Există cazuri când, când utilizați RDP (Remote Desktop Protocol), nu puteți vedea programele care sunt instalate în bara de sistem sau erorile și notificările pur și simplu nu apar. Pentru a rezolva această problemă, vă puteți conecta la serverul terminal în modul consolă prin același RDP.

Remote Desktop Protocol sau RDP este o tehnologie conexiune la distanță către un computer (server) pentru control direct printr-o rețea locală sau Internet. Am vorbit deja despre această tehnologie în tutorialul video „Conectarea la un computer prin desktop la distanță”.

Utilizarea oricăror programe administrare la distanță a vă conecta direct la desktop nu este întotdeauna convenabil, de exemplu, cu o conexiune instabilă sau o limită de timp a sesiunii. Așa că în acest articol vă vom spune despre un lucru simplu pe care unii colegi poate nu l-au cunoscut.

Când utilizați clientul Windows Remote Desktop (RDP) ca mijloc de conectare la un computer cu Windows Server 2003/2008/2012 cu rularea serviciului server terminal, aveți posibilitatea de a vă conecta la consola serverului. Folosind această opțiune, vă puteți conecta la server ca și cum ați fi așezat chiar în fața acestuia, în loc să creați sesiuni noi prin conexiune retea. Cert este că la instalarea unor programe de la distanță pot apărea probleme care nu vă vor permite să faceți acest lucru dintr-o sesiune de terminal, așa că va trebui să vă conectați la server prin consolă.

Activați accesul de la distanță pe computer.

Pentru a configura accesul de la distanță pe computerul țintă, proprietarul sau administratorul trebuie să urmeze acești pași (Computerul meu \ Proprietăți \ Setări acces la distanță \ Acces la distanță \ Permite conexiuni de pe computere care rulează orice versiune de Desktop la distanță).

Dacă doriți să permiteți numai anumitor utilizatori sau grupuri de utilizatori din rețeaua dvs. să intre în computer, atunci trebuie să bifați caseta „Permiteți conexiuni de la computere care rulează Desktop la distanță cu autentificare la nivel de rețea (recomandat)”.

Cum să vă conectați la desktopul de la distanță?

Desigur, este standard Instrumente Windows (Start\Toate programele\Accesorii\Conexiune la desktop la distanță)

Sau prin comandă Alerga (Victorie+ R) și introduceți comanda mstsc. S-a terminat drumul rapidși este folosit în principal de administratori și dezvoltatori de software, tk. adesea trebuie să se conecteze la servere desktop la distanță.

Cum să vă conectați la consola desktop la distanță?

Pentru a face acest lucru, în fereastra care apare, conduceți comanda:

Windows Server 2003 și Windows XP: mstsc /consola

Windows Server 2008/2012 și Windows 7/8/8.1: mstsc /admin

Introduceți numele serverului terminal sau computerului.

Și introduceți acreditările unui utilizator care are drepturi de conectare de la distanță.

Deoarece RDP creează o consolă virtuală în mod implicit, conexiunea nu are loc la sesiune în sine, ci direct la consolă (consola principală-mouse/tastatură).

Care este diferenta dintre conexiune simplă la un desktop la distanță și conexiune la consolă?

Conectarea prin consolă este disponibilă numai pentru administratori și este, de fapt, echivalentă cu o autentificare obișnuită. În timp ce o simplă conexiune rdp este o sesiune terminală, respectiv, atunci software, care rezistă rulării sub o sesiune de terminal, poate funcționa destul de bine sub o consolă.

În primul caz, se creează o nouă sesiune (mstsc), paralelă cu cea existentă. În al doilea caz, conexiunea se face la desktopul dumneavoastră (în cadrul licențelor pentru terminal).

Există o părere că conexiunea de lucru la distanță Masa Windows(RDP) este foarte nesigur în comparație cu omologii săi (VNC, TeamViewer etc.). Ca rezultat, deschideți accesul din exterior la orice computer sau server retea locala decizie foarte nesăbuită - cu siguranță vor pirata. Cel de-al doilea argument împotriva RDP sună de obicei așa - „mănâncă trafic, nu este o opțiune pentru un internet lent”. De cele mai multe ori, aceste argumente sunt nefondate.

