Logowanie RDP z osobistym certyfikatem. Jak skonfigurować zdalny dostęp przez RDP. Typy i technologie kluczy USB odpowiednie do uwierzytelniania zdalnego pulpitu za pomocą oprogramowania klucza logowania Rohos

Zdarzają się przypadki, gdy podczas korzystania z protokołu RDP (Remote Desktop Protocol) nie widać programów zainstalowanych w zasobniku systemowym lub po prostu nie pojawiają się błędy i powiadomienia. Aby rozwiązać ten problem, możesz połączyć się z serwerem terminali w trybie konsoli za pośrednictwem tego samego protokołu RDP.

Remote Desktop Protocol lub RDP to technologia Zdalne połączenie do komputera (serwera) w celu bezpośredniego sterowania przez sieć lokalną lub Internet. Mówiłem już o tej technologii w samouczku wideo „Podłączanie do komputera przez zdalny pulpit”.

Korzystanie z dowolnych programów administracja zdalna bezpośrednie połączenie z pulpitem nie zawsze jest wygodne, na przykład w przypadku niestabilnego połączenia lub limitu czasu sesji. W tym artykule opowiemy o prostej rzeczy, o której niektórzy koledzy mogli nie wiedzieć.

W przypadku korzystania z klienta pulpitu zdalnego systemu Windows (RDP) jako sposobu łączenia się z komputerem za pomocą Serwer Windows 2003/2008/2012 z bieżąca usługa serwer terminalowy, masz możliwość połączenia się z konsolą serwera. Korzystając z tej opcji, możesz zalogować się na serwer tak, jakbyś siedział tuż przed nim, zamiast tworzyć nowe sesje za pomocą połączenie internetowe. Faktem jest, że podczas zdalnej instalacji niektórych programów mogą pojawić się problemy, które nie pozwolą ci tego zrobić z sesji terminalowej, więc będziesz musiał zalogować się do serwera przez konsolę.

Włącz zdalny dostęp na swoim komputerze.

Aby skonfigurować zdalny dostęp na komputerze docelowym, właściciel lub administrator musi wykonać następujące kroki (Mój komputer \ Właściwości \ Ustawienia dostępu zdalnego \ Dostęp zdalny \ Zezwalaj na połączenia z komputerów z dowolną wersją Pulpitu zdalnego).

Jeśli chcesz zezwolić na dostęp do komputera tylko określonym użytkownikom lub grupom użytkowników w sieci, musisz zaznaczyć pole „Zezwalaj na połączenia z komputerów z uruchomionym Pulpitem zdalnym z uwierzytelnianiem na poziomie sieci (zalecane)”.

Jak połączyć się ze zdalnym pulpitem?

To oczywiście standard Narzędzia Windows (Start\Wszystkie programy\Akcesoria\Podłączenie pulpitu zdalnego)

Lub za pomocą polecenia Biegać (Wygrać+ r) i wprowadź polecenie mstsc. To koniec szybki sposób i jest używany głównie przez administratorów i programistów, tk. często muszą łączyć się z serwerami zdalnego pulpitu.

Jak połączyć się z konsolą zdalnego pulpitu?

Aby to zrobić, w wyświetlonym oknie wjedź poleceniem:

Windows Server 2003 i Windows XP: mstsc /konsola

Windows Server 2008/2012 i Windows 7/8/8.1: mstsc /admin

Wprowadź nazwę serwera terminali lub komputera.

I wprowadź poświadczenia użytkownika, który ma uprawnienia do zdalnego łączenia się.

Ponieważ RDP domyślnie tworzy konsolę wirtualną, połączenie nie następuje do samej sesji, ale bezpośrednio do konsoli (główna konsola-mysz/klawiatura).

Jaka jest różnica pomiędzy proste połączenie ze zdalnym pulpitem i połączeniem z konsolą?

Łączenie się przez konsolę jest dostępne tylko dla administratorów i jest de facto równoważne ze zwykłym logowaniem. Podczas gdy proste połączenie rdp jest odpowiednio sesją terminalową oprogramowanie, który opiera się uruchamianiu w sesji terminalowej, może całkiem dobrze działać pod konsolą.

W pierwszym przypadku tworzona jest nowa sesja (mstsc) równolegle do już istniejącej. W drugim przypadku połączenie jest nawiązywane z pulpitem (w ramach licencji na terminal).

Istnieje opinia, że ​​połączenie pracy zdalnej Stół okienny(RDP) jest bardzo niepewny w porównaniu do swoich odpowiedników (VNC, TeamViewer itp.). W rezultacie otwarty dostęp z zewnątrz do dowolnego komputera lub serwera lokalna sieć bardzo lekkomyślna decyzja - na pewno się zhakują. Drugi argument przeciwko PROW zwykle brzmi tak: „pożera ruch, to nie jest opcja dla wolnego Internetu”. W większości przypadków te argumenty są bezpodstawne.

