Rdp соединение что это

Понимание протокола удаленного рабочего стола (RDP)

В этой статье описывается протокол удаленного рабочего стола (RDP), используемый для связи между терминалом Server и клиентом терминала server. RDP инкапсулируется и шифруется в TCP.

Применяется к: Windows Server 2012 R2
Исходный номер КБ: 186607

Сводка

RDP основан и является продолжением семейства стандартов протокола T-120. Многоканальный протокол, способный к выполнению, позволяет использовать отдельные виртуальные каналы для переноса следующих сведений:

RDP — это расширение основного протокола T.Share. В составе RDP сохраняются некоторые другие возможности, такие как архитектурные функции, необходимые для поддержки многопунктных (многопартийных сеансов). Доставка данных с несколькими точками позволяет доставить данные из приложения в режиме реального времени нескольким сторонам, например виртуальным доскам. Для каждого сеанса не требуется отправлять одинаковые данные по отдельности.

В этом первом выпуске Терминал Windows Server мы концентрируемся на предоставлении надежных и быстрых точеных (одно сеансов) коммуникаций. В начальном выпуске терминала Server 4.0 используется только один канал данных. Однако гибкость RDP предоставляет множество возможностей для функциональных возможностей в будущих продуктах.

Одна из причин, по которой Корпорация Майкрософт решила реализовать RDP для подключения в Windows NT Terminal Server, заключается в том, что она предоставляет добежную базу для создания еще многих возможностей. RDP предоставляет 64 000 отдельных каналов для передачи данных. Однако текущие действия по передаче используют только один канал (для данных клавиатуры, мыши и презентации).

RDP предназначен для поддержки различных типов сетевых топологий, таких как ISDN, POTS. RDP также предназначен для поддержки многих lan-протоколов, таких как IPX, NetBIOS, TCP/IP. Текущая версия RDP будет работать только через TCP/IP. С отзывами клиентов в будущих версиях может быть добавлена другая поддержка протокола.

Действия, связанные с отправкой и получением данных через пакет RDP, по сути, те же, что и семиуровневые стандарты моделей OSI для общей сети LAN сегодня. Данные из передаваемой службы или приложения передаются через стеки протоколов. Она разделяется, направляется на канал (через MCS), шифруется, завернуто, обрамлено, упаковано в сетевой протокол и, наконец, адресовано и отправлено по проводу клиенту. Возвращенные данные работают одинаково только в обратном направлении. Пакет срезается с его адреса, затем расшифровываются, расшифровываются и так далее. Наконец, данные представлены приложению для использования. Ключевые части изменений стека протокола происходят между четвертым и седьмым уровнями, в которых данные:

Один из ключевых моментов для разработчиков приложений заключается в том, что при использовании RDP Корпорация Майкрософт абстрагироваться от сложностей работы со стеком протокола. Это позволяет им писать чистые, хорошо разработанные, хорошо себя 32-битные приложения. Затем пакет RDP, реализованный терминалом Server, и его клиентские подключения заботятся об остальном.

Дополнительные сведения о взаимодействии приложений на терминале Server и о том, что следует знать при разработке приложений для инфраструктуры Терминал Windows Server, см. в следующем документе:
Оптимизация приложений для Windows NT Server 4.0, terminal Server Edition

Четыре компонента, которые стоит обсудить в экземпляре Стека RDP:

MCSmux и GCC являются частью семейства T.120 Международного союза электросвязи (МСЭ). McS состоит из двух стандартов:

Элементы управления MCSMux:

По сути, он абстрагировать несколько стеков RDP в одну сущность, с точки зрения GCC. GCC отвечает за управление этими несколькими каналами. Этот GCC позволяет создавать и удалять сеансные подключения и управляет ресурсами, предоставляемыми MCS. Каждый протокол терминала Server (в настоящее время поддерживается только ICA RDP и Citrix) будет загружен экземпляр стека протокола (стек слушателя, ожидающий запроса на подключение). Драйвер устройства Terminal Server координирует и управляет действиями протокола RDP. Он состоит из небольших компонентов:

RDP был разработан, чтобы быть полностью независимым от его центрального транспортного стека, в данном случае TCP/IP. Это означает, что мы можем добавлять другие транспортные драйверы для других сетевых протоколов по мере роста потребностей клиентов в них, практически не меняя или не внося существенных изменений в основную часть протокола. Они являются ключевыми элементами производительности и расширения RDP в сети.