Protocolul RDP există de mai bine de o zi, debutul său a avut loc pe Windows NT 4.0 în urmă cu mai bine de 20 de ani, iar de atunci multă apă a trecut pe sub pod. Pe acest moment RDP nu este mai puțin sigur decât orice altă soluție de acces la distanță. În ceea ce privește lățimea de bandă necesară, există o mulțime de setări în acest sens, cu care puteți obține o capacitate de răspuns excelentă și puteți economisi lățime de bandă.

Pe scurt, dacă știți ce, cum și unde să configurați, atunci RDP va fi un instrument de acces la distanță foarte bun. Întrebarea este, câți administratori au încercat să pătrundă în setările care sunt ascunse puțin mai adânc decât la suprafață?

Acum vă voi spune cum să protejați RDP și să îl configurați pentru o performanță optimă.

În primul rând, există multe versiuni ale protocolului RDP. Toate descrierea ulterioară va fi aplicabilă pentru RDP 7.0 și o versiune ulterioară. Aceasta înseamnă că aveți cel puțin Windows Vista SP1. Pentru fanii retro există o actualizare specială pentru Windows XP SP3 KB 969084 care adaugă RDP 7.0 acestui sistem de operare.

Setarea #1 - Criptare

Pe computerul la care urmează să vă conectați, deschideți gpedit.msc Accesați Configurarea computerului - Șabloane administrative - Componente Windows - Servicii desktop la distanță - Securitate

Setați opțiunea „Solicitați utilizarea unui nivel de securitate special pentru conexiunile la distanță folosind metoda RDP” la valoarea „Activat” și Nivelul de securitate la valoarea „SSL TLS 1.0”

Cu această setare, am activat criptarea ca atare. Acum trebuie să ne asigurăm că sunt utilizați doar algoritmi de criptare puternici, și nu niște DES pe 56 de biți sau RC2.

Prin urmare, în aceeași ramură, deschideți opțiunea „Setare nivel de criptare pentru conexiunile client”. Porniți și selectați nivelul „Înalt”. Acest lucru ne va oferi criptare pe 128 de biți.

Dar aceasta nu este limita. Cel mai înalt nivel de criptare este oferit de standardul FIPS 140-1. În acest caz, toate RC2 / RC4 merg automat în pădure.

Pentru a activa utilizarea FIPS 140-1, trebuie să mergeți la Configurare computer - Configurare Windows - Setări de securitate - Politici locale - Opțiuni de securitate în același snap-in.

Căutăm opțiunea „Criptografie de sistem: utilizați algoritmi conformi cu FIPS pentru criptare, hashing și semnare” și o activăm.

Și, în sfârșit, activează fără greșeală opțiunea „Solicită o conexiune RPC sigură” de-a lungul căii Configurare computer - Șabloane administrative - Componente Windows - Servicii desktop la distanță - Securitate.

Această setare necesită conectarea clienților pentru a necesita criptare conform setărilor pe care le-am configurat mai sus.

Acum, cu criptarea în ordine completă, puteți continua.

Setarea #2 - schimbarea portului

În mod implicit, protocolul RDP se blochează Port TCP 3389. Pentru o modificare, o puteți schimba, pentru aceasta trebuie să schimbați cheia PortNumber din registru la adresa

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Setarea #3 - Autentificare în rețea (NLA)

În mod implicit, vă puteți conecta prin RDP fără a introduce o autentificare și o parolă și să vedeți ecranul de bun venit al desktopului de la distanță, unde vi se va cere să vă conectați. Acest lucru nu este deloc sigur, în sensul că un astfel de computer la distanță poate fi ușor DDoSed.

Prin urmare, toți în aceeași ramură, activați opțiunea „Solicită autentificarea utilizatorului pentru conexiuni la distanță prin autentificare la nivel de rețea”

Setarea #4 - ce altceva de verificat

În primul rând, verificați dacă „ Conturi: Permite numai parole goale pentru autentificare la consolă" este activat. Setarea poate fi găsită în Configurare computer - Șabloane administrative - Componente Windows - Servicii desktop la distanță - Securitate.