Protokół RDP istnieje już ponad dzień, jego debiut miał miejsce na Windows NT 4.0 ponad 20 lat temu i od tego czasu pod mostem przepłynęło dużo wody. Na ten moment Protokół RDP jest nie mniej bezpieczny niż jakiekolwiek inne rozwiązanie dostępu zdalnego. Jeśli chodzi o wymaganą przepustowość, istnieje wiele ustawień w tym zakresie, dzięki którym można osiągnąć doskonałą responsywność i zaoszczędzić przepustowość.

Krótko mówiąc, jeśli wiesz, co, jak i gdzie skonfigurować, to RDP będzie bardzo dobrym narzędziem zdalnego dostępu. Pytanie brzmi, ilu administratorów próbowało zagłębić się w ustawienia, które są ukryte nieco głębiej niż na powierzchni?

Teraz powiem ci, jak chronić RDP i skonfigurować go pod kątem optymalnej wydajności.

Po pierwsze, istnieje wiele wersji protokołu RDP. Cały dalszy opis będzie miał zastosowanie do PROW 7.0 i nowszych. Oznacza to, że masz co najmniej Windows Vista SP1. Dla fanów stylu retro przygotowaliśmy specjalną aktualizację dla Windows XP SP3 KB 969084 który dodaje RDP 7.0 do tego systemu operacyjnego.

Ustawienie nr 1 — Szyfrowanie

Na komputerze, z którym zamierzasz się połączyć, otwórz gpedit.msc Przejdź do Konfiguracja komputera - Szablony administracyjne - Składniki systemu Windows - Usługi pulpitu zdalnego - Zabezpieczenia

Ustaw opcję „Wymagaj użycia specjalnego poziomu bezpieczeństwa dla połączeń zdalnych przy użyciu metody RDP” na wartość „Enabled” i Poziom bezpieczeństwa na wartość „SSL TLS 1.0”

Przy tym ustawieniu włączyliśmy szyfrowanie jako takie. Teraz musimy się upewnić, że używane są tylko silne algorytmy szyfrowania, a nie niektóre 56-bitowe DES lub RC2.

Dlatego w tej samej gałęzi otwórz opcję „Ustaw poziom szyfrowania dla połączeń klienckich”. Włącz i wybierz poziom „Wysoki”. To da nam 128-bitowe szyfrowanie.

Ale to nie jest granica. Najwyższy poziom szyfrowania zapewnia standard FIPS 140-1. W takim przypadku wszystkie RC2 / RC4 automatycznie trafiają do lasu.

Aby włączyć korzystanie z FIPS 140-1, musisz przejść do Konfiguracja komputera - Konfiguracja systemu Windows - Ustawienia zabezpieczeń - Zasady lokalne - Opcje bezpieczeństwa w tej samej przystawce.

Szukamy opcji „Kryptografia systemowa: używaj algorytmów zgodnych z FIPS do szyfrowania, haszowania i podpisywania” i włącz ją.

I na koniec, bezbłędnie, włącz opcję „Wymagaj bezpiecznego połączenia RPC” na ścieżce Konfiguracja komputera - Szablony administracyjne - Składniki systemu Windows - Usługi pulpitu zdalnego - Bezpieczeństwo.

To ustawienie wymaga, aby łączenie klientów wymagało szyfrowania zgodnie z ustawieniami skonfigurowanymi powyżej.

Teraz z szyfrowaniem w pełnej kolejności możesz przejść dalej.

Ustawienie nr 2 - zmiana portu

Domyślnie protokół RDP zawiesza się Port TCP 3389. Dla zmiany możesz to zmienić, w tym celu musisz zmienić klucz PortNumber w rejestrze pod adresem

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStation\RDP-Tcp

Ustawienie nr 3 — Uwierzytelnianie sieci (NLA)

Domyślnie możesz połączyć się przez RDP bez wprowadzania loginu i hasła i zobaczyć ekran powitalny zdalnego pulpitu, na którym zostaniesz poproszony o zalogowanie. Po prostu nie jest to w ogóle bezpieczne w tym sensie, że taki zdalny komputer można łatwo poddać działaniu DDoS.

Dlatego wszyscy w tej samej gałęzi, włącz opcję „Wymagaj uwierzytelnienia użytkownika dla połączeń zdalnych poprzez uwierzytelnianie na poziomie sieci”

Ustawienie #4 - co jeszcze sprawdzić

Najpierw sprawdź, czy „ Konta: Zezwalaj tylko na puste hasła do logowania do konsoli” jest włączone. Ustawienie można znaleźć w Konfiguracja komputera - Szablony administracyjne - Składniki systemu Windows - Usługi pulpitu zdalnego - Zabezpieczenia.

Po drugie, nie zapomnij sprawdzić listy użytkowników, którzy mogą łączyć się przez RDP

Ustawienie #5 - optymalizacja prędkości

Przejdź do Konfiguracja komputera - Szablony administracyjne - Składniki systemu Windows - Usługi pulpitu zdalnego - Środowisko sesji zdalnej.

