Усиление безопасности подключения к терминальным службам WS2008
2010-01-29, 13:50 / ArgonВ этой записи рассказывается о нововведениях в терминальных службах Windows Server 2008, направленных на усиление безопасности. В стандартной поставке Windows XP с использованием этих нововведений возникнут проблемы, я расскажу, как их решить.
Начиная с Windows Server 2008 значительно повышена безопасность подключения к службам терминалов за счет использования двух технологий: SSL и NLA.
SSL
Шифрование SSL применяется не только для защиты трафика от перехвата, но и для удостоверения подлинности сервера терминалов, к которому подключается клиент. Для этого на сервере должен быть установлен сертификат компьютера. Такой сертификат устанавливается на все компьютеры автоматически, если они являются членами домена и в домене развернуты службы сертификации. Но можно выдать и установить такой сертификат вручную.
При подключении клиента к терминальному серверу с включенной защитой SSL проверяется сертификат сервера: он должен быть выдан доверенным центром и подключение должно осуществляться к тому же адресу, что и заявлен в сертификате. В этом случае клиент не получит никаких предупреждений. Если же сертификат не признается довернным, либо адрес сервера отличается, клиенту выдается предупреждение. Таки образом трафик не только шифруется, но и защищается от атаки типа «человек посердине».
NLA
Network Level Authentication направлена на защиту терминального сервера от атак на отказ в обслуживании. Эта технология запрашивает авторизацию пользователя средствами самого клиента RDP в самом начале подключения. Если авторизация не проходит, сервер не напрягается рисовать окно входа в систему и выполнять прочие связанные с этим действия. Это особенно актуально, если такой терминальный сервер доступен из интернета.
Совместимость с клиентами
Чтобы успешно подключаться к терминальному серверу, на котором активированы обе технологии, необходим терминальный клиент, поддерживающий протокол RDP 6.1. Этот протокол поддерживается клиентами, идущими в комлекте с ОС начиная с Windows Vista. Для Windows XP необходим установленный SP3 (либо обновление KB952155 для SP2) и кое-какая дополнительная настройка, описанная в статье KB951608.
Для включения поддержки CredSSP (через которую работает NLA) в RDP клиенте Windows XP необходимо внести следующие изменения в реестр:
- в параметре
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ Lsa\ Security Packages
добавить строку со значением
tspkg
- в параметре
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SecurityProviders\ SecurityProviders
в строку значений дописать
credssp.dll
Для вступления изменений в силу нужно перезагрузить компьютер.
В недавно вышедшем Windows Server 2008 R2 протокол RDP обновлен до версии 7.0. Полная его поддержка встроена в Windows 7, для Windows Vista и Windows XP необходима установка обновления KB969084.
Рубрика | Tips and Tricks |
---|---|
Метки | remote desktop services, terminal services, службы терминалов, удаленный рабочий стол, rdp, security, безопасность, windows client, windows server |
Опубликовано | 2010-01-29, 13:50; обновлено 2011-01-09, 17:03 |
Комментарии | Нет комментариев » | Лента комментариев RSS |
Ссылки | Постоянная ссылка | Обратная ссылка |