În al doilea rând, nu uitați să verificați lista de utilizatori care se pot conecta prin RDP

Setarea #5 - optimizarea vitezei

Accesați Configurația computerului - Șabloane administrative - Componente Windows - Servicii desktop la distanță - Mediu de sesiune la distanță.

Aici puteți și ar trebui să ajustați mai mulți parametri:

• Cea mai mare adâncime de culoare - vă puteți limita la 16 biți. Acest lucru va economisi de peste 2 ori traficul comparativ cu adâncimea de 32 de biți.
• Forțarea unei imagini de fundal să fie anulată masă la distanță- nu ai nevoie să funcționeze.
• Setarea algoritmului de compresie RDP - mai bine setat la Optimizați utilizarea lățimii de bandă. În acest caz, RDP va consuma puțin mai multă memorie, dar va fi mai eficient de comprimat.
• Optimizați efecte vizuale pentru sesiunile Remote Desktop Services - setați valoarea la „Text”. Ce ai nevoie pentru a lucra.

În caz contrar, atunci când este conectat la computer la distanță pe partea clientului, puteți dezactiva suplimentar:

• Netezirea fontului. Acest lucru va reduce mult timpul de răspuns. (Dacă aveți un server terminal cu drepturi depline, atunci acest parametru poate fi setat și pe partea serverului)
• Compoziție desktop - responsabil pentru Aero etc.
• Afișați fereastra în timp ce trageți
• Efecte vizuale
• Stiluri de design - dacă vrei hardcore

Parametrii rămași, cum ar fi fundalul desktopului, adâncimea culorii, i-am predefinit deja pe partea de server.

În plus, pe partea clientului, puteți crește dimensiunea memoriei cache a imaginii, acest lucru se face în registry. La HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\ trebuie să creați două chei DWORD 32 BitmapPersistCacheSize și BitmapCacheSize

• BitmapPersistCacheSize poate fi setat la 10000 (10 MB). Implicit, acest parametru este setat la 10, ceea ce corespunde la 10 KB.
• BitmapCacheSize poate fi, de asemenea, setat la 10000 (10 MB). Cu greu veți observa dacă conexiunea RDP consumă 10 MB în plus din RAM

Nu voi spune nimic despre redirecționarea imprimantelor etc. Cine are nevoie de ce, atunci o trimite.

Aceasta încheie partea principală a configurației. În următoarele recenzii, vă voi spune cum puteți îmbunătăți și securiza în continuare RDP. Utilizați corect RDP, toate conexiunile stabile! Vedeți cum să creați un server terminal RDP pe orice versiune de Windows.

În versiunile de server ale sistemului de operare Windows, există o mare oportunitate de a utiliza acreditările introduse de utilizator mai devreme atunci când se conectează la computerul său pentru conexiuni. Astfel, nu trebuie să introducă un login și o parolă de fiecare dată când lansează o aplicație publicată sau doar desktop la distanță. Acest lucru se numește Single Sign On folosind tehnologie CredSSP(Furnizorul de servicii de securitate a acreditărilor).

Descriere

Pentru ca aceasta să funcționeze, trebuie îndeplinite următoarele condiții:

• Serverul terminal și clientul care se conectează la acesta trebuie să fie într-un domeniu.
• Serverul terminal trebuie configurat pe sistemul de operare Windows Server 2008, Windows Server 2008 R2 sau versiunea mai veche .
• Următorul sistem de operare trebuie să fie instalat pe computerul client: Windows XP SP3, Windows Vista, Windows Server 2008, Windows 7, Windows 8 sau Windows Server 2008 R2.

Pentru Windows XP SP3, sunt necesare mișcări suplimentare. Este necesar să instalați o remediere care să permită trecerea politici de grup configurați setările pentru Windows XP SP3.
Această remediere (MicrosoftFixit50588.msi) poate fi descărcată atât de pe site-ul nostru, cât și de pe site-ul nostru:

Mai întâi, setați nivelul de securitate pe serverul terminal la modul „Negociare”:

Am configurat 2 parametri în el: Permite transmiterea acreditărilor impliciteși Permite delegarea acreditărilor implicite cu autentificare doar pe server NTLM

Permite delegarea acreditărilor implicite cu autentificarea doar pe server NTLM - trebuie configurată doar dacă autentificarea pe serverul terminal nu are loc folosind Kerberos sau un certificat SSL.

