Установки протоколу RDP

Налаштування протоколу RDP здійснюється в оснащенні Terminal Services Configuration» (рис 615) Основна мета даних налаштувань полягає в установ-ке вимоги введення пароля при реєстрації і заборону використання ре-сурсів робочої станції, включаючи буфер обміну, принтери і накопичувачі

Як вже зазначалося вище, термінальний сервер підтримує шифром-

вання трафіку За настройки шифрування відповідає розділ «General» (рис

616), всі налаштування в цьому розділі можна залишити за замовчуванням

Рис 615 Фрагмент вікна настройки протоколу RDP

Рис 616 Розділ «General»

У розділі «Logon Settings» необхідно включити вимогу введення па-роля при реєстрації – «Always prompt for password» Виходячи з предполо-вання, що всі користувачі будуть працювати зі своїми обліковими записами, включається параметр «Use client-provided logon information»

У звязку з тим, що не передбачається обмежень по тривалості се-анса термінального доступу, в розділі «Sessions» слід залишити відключений-ні за умовчанням параметри «Override user settings» (рис 617)

Для кожного користувача термінального доступу можлива установка власної програми для автоматичного запуску Це може бути ви-повній шляхом зміни властивостей користувача в оснащенні «Користувачі і

групи » У тих випадках, коли у властивостях користувача-яка визна-ленна програма не буде призначена, у вікні терміналу користувачеві буде доступний його Робочий стіл (Desktop) У розділі «Environment» рекомендується

встановити пункт «Run initial program specified by user profile and Remote Desk-top Connections or Terminal Services client»

У звязку з тим, що у вікні термінального доступу не потрібна установка додаткового контролю дій користувача, в розділі «Remote Control»

рекомендується встановити пункт «Do not allow remote control»

Рис 617 Рекомендовані установки розділу «Sessions»

У розділі «Client Settings» (рис 618) обовязково повинні бути вклю-чени заборони використання ресурсів робочої станції, так як при їх від-ключении буде порушена вся настроюється політика безпеки Крім того, при їх відключенні зявляється можливість впровадження на сервер шкодили-носних програм Обовязково повинні бути встановлені заборони на:

– Використання спільного буфера обміну (параметр «Clipboard mapping»)

– Підключення локальних дисків робочої станції (параметр «Drive mapping»)

– Використання принтерів робочої станції (параметри «Windows printer mapping» і «LPT port mapping»)

– Використання звукової карти робочої станції (параметр «Audio

mapping ») не впливає на політику безпеки, однак може істотно збільшити мережевий трафік і завантаженість сервера при прослуховуванні поль-зователя звукових файлів, тому з метою підвищення продуктивно- сти сервера термінального доступу даний параметр також рекомендується відключити

Рис 618 Рекомендовані установки розділу «Client Settings»

Додатково повинен бути відключений параметр, що дозволяє клієнту термінального доступу самостійно настроювати можливість підключенні ня локальних принтерів (повинен бути знятий параметр «Use connection seings from user settings»)

В якості додаткової міри, що підвищує продуктивність,

пропонується обмежити параметри відеозображення (параметр «Limit

Maxium Color Depth ») глибиною 16 біт

При кількості користувачів, що не перевищує 30, застосовується ма-

гавкоту частину пропускної здатності каналу, і з цієї точки зору кількість дозволених підключень не має принципового значення Однак під

кожне зєднання система виділяє деякі ресурси, крім того, система для прискорення підключення користувачів до термінального сервера підтри-

живає два резервних зєднання (тобто ініціалізувала середовище) Тому з метою економії системних ресурсів бажано встановити максимальну кількість підключень, яка дорівнює кількості машин, з яких здійснюється ра-

бота з термінальним сервером Це значення встановлюється в розділі

«Network Adapter» (рис 619)

Рис 619 Рекомендовані установки розділу «Network Adapter»

Встановлені за замовчуванням дозволу доступу в розділі

«Permissions» (рис 620), що дозволяють здійснювати доступ до термінальної службі для групи адміністраторів, необхідно змінити, дозволивши доступ

лише для групи «Remote Desktop Users» з правом User access У списку дос-тупа необхідно встановити два записи: для групи «Remote Desktop Users» і для облікового запису «SYSTEM» (рис 621) Для групи «Remote Desktop Users» необхідно встановити мінімально необхідні права: Query

Information, Logon, Connect (рис 622) Для облікового запису «SYSTEM» необ-хідно встановити мінімально необхідні права: Query Information, Set Information, Remote Control (рис 623)

Рис 620 Установки розділу «Permissions» за замовчуванням

Рис 621 Рекомендований список доступу

Рис 622 Дозволи доступу групи «Remote Desktop Users»

