Удаленный доступ. Установка, настройка и управление службами удаленного доступа

Содержание

 

Введение

Данная контрольная работа затрагивает тему удаленного доступа с одного компьютера к другому.

Термин «удаленный доступ к ПК»  подразумевает удаленное подключение  к компьютеру с целью управления или просмотра рабочего стола, а так же выполнения сопутствующих операций, например, обмен файлами, голосовыми и видео сообщениями и прочее.

Программы удаленного доступа к  компьютеру «снимают» и преобразовывают изображение на удаленной машине и отправляют его на локальный компьютер. Нажатия клавиш на клавиатуре и движения мыши передаются на удаленную машину, которая в свою очередь интерпретирует их как сигналы, введенные непосредственно от человека, сидящего за этим компьютером.

Вся информация, подлежащая передаче в ходе сеанса подключения к удаленному компьютеру, подвергается компрессии для достижения оптимальной скорости передачи изображения как для высокоскоростных, так и для низкоскоростных соединений.

 

Удаленные системы доступа

На сегодняшний день существует множество программ, позволяющих осуществить удаленный доступ от одного компьютера к другому.

Самые распространенные и известные  программы для удаленного администрирования и получения доступа к удаленным компьютерам:

• Radmin;
• Virtual Network Computing (VNC);
• TeamViewer;
• Ammyy Admin.

 

Используя Radmin Server и Radmin Viewer можно одновременно подключаться к нескольким компьютерам как по локальной сети, так и через интернет. Программа проста в работе, обеспечивает высокий уровень безопасности и высокую скорость работы. Программу можно использовать бесплатно в течении 30 дней.

Управлять другим компьютером через интернет или LAN по TCP/IP протоколу с помощью VNC очень удобно, т.к. программа кросс-платформенная и позволяет получать удаленный доступ к рабочему столу с установленной другой операционной системой. Так же возможно управление компьютером с телефона (смартфона). Бесплатная версия VNC не поддерживает шифрование сессий.

С помощью TeamViewer в режиме реального времени можно управлять рабочим столом удаленного компьютера через интернет из любой точки мира, передавать и принимать файлы, устраивать презентации и оказывать помощь коллегам друзьям и близким. Для этого не надо знать внешний IP адрес - достаточно знать ID и иметь к подключение сети интернет. Программа имеет надежный алгоритм шифрования, к тому же портативная и бесплатная для некоммерческого использования.

Простой и понятный интерфейс программы Ammyy Admin поможет подключиться к удаленному ПК через интернет и управлять им зная ID или IP клиента даже неподготовленному пользователю, все просто и понятно. Программа так же портативная и надежная. Бесплатная версия для некоммерческого использования позволяет использовать программу 15 часов в месяц, что в принципе вполне достаточно обычным пользователям компьютера.

С помощью этих и других программ для удаленного администрирования можно организовать удаленный доступ, обмениваться файлами и управлять другими (удаленными) компьютерами на расстоянии.

 

Наиболее распространенная на сегодняшний день операционная система  Windows поставляется с встроенным протоколом удаленного рабочего стола RDP – Remote Desktop.

Удаленный рабочий стол (RDP)

RDP (англ. Remote Desktop Protocol — протокол удалённого рабочего стола) — проприетарный протокол прикладного уровня, купленный Microsoft у Citrix, использующийся для обеспечения удалённой работы пользователя с сервером, на котором запущен сервис терминальных подключений. Клиенты существуют практически для всех версий Windows (включая Windows CE и Mobile), Linux, FreeBSD, Mac OS X, Android, Symbian. По умолчанию используется порт TCP 3389. Официальное название Майкрософт для клиентского ПО — Remote Desktop Connection или Terminal Services Client (TSC), в частности, клиент в Windows 2k/XP/2003/Vista/2008/7/8 называется mstsc.exe.

Особенности версии 5.2, используемой в Windows Server 2003 SP2 и в Windows XP SP3:

• Поддержка 32-битного цвета (в дополнение к 8-, 15-, 16-, и 24-битному в предыдущих версиях);
• Возможность использовать 128-битовое шифрование по алгоритмам RC4, AES или 3DES с проверкой целостности хешем MD5 или SHA1, по умолчанию не используется, значение безопасности RDP в Windows 2003 по умолчанию - RC2 (56 бит) c хешем MD5 с откатом на DES (40 бит). (Из-за слабого шифрования RC2 и DES при использовании настройки по умолчанию трафик может быть расшифрован по пути, см. тип уязвимости «man-in-the-middle vulnerability»);
• Поддержка Transport Layer Security (только при использовании шифрования RC4, AES или 3DES), по умолчанию не включена;
• Звук с удалённого ПК переадресовывается и воспроизводится на локальном компьютере;
• Позволяет подключать локальные ресурсы к удалённой машине (mapping);
• Позволяет использовать локальный или сетевой принтеры на удалённом ПК;
• Позволяет приложениям, выполняющимся в пределах текущего сеанса, обращаться к локальным последовательным и параллельным портам;
• Можно обмениваться информацией через буфер обмена.