Intrăm pe serverul (serverele) pe care vrem să lăsăm utilizatorii să intre fără a reintroduce login-ul și parola. Poti intra cu masca, sau poti intra separat. Manualul este detaliat.

După aceea, aplicăm politica pe computerele necesare și verificăm dacă utilizatorilor li se permite să intre în serverele terminale specificate în politicile de mai sus fără a introduce un login și o parolă.

Dacă o parolă este singura barieră în calea accesării datelor dvs., sunteți expus unui mare risc. Abonamentul poate fi împachetat, interceptat, târât cu un troian, extras cu ajutorul ingineriei sociale. Neutilizarea autentificării cu doi factori în acest scenariu este aproape o crimă.

Am vorbit deja de mai multe ori despre cheile unice. Sensul este foarte simplu. Dacă un atacator reușește cumva să obțină parola dvs. de conectare, atunci el vă poate accesa cu ușurință e-mailul sau se poate conecta la un server de la distanță. Dar dacă există un factor suplimentar pe drum, de exemplu, o cheie unică (se mai numește și cheie OTP), atunci nu va rezulta nimic. Chiar dacă o astfel de cheie ajunge la un atacator, nu va mai fi posibilă folosirea ei, deoarece este valabilă o singură dată. Un astfel de al doilea factor poate fi un apel suplimentar, un cod primit prin SMS, o cheie generată pe telefon după anumiți algoritmi bazați pe ora curentă (ora este o modalitate de sincronizare a algoritmului pe client și server). Același Google le-a recomandat de mult utilizatorilor să activeze autentificarea cu doi factori (câteva clicuri în setările contului). Acum este rândul să adaugi un astfel de strat de protecție pentru serviciile tale!

Ce oferă Duo Security?

Exemplu banal. Computerul meu „din exterior” are un port RDP deschis pentru conexiunea la desktop la distanță. Dacă parola de conectare se scurge, atacatorul va obține imediat acces complet la mașină. Prin urmare, nu se punea problema întăririi protecției prin parolă OTP - trebuia doar făcut. A fost stupid să reinventez roata și să încerc să implementez totul pe cont propriu, așa că m-am uitat doar la soluțiile care sunt pe piață. Majoritatea s-au dovedit a fi comerciale (mai multe în bara laterală), dar pentru un număr mic de utilizatori pot fi folosite gratuit. Exact ceea ce ai nevoie pentru casă. Unul dintre cele mai de succes servicii care vă permite să organizați autorizarea în doi factori pentru orice (inclusiv VPN, SSH și RDP) sa dovedit a fi Duo Security (www.duosecurity.com). Ceea ce ia adăugat atractivității a fost faptul că dezvoltatorul și fondatorul proiectului este John Oberheid, un cunoscut specialist în securitatea informatiei. El, de exemplu, a deschis protocolul de comunicare între Google și smartphone-uri cu Android, cu care puteți instala sau elimina aplicații arbitrare. O astfel de bază se face simțită: pentru a arăta importanța autorizației cu doi factori, au lansat băieții Serviciu VPN Hunter (www.vpnhunter.com), care poate găsi rapid serverele VPN neascunse ale companiei (și, în același timp, poate determina tipul de echipamente pe care rulează), servicii de acces la distanță (OpenVPN, RDP, SSH) și alte elemente de infrastructură care permit un atacator să intre în rețeaua internă, doar cunoscând numele de utilizator și parola. E amuzant că pe Twitter oficial al serviciului, proprietarii au început să publice rapoarte zilnice despre scanarea companiilor cunoscute, după care contul a fost interzis :). Serviciul Duo Security, desigur, vizează în primul rând introducerea autentificării cu doi factori în companiile cu un număr mare de utilizatori. Din fericire pentru noi, este posibil să creați un cont personal gratuit care vă permite să configurați gratuit autentificarea cu doi factori pentru până la zece utilizatori.

Care ar putea fi al doilea factor?

În continuare, vom analiza cum să întărim securitatea unei conexiuni desktop la distanță, precum și a SSH pe un server, în doar zece minute. Dar mai întâi vreau să vorbesc despre pasul suplimentar pe care Duo Security îl introduce ca al doilea factor de autorizare. Există mai multe opțiuni: apel telefonic, SMS cu coduri de acces, coduri de acces Duo Mobile, Duo Push, cheie electronică. Mai multe despre fiecare.