Tutaj możesz i powinieneś dostosować kilka parametrów:

  • Największa głębia kolorów - możesz ograniczyć się do 16 bitów. Pozwoli to zaoszczędzić ponad 2 razy więcej ruchu w porównaniu z 32-bitową głębią.
  • Wymuszanie anulowania obrazu tła zdalny stół- nie potrzebujesz tego do pracy.
  • Ustawienie algorytmu kompresji RDP — lepiej ustawić opcję Optymalizuj wykorzystanie przepustowości. W takim przypadku RDP zużyje trochę więcej pamięci, ale kompresja będzie bardziej wydajna.
  • Optymalizować efekty wizualne dla sesji usług pulpitu zdalnego — ustaw wartość na „Tekst”. Czego potrzebujesz do pracy.

W przeciwnym razie po podłączeniu do komputer zdalny po stronie klienta można dodatkowo wyłączyć:

  • Wygładzanie czcionek. To znacznie skróci czas odpowiedzi. (Jeśli masz pełnoprawny serwer terminalowy, ten parametr można również ustawić po stronie serwera)
  • Skład pulpitu - odpowiedzialny za Aero itp.
  • Pokaż okno podczas przeciągania
  • Efekty wizualne
  • Style projektowania - jeśli chcesz hardcore

Pozostałe parametry, takie jak tło pulpitu, głębia kolorów, mamy już predefiniowane po stronie serwera.

Dodatkowo po stronie klienta można zwiększyć rozmiar pamięci podręcznej obrazów, odbywa się to w rejestrze. W HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\ musisz utworzyć dwa klucze DWORD 32 BitmapPersistCacheSize i BitmapCacheSize

  • BitmapPersistCacheSize można ustawić na 10000 (10 MB).Domyślnie ten parametr jest ustawiony na 10, co odpowiada 10 KB.
  • BitmapCacheSize można również ustawić na 10000 (10 MB). Prawie nie zauważysz, że połączenie RDP zjada dodatkowe 10 MB pamięci RAM

Nie powiem nic o przekazywaniu drukarek itp. Kto czego potrzebuje, przekazuje to dalej.

Na tym kończy się główna część konfiguracji. W poniższych recenzjach powiem Ci, jak możesz dalej ulepszać i zabezpieczać PROW. Używaj poprawnie RDP, wszystkie stabilne połączenia! Zobacz, jak utworzyć serwer terminali RDP w dowolnej wersji systemu Windows.

W serwerowych wersjach systemu operacyjnego Windows istnieje znakomita możliwość wykorzystania poświadczeń wprowadzonych wcześniej przez użytkownika podczas logowania do swojego komputera w celu nawiązania połączenia. Dzięki temu nie muszą wprowadzać loginu i hasła za każdym razem, gdy uruchamiają opublikowaną aplikację lub po prostu zdalny pulpit. Ta rzecz nazywa się jednokrotnym logowaniem przy użyciu technologii CredSSP(Dostawca usług bezpieczeństwa poświadczeń).

Opis

Aby to zadziałało, muszą być spełnione następujące warunki:

  • Serwer terminali i klient, który się z nim łączy, muszą znajdować się w domenie.
  • Serwer terminali musi być skonfigurowany w systemie operacyjnym Windows Server 2008, Windows Server 2008 R2 lub starsza wersja .
  • Na komputerze klienckim musi być zainstalowany następujący system operacyjny: Windows XP SP3, Windows Vista, Windows Server 2008, System Windows 7, Windows 8 lub Windows Server 2008 R2.

Do Windows XP SP3, wymagane są dodatkowe ruchy. Niezbędne jest zainstalowanie poprawki, która umożliwi przejście zasady grupy skonfiguruj ustawienia dla Windows XP SP3.
Tę poprawkę (MicrosoftFixit50588.msi) można pobrać zarówno z naszej strony internetowej, jak i z niej:

Najpierw ustaw poziom bezpieczeństwa na serwerze terminali na tryb „Negocjuj”:

Ustawiamy w nim 2 parametry: Zezwól na przekazywanie domyślnych poświadczeń i Zezwalaj na delegowanie domyślnych poświadczeń z uwierzytelnianiem serwera tylko NTLM

Zezwalaj na delegowanie domyślnych poświadczeń z uwierzytelnianiem serwera tylko NTLM — należy to skonfigurować tylko wtedy, gdy uwierzytelnianie na serwerze terminali nie odbywa się przy użyciu protokołu Kerberos lub certyfikatu SSL.

Wpisujemy serwer (serwery), na który chcemy wpuścić użytkowników bez ponownego wpisywania loginu i hasła. Możesz wejść przez maskę lub możesz wprowadzić osobno. Instrukcja jest szczegółowa.

Następnie stosujemy politykę na wymaganym komputerze (komputerach) i sprawdzamy, czy użytkownicy mogą wejść do serwerów terminali określonych w powyższych zasadach bez wprowadzania loginu i hasła.

Jeśli hasło jest jedyną przeszkodą w dostępie do Twoich danych, ryzykujesz. Przepustkę można powiązać, przechwycić, odciągnąć trojanem, wyłowić za pomocą socjotechniki. Nieużywanie uwierzytelniania dwuskładnikowego w tym scenariuszu jest prawie przestępstwem.

