- Subsistemul de securitate de tip desktop la distanță
- Formatul de schimb de informații de serviciu în PDR
- Vulnerabilitățile Terminal Server și cum să le depășească
- Selectarea conturilor de utilizator RDP conturi protocol (dezvoltarea tehnologiilor pozitive în domeniu)
În prezent, competiția între Citrix și Microsoft a izbucnit în serverul de aplicații pentru întreprinderile mici și mijlocii. În mod tradițional, soluții bazate pe Terminal Services beneficii în sistemele cu nu un număr foarte mare de servere de același tip și configurații similare, în timp ce Citrix Systems este ferm stabilit pe piața sistemelor complexe și de înaltă performanță. Concurență problema încălzită de soluții ușoare pentru sistemele mici de către Citrix și extinderea constantă a funcționalității Terminal Services de la Microsoft. [11]
Luați în considerare beneficiile acestor soluții.
Puncte forte: Terminal Services
- Ușor de instalat aplicații pentru partea de client a serverului de aplicații
- întreținerea centralizată a sesiuni de utilizator
- Necesitatea unei licențe numai pe Terminal Services
Citrix Solutions Atuuri:
- Ușor de scalabilitate
- Administrarea ușoară și monitorizare
- Politica de control al accesului
- Suport pentru dezvoltatori terți de produse enterprise (IBM WebSphere, BEA WebLogic)
Microsoft propune două moduri de utilizare a protocolului RDP:
- Administrarea (Mod de administrare de la distanță)
- pentru accesul la serverul de aplicații (Terminal mod Server)
RDP în modul administrativ
PDR în modul de acces server de terminale
Acest mod este disponibil numai în versiunile de server de Windows. Numărul de conexiuni de la distanță, în acest caz, nu este limitat, dar necesită o setare server de licență (License server) și activarea ulterioară. Serverul de licență poate fi instalat pe serverul terminal, și un nod de rețea separată. Acces de la distanță la un server terminal se deschide numai după instalarea serverul adecvat de licență de licență.
Remote Desktop este un protocol de aplicație, bazat pe TCP. Odată ce conexiunea este inițializată sesiune RDP- la stratul de transport, în care o varietate de parametri de transmisie de date coerente. După finalizarea cu succes a fazei de inițializare, serverul terminal începe să transmită ieșirea grafice client și așteaptă de intrare de la tastatură și mouse-ul. Deoarece producția grafică poate acționa ca o replica a ecranului grafic, transmis ca o imagine, iar echipa de la desen primitivelor grafice (dreptunghi, linie, elipse, text etc.). O, prin transfer cu primitivele este o prioritate pentru protocolul RDP, deoarece salvează trafic; iar imaginea este transmisă numai în cazul în care celălalt nu este posibil pentru nici un motiv (nu a reușit să cadă de acord asupra parametrilor primitivele de transmisie la instalarea PDR-sesiune). client RDP- procesează comenzile și afișează o imagine utilizând subsistemul de grafică. intrare de utilizator implicit este transmis de către tastatură codurile de scanare. apăsarea și eliberarea semnalul cheie este transmis separat printr-un pavilion special. [1] [2]
RDP suporta multiple canale virtuale în cadrul unui singur compus care poate fi utilizat pentru a oferi funcționalități suplimentare:
- imprimanta sau port serial
- redirecționare sistem de fișiere
- suport pentru lucrul cu clipboard
- utilizați subsistemul audio
Caracteristici ale canalelor virtuale se potrivesc în timpul configurării conexiunii.
Securitate atunci când se utilizează RDP
specificația de protocol a PDR prevede utilizarea uneia dintre cele două abordări de securitate:
- Standard RDP Securitate (Embedded Security Subsystem)
- RDP îmbunătățit de securitate (subsistem de securitate externă)
Cu această abordare, autentificare, criptare și integritatea este pusă în aplicare prin mijloace prevăzute în protocolul RDP-. [1]
autentificare
Autentificarea serverului se realizează după cum urmează:
- La pornirea sistemului pereche de chei este generată RSA-
- Creare certificat (Proprietary Certificat) Public Key
- Certificatul este semnat cheie RSA- cusute în sistemul de operare (fie PDR -client conține cheia publică a RSA- încorporat cheie). [12]
- Clientul se conectează la un server terminal și primește Certificat de proprietate
- Clientul verifică certificatul și devine cheia publică a serverului (această cheie este utilizat în viitor pentru a se potrivi cu setările de criptare)
Autentificarea clientului este efectuată atunci când introduceți un nume de utilizator și o parolă.
criptare
Ca un algoritm de criptare selectat flux de cifru RC4. În funcție de versiunea sistemului de operare poate folosi diferite lungimi cheie de la 40 la 168 de biți.
Lungimea maximă cheie pentru sistemele de operare Winodws:
Atunci când o conexiune este stabilită după o lungime de coordonare a generat două chei diferite: date de criptare de la client și server.
integritate
integritatea mesajelor se realizează prin utilizarea unui algoritm de generare MAC (Message Authentication Code), bazat pe MD5 și algoritmi SHA1.