Cât timp îl poți folosi gratuit?

După cum am menționat deja, Duo Security oferă un plan tarifar special „Personal”. Este absolut gratuit, dar numărul de utilizatori nu trebuie să fie mai mare de zece. Acceptă adăugarea unui număr nelimitat de integrări, toate metodele de autentificare disponibile. Oferă o mie de credite gratuite pentru serviciile de telefonie. Creditele sunt, parcă, o monedă internă care este debitată din contul dvs. de fiecare dată când are loc o autentificare folosind un apel sau un SMS. In setarile contului il poti seta astfel incat atunci cand ajungi la numarul de credite specificat sa primesti o notificare pe sapun si sa ai timp sa refaci soldul. O mie de credite costă doar 30 de dolari. Pret pentru apeluri si SMS pt tari diferite e diferit. Pentru Rusia, un apel va costa de la 5 la 20 de credite, SMS - 5 credite. Cu toate acestea, apelul care are loc la autentificarea pe site-ul Duo Security nu este taxat. Puteți uita complet de credite dacă utilizați aplicația Duo Mobile pentru autentificare - nu se taxează nimic pentru aceasta.

Înregistrare ușoară

Pentru a vă proteja serverul cu Duo Security, trebuie să descărcați și să instalați un client special care va interacționa cu serverul de autentificare Duo Security și va oferi un al doilea nivel de protecție. În consecință, acest client va fi diferit în fiecare situație: în funcție de unde exact este necesar să se implementeze autorizarea cu doi factori. Despre asta vom vorbi mai jos. Primul lucru de făcut este să vă înregistrați în sistem și să obțineți un cont. Prin urmare, deschidem pagina principala pe site, faceți clic pe „Probă gratuită”, pe pagina care se deschide, faceți clic pe butonul „Înregistrați” sub tipul de cont personal. După aceea, ni se cere să introducem numele, prenumele, adresa de e-mail și numele companiei. Ar trebui să primiți un e-mail care să conțină un link pentru a vă confirma înregistrarea. În acest caz, sistemul va forma automat telefonul specificat: pentru a vă activa contul, trebuie să răspundeți la apel și să apăsați butonul # de pe telefon. După aceea, contul va fi activ și puteți începe încercările de luptă.

Protejarea RDP

Am spus mai sus că am început cu o dorință puternică de a securiza conexiunile de la distanță la desktopul meu. Prin urmare, ca prim exemplu, voi descrie cum se poate consolida securitatea RDP.

1. Orice implementare a autentificării cu doi factori începe cu acțiune simplă: Creați o așa-numită integrare în profilul Duo Security. Accesați secțiunea „Integrații  Nouă integrare”, specificați numele integrării (de exemplu, „Home RDP”), selectați tipul acesteia „Microsoft RDP” și faceți clic pe „Add Integration”.
2. Fereastra care apare afișează parametrii de integrare: cheie de integrare, cheie secretă, nume de gazdă API. Vom avea nevoie de ele mai târziu când vom configura partea client. Este important să înțelegeți: nimeni nu ar trebui să le cunoască.
3. Apoi, trebuie să instalați un client special pe mașina protejată, care va instala tot ce aveți nevoie în sistemul Windows. Poate fi descărcat de pe site-ul oficial sau preluat de pe discul nostru. Întreaga sa configurație se rezumă la faptul că în timpul procesului de instalare va fi necesar să introduceți cheia de integrare, cheia secretă, numele de gazdă API menționat mai sus.
4. Asta, de fapt, este tot. Acum, data viitoare când vă conectați la server prin RDP, vor apărea trei câmpuri pe ecran: nume de utilizator, parolă și cheia unică Duo. În consecință, cu o singură parolă de conectare, nu mai este posibilă conectarea în sistem.