O kluczach jednorazowych rozmawialiśmy już nie raz. Znaczenie jest bardzo proste. Jeśli atakującemu w jakiś sposób uda się uzyskać Twoje hasło logowania, może łatwo uzyskać dostęp do Twojej poczty lub połączyć się ze zdalnym serwerem. Ale jeśli na drodze pojawi się dodatkowy czynnik, na przykład klucz jednorazowy (nazywany jest również kluczem OTP), nic z tego nie wyjdzie. Nawet jeśli taki klucz dostanie się do atakującego, nie będzie już można go użyć, ponieważ jest ważny tylko raz. Takim drugim czynnikiem może być dodatkowe połączenie, kod otrzymany SMS-em, klucz wygenerowany w telefonie według określonych algorytmów na podstawie aktualnego czasu (czas jest sposobem na synchronizację algorytmu na kliencie i serwerze). To samo Google od dawna zaleca swoim użytkownikom włączenie uwierzytelniania dwuskładnikowego (kilka kliknięć w ustawieniach konta). Teraz kolej na dodanie takiej warstwy ochrony dla Twoich usług!

Co oferuje Duo Security?

Banalny przykład. Mój komputer „na zewnątrz” ma otwarty port RDP do połączenia z pulpitem zdalnym. Jeśli login-hasło wycieknie, atakujący natychmiast uzyska pełny dostęp do maszyny. Dlatego nie było mowy o wzmocnieniu ochrony hasłem OTP - po prostu trzeba było to zrobić. Głupotą było wymyślanie koła na nowo i próbowanie wszystkiego na własną rękę, więc po prostu przyjrzałem się rozwiązaniom, które są na rynku. Większość z nich okazała się komercyjna (więcej na pasku bocznym), ale dla niewielkiej liczby użytkowników można z nich korzystać za darmo. Tylko to, czego potrzebujesz do domu. Jedną z najbardziej udanych usług, która umożliwia organizowanie autoryzacji dwuskładnikowej dla dosłownie wszystkiego (w tym VPN, SSH i RDP), okazała się Duo Security (www.duosecurity.com). Atrakcyjności projektu zwiększał fakt, że deweloperem i założycielem projektu jest John Oberheid, znany specjalista w dziedzinie bezpieczeństwo informacji. Na przykład otworzył protokół komunikacji między Google a Smartfony z Androidem, za pomocą którego można instalować lub usuwać dowolne aplikacje. Taka baza daje się odczuć: aby pokazać znaczenie autoryzacji dwuskładnikowej, chłopaki uruchomili Usługa VPN Hunter (www.vpnhunter.com), który może szybko znaleźć nieukryte serwery VPN firmy (a jednocześnie określić rodzaj sprzętu, na którym działają), usługi zdalnego dostępu (OpenVPN, RDP, SSH) i inne elementy infrastruktury, które pozwalają atakujący, aby dostać się do sieci wewnętrznej, znając tylko nazwę użytkownika i hasło. To zabawne, że na oficjalnym Twitterze serwisu właściciele zaczęli publikować codzienne raporty ze skanowania znanych firm, po których konto zostało zbanowane :). Usługa Duo Security ma oczywiście na celu przede wszystkim wprowadzenie uwierzytelniania dwuskładnikowego w firmach z dużą liczbą użytkowników. Na szczęście dla nas możliwe jest utworzenie bezpłatnego konta osobistego, które umożliwia skonfigurowanie uwierzytelniania dwuskładnikowego dla maksymalnie dziesięciu użytkowników za darmo.

Jaki może być drugi czynnik?

Następnie przyjrzymy się, jak wzmocnić bezpieczeństwo połączenia zdalnego pulpitu, a także SSH na serwerze w ciągu zaledwie dziesięciu minut. Ale najpierw chcę porozmawiać o dodatkowym kroku, który Duo Security wprowadza jako drugi czynnik autoryzacji. Dostępnych jest kilka opcji: rozmowa telefoniczna, SMS z hasłami, hasła Duo Mobile, Duo Push, klucz elektroniczny. Trochę więcej o każdym.

Jak długo możesz z niego korzystać za darmo?

Jak już wspomniano, Duo Security oferuje specjalny plan taryfowy „Osobisty”. Jest całkowicie darmowy, ale liczba użytkowników nie może przekraczać dziesięciu. Obsługuje dodawanie nieograniczonej liczby integracji, wszystkie dostępne metody uwierzytelniania. Zapewnia tysiąc darmowych kredytów na usługi telefoniczne. Kredyty są niejako wewnętrzną walutą, która jest pobierana z Twojego konta za każdym razem, gdy następuje uwierzytelnianie za pomocą połączenia lub SMS-a. W ustawieniach konta możesz to ustawić tak, że gdy osiągniesz określoną liczbę kredytów, otrzymasz powiadomienie na mydle i będziesz miał czas na uzupełnienie salda. Tysiąc kredytów kosztuje tylko 30 dolców. Cena za rozmowy i SMS-y za różnych krajach jest inny. W przypadku Rosji połączenie kosztuje od 5 do 20 kredytów, SMS - 5 kredytów. Jednak połączenie, które ma miejsce podczas uwierzytelniania w witrynie Duo Security, nie jest naliczane. Możesz całkowicie zapomnieć o kredytach, jeśli korzystasz z aplikacji Duo Mobile do uwierzytelniania - nic za to nie jest pobierane.

