий от корпоративных пользователей. Из-за высокой цены данный вид лицензии не получил широкого распространения.
Для сервера лицензий может быть установлена одна из двух ролей:
Краткая характеристика
RDP или Remote Desktop Protocol – это протокол удаленного рабочего стола. Является проприетарным протоколом прикладного уровня, который был заимствован Microsoft у приобретенной PictureTel (сейчас этом Polycom). Это своеобразное подключение к удаленному рабочему столу.
Удаленный рабочий стол – технология, которая позволяет на расстоянии управлять ПК или сервером при помощи интернета. Принцип функционирования прост – административные права предоставляются клиенту (тому или иному устройству) для манипулирования сервером (другим оборудованием).
Для установки соединения с сервером допускается использование совершенно разных устройств:
Возможность подключения удаленного рабочего стола поддерживается практически с любого оборудования. За счет функционирования удаленной станции устройство и операционная система на клиентской стороне не нагружаются. Посетитель получит на своем гаджете изображение рабочего стола ПК, которым можно пользоваться для дальнейшей работы.
История появления RDP
Протокол Remote Desktop создан компанией Microsoft для обеспечения удаленного доступа к серверам и рабочим станциям Windows. Протокол RDP рассчитан на использование ресурсов высокопроизводительного сервера терминалов многими менее производительными рабочими станциями. Впервые сервер терминалов (версия 4.0) появился в 1998 году в составе Windows NT 4.0 Terminal Server, на момент написания статьи (январь 2009 года) последней версией терминального сервера является версия 6.1, включенная в дистрибутивы Windows 2008 Server и Windows Vista SP1. В настоящее время RDP является основным протоколом удаленного доступа для систем семейства Windows, а клиентские приложения существуют как для OC от Microsoft, так и для Linux, FreeBSD, MAC OS X и др.
Говоря об истории появления RDP, нельзя не упомянуть компанию Citrix. Citrix Systems в 1990-х годах специализировалась на многопользовательских системах и технологиях удаленного доступа. После приобретения лицензии на исходные коды Windows NT 3.51 в 1995 году эта компания выпустила многопользовательскую версию Windows NT, известную как WinFrame. В 1997 году Citrix Systems и Microsoft заключили договор, по которому многопользовательская среда Windows NT 4.0 базировалась на технологических разработках Citrix. В свою очередь Citrix Systems отказалась от распространения полноценной операционной системы и получала право на разработку и реализацию расширений для продуктов Microsoft. Данные расширения изначально назывались MetaFrame. Права на ICA (Independent Computing Architecture), прикладной протокол взаимодействия тонких клиентов с сервером приложений Citrix, остались за Citrix Systems, а протокол Microsoft RDP строился на базе ITU T.120.
Рассмотрим преимущества этих решений.
Сильные стороны Terminal Services:
Сильные стороны решений Citrix:
Способы реализации
Реализовать RDP удается несколькими способами. Каждая концепция имеет собственные функции, возможности и особенности. Далее будут представлены наиболее распространенные методы обеспечения удаленного рабочего стола на устройстве.
DaaS
Такой метод организации RDP представляет собой полноценный мощный компьютер, который развернут на терминальном сервере. Сначала здесь устанавливается система с необходимым программным обеспечением для первого запуска. Далее – инициализируется клиент RDP и иные компоненты.
Для аренды удаленного рабочего стола RDP обычно необходимо воспользоваться услугами облачных провайдеров. Они должны работать по модели DaaS – Desktop as a Service («рабочий стол как услуга»).
Для оперирования рабочим местом пользователь подключается к серверу через интернет. Манипуляции «устройством» осуществляются точно также, как и в случае с обычным компьютером. При использовании виртуального рабочего стола вся информация размещается на облачном хранилище. Она многократно резервируется.
Удаленный рабочий стол, организованный через DaaS имеет такие особенности:
У соответствующей концепции предусматривается зависимость от интернета. Физического доступа к рабочему месту у клиента просто нет. Подключаться к нему необходимо только через специальный сайт по интернету. При выборе DaaS придется пользоваться функционалом, который предлагает провайдер. Менять его не получится – только расширять.
Собственный сервер
Второй вариант организации – это наличие собственного RDP сервера. В качестве удаленного пространства выделяется отдельный server или компьютер. Основное время здесь затрачивается на грамотную настройки и обновления операционной системы.