Această abordare utilizează modulele de securitate externe:
Atunci când se utilizează certificatul de server TLS poate fi generat prin intermediul terminalului Sercives sau de a alege un certificat existent de la magazin pentru Windows. [13] [16]
protocol CredSSP este TLS combinație funcțională, Kerberos și NTLM.
Luați în considerare protocolul de bază demnitatea CredSSP:
Atunci când se utilizează RDP pentru a accesa aplicațiile client subțire în setarea modului necesită licență server dedicat.
Licențele de client permanente pot fi instalate pe server numai după procesul de activare, înainte de trecerea acestuia pot fi emise licențe temporare, limitate ca durată. Odată activat, serverul de licență oferă certificat digital, dovedind dreptul de proprietate și autenticitatea sa. Folosind acest certificat, un server de licență poate efectua următoarele tranzacții cu baza de date Microsoft Clearinghouse și pentru a primi licențe CAL permanente pentru Terminal Server. [6]
Tipuri de CAL:
- licență temporară (temporară Terminal Server CAL)
- licență „per dispozitiv» (dispozitiv Terminal Server CAL)
- licență „per utilizator» (User Terminal Server CAL)
- licență pentru utilizatorii externi (extern Terminal Server Connector)
Acest tip de licență se eliberează la client atunci când vă conectați mai întâi la un server terminal, valabilitatea licenței pentru 90 de zile. După logarea cu succes în clientul continuă să lucreze cu o licență temporară, iar data viitoare când vă conectați serverul terminal încearcă să înlocuiască licența temporară constantă, în cazul în care este disponibil în depozit.
Licență „per dispozitiv“
Această licență se eliberează pentru fiecare dispozitiv fizic care se conectează la serverul de aplicații. Valabilitatea licenței este stabilit în mod aleator în intervalul de la 52 la 89 zile. 7 zile înainte de expirarea serverului terminalului încearcă să-și reînnoiască licența de pe serverul de licență pentru fiecare conexiune client nou.
licență „per utilizator“
Licențiere „din User“ oferă mai multă flexibilitate, permițând utilizatorilor să se conecteze la diverse dispozitive. În implementarea curentă a Terminal Services este nici un mijloc de a controla utilizarea de licențe de utilizator, adică numărul de licențe disponibile pe serverul de licență nu scade atunci când noi utilizatori. Utilizarea unui număr insuficient de licențe pentru conexiuni client încalcă acordul de licență cu Microsoft. Pentru a utiliza atât la aceleași licențe terminale de acces la server client pentru dispozitive și utilizatori, serverul trebuie să fie configurat pentru a lucra în modul de licențiere „pe utilizator.“
Licența pentru utilizatorii externi
Acesta este un tip special de licență, pentru conectarea utilizatorilor externi la server terminale corporative. Această licență nu impune restricții asupra numărului de conexiuni, cu toate acestea, în conformitate cu un acord de utilizator (EULA), serverul terminal pentru conexiunile externe ar trebui să fie selectate, care nu permite utilizarea sa pentru deservirea sesiunilor utilizatorilor corporate. Din cauza prețului ridicat al acestui tip de licență nu este utilizat pe scară largă.
unul dintre cele două roluri pot fi setate pentru serverul de licență:
- Un server de licență pentru domeniul sau de grup de lucru (serverul de licență de domeniu sau grup de lucru)
- server de licență pentru companii (intreg Enterprise Server License)
Rolurile diferă în modul în care descoperirea serverul de licență: folosind rol Enterprise căutări server terminal pentru servere de licență pe directorul ActiveDirectory, în caz contrar căutarea este realizată folosind cererea NetBIOS- de difuzare. Fiecare găsit serverul este validat folosind RPC solicitant. [8] [9]
Solutii pentru servere de aplicații în mod activ promovate de Microsoft, o funcționalitate extinsă, sunt introduse module suplimentare. Tehnologia cea mai dezvoltată pentru a simplifica instalarea de aplicații și componente care sunt responsabile pentru activitatea de server terminal într-o rețea WAN. [5]
- Terminal Services Printing - vă permite să utilizați imprimanta client pentru a imprima din aplicații de pe serverul terminal.
- Terminal Services RemoteApp - oferă acces la orice aplicație prin Terminal Services. Pentru utilizator, în acest caz, serverul terminal devine complet transparent.
- Terminal Services Web Access - permite clienților să se conecteze la un program RemoteApp prin utilizarea unui browser standard. În rolul unui pod pentru RemoteApp standuri server Web.
- Gateway Terminal Services - această tehnologie organizează activitatea PDR peste conexiunea stabilită HTTPS-. TS Gateway permite utilizatorilor de la distanță să se conecteze la serverul de aplicație printr-o rețea regională sau Internet folosind un tunel SSl sigure și cu o configurație minimă de dispozitive de rețea.
- Terminal Services Session Broker - vă permite să organizați utilizatorilor să se conecteze la platforme de server, folosind echilibrarea încărcării rețelei.