Łatwa rejestracja

Aby chronić swój serwer za pomocą Duo Security, musisz pobrać i zainstalować specjalnego klienta, który będzie współdziałał z serwerem uwierzytelniającym Duo Security i zapewni drugą warstwę ochrony. W związku z tym ten klient będzie inny w każdej sytuacji: w zależności od tego, gdzie dokładnie konieczne jest wdrożenie autoryzacji dwuskładnikowej. Porozmawiamy o tym poniżej. Pierwszą rzeczą do zrobienia jest zarejestrowanie się w systemie i założenie konta. Dlatego otwieramy strona główna witryny, kliknij „Bezpłatna wersja próbna”, na stronie, która się otworzy, kliknij przycisk „Zarejestruj się” pod typem konta osobistego. Następnie prosimy o podanie imienia, nazwiska, adresu e-mail i nazwy firmy. Powinieneś otrzymać wiadomość e-mail zawierającą link do potwierdzenia rejestracji. W takim przypadku system automatycznie wybierze określony telefon: aby aktywować konto, musisz odebrać połączenie i nacisnąć przycisk # na telefonie. Następnie konto będzie aktywne i możesz rozpocząć próby bojowe.

Ochrona PROW

Powiedziałem powyżej, że zacząłem od silnego pragnienia zabezpieczenia zdalnych połączeń z moim komputerem stacjonarnym. Dlatego jako pierwszy przykład opiszę, jak wzmocnić bezpieczeństwo PROW.

  1. Każda implementacja uwierzytelniania dwuskładnikowego zaczyna się od prosta czynność: Utwórz tak zwaną integrację w profilu Duo Security. Przejdź do sekcji „Integracje  Nowa integracja”, określ nazwę integracji (na przykład „Home RDP”), wybierz jej typ „Microsoft RDP” i kliknij „Dodaj integrację”.
  2. Wyświetlone okno wyświetla parametry integracji: Klucz integracji, Klucz tajny, Nazwa hosta API. Będziemy ich potrzebować później, gdy skonfigurujemy stronę klienta. Ważne jest, aby zrozumieć: nikt nie powinien ich znać.
  3. Następnie musisz zainstalować specjalnego klienta na chronionym komputerze, który zainstaluje wszystko, czego potrzebujesz w systemie Windows. Można go pobrać z oficjalnej strony lub pobrać z naszego dysku. Cała jego konfiguracja sprowadza się do tego, że podczas procesu instalacji konieczne będzie wprowadzenie klucza integracyjnego, klucza tajnego, nazwy hosta API wspomnianej powyżej.
  4. To w rzeczywistości wszystko. Teraz, przy następnym logowaniu do serwera przez RDP, na ekranie pojawią się trzy pola: nazwa użytkownika, hasło i jednorazowy klucz Duo. W związku z tym za pomocą tylko jednego hasła logowania nie można już zalogować się do systemu.

Gdy nowy użytkownik spróbuje się zalogować po raz pierwszy, będzie musiał raz przejść przez proces weryfikacji Duo Security. Serwis poda mu specjalny link, w który należy wpisać swój numer telefonu i poczekać na telefon weryfikacyjny. Aby zdobyć dodatkowe klucze (lub zdobyć je po raz pierwszy), możesz wpisać słowo kluczowe „sms”. Jeśli chcesz uwierzytelnić się za pomocą połączenia telefonicznego - wpisz "telefon", jeśli z Duo Push - "push". Historię wszystkich prób połączenia (zarówno udanych, jak i nieudanych) z serwerem można wyświetlić na swoim koncie na stronie Duo Security, wybierając najpierw żądaną integrację i przechodząc do jej „Dziennika uwierzytelniania”.

Łączymy Duo Security w dowolnym miejscu!

Korzystając z uwierzytelniania dwuskładnikowego, możesz chronić nie tylko RDP lub SSH, ale także VPN, serwery RADIUS i dowolne usługi internetowe. Na przykład istnieją gotowe klienty, które dodają dodatkową warstwę uwierzytelniania do popularnych silników Drupal i WordPress. Jeśli nie ma gotowego klienta, nie powinieneś się denerwować: zawsze możesz samodzielnie dodać uwierzytelnianie dwuskładnikowe dla swojej aplikacji lub strony internetowej, korzystając z API dostarczonego przez system. Logika API jest prosta - wysyłasz żądanie do adresu URL pewna metoda i przeanalizuj zwróconą odpowiedź, która może być w formacie JSON (lub BSON, XML). Pełna dokumentacja dotycząca Duo REST API jest dostępna na oficjalnej stronie internetowej. Powiem tylko, że istnieją metody ping, check, preauth, auth, status, od których nazwy łatwo zgadnąć, do czego są przeznaczone.