Источник

Протокол удаленного рабочего стола

протокол Удаленный рабочий стол (Майкрософт) (RDP) предоставляет возможности удаленного просмотра и ввода в сетевых подключениях для приложений на основе Windows, работающих на сервере. Протокол RDP предназначен для поддержки различных типов сетевых топологий и нескольких протоколов локальной сети.

Этот раздел предназначен для разработчиков программного обеспечения. если вы ищете сведения о пользователе для удаленный рабочий стол, см. статью поддержка Windows. Если вы ищете сведения о специалистах по информационным технологиям для удаленный рабочий стол, см. статью службы удаленных рабочих столов на сайте TechNet.

Базовая архитектура

Протокол RDP основан на службах и расширении служб семейства ITU T. 120. RDP — это протокол с поддержкой нескольких каналов, который позволяет создавать отдельные виртуальные каналы для передачи данных с устройства и представления с сервера, а также зашифрованные клиентские данные мыши и клавиатуры. Протокол RDP предоставляет расширяемый базовый экземпляр и поддерживает до 64 000 отдельных каналов передачи данных и подготавливает их для передачи в MultiPoint.

На сервере протокол RDP использует собственный видеодрайвер для отображения выходных данных, создавая данные отрисовки в сетевые пакеты с помощью протокола RDP и отправляя их по сети клиенту. на клиенте RDP получает данные для подготовки к просмотру и интерпретирует их в соответствующие вызовы API интерфейса графических устройств Microsoft Windows. Для входного пути события мыши и клавиатуры клиента перенаправляются с клиента на сервер. На сервере протокол RDP использует собственную клавиатуру и драйвер мыши для получения этих событий клавиатуры и мыши.

В удаленный рабочий стол сеансе все переменные среды, например переменные, определяющие глубину цвета и фоновый рисунок, определяются параметрами подключения RCP-Tcp. Это относится ко всем функциям и методам, которые задают переменные среды в справочнике по веб-подключение к удаленному рабочему столу и интерфейсе поставщика WMI службы удаленных рабочих столов.

Компоненты

Microsoft RDP включает следующие функции и возможности:

Протокол RDP использует Шифр RC4 системы безопасности RSA, потоковый шифр, предназначенный для эффективного шифрования небольших объемов данных. RC4 предназначен для безопасной связи по сетям. Администраторы могут выбрать шифрование данных с помощью 56 или 128-разрядного ключа.

Функции уменьшения пропускной способности

Протокол RDP поддерживает различные механизмы уменьшения объема данных, передаваемых через сетевое подключение. К механизмам относятся сжатие данных, Постоянное кэширование точечных рисунков и кэширование глифов и фрагментов в ОЗУ. Кэш постоянного растрового изображения может обеспечить значительное повышение производительности при подключениях с низкой пропускной способностью, особенно при работе с приложениями, которые широко используют крупные точечные рисунки.

Пользователь может вручную отключиться от сеанса удаленного рабочего стола, не выходя из системы. Пользователь автоматически повторно подключится к отключенному сеансу при входе в систему с того же устройства или с другого устройства. Когда сеанс пользователя неожиданно завершается из-за сбоя сети или клиента, он отключается, но не выключается.

Сопоставление буфера обмена

Пользователи могут удалять, копировать и вставлять текст и графические объекты между приложениями, работающими на локальном компьютере и выполняющимися в сеансе удаленного рабочего стола, а также между сеансами.

Приложения, работающие в сеансе удаленного рабочего стола, могут печатать на принтере, подключенном к клиентскому устройству.

Используя архитектуру виртуальных каналов RDP, можно дополнять существующие приложения и разрабатывать новые приложения для добавления функций, требующих обмена данными между клиентским устройством и приложением, выполняемым в сеансе удаленного рабочего стола.

Сотрудники службы поддержки компьютеров могут просматривать сеанс удаленного рабочего стола и управлять им. Совместное использование входных и графических изображений между двумя сеансами удаленного рабочего стола дает возможность специалисту службы поддержки в удаленном режиме диагностировать и устранять проблемы.