Принцип работы RDP

RDP является вспомогательным протоколом, базирующимся на TCP. После установки  соединения на транспортном уровне инициализируется RDP - сессия, в рамках которой согласуются различные параметры передачи данных. После успешного завершения согласования и настройки параметров сервер терминалов начинает передавать клиенту графический вывод и ожидает входные данные от клавиатуры и мыши.

Рис. 1. Принцип работы.

В качестве графического вывода может  выступать как точная копия графического экрана, передаваемая как изображение, так и команды на отрисовку  графических примитивов (прямоугольник, линия, эллипс, текст и др.). Передача вывода с помощью примитивов является приоритетной для протокола RDP, так как значительно экономит трафик. Изображение передается лишь в том случае, если иное невозможно. RDP- клиент обрабатывает полученные команды и выводит изображения с помощью своей графической подсистемы. Пользовательский ввод по умолчанию передается при помощи скан-кодов клавиатуры. Сигнал нажатия и отпускания клавиши передается отдельно при помощи специального флага.

RDP поддерживает несколько виртуальных  каналов в рамках одного соединения, которые могут использоваться для обеспечения дополнительного функционала:

• использование принтера или последовательного порта;
• перенаправление файловой системы;
• поддержка работы с буфером обмена;
• использование аудио- подсистемы.

 

Характеристики виртуальных каналов  согласуются на этапе установки  соединения.

Режимы RDP

Протокол RDP предоставляет пользователю 2 режима работы: администрирования  и доступа к серверу терминалов.

RDP в режиме администрирования

Этот режим предназначен для предоставления операторам и администраторам возможности удаленного доступа к серверам и контроллерам доменов. Сервер, настроенный для удаленного администрирования не требует дополнительного лицензирования. Администратор имеет полный доступ к любым средствам администрирования, как будто он работал локально. Он может подключаться по протоколу TCP/IP через LAN, WAN, модем. В режиме удаленного администрирования отключаются средства совместимости приложений и функции лицензирования клиентов. В результате процессор и память не задействуются.

Рис. 2. Режим администрирования.

Данный вид соединения используется всеми современными операционными  системами Microsoft. Серверные версии Windows поддерживают одновременно два удаленных подключения и один локальный вход в систему, в то время как клиентские - только один вход (локальный или удаленный). Для разрешения удаленных подключений требуется включить удаленный доступ к рабочему столу в свойствах рабочей станции.

RDP в режиме доступа к серверу  терминалов

Данный режим доступен только в  серверных версиях Windows. В данном режиме работы количество подключений  не огранчевается, но для работы требуется  настройка сервера лицензий и его активация. Сервер лицензий может быть установлен как на сервер терминалов, так и на отдельный сетевой узел. Возможность удаленного доступа предоставляется только при установке нужных лицензии на сервер лицензий¹. При использовании кластера терминальных серверов и балансировки нагрузки требуется установка специализированного сервера подключений. Данный сервер индексирует пользовательские сессии, что позволяет выполнять вход, а также повторный вход на терминальные серверы, работающие в распределенной среде. В режиме сервера терминалов количество подключений не ограничено, но этот режим требует дополнительного лицензирования. Для управления клиентскими лицензиями используется специальная служба Terminal Server Licensing, которая может управлять выдачей маркеров для нескольких серверов терминалов. При отсутствии в сети установленного и активированного в службе Microsoft Clearinghouse сервера TSL, клиентам будут выдаваться только временные маркеры, действительные в течение 120 дней (90 в Win2K). Этот период называется льготным периодом, он начинается с момент первого подключения клиента к серверу терминалов. Льготный период предназначен не для раздачи временного доступа клиентам, а для того чтобы администратору было достаточно времени на развертывание сервера лицензий(схема лицензирования). В соответствии с лицензионным соглашением доступ к серверу терминалов без лицензий не предусмотрен. Терминальный сервер предназначен для осуществления многопользоватеской работы, так как Windows спректирована как однопользовательская операционная система. Служба Terminal Services внедряет между слоями системы и пользователя слой сеанса. Session Manager для каждого сеанса создает отдельный экземпляр подсистемы Win32, WIN32K.SYS. Затем Session Manager внутри сеанса запускает рабочий процесс подсистемы клиент-сервер, CRSS.EXE, и службу входа WINLOGON.EXE, как показано на следующем рисунке.

Рис. 3. Режим доступа к серверу терминалов.