Zabezpieczanie SSH

Rozważ inny rodzaj integracji — „Integracja z systemem UNIX”, aby zaimplementować bezpieczne uwierzytelnianie. Dodajemy jeszcze jedną integrację w naszym profilu Duo Security i przystępujemy do instalacji klienta w systemie.

Źródła tych ostatnich można pobrać na bit.ly/IcGgk0 lub pobrać z naszego dysku. Użyłem najnowszej wersji - 1.8. Nawiasem mówiąc, klient działa na większości platform nix, więc można go łatwo zainstalować na FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris/Illumos, HP-UX i AIX. Proces budowania jest standardowy - skonfiguruj && make && sudo make install. Jedyne, co polecam, to użycie configure z opcją --prefix=/usr, w przeciwnym razie klient może nie znaleźć potrzebnych bibliotek podczas uruchamiania. Po udanej instalacji przechodzimy do edycji pliku konfiguracyjnego /etc/duo/login_duo.conf. Należy to zrobić od korzenia. Wszystkie zmiany, które należy wprowadzić, aby udana praca, jest ustawienie wartości Klucz integracji, Klucz tajny, Nazwa hosta API, które można znaleźć na stronie integracji.

; klucz integracji Duo = INTEGRATION_KEY; Klucz tajny Duo = SECRET_KEY; Host nazwa hosta interfejsu API Duo = NAZWA_HOSTA_API

Aby zmusić wszystkich użytkowników logujących się do serwera przez SSH do korzystania z uwierzytelniania dwuskładnikowego, wystarczy dodać następujący wiersz do pliku /etc/ssh/sshd_config:

> ForceCommand /usr/local/sbin/login_duo

Możliwe jest również zorganizowanie uwierzytelniania dwuskładnikowego tylko dla poszczególnych użytkowników poprzez połączenie ich w grupę i określenie tej grupy w pliku login_duo.conf:

>grupa=koło

Aby zmiany odniosły skutek, pozostaje tylko zrestartować demona ssh. Od teraz, po pomyślnym wprowadzeniu hasła logowania, użytkownik zostanie poproszony o: dodatkowe uwierzytelnianie. Jedną subtelność należy odnotować osobno. ustawienia ssh- zdecydowanie zaleca się wyłączenie opcji PermitTunnel i AllowTcpForwarding w pliku konfiguracyjnym, ponieważ demon stosuje je przed rozpoczęciem drugiego etapu uwierzytelniania. Tym samym, jeśli atakujący wprowadzi hasło poprawnie, to dzięki przekierowaniu portów może uzyskać dostęp do sieci wewnętrznej przed zakończeniem drugiego etapu uwierzytelniania. Aby uniknąć tego efektu, dodaj następujące opcje do sshd_config:

PermitTunnel noAllowTcpForwarding no

Teraz twój serwer znajduje się za podwójną ścianą i atakującemu znacznie trudniej jest się do niego dostać.

Dodatkowe ustawienia

Jeśli zalogujesz się na swoje konto Duo Security i przejdziesz do sekcji „Ustawienia”, możesz dostosować niektóre ustawienia dla siebie. Pierwsza ważna sekcja to „Rozmowy telefoniczne”. Określa ustawienia, które będą obowiązywać, gdy do potwierdzenia uwierzytelniania używane jest połączenie telefoniczne. Pozycja „Klawisze oddzwaniania głosowego” pozwala określić, który klawisz telefonu należy nacisnąć, aby potwierdzić uwierzytelnianie. Domyślnie znajduje się tam wartość „Naciśnij dowolny klawisz, aby uwierzytelnić” — oznacza to, że możesz nacisnąć dowolny klawisz. Jeśli ustawisz wartość na „Naciśnij różne klucze, aby uwierzytelnić lub zgłosić oszustwo”, będziesz musiał ustawić dwa klucze: naciśnięcie pierwszego potwierdza uwierzytelnianie (Klucz do uwierzytelnienia), naciśnięcie drugiego (Klawisz do zgłoszenia oszustwa) oznacza, że proces uwierzytelniania nie został przez nas zainicjowany, to znaczy, że ktoś otrzymał nasze hasło i próbuje za jego pomocą wejść na serwer. Pozycja „Hasła SMS” pozwala ustawić liczbę kodów dostępu, które będzie zawierać jeden SMS, oraz ich czas życia (ważność). Parametr „Blokada i oszustwo” pozwala ustawić adres e-mail, na który zostanie wysłane powiadomienie w przypadku określonej liczby nieudanych prób zalogowania się do serwera.

Stosowanie!

Co zaskakujące, wielu nadal ignoruje uwierzytelnianie dwuskładnikowe. Nie rozumiem dlaczego. To naprawdę zwiększa bezpieczeństwo. Możesz go wdrożyć prawie do wszystkiego, a godne rozwiązania są dostępne za darmo. Więc dlaczego? Od lenistwa lub nieostrożności.