Балансировка сетевой нагрузки

Протокол RDP использует преимущества балансировки сетевой нагрузки (NLB), где это возможно.

Кроме того, протокол RDP содержит следующие возможности.

Источник

Что такое удаленный рабочий стол

Удалённый рабочий стол — это технология, позволяющая на расстоянии управлять ПК или сервером через интернет. Принцип работы заключается в предоставлении административных прав одному устройству (клиенту) для управления другим (сервером).

Для установки соединения с сервером можно использовать практически любое устройство – компьютер, ноутбук, планшет или даже смартфон. Возможность подключения практически с любого девайса доступна, благодаря работе всех процессов на удаленной станции, которые не нагружают устройство клиента. При этом пользователь получает изображение с подключенного ПК и свободно управляет системой.

При работе на удалённом компьютере любая информация не выходит за пределы подключенного сервера и не сохраняется на пользовательском устройстве, что снижает риск кражи данных до минимума. Эта технология также незаменима для тех, кто работает вдали от офиса, так как исключает вероятность утраты информации, в случае повреждения или потери оборудования.

О том, что представляет собой технология удаленного рабочего стола, как она реализуется практически, расскажем в этой статье.

Инфраструктура удаленных рабочих столов

Соединение с удаленным компьютером выполняется при помощи технологии RDP (Remote Desktop Protocol, «Протокол удаленного рабочего стола»), разработанный компанией Microsoft. По умолчанию для работы задействован 3389 порт TCP или UDP, который пользователь может изменить при настройке ПО.

Комплект программ для RDP

Начиная с Windows XP, RDP сервер установлен в систему по умолчанию. В качестве RDP клиента для ОС Windows рекомендуется использовать встроенную бесплатную утилиту Windows Remote Desktop Connection.

Во время подключения к удаленному рабочему столу пользовательское устройство работает в режиме «тонкого клиента». Экран девайса играет роль «телевизора» и передаёт картинку с удаленного компьютера. При этом RDP сервер принимает нажатия клавиш клавиатуры и движение мышью, что позволяет пользователю полноценно работать с системой.

Аналоги для Unix систем

Для удаленного доступа к ОС на базе Unix/Linux рекомендуется использовать систему VNC (Virtual Network Computing), работающую через клиент-серверный протокол RFB (Remote Framebuffer).

Если предпочтение отдается именно протоколу RDP, то можно воспользоваться аналогичным RDP сервером для Linux – XRDP.

Примечание. Не рекомендуется устанавливать соединение через протокол RDP с операционной системы Linux для подключения к Windows и наоборот. Это грозит потерей производительности и может стать причиной возникновения визуальных ошибок (изменение фона рабочего стола или неправильное отображение шрифтов).

Также для удаленного управления системой можно использовать программу TeamViewer с бесплатной лицензией для некоммерческого использования. Программа доступна для большинства ОС, включая Windows, Linux и MacOS.

Как организовать удаленные рабочие столы

Основной протокол для управления удаленным рабочим столом RDP может быть реализован с помощью двух решений:

Терминальный сервер (RDS)

RDS (Remote Desktop Services) – служба удаленного управления терминальным сервером, позволяющая подключится сразу нескольким пользователям к удаленному устройству. Служба RDS разработана компанией Microsoft и по умолчанию установлена на системах Windows Server 2003 и новее.

Для создания удаленного рабочего стола на Linux системе, можно использовать аналог RDS – LTSP.

Преимущества RDS

Недостатки RDS

Отдельная виртуальная машина (VDI)

VDI (Virtual Desktop Infrastructure – «инфраструктура виртуальных рабочих столов») – технология, применяющаяся для создания удалённого рабочего места под одного пользователя. В итоге пользователь получает полноценную систему с правами администратора и полным контролем файлов.

При настройке удаленного рабочего стола, сервер VDI может быть установлен как поверх основной операционной системы, так и на «чистой» виртуальной машине (Hyper-V, VMware Workstation и др.). Последний вариант подразумевает размещение нескольких пользователей на одном мощном сервере.

Чаще всего инфраструктуру VDI выбирают компании, благодаря высокой безопасности при работе с финансовыми и личными данными.