Prima dată când un utilizator nou încearcă să se conecteze, va trebui să treacă o dată prin procesul de verificare Duo Security. Serviciul îi va oferi un link special, făcând clic pe care trebuie să introduceți numărul de telefon și să așteptați un apel de verificare. Pentru a obține chei suplimentare (sau pentru a le obține pentru prima dată), puteți introduce cuvântul cheie „sms”. Dacă doriți să vă autentificați cu un apel telefonic - introduceți „telefon”, dacă cu Duo Push – „push”. Istoricul tuturor încercărilor de conectare (atât reușite, cât și nereușite) la server poate fi vizualizat în contul dvs. de pe site-ul web Duo Security, selectând mai întâi integrarea dorită și accesând „Jurnalul de autentificare”.

Conectăm Duo Security oriunde!

Folosind autentificarea cu doi factori, puteți proteja nu numai RDP sau SSH, ci și VPN-urile, serverele RADIUS și orice serviciu web. De exemplu, există clienți ieșiți din cutie care adaugă un strat suplimentar de autentificare la motoarele populare Drupal și WordPress. Dacă nu există un client gata făcut, nu ar trebui să vă supărați: puteți adăuga oricând autentificarea cu doi factori pentru aplicația sau site-ul dvs., folosind API-ul furnizat de sistem. Logica API este simplă - faceți o solicitare către o adresă URL anumită metodăși analizați răspunsul returnat, care poate veni în format JSON (sau BSON, XML). Documentația completă despre API-ul Duo REST este disponibilă pe site-ul oficial. Voi spune doar că există metode ping, check, preauth, auth, status, după denumirea cărora este ușor de ghicit pentru ce sunt destinate.

Securizarea SSH

Luați în considerare un alt tip de integrare - „Integrarea UNIX” pentru a implementa autentificarea sigură. Adăugăm încă o integrare în profilul nostru Duo Security și procedăm la instalarea clientului în sistem.

Puteți descărca sursele acestuia din urmă de la bit.ly/IcGgk0 sau le puteți lua de pe discul nostru. Am folosit cea mai recentă versiune - 1.8. Apropo, clientul rulează pe majoritatea platformelor nix, așa că îl puteți instala cu ușurință pe FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris/Illumos, HP-UX și AIX. Procesul de construire este standard - configurați && make && sudo make install. Singurul lucru pe care l-aș recomanda este să utilizați configure cu opțiunea --prefix=/usr, altfel clientul ar putea să nu găsească bibliotecile necesare când pornește. După instalarea cu succes, trecem la editarea fișierului de configurare /etc/duo/login_duo.conf. Acest lucru trebuie făcut de la rădăcină. Toate modificările care trebuie făcute munca de succes, este să setați cheia de integrare, cheia secretă, valorile numelui de gazdă API, care pot fi găsite pe pagina de integrare.

; Tasta de integrare Duo = INTEGRATION_KEY; Cheie secretă Duo = SECRET_KEY; Duo API hostnamehost = API_HOSTNAME

Pentru a forța toți utilizatorii care se conectează la serverul dvs. prin SSH să utilizeze autentificarea cu doi factori, trebuie doar să adăugați următoarea linie în fișierul /etc/ssh/sshd_config:

> ForceCommand /usr/local/sbin/login_duo

De asemenea, este posibil să se organizeze autentificarea cu doi factori numai pentru utilizatorii individuali, combinându-i într-un grup și specificând acest grup în fișierul login_duo.conf:

>grup=roata

Pentru ca modificările să intre în vigoare, tot ce rămâne este să reporniți demonul ssh. De acum înainte, după introducerea cu succes a parolei de autentificare, utilizatorului i se va solicita autentificare suplimentară. O subtilitate trebuie remarcată separat. setări ssh- Este foarte recomandat să dezactivați opțiunile PermitTunnel și AllowTcpForwarding din fișierul de configurare, deoarece demonul le aplică înainte de a începe etapa a doua de autentificare. Astfel, dacă un atacator introduce corect parola, atunci poate obține acces la rețeaua internă înainte de finalizarea celei de-a doua etape de autentificare datorită redirecționării portului. Pentru a evita acest efect, adăugați următoarele opțiuni la sshd_config:

PermitTunnel noAllowTcpForwarding nr

Acum serverul tău se află în spatele unui perete dublu și este mult mai dificil pentru un atacator să intre în el.