Podobne usługi

  • oznaczać(www.signify.net) Usługa udostępnia trzy opcje organizacji uwierzytelniania dwuskładnikowego. Pierwszym z nich jest użycie kluczy elektronicznych. Drugim sposobem jest użycie haseł, które są wysyłane na telefon użytkownika SMS-em lub przychodzą do e-mail. Trzecia opcja - mobilna aplikacja na Androida, iPhone'a, BlackBerry, który generuje hasła jednorazowe (w rzeczywistości jest to odpowiednik Duo Mobile). Usługa skierowana jest do dużych firm, więc jest całkowicie odpłatna.
  • SecurEnvoy(www.securenvoy.com) Umożliwia również korzystanie telefon komórkowy jako druga warstwa ochronna. Klucze dostępu są wysyłane do użytkownika za pośrednictwem wiadomości SMS lub e-mail. Każda wiadomość zawiera trzy klucze dostępu, co oznacza, że ​​użytkownik może zalogować się trzy razy przed zażądaniem nowej porcji. Usługa jest również płatna, ale zapewnia bezpłatny 30-dniowy okres. Znaczącym plusem jest duża liczba integracji zarówno natywnych, jak i zewnętrznych.
  • PhoneFactor(www.phonefactor.com) Ten serwis umożliwia zorganizowanie bezpłatnego uwierzytelniania dwuskładnikowego dla maksymalnie 25 użytkowników, zapewniając 500 bezpłatnych uwierzytelnień miesięcznie. Aby zorganizować ochronę, musisz pobrać i zainstalować specjalnego klienta. Jeśli potrzebujesz dodać uwierzytelnianie dwuskładnikowe do swojej witryny, możesz skorzystać z oficjalnego pakietu SDK, który zawiera szczegółową dokumentację i przykłady dla następujących języków programowania: ASP.NET C#, ASP.NET VB, Java, Perl, Ruby, PHP.

Z pewnością wielu z Was już słyszało i widziało ten skrót - dosłownie tłumaczy się jako Protokół pulpitu zdalnego (ZdalnyPulpitprotokół). Jeśli ktoś jest zainteresowany technicznymi niuansami tego protokołu warstwy aplikacji, może zapoznać się z literaturą, zaczynając od tej samej Wikipedii. Rozważymy aspekty czysto praktyczne. Mianowicie ten, który… ten protokół Umożliwia zdalne łączenie się z komputerami Kontrola systemu Windows różne wersje wykorzystujące wbudowany narzędzie Windows„Podłączenie pulpitu zdalnego”

Jakie są zalety i wady korzystania z protokołu RDP?

Zacznijmy od przyjemnego - od profesjonalistów. Zaletą jest to, że to narzędzie, które jest bardziej poprawnie nazywane KlientPROW, jest dostępny dla każdego użytkownika systemu Windows, zarówno na komputerze, z którego ma być sterowany pilot, jak i dla tych, którzy chcą otworzyć zdalny dostęp do swojego komputera.

Poprzez połączenie zdalnego pulpitu można nie tylko zobaczyć zdalny pulpit i korzystać z zasobów zdalnego komputera, ale także połączyć się z nim dyski lokalne, drukarki, karty inteligentne itp. Oczywiście, jeśli chcesz obejrzeć film lub posłuchać muzyki przez RDP, ten proces raczej nie sprawi Ci przyjemności, ponieważ. w większości przypadków zobaczysz pokaz slajdów, a dźwięk najprawdopodobniej zostanie przerwany. Jednak usługa PROW nie została opracowana do tych zadań.

Kolejną niewątpliwą zaletą jest to, że połączenie z komputerem odbywa się bez żadnych dodatkowych programów, które w większości są płatne, choć mają swoje zalety. Czas dostępu do serwera RDP (który jest twoim komputer zdalny) jest ograniczona tylko twoim pragnieniem.

Są tylko dwa minusy. Jedno znaczące, drugie nie tak bardzo. Pierwszym i niezbędnym jest to, że do pracy z RDP komputer, z którym następuje połączenie, musi mieć biały (zewnętrzny) adres IP, lub musi istnieć możliwość „przekierowania” portu z routera na ten komputer, co ponownie musi mieć zewnętrzny adres IP. Będzie statyczny lub dynamiczny – to nie ma znaczenia, ale powinno być.

Drugi minus - nie tak znaczący - najnowsze wersje klient przestał wspierać 16-kolorową kolorystykę. Minimum to 15 bitów. To znacznie spowalnia pracę nad RDP, gdy łączysz się przez zatrzymany Internet z prędkością nieprzekraczającą 64 kilobitów na sekundę.

Do czego możesz użyć zdalnego dostępu przez RDP?