Преимущества VDI

Недостатки VDI

Способы реализации удаленных рабочих столов

Рабочий стол как услуга (DaaS)

Это полностью готовый к работе мощный виртуальный компьютер, развернутый на терминальном сервере. Система поставляется со всем необходимым ПО для начала работы. Чтобы арендовать удаленный рабочий стол нужно воспользоваться услугами, которые предоставляет облачный провайдер, работающий по модели DaaS (Desktop as a Service – «рабочий стол как услуга»).

Для управления рабочим местом человек может подключиться к серверу через интернет и управлять системой как обычным компьютером. При работе на виртуальном рабочем столе, все данные размещаются на удаленном хранилище и многократно резервируются.

Преимущества

Недостатки

Организация удаленной работы

Виртуальный рабочий стол – готовая услуга, поставляемая по модели DaaS. Многие провайдеры, работающие с этой структурой, предоставляют пробный период, в течение которого пользователь может испытать весь функционал.

Арендуя виртуальный рабочий стол, не придется беспокоиться об активации ПО, так как провайдер предоставляет лицензии для предустановленных программ и системы Windows. Перед арендой указывается периодичность резервного копирования данных для восстановления информации в случае сбоя системы.

Рекомендуется предварительно собрать подробную информацию о нескольких провайдерах DaaS на рынке и выбрать подходящего по соответствующим критериям. Важные моменты, требующие внимания при выборе поставщика услуги DaaS будут рассмотрены далее.

Как выбрать DaaS-провайдера

При выборе провайдера DaaS нужно обратить внимание на ряд важных моментов.

Нужен надежный поставщик услуги DaaS? Выбирайте сервис нашего партнера — Deskon. Мощное и безопасное удаленное рабочее место станет залогом продуктивной работы для любого сотрудника «на удаленке».

Собственный сервер

Выделение ПК или сервера для дальнейшего использования в качестве удаленного рабочего стола. Важно понимать, что придется тратить значительное количество времени на правильную настройку и обновления операционной системы.

Чаще всего локальная сеть на предприятии создается на базе физических серверов. Это позволяет организовать связь между рабочими машинами сотрудников без интернета.

Преимущества

Недостатки

Как организовать удаленный рабочий стол самостоятельно

В приведенном ниже примере рассмотрим наиболее популярный вариант ПО для создания удаленных рабочих столов — Windows Server и RDP (RDS).

Запуск RDP сервера

Запустить службу RDP на операционной системе Windows Server можно, следуя следующему алгоритму.

Примечание. После включения функции компьютер становится доступен в сети по IP адресу. Для аутентификации используется имя и пароль пользователя на сервере, поэтому рекомендуется заранее установить надежные аутентификационные данные, обезопасив систему от несанкционированного проникновения.

Инструкция рассмотрена на примере Windows Server 2012. Для других версий ОС действия строятся по аналогичному алгоритму.

Подключение к удаленному рабочему столу

Для подключения к созданному рабочему месту всех ОС Windows можно пользоваться следующим алгоритмом:

Если все предыдущие действия были выполнены правильно, на экране появится рабочий стол удаленного компьютера. Для подключения с устройств на базе Linux, MacOS или Android потребуется скачать аналогичный RDP-клиент.

Сфера применения

Компании

Частные пользователи

Заключение

Удаленный рабочий стол стал важнейшим инструментом технического обеспечения для предприятий практически любой сферы и размера. Это наиболее эффективное и безопасное средство создание удаленного рабочего места для отдельного сотрудника или коллектива в целом.

Сегодня все больше компаний выбирают реализацию удаленного рабочего стола как услуги «под ключ». Это позволяет оперативно обеспечить сотрудников производительными ПК без капитальных вложений в собственную IT-инфраструктуру. Провайдер, поставляющий виртуальные рабочие столы по модели DaaS, сам решает вопросы с обслуживанием и безопасностью рабочего оборудования.

Источник

Протокол Remote Desktop. Архитектура и возможности

Данная статья открывает цикл статей, посвященных устройству и безопасности протокола RDP. В первой статье этого цикла анализируется устройство, использование и основные технологии, заложенные в данный протокол.

Автор: Сергей Рублев
Эксперт по информационной безопасности «Positive Technologies»

Данная статья открывает цикл статей, посвященных устройству и безопасности протокола RDP. В первой статье этого цикла анализируется устройство, использование и основные технологии, заложенные в данный протокол.