Setari aditionale

Dacă vă conectați la contul dvs. Duo Security și accesați secțiunea „Setări”, puteți modifica unele setări pentru dvs. Prima secțiune importantă este „Apeluri telefonice”. Aceasta specifică setările care vor fi în vigoare atunci când un apel telefonic este utilizat pentru a confirma autentificarea. Elementul „Taste pentru apel invers vocal” vă permite să setați ce tastă de telefon trebuie să apăsați pentru a confirma autentificarea. În mod implicit, valoarea „Apăsați orice tastă pentru autentificare” este acolo - adică puteți apăsa orice tastă. Dacă setați valoarea la „Apăsați taste diferite pentru autentificare sau raportare fraudă”, atunci va trebui să setați două taste: apăsarea primei confirmă autentificarea (Tasta pentru autentificare), apăsarea celei de-a doua (Tasta pentru a raporta frauda) înseamnă că procesul de autentificare nu a fost inițiat de noi, adică cineva a primit parola noastră și încearcă să o folosească pentru a intra pe server. Elementul „Coduri SMS” vă permite să setați numărul de coduri pe care le va conține un SMS și durata lor de viață (validitatea). Parametrul „Blocare și fraudă” vă permite să setați adresa de e-mail care va primi o notificare în cazul unui anumit număr de încercări nereușite de autentificare la server.

Utilizare!

În mod surprinzător, mulți încă ignoră autentificarea cu doi factori. Nu inteleg de ce. Acest lucru chiar aduce multă securitate. Îl puteți implementa pentru aproape orice, iar soluțiile demne sunt disponibile gratuit. Deci de ce? Din lene sau nepăsare.

Servicii similare

• semnifica(www.signify.net) Serviciul oferă trei opțiuni pentru organizarea autentificării cu doi factori. Prima este utilizarea cheilor electronice. A doua modalitate este de a folosi cheile de acces, care sunt trimise la telefonul utilizatorului prin SMS sau vin la e-mail. A treia varianta - aplicatie mobila pentru telefoane Android, iPhone, BlackBerry, care generează parole unice (de fapt, un analog al Duo Mobile). Serviciul se adresează companiilor mari, deci este complet plătit.
• SecurEnvoy(www.securenvoy.com) De asemenea, vă permite să utilizați telefon mobil ca al doilea strat protector. Cheile de acces sunt trimise utilizatorului prin SMS sau e-mail. Fiecare mesaj conține trei chei de acces, ceea ce înseamnă că utilizatorul se poate autentifica de trei ori înainte de a solicita o nouă porțiune. Serviciul este și cu plată, dar oferă o perioadă gratuită de 30 de zile. Un plus semnificativ este un număr mare de integrări native și terțe.
• PhoneFactor(www.phonefactor.com) Acest serviciu vă permite să organizați gratuit autentificarea cu doi factori pentru până la 25 de utilizatori, oferind 500 de autentificări gratuite pe lună. Pentru a organiza protecția, va trebui să descărcați și să instalați un client special. Dacă trebuie să adăugați autentificare cu doi factori pe site-ul dvs., puteți utiliza SDK-ul oficial, care oferă documentație detaliată și exemple pentru următoarele limbaje de programare: ASP.NET C#, ASP.NET VB, Java, Perl, Ruby, PHP.

Cu siguranță, mulți dintre voi ați auzit și văzut deja această abreviere - se traduce literal ca Protocol desktop la distanță (la distantaDesktopprotocol). Dacă cineva este interesat de subtilitățile tehnice ale acestui protocol de strat de aplicație, poate citi literatura, pornind de la aceeași Wikipedia. Vom lua în considerare aspecte pur practice. Și anume cel care acest protocol Vă permite să vă conectați de la distanță la computere Control Windows diferite versiuni folosind sistemul încorporat instrument Windows„Conexiune la desktop la distanță”

Care sunt avantajele și dezavantajele utilizării protocolului RDP?

Să începem cu plăcutul - cu profesioniștii. Avantajul este că acest instrument, care este mai corect numit ClientRDP, este disponibil oricărui utilizator de Windows atât pe computerul de pe care urmează să fie controlată telecomanda, cât și celor care doresc să deschidă accesul de la distanță la computerul lor.