Для организации такого RDC в компании создается физическая серверная часть. С ее помощью организовывается связь между рабочим оборудованием по локальной сети, без подключения к интернету.
Преимущества у данного приема следующие:
На «старте» организация потребует немалых затрат. Система подключения не отличается надежностью хранения информации – сбои приведут к их утрате. Восстановлению будет подлежать лишь часть данных.
Организация своими силами
Еще один подход – это настроить RDP сервер самостоятельно. Концепция является наиболее популярной, особенно среди обычных пользователей. Для создания подключения используется RDP, RDS или Windows NT (Server).
Запуск удаленного RDP Server
Сначала пользователю необходимо установить на оборудование программное обеспечение. Его спектр может меняться. После инициализации ПО рекомендуется:
Теперь протокол RDP и удаленные подключения будут полноценно работать на устройствах. Остается присоединить их.
Подключение клиента
Чтобы использовать протоколы RDP после их настройки нужно:
Данная инструкция применима не только для Windows, но и для MacOS, Linux, Android.
Хотите освоить современную IT-специальность? Огромный выбор курсов по востребованным IT-направлениям есть в Otus!
Способы организации и их особенности
Существуют различные типы организации «дистанционного» управления устройствами. Рассматриваемый протокол может быть реализован несколькими способами:
Далее каждый вариант будет изучен более подробно. Предстоит не только рассмотреть принципы и особенности организации, но и преимущества/недостатки каждой упомянутой концепции.
Терминальные серверы (RDS)
RDS или Remote Desktop Services – это служба удаленного управления терминальным сервером. Она позволяет подключиться сразу нескольким пользователям к «главному» оборудованию. R DS – технология, разработанная корпорацией Microsoft. Она по умолчанию инициализирована на системах Windows Server 2003 и новее.
В случае с Linux терминальным сервером выступит LTSD. Он функционирует аналогично RDS и позволяет создать удаленный рабочий стол.
К сильным сторонам RDC относятся следующие моменты:
У соответствующей технологии организации RDP протокола есть ряд недостатков. Первый момент, на который необходимо обратить внимание – это отсутствие персонализации системы. Во время настройки интерфейса и программ под конкретного человека могут возникать разнообразные проблемы. Связаны они с тем, что все пользователи будут выполнять работы в пределах одной и той же операционной системы.
RDS – это технология, обеспечивающая достаточно сильную нагрузку на сервер. Она влечет за собой нарушение быстродействия ответов на серверной стороне и снижение производительности. Такая ситуация не исключена, если ресурсов со стороны сервера мало для нормальной работы подключенных пользователей.
Отдельная виртуальная машина (VDI)
Для организации удаленного рабочего стола RDP можно использовать VDI. Это Virtual Desktop Infrastructure или «инфраструктура виртуальных рабочих столов». Так называется технология, которая применяется для создания «дистанционного» рабочего места только для одного пользователя. Клиент получит в конечном итоге полноценную систему с правами администратора. Он сможет не только видеть происходящее на экране и выполнять элементарные действия, но и контролировать файлы.
Во время настройки рабочего стола, сервер VDI может быть установлен как поверх операционной системы, так и на «чистой» виртуальной машине (Workstation, VMware, Hyper-V и так далее). Второй подход подразумевает, что несколько пользователей будут размещаться в пределах одного крупного и мощного сервера.
VDI – технология, которая часто выбирается компаниями из-за высокой безопасности. Она хорошо заметна при оперировании финансами, а также личными данными.
Плюсы и минусы
К преимуществам VDI connections относят:
Недостатков у RDP сервера не очень много: высокая стоимость организации и производительность. Такое подключение подойдет только для мощных устройств. Также сюда можно отнести то, что пользователи способны самостоятельно устанавливать дополнительные программы. Подобное поведение часто становится источником утечки данных и вывода операционной системы из строя. V DI является не самой безопасной технологией.
Литература
Об авторе:
Сергей Рублев закончил МГТУ им. Баумана. Эксперт в области криптографии и протоколов защищенного обмена данными. В компании Positive Technologies специализируется на анилизе уязвимостей в сетевых службах и разработке расширений к сканерам XSpider и MaxPatrol 8.