В следующих статьях будут подробно рассмотрены следующие вопросы:

История появления RDP

Протокол Remote Desktop создан компанией Microsoft для обеспечения удаленного доступа к серверам и рабочим станциям Windows. Протокол RDP рассчитан на использование ресурсов высокопроизводительного сервера терминалов многими менее производительными рабочими станциями. Впервые сервер терминалов (версия 4.0) появился в 1998 году в составе Windows NT 4.0 Terminal Server, на момент написания статьи (январь 2009 года) последней версией терминального сервера является версия 6.1, включенная в дистрибутивы Windows 2008 Server и Windows Vista SP1. В настоящее время RDP является основным протоколом удаленного доступа для систем семейства Windows, а клиентские приложения существуют как для OC от Microsoft, так и для Linux, FreeBSD, MAC OS X и др.

Говоря об истории появления RDP, нельзя не упомянуть компанию Citrix. Citrix Systems в 1990-х годах специализировалась на многопользовательских системах и технологиях удаленного доступа. После приобретения лицензии на исходные коды Windows NT 3.51 в 1995 году эта компания выпустила многопользовательскую версию Windows NT, известную как WinFrame. В 1997 году Citrix Systems и Microsoft заключили договор, по которому многопользовательская среда Windows NT 4.0 базировалась на технологических разработках Citrix. В свою очередь Citrix Systems отказалась от распространения полноценной операционной системы и получала право на разработку и реализацию расширений для продуктов Microsoft. Данные расширения изначально назывались MetaFrame. Права на ICA (Independent Computing Architecture), прикладной протокол взаимодействия тонких клиентов с сервером приложений Citrix, остались за Citrix Systems, а протокол Microsoft RDP строился на базе ITU T.120.

В настоящее время основная конкурентная борьба между Citrix и Microsoft разгорелась в области серверов приложений для малого и среднего бизнеса. Традиционно решения на базе Terminal Services выигрывают в системах с не очень большим количеством однотипных серверов и схожих конфигураций, в то время как Citrix Systems прочно обосновалась на рынке сложных и высокопроизводительных систем. Конкуренция подогревается выпуском облегченных решений для небольших систем компанией Citrix и постоянным расширением функционала Terminal Services со стороны Microsoft. [11]

Рассмотрим преимущества этих решений.

Сильные стороны Terminal Services:

Сильные стороны решений Citrix:

Устройство сети, использующей Terminal Services

Microsoft предполагает два режима использования протокола RDP:

RDP в режиме администрирования

RDP в режиме доступа к серверу терминалов

Данный режим доступен только в серверных версиях Windows. Количество удаленных подключений в данном случае не лимитируется, но требуется настройка сервера лицензий (License server) и его последующая активация. Сервер лицензий может быть установлен как на сервер терминалов, так и на отдельный сетевой узел. Возможность удаленного доступа к серверу терминалов открывается только после установки соответствующих лицензий на License server.

При использовании кластера терминальных серверов и балансировки нагрузки требуется установка специализированного сервера подключений (Session Directory Service). Данный сервер индексирует пользовательские сессии, что позволяет выполнять вход, а также повторный вход на терминальные серверы, работающие в распределенной среде. [5]

Принцип работы RDP

RDP поддерживает несколько виртуальных каналов в рамках одного соединения, которые могут использоваться для обеспечения дополнительного функционала:

Характеристики виртуальных каналов согласуются на этапе установки соединения.

Обеспечение безопасности при использовании RDP

Спецификация протокола RDP предусматривает использование одного из двух подходов к обеспечению безопасности:

Standard RDP Security

При данном подходе аутентификация, шифрование и обеспечение целостности реализуется средствами, заложенными в RDP- протокол. [1]

Аутентификация

Аутентификация сервера выполняется следующим образом:

Аутентификация клиента проводится при вводе имени пользователя и пароля.

Шифрование

В качестве алгоритма шифрования выбран потоковый шифр RC4. В зависимости от версии операционной системы доступны различные длины ключа от 40 до 168 бит.

Максимальная длина ключа для операционных систем Winodws:

При установке соединения после согласования длины генерируется два различных ключа: для шифрования данных от клиента и от сервера.

