Настройка безопасности RDP Windows Server 2016

В этой статье описано, как добавлять, удалять, редактировать, архивировать, восстанавливать, а также как создать ярлык для сохраненных имен пользователей и паролей учетных данных в Windows 10. «Сохранение имен пользователей и паролей» в Windows10 позволяет безопасно управлять именами пользователей и паролями вашего профиля. Он позволяет автоматически вводить сохраненные имена пользователей и пароли для различных сетевых ресурсов и серверов.

Введение

  • Зачастую вместо RDP используется другое решение (VNC, Citrix ICA) по простой причине – предполагается, что “встроенный RDP минимальный и ничего не умеет”.
  • Во многих решениях, связанных с модными сейчас облачными технологиями (перевод офисов на “тонкие клиенты”, да и просто организация терминальных серверов), бытует мнение что “RDP плохой потому что встроенный”.
  • Есть стандартный миф про то, что “RDP нельзя без VPN наружу выставлять, ломанут” (миф имеет под собой обоснование, но уже давно не актуален).
  • Ну, раз уж про мифы заговорили – бытует мнение, что “Перейдя с RDP на Citrix трафик в пару раз падает”. Ведь цитрикс – это дорого, следовательно как минимум на 157% круче.
  • Кратким упоминанием про версии RDP
  • Настройкой режима защиты RDP-сессии
  • Настройкой шифрования для RDP
  • Привязкой к конкретному адаптеру и порту
    • Меняем стандартный порт на нужный
    • Делаем раздельные настройки RDP для нескольких сетевых адаптеров
  • Включением NLA
    • Как включается NLA со стороны RDP-сервера
    • NLA и Windows XP
    • Как включить CredSSP в XP
  • Выбором правильного сертификата для RDP
  • Блокированием подключений по RDP учётным записям с пустым паролем
  • Настройка ACL для подключения по RDP
  • Оптимизацией скорости RDP
    • Отключаем редирект неиспользуемых устройств
    • Настраиваем общую логику оптимизации визуальных данных RDP
  • Оптимизацией сжатия RDP
    • Настраиваем общее сжатие RDP
    • Настраиваем сжатие аудиопотока RDP
  • Оптимизацией соотношения потоков данных RDP
  • Включением Require secure RPC communication для RDP

Причины и история появления ошибки

Возникновение ошибки «Не удается подключиться к удаленному компьютеру» после ввода логина и пароля говорит о том, что порт доступен. Проблема началась с 2014 года, после того, как было выпущено обновление KB2992611. Этот пакет обновлений существенно ужесточил параметры безопасности.

Уровень безопасности и шифрования поднялся, но при этом появились непредвиденные последствия вроде этой ошибки. Последующие обновления ситуацию не исправили, а только ухудшали. Усиление безопасности Windows приводило к новым программным конфликтам между разными версиями ОС и сторонним ПО. К примеру, конкретно эта ошибка имеет одинаковые шансы появиться на Windows XP, 7, 8, 10, Windows Server 2012 и даже менее популярных версиях системы.

Причины и история появления ошибки

Причины возникновения ошибки:

  • — Установка обновления KB2992611 и последующих.
  • — Установка программного обеспечения, использующего шифрование — КриптоПро, VipNet.
  • — Использование другого ПО, так или иначе связанного с шифрованием данных.
Читайте также:  Стоит ли использовать бесплатный органайзер для windows 7

Это основные, но не единственные причины, по которым Windows вступает в конфликт с ПО и выдает ошибку с сообщением «Не удается подключиться к удаленному компьютеру. Повторите попытку подключения. Если проблема повторится, обратитесь к владельцу удаленного компьютера.»

Если начать просматривать логи Windows, то можно увидеть следующее системное предупреждение: «Возникло следующее неустранимое предупреждение: 80 (или 36888). Внутренне состояние ошибки: 1250.»

Причины и история появления ошибки

Помимо этого, можно найти информацию об ошибке в компоненте протокола: «Компонент RDP-протокола обнаружил ошибку в потоке протокола и отключил этого клиента.» Именно эта ошибка ответственна за то, что не удается установить соединение с удаленным компьютером по RDP-клиенту.

Если причиной появления проблемы стала конкретная программа, установленная недавно, самым простым способом будет ее удаление с компьютера. Практически всегда можно найти аналогичное по функционалу ПО, которое не будет вступать в конфликт с операционной системой. Если это невозможно, либо возникновение ошибки не связано с недавно установленным софтом, можно попробовать исправить ситуацию при помощи одного из советов ниже.