Printr-o conexiune la desktop la distanță, este posibil nu numai să vedeți desktopul de la distanță și să utilizați resursele computerului de la distanță, ci și să vă conectați la acesta unități locale, imprimante, carduri inteligente etc. Desigur, dacă doriți să vizionați un videoclip sau să ascultați muzică prin RDP, acest proces este puțin probabil să vă facă plăcere, deoarece. în majoritatea cazurilor veți vedea o prezentare de diapozitive și sunetul va fi cel mai probabil întrerupt. Dar, serviciul RDP nu a fost dezvoltat pentru aceste sarcini.

Un alt avantaj neîndoielnic este că conexiunea la computer se realizează fără programe suplimentare, care sunt în mare parte plătite, deși au avantajele lor. Timpul de acces la serverul RDP (care este dvs computer la distanță) este limitat doar de dorința ta.

Sunt doar două minusuri. Unul semnificativ, celălalt nu atât. Primul și esențial este că pentru a funcționa cu RDP, computerul la care se face conexiunea trebuie să aibă un IP alb (extern), sau trebuie să se poată „redirecționa” portul de la router către acest computer, care din nou trebuie să aibă un IP extern. Va fi static sau dinamic - nu contează, dar ar trebui să fie.

Al doilea minus - nu atât de semnificativ - ultimele versiuni clientul a încetat să accepte schema de culori de 16 culori. Minimul este de 15 biți. Acest lucru încetinește foarte mult lucrul pe RDP atunci când vă conectați la internetul pierzat la o viteză care nu depășește 64 de kilobiți pe secundă.

Pentru ce puteți folosi accesul la distanță prin RDP?

Organizațiile folosesc de obicei servere RDP pentru munca în comunîn programul 1C. Și unii chiar implementează joburi de utilizator pe ele. Astfel, utilizatorul, mai ales dacă are serviciu de călătorie, poate, în prezența internetului 3G sau a Wi-Fi la hotel/cafenea, să se conecteze la locul său de muncă de la distanță și să rezolve toate problemele.

În unele cazuri, utilizatorii casnici pot folosi accesul de la distanță computer de acasă pentru a obține niște date din resursele de acasă. În principiu, serviciul desktop la distanță vă permite să lucrați pe deplin cu aplicații de text, inginerie și grafică. Cu procesarea video și a sunetului din motivele de mai sus - nu va funcționa, dar totuși - acesta este un plus foarte semnificativ. De asemenea, puteți vizualiza resursele închise de politica companiei la locul de muncă, conectându-vă la computerul dvs. de acasă fără anonimizatori, vpn și alte spirite rele.

Pregătim internetul

În secțiunea anterioară, am vorbit despre faptul că pentru a oferi acces la distanță prin protocolul RDP, avem nevoie de o adresă IP externă. Acest serviciu poate fi furnizat de furnizor, așa că sunăm sau scriem, sau mergem la Zona personalăși organizează furnizarea acestei adrese. În mod ideal, ar trebui să fie static, dar, în principiu, poți trăi cu unul dinamic.

Daca cineva nu intelege terminologia, atunci adresa statica este permanenta, iar cea dinamica se schimba din cand in cand. Pentru a funcționa pe deplin cu adrese IP dinamice, au fost inventate diverse servicii care asigură legarea dinamică a domeniilor. Ce și cum, în curând va apărea un articol pe această temă.

Pregătim routerul

Dacă computerul dvs. nu este conectat direct la firul furnizorului la Internet, ci printr-un router, va trebui să efectuăm și câteva manipulări cu acest dispozitiv. Și anume - port de serviciu direct - 3389. În caz contrar, NAT-ul routerului dvs. pur și simplu nu vă va permite să intrați în rețeaua dvs. de acasă. Același lucru este valabil și pentru configurarea unui server RDP într-o organizație. Dacă nu știți cum să redirecționați un port - citiți articolul despre Cum să redirecționați porturile pe un router (se deschide într-o filă nouă), apoi reveniți aici.

Pregătim calculatorul

Pentru a crea posibilitatea de a vă conecta de la distanță la un computer, trebuie să faceți exact două lucruri:

Permite conectarea în Proprietăți sistem;
- setați o parolă pentru utilizatorul curent (dacă acesta nu are o parolă), sau creați un utilizator nou cu o