Протокол RDP із захистом на рівні мережі (SSL), на жаль, не отримав широкого поширення серед системних адміністраторів, які віддають перевагу захищати термінальні з'єднання іншим способом. Можливо це пов'язано з уявною складністю способу, проте це не так, в даному матеріалі ми розглянемо як просто і без труднощів організувати такий захист.

Які переваги дає нам захист RDP за допомогою SSL? По-перше надійне шифрування каналу, перевірку справжності сервера на підставі сертифікату і перевірку автентичності користувача на рівні мережі. Остання можливість доступна починаючи з Windows Server 2008. Перевірка справжності на рівні мережі дозволяє підвищити безпеку сервера терміналів за рахунок того, що перевірка відбувається ще до початку сеансу.

Перевірка справжності на рівні мережі проводиться до підключення до віддаленого робочого столу і відображення екрану входу в систему, це знижує навантаження на сервер і значно збільшує його захист від зловмисників і шкідливих програм, а також знижує ймовірність атак типу "відмова в обслуговуванні".

Для повноцінного використання всіх можливостей RDP через SSL клієнтські ПК повинні працювати під управлінням Windows XP SP3, Windows Vista або Windows 7 і використовувати RDP клієнт версії 6.0 або більш пізньої.

При використанні Windows Server 2003 SP1 і більш пізніх версій, будуть доступні шифрування каналу за допомогою SSL (TLS 1.0) і перевірка справжності сервера, клієнтські ПК повинні мати версію RDP клієнта 5.2 або більш пізню.

У нашій статті ми будемо розглядати настройку термінального сервера на базі Windows Server 2008 R2, однак все сказане буде справедливо і для Windows Server 2003 (за винятком відсутніх можливостей).

Для успішної реалізації даного рішення у вашій мережі повинен знаходитися працює центр сертифікації, настройку якого ми розглядали в попередній статті . Для довіри сертифікатами виданими даними ЦС на термінальний сервер необхідно встановити сертифікат ЦС (або ланцюжок сертифікатів) в сховище Довірені кореневі центри сертифікації.

Потім слід виконати запит сертифіката автентичності сервера з наступними параметрами:

Ім'я - повне ім'я термінального сервера (тобто server.domain.com якщо сервер входить в домен domain.com)

• Тип сертифіката - Сертифікат перевірки автентичності сервера
• Встановіть опцію Створити новий набір ключів
• CSP - Microsoft RSA SChannel Cryptographic Provider.
• Встановіть прапорець Позначити ключ як експортований.
• Для ЦС підприємства встановіть прапорець Використовувати локальне сховище комп'ютера для сертифіката. (В автономному ЦС дана опція недоступна).

Надішліть запит центру сертифікації та встановіть виданий сертифікат. Даний сертифікат повинен бути встановлений в локальне сховище комп'ютера, інакше він не зможе бути використаний службами терміналів. Щоб перевірити це запустимо консоль MMC (Пуск - Виконати - mmc) і додамо оснащення Сертифікати (Файл - Додати або видалити оснащення) для облікового запису комп'ютера.
У корені консолі виберіть Сертифікати (локальний комп'ютер) натисніть Вид - Параметри і встановіть режим перегляду метод сертифікати за призначенням. Виданий сертифікат повинен перебувати в групі Перевірка справжності сервера.
Якщо ви отримували сертифікат за допомогою ізольованого (автономного) ЦС (мережа не має доменної структури) то він за замовчуванням буде встановлено в сховище облікового запису користувача і доведеться виконати ряд додаткових дій.

Відкрийте Internet Explorer - Властивості оглядача - Вміст - Сертифікати, виданий сертифікат повинен бути встановлений в сховище Особисті.

Проведіть його експорт. При експорті вкажіть наступні опції:

• Так, експортувати закритий ключ
• Видалити закритий ключ після успішного експорту

Після чого видаліть сертифікат з даного сховища. В оснащенні Сертифікати (локальний комп'ютер) виберіть розділ Перевірка справжності сервера, клацніть на нього правою кнопкою миші Всі завдання - Імпорт і імпортуйте сертифікат.

Тепер в Адміністрування - Служби віддалених робочих столів відкрийте Конфігурація вузла сеансів віддалених робочих столів (в Windows Server 2003 Адміністрування - Налаштування служб терміналів).

Виберіть необхідне підключення і відкрийте його властивості. У самому низу натисніть кнопку Вибрати і виберіть отриманий на попередньому кроці сертифікат (в Windows Server 2003 це вікно виглядає дещо інакше).
Після вибору сертифіката вкажіть інші властивості:

• Рівень безпеки SSL
• Рівень шифрування Високий або FIPS - сумісний
• Встановіть прапорець Дозволити підключатися тільки з комп'ютерів ... (недоступно в Windows Server 2003)

Збережіть введений параметри, на цьому настройка сервера закінчена.

На клієнтському ПК створіть підключення до віддаленого робочого столу, в якості адреси використовуйте повне ім'я сервера, яке зазначено в сертифікаті. Відкрийте властивості підключення і на закладці Підключення - Перевірка автентичності сервера встановіть опцію Попереджати.
Щоб даний ПК довіряв сертифікатами виданими нашим центром сертифікації не забудьте встановити на нього сертифікат ЦС в сховище Довірені кореневі центри сертифікації.

У Windows 7 (при використанні RDP клієнта версії 7) даний сертифікат потрібно встановити в сховище облікового запису комп'ютера, для цього імпортуйте його через оснащення Сертифікати (локальний комп'ютер) в консолі MCC, аналогічно тому, як це робили вище. В іншому випадку підключення буде неможливо і ви отримаєте наступну помилку:
Встановивши сертифікат ЦС можете пробувати підключитися, зверніть увагу, що ім'я користувача та пароль буде запропоновано ввести ще до створення RDP сесії. При успішному з'єднанні зверніть увагу на замок в заголовку вікна, який свідчить про роботу через SSL. Натиснувши на нього можна переглянути інформацію про сертифікат.
Після вдалого підключення радимо змінити опцію Попереджати на закладці Підключення - Перевірка автентичності сервера на Чи не з'єднувати, дозволивши таким чином підключення тільки до довірених серверів.

І наостанок крапля дьогтю в бочці меду. Термінальні служби Windows не вміють перевіряти справжність клієнтів, що підключаються, тому якщо стоїть така необхідність слід використовувати додаткові методи захисту, такі як SSH тунель або IPSec VPN.