Рис 623 Дозволи доступу облікового запису «SYSTEM»

У розділі «Server Settings» оснастки «Terminal Services Configuration» рекомендується встановити значення параметрів, наведені на рис 624 Зокрема, рекомендується обмежити кожного користувача єдиним сеансом роботи, встановивши параметр «Restrict each user to one session» Ука-занное обмеження не дасть можливості підключатися до сервера від імені вже працюючого користувача

Рис 624 Рекомендовані установки розділу «Server Settings»

Рис 625 Відключення піктограми властивостей мережевого підключення

У звязку з тим, що зображення оновленого екрану передається серве-ром MSTS кожен раз після змін вмісту вікон і робочого столу користувачів, то з робочого столу і з панелі завдань рекомендується видалити всі піктограми, зображення яких змінюється з плином часу У ча-місцевість, обовязково необхідно видалити піктограму, яка буде показувати з-стояння мережевого підключення Дана піктограма оновлюється при отри-ванні / відправці мережевих пакетів Відправка зміни вмісту екрану, ви-виконується MSTS, є причиною поновлення даної піктограми, що, в свою чергу, призводить до відправки зміни вмісту вікна Таким обра-зом, наявність даної піктограми призводить до генерації непотрібного мережевого трафіку Для видалення піктограми необхідно у властивостях підключення по локальній мережі відключити параметр «При підключенні вивести значок в об-ласті повідомлень» (рис 625)

ВИКОНАТИ

1 Налаштувати віртуальну мережу між основною ОС і віртуальною машиною Windows Server 2003 таким чином, щоб існувала можливість се-тевого доступу до ресурсів Windows Server 2003 Для цього у властивостях се-тевого адаптера віртуальної машини встановити можливість прямого зєднання (Bridged)

2 Додати в ОС Windows Server 2003 службу MSTS Для цього встановити компоненти Terminal Server і Terminal Server Licensing (Control Panel Add or Remove Programs Add/Remove Windows Components) У процес-

се установки знадобиться дистрибутив ОС Windows Server 2003

3 Дозволити мережевий доступ до каталогу «C: \ Windows \ System32 \

clients \ tsclient », який містить інсталяційний комплект клієнта MSTS У

основний ОС встановити програму-клієнта MSTS з даного каталогу

4 З використанням встановленого клієнта MSTS виконати подключе-

ня до сервера термінального доступу, вказавши в параметрах підключення його IP-адресу, імя та пароль облікового запису адміністратора сервера

5 Відкрити в термінальному вікні довільний текстовий документ, переконатися-

диться в можливості копіювання його вмісту на диски основний

ОС

6 Розірвати термінальне зєднання, виконавши в термінальному вікні ко-

манду Start Logoff…

7 Виконавши команду netstat-aon, отримати перелік відкритих сервером се-

тевих портів

8 Виконати налаштування ОС Windows Server 2003, послідовно отклю-чив мережеві служби, що функціонують за замовчуванням (див п 621), за винятком служби Terminal Services

9 Повторно виконавши команду netstat-aon, проаналізувати перелік ос-

тавшіе відкритих мережевих портів

10 Активізувати в ОС Windows Server 2003 програму «Брандмауер Win-dows» (Windows Firewall) Виконати налаштування, що забороняють вико-вання всіх портів за винятком TCP-порту 3389 (див п 621)

11 З основної ОС з використанням мережевого сканера nmap переконатися в НЕ-

можливості підключення до мережевих ресурсів ОС Windows Server 2003

за винятком TCP-порту 3389

12 В ОС Windows Server 2003 створити обліковий запис користувача вікно терміналу доступу, включивши його до складу групи «Remote Desktop Users» (див п 63)

13 Виконати налаштування служби MSTS відповідно до п 63

14 Виконати налаштування протоколу RDP відповідно до п 64

15 В основній ОС виконати спробу підключення до сервера термінально-

го доступу з обліковим записом адміністратора Переконатися в неможливо-

сти підключення

16 Виконати підключення до сервера термінального доступу від імені ство-

облікового запису Переконатися в неможливості копіювання інфор-

ції із термінального вікна на носії основної ОС

17 З використанням аналізатора мережевого трафіку зясувати обсяг і содер-

жание мережевих пакетів, циркулюючих між клієнтом і сервером в режимі термінального доступу

18 Проаналізувати обчислювальні ресурси (обсяг оперативної памяті,

завантаження процесора, завантаження мережі) сервера термінального доступу, виді-

ляем MSTS при підключенні одного термінального клієнта

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*