Как очистить историю RDP-соединений

В ОС Windows нет возможности очистить журнал RDP-подключений средствами графического интерфейса. Приходится вручную редактировать системный реестр.

Запустите редактор реестра:

и откройте раздел HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client

В нём есть подразделы: Default и Servers. Раздел Default содержит информацию о десяти последних подключениях, а в разделе Servers хранятся имена серверов и соответствующие им имена пользователей для RDP-подключения.

В разделе Default удалите все ключи, начиная с MRU0:

Подтвердите удаление ключей, нажав ДА :

Перейдите в раздел Servers. Здесь вы можете удалить сохранённые адреса серверов и логинов. Выделите левой кнопкой мыши подраздел с нужным именем, нажмите правую кнопку мыши и выберите Удалить :

Нажмите ДА, чтобы подтвердить удаление :

Все подразделы сразу удалить нельзя — только по одному.

Если после выполненных операций запустить клиент сервера терминалов…

… можно увидеть, что список пуст, однако в строке Компьютер всё равно присутствует адрес последнего сервера удалённых рабочих столов :

Этот адрес — адрес последнего использованного сервера RDP — записывается в файл , который находится в системной папке Документы (или Мои документы для Windows XP). Чтобы удалить этот файл нужно включить отображение скрытых файлов в Windows.

Зайдите в системную папку Документы, в верхнем меню нажмите на вкладку Вид и установите галку Скрытые элементы :

Удалите файл  :

Не сохраняется пароль в rdp

Так вы создали ярлык заполнили все поля как указанно выше, но после повторного запуска ярлыка для подключения необходимо ввести пароль и выдается сообщение типа Системный администратор запретил использовать сохраненные учетные данные….

Не сохраняется пароль в rdp

Решить эту проблему можно поменяв групповую политику. Для этого Так же в поиске пишем, например, Полит… И в списке выбираем Изменение групповой политики.

Не сохраняется пароль в rdp

В открывшемся окне идем по следующему пути Конфигурация компьютера — Административные шаблоны — Система — Передача учетных данных. Теперь справа в окне ищем пункт Разрешить передачу сохраненных учетных данных с проверкой подлинности сервера Только NTLM. Заходим в него.

Не сохраняется пароль в rdp

Отмечаем пункт Включено и чуть ниже кликаем Показать.

Не сохраняется пароль в rdp

Тут необходимо ввести одно значение мы с вами укажем TERMSRV/* этот параметр разрешит сохранять данные для всех компьютеров. Более подробно можете почитать в предыдущем окне в поле Справка.

Не сохраняется пароль в rdp

Теперь нужно применить новую групповую политику. Для этого можно просто перезагрузить компьютер или воспользоваться командной строкой. Запускаем командную строку и вводим /force.

Не сохраняется пароль в rdp

Ну вот в принципе и все.

Читайте также:  Установка и импорт модуля Active Directory для PowerShell

Сохранение имен пользователей и паролей

Перейти к просмотру

Чтобы открыть окно «Сохранение имен пользователей и паролей» нажмите Win+X, в результате откроется окно, выберите «Командная строка (администратор)», введите следующую команду:

,KRShowKeyMgr

Сохранение имен пользователей и паролей

и нажмите «Enter». Или воспользуйтесь ранее созданным ярлыком.

Перейти к просмотру

Откроется окно «Сохранение имен пользователей и паролей».

Еще один способ открыть это окно можно сочетанием клавиш Win+R, ввести ту же команду:

,KRShowKeyMgr

и нажать «Enter».

Сохранение имен пользователей и паролей

В нём можно посмотреть сохраненные имена и пароли пользователей. Чтобы добавить новые учетные данные, нажмите кнопку «Добавить» и заполните необходимые данные.

Чтобы удалить сохраненный пароль, выберите учетные данные и нажмите кнопку «Удалить».

Вы увидите окно с просьбой подтверждения.

Для смены пароля, нажмите кнопку «Изменить». В этом окне вы можете отредактировать свой логин и пароль.

Это могут быть учетные данные для входа в систему Windows или пароль для веб-сайта или программы.

Очень полезно создавать резервные копии сохраненных имен пользователей и паролей. Для этого в окне «Сохранение имен пользователей и паролей» нажмите «Архивировать».

Сохранение имен пользователей и паролей

И укажите путь куда сохранять архив.

Нажмите «Далее» и следуйте указаниям мастера до его завершения.

Теперь есть возможность, при необходимости, восстановить резервную копию, нажав кнопку «Восстановить». Найти файл можно в папке которой сохраняли ранее.

Перейти к просмотру

Используем протокол SSL/TLS для защиты RDP

Если соединение с RDP-сервером реализовывается не через VPN, для обеспечения защиты подключений рекомендуется активировать SSL/TLS-туннелирование соединения.

Опцию RDP через TLS можно активировать через набор правил и настроек защиты сервера удаленных рабочих столов. Введите команду и перейдите в раздел Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Службы удаленных рабочих столов, Узел сеансов удаленных рабочих столов, Безопасность. Откройте политику Требовать использования специального уровня безопасности для удаленных подключений по протоколу RDP. Выберите значение Включено и выберите уровень безопасности SSL (рис. 14).

Используем протокол SSL/TLS для защиты RDP

Рис. 14. Включение RDP через TLS

На этом настройка безопасности RDP Windows server 2016 закончена.

Защита от буртфорса

Чтобы блокировать множественные попытки подключения с неверными данными, можно отслеживать журнал событий и вручную блокировать атакующие IP адреса посредством брандмауэра Windows или воспользоваться готовым приложением. Последний случай мы рассмотрим подробнее.

Защита от буртфорса

6. Теперь необходимо создать службу IPBan, чтобы приложение запускалось при старте системы и работало в фоновом режиме. Запустите оснастку PowerShell (Win + R, введите powershell и «ОК») и выпоните команду типа:

Защита от буртфорса

Перейдите в службы (Win + R, введите и «OK«) и запустите службу IPBAN, в дальнейшем она будет запускаться автоматически:

Защита от буртфорса

В «Диспетчере задач» можно убедиться, что служба запущена и работает:

Защита от буртфорса

Таким образом, программа следит за неудачными попытками авторизации и добавляет неугодные IP адреса в созданное правило для входящих подключений брандмауэра Windows:

Защита от буртфорса

Заблокированные IP адреса можно разблокировать вручную. Перейдите на вкладку «Область» в свойствах правила «IPBan_0» и удалите из списка нужный Вам IP адрес:

Защита от буртфорса

Источник

Защита от буртфорса

Выводы

Если не удается подключиться к удаленному компьютеру, необходимо переустановить пакет обновлений Windows KB2992611 с официального сайта, понизить уровень шифрования системы или отключить сторонние программы с этим функционалом.

Читайте также:  Исправлено: Код ошибки активации Windows 0xc004f050

После установки обновления KB4103718 на моем компьютере с Windows 7 я не могу удаленно подключится к серверу через удаленный рабочий стол RDP. После того, как я указываю адрес RDP сервера в окне клиента и нажимаю «Подключить», появляется ошибка:

Подключение к удаленному рабочему столу

Произошла ошибка проверки подлинности.

Указанная функция не поддерживается.

После того, как я удалил обновление KB4103718 и перезагрузил компьютер, RDP подключение стало работать нормально. Но, как я понимаю, это только временное обходное решение, в следующем месяце приедет новый патч и ошибка вернется. Можете что-нибудь посоветовать?

Ответ

Вы абсолютно правы в том, что бессмысленно решать проблему удалением обновлениq Windows, ведь вы тем самым подвергаете свой компьютер риску эксплуатации различных уязвимостей, которые закрывает данное обновление.

В своей проблеме вы не одиноки. У пользователей английской версии Windows при попытке подключится к RDP/RDS серверу появляется ошибка:

An authentication error has occurred.

The function requested is not supported.

Почему это происходит? В первую очередь рекомендую познакомится со статьей . В ней я подробно описывал, почему после установки последних (май 2018 года) обновлений безопасности на Windows клиентах, у пользователей могут появится проблемы с подключением к удаленным компьютерам / серверам по RDP. Дело в том, что в майских обновлениях безопасности Microsoft исправила серьезную уязвимость в протоколе CredSSP, использующегося для аутентификации на RDP серверах(CVE-2018-0886). В том случае, если на RDP сервере не установлены последние обновления и на нем используется устаревшая версия протокола CredSSP, такое подключение блокируется клиентом.

Что можно сделать для исправления данной проблемы

  1. Самый правильный способ решения проблемы – установка актуальных обновлений безопасности на компьютере / сервере, к которому вы подключаетесь по RDP.
  2. Временный способ 1 . Можно отключить NLA (Network Level Authentication / Проверку подлинности на уровне сети) на стороне RDP сервера (описано ниже).
  3. Временный способ 2 . Вы можете разрешить на стороне клиентов подключаться к RDP с небезопасной версией CredSSP, как описано в статье по ссылке выше (ключ реестра AllowEncryptionOracle или локальная политика Encryption Oracle Remediation / Исправление уязвимости шифрующего оракула) = Vulnerable / Оставить уязвимость).