Этот процесс позволяет нескольким пользовательским сеансам параллельно  выполняться на одной системе Windows. Как компонент Terminal Services - протокол RDP, который позволяет пользователям  взаимодействовать с сеансами, выполняющимся на терминальном сервере. Без RDP каждому пользователю потребовалась бы консоль, непосредственно подключенная к серверу. RDP функционирует как виртуальный дисплей, клавиатура и мышь на сервере. Вместо того, чтобы посылать видеовывод в порт VGA, терминальный сервер перенаправляет его в видеоканал стека RDP. Это позволяет передавать видеоинформацию по сети и отображать ее на экране рабочей станции клиента.

RDP также принимает нажатия клавиш  и перемещения мыши удаленного клиента и передает их на терминальный сервер, который обрабатывает их так, как будто они происходили от локальных клавиатуры и мыши. Используя Terminal Services, вы можете инсталлировать приложения на небольшом количестве серверов, а не на сотнях рабочих станций. Вы также можете получить выгоду от использования недорогих "тонких клиентов", чем от рабочих станций. Даже если вам необходимо иметь персональные компьютеры для пользователей, вы все равно можете получить выгоду от использования терминальных серверов за счет централизации сетевого трафика. Многие компании также используют терминальные серверы для удаленного доступа. Это позволяет закрыть большую часть сети и разрешить удаленные соединения с лишь с отдельными серверами. На таких серверах легко можно поддерживать последние пакеты обновлений, антивирусы и пр.

Обеспечение безопасности при использовании RDP

Спецификация протокола RDP предусматривает  использование одного из двух подходов к обеспечению безопасности:

• встроенная подсистема безопасности (Standard RDP Security);
• внешняя подсистема безопасности (Enhanced RDP Security).

Рис. 4. Система безопасности.

Встроенная подсистема безопасности

При данном подходе аутентификация, шифрование и обеспечение целостности  реализуется средствами, заложенными в RDP-протокол.

Внешняя подсистема безопасности

В данном подходе используются внешние  модули обеспечения безопасности:

• TLS 1.0
• CredSSP

Протокол TLS можно использовать, начиная  с версии Windows 2003 Server, но только если его поддерживает RDP - клиент. Поддержка TLS добавлена, начиная с RDP - клиента версии 6.0. При использовании TLS сертификат сервера можно генерировать средствами Terminal Sercives или выбирать существующий сертификат из хранилища Windows. Протокол CredSSP представляет собой совмещение функционала TLS, Kerberos и NTLM.

Рассмотрим основные достоинства протокола CredSSP:

• Проверка разрешения на вход в удаленную систему до установки полноценного RDP- соединения, что позволяет экономить ресурсы сервера терминалов при большом количестве подключений;
• Надежная аутентификация и шифрование по протоколу TLS
• Использование однократного входа в систему (Single Sign On ) при помощи Kerberos или NTLM.

Аутентификация

1. При старте системы генерируется пара RSA- ключей
2. Создается сертификат (Proprietary Certificate) открытого ключа
3. Сертификат подписывается RSA- ключом, зашитым в операционную систему (любой RDP-клиент содержит открытый ключ данного встроенного RSA- ключа).
4. Клиент подключается к серверу терминалов и получает Proprietary Certificate
5. Клиент проверяет сертификат и получает открытый ключ сервера (данный ключ используется в дальнейшем для согласования параметров шифрования)

Аутентификация клиента проводится при вводе имени пользователя и пароля.

Шифрование

В качестве алгоритма шифрования выбран потоковый шифр RC4. В зависимости от версии операционной системы доступны различные длины ключа от 40 до 168 бит.

При установке  соединения после согласования длины  генерируется два различных ключа: для шифрования данных от клиента  и от сервера.

Целостность

Целостность сообщения достигается  применением алгоритма генерации MAC (Message Authentication Code) на базе алгоритмов MD5 и SHA1.

Начиная с Windows 2003 Server, для обеспечения совместимости  с требованиями стандарта FIPS (Federal Information Processing Standard) 140-1 возможно использование алгоритма 3DES для шифрования сообщений и алгоритма генерации MAC, использующего только SHA1, для обеспечения целостности.

Enhanced RDP Security

В данном подходе используются внешние  модули обеспечения безопасности:

• TLS 1.0
• CredSSP

Протокол TLS можно использовать, начиная с версии Windows 2003 Server, но только если его поддерживает RDP- клиент. Поддержка TLS добавлена, начиная с RDP -клиента версии 6.0.

При использовании TLS сертификат сервера можно генерировать средствами Terminal Sercives или выбирать существующий сертификат из хранилища Windows.

Протокол CredSSP представляет собой совмещение функционала TLS, Kerberos и NTLM.

Рассмотрим основные достоинства протокола CredSSP:

• Проверка разрешения на вход в удаленную систему до установки полноценного RDP- соединения, что позволяет экономить ресурсы сервера терминалов при большом количестве подключений
• Надежная аутентификация и шифрование по протоколу TLS
• Использование однократного входа в систему (Single Sign On ) при помощи Kerberos или NTLM