Целостность

Целостность сообщения достигается применением алгоритма генерации MAC (Message Authentication Code) на базе алгоритмов MD5 и SHA1.

Начиная с Windows 2003 Server, для обеспечения совместимости с требованиями стандарта FIPS (Federal Information Processing Standard) 140-1 возможно использование алгоритма 3DES для шифрования сообщений и алгоритма генерации MAC, использующего только SHA1, для обеспечения целостности. [15]

Enhanced RDP Security

В данном подходе используются внешние модули обеспечения безопасности:

При использовании TLS сертификат сервера можно генерировать средствами Terminal Sercives или выбирать существующий сертификат из хранилища Windows. [13][16]

Протокол CredSSP представляет собой совмещение функционала TLS, Kerberos и NTLM.

Рассмотрим основные достоинства протокола CredSSP:

Возможности CredSSP можно использовать только в операционных системах Windows Vista и Windows 2008 Server. Данный протокол включается флагом Use Network Level Authentication в настройках сервера терминалов (Windows 2008 Server) или в настройках удаленного доступа (Windows Vista). [14]

Схема лицензирования Terminal Services

При использовании RDP для доступа к приложениям в режиме тонкого клиента требуется настройка специализированного сервера лицензий.

Постоянные клиентские лицензии могут быть установлены на сервер только после прохождения процедуры активации, до ее прохождения возможна выдача временных лицензий, лимитированных по сроку действия. После прохождения активации серверу лицензий предоставляется цифровой сертификат, подтверждающий его принадлежность и подлинность. Используя этот сертификат, сервер лицензий может осуществлять последующие транзакции с базой данных Microsoft Clearinghouse и принимать постоянные клиентские лицензии для сервера терминалов. [6]

Виды клиентских лицензий:

Временная лицензия

Данный вид лицензии выдается клиенту при первом подключении к серверу терминалов, срок действия лицензии 90 дней. При успешном входе клиент продолжает работать с временной лицензией, а при следующем подключении сервер терминалов пробует заменить временную лицензию постоянной, при ее наличии в хранилище.

Лицензия «на устройство»

Эта лицензия выдается для каждого физического устройства, подключающегося к серверу приложения. Срок действия лицензии устанавливается случайным образом в промежутке от 52 до 89 дней. За 7 дней до окончания срока действия сервер терминалов пытается обновить лицензию с сервера лицензий при каждом новом подключении клиента.

Лицензия «на пользователя»

Лицензирование «на пользователя» обеспечивает дополнительную гибкость, позволяя пользователям подключаться с различных устройств. В текущей реализации Terminal Services нет средств контроля использования пользовательские лицензий, т.е. количество доступных лицензий на сервере лицензий не уменьшается при подключении новых пользователей. Использование недостаточного количества лицензий для клиентских подключений нарушает лицензионное соглашение с компанией Microsoft. Чтобы одновременно использовать на одном сервере терминалов клиентские лицензии для устройств и для пользователей, сервер должен быть настроен для работы в режиме лицензирования «на пользователя».

Лицензия для внешних пользователей

Это специальный вид лицензии, предназначенный для подключения внешних пользователей к корпоративному серверу терминалов. Данная лицензия не налагает ограничений на количество подключений, однако, согласно пользовательскому соглашению (EULA), сервер терминалов для внешних подключений должен быть выделенным, что не допускает его использования для обслуживания сессий от корпоративных пользователей. Из-за высокой цены данный вид лицензии не получил широкого распространения.

Для сервера лицензий может быть установлена одна из двух ролей:

Перспективные технологии Terminal Services

Решения для серверов приложений активно продвигаются компанией Microsoft, расширяется функционал, вводятся дополнительные модули. Наибольшее развитие получили технологии, упрощающие установку приложений и компоненты, отвечающие за работу сервера терминалов в глобальных сетях. [5]

В Terminal Services для Windows 2008 Server введены следующие возможности:

Литература

Об авторе:
Сергей Рублев закончил МГТУ им. Баумана. Эксперт в области криптографии и протоколов защищенного обмена данными. В компании Positive Technologies специализируется на анилизе уязвимостей в сетевых службах и разработке расширений к сканерам XSpider и MaxPatrol 8.

Источник