Organizacje zazwyczaj używają serwerów RDP do wspólna praca w programie 1C. A niektórzy nawet wdrażają na nich zadania użytkowników. W ten sposób użytkownik, zwłaszcza jeśli ma pracę w podróży, może w obecności Internetu 3G lub hotelowego/kawiarni Wi-Fi połączyć się zdalnie ze swoim miejscem pracy i rozwiązać wszystkie problemy.

W niektórych przypadkach użytkownicy domowi mogą korzystać ze zdalnego dostępu do swoich komputer domowy aby uzyskać dane z zasobów domowych. W zasadzie usługa zdalnego pulpitu pozwala w pełni pracować z aplikacjami tekstowymi, inżynierskimi i graficznymi. Przy przetwarzaniu obrazu i dźwięku z powyższych powodów – nie zadziała, ale jednak – to bardzo istotny plus. Możesz także przeglądać zasoby zamknięte przez politykę firmy w pracy, łącząc się z komputerem domowym bez żadnych anonimizatorów, VPN i innych złych duchów.

Przygotowujemy Internet

W poprzedniej sekcji mówiliśmy o tym, że aby zapewnić zdalny dostęp za pośrednictwem protokołu RDP, potrzebujemy zewnętrznego adresu IP. Ta usługa może być świadczona przez dostawcę, więc dzwonimy, piszemy lub idziemy do Obszar osobisty i zorganizować udostępnienie tego adresu. Idealnie powinno być statyczne, ale w zasadzie można żyć z dynamicznym.

Jeśli ktoś nie rozumie terminologii, to adres statyczny jest stały, a dynamiczny co jakiś czas się zmienia. Aby w pełni pracować z dynamicznymi adresami IP, wynaleziono różne usługi, które zapewniają dynamiczne wiązanie domeny. Co i jak, wkrótce pojawi się artykuł na ten temat.

Przygotowujemy router

Jeśli twój komputer nie jest podłączony bezpośrednio do przewodu dostawcy do Internetu, ale przez router, będziemy musieli również wykonać pewne manipulacje za pomocą tego urządzenia. Mianowicie - port serwisowy do przodu - 3389. W przeciwnym razie NAT routera po prostu nie wpuści Cię do sieci domowej. To samo dotyczy konfiguracji serwera RDP w organizacji. Jeśli nie wiesz, jak przekierować port - przeczytaj artykuł Jak przekierować porty na routerze (otwiera się w nowej karcie), a następnie wróć tutaj.

Przygotowujemy komputer

Aby stworzyć możliwość zdalnego łączenia się z komputerem, musisz zrobić dokładnie dwie rzeczy:

Zezwól na połączenie we właściwościach systemu;
- ustaw hasło dla bieżącego użytkownika (jeśli nie ma hasła) lub utwórz nowego użytkownika z hasłem specjalnie do łączenia przez RDP.

Jak postępować z użytkownikiem - zdecyduj sam. Należy jednak pamiętać, że nieserwerowe systemy operacyjne nie obsługują natywnie wielokrotnego logowania. Tych. jeśli zalogujesz się pod siebie lokalnie (konsola), a następnie zalogujesz się zdalnie pod tym samym użytkownikiem - ekran lokalny zostanie zablokowany, a sesja w tym samym miejscu otworzy się w oknie Podłączanie pulpitu zdalnego. Wprowadź hasło lokalnie bez wychodzenia z RDP - zostaniesz wyrzucony ze zdalnego dostępu, a bieżący ekran zobaczysz na swoim lokalnym monitorze. To samo czeka Cię, jeśli zalogujesz się jako jeden użytkownik na konsoli i spróbujesz zdalnie zalogować się pod innym. W takim przypadku system poprosi o zakończenie sesji użytkownika lokalnego, co nie zawsze może być wygodne.

Więc chodźmy do Początek, kliknij prawym przyciskiem myszy na menu Komputer i naciśnij Nieruchomości.

W nieruchomości Systemy wybierać Dodatkowe opcje systemy

W oknie, które się otworzy, przejdź do zakładki Dostęp zdalny

... naciskać do tego

I umieść jedyne pole wyboru na tej stronie.

To jest „domowe” Wersja Windows 7 - ci, którzy mają wersję Pro i wyższą, będą mieli więcej pól wyboru i można dokonać kontroli dostępu.

Kliknij ok wszędzie.

Teraz możesz przejść do Podłączanie pulpitu zdalnego (Start>Wszystkie programy>Akcesoria), wprowadzić tam adres IP komputera lub nazwę, jeśli chcesz połączyć się z nim z sieci domowej i korzystać ze wszystkich zasobów.

Lubię to. W zasadzie wszystko jest proste. Jeśli nagle pojawią się jakieś pytania lub coś pozostaje niejasne - zapraszamy do komentarzy.

Powiązana zawartość:

  1. Jak przywrócić stronę w Odnoklassnikach po usunięciu?
  2. Co i jak mam zrobić, gdy muzyka nie jest odtwarzana na komputerze?
  3. Jak oznaczyć osobę na zdjęciu VKontakte Jak oznaczyć autora na zdjęciu VKontakte
  4. Informacje biograficzne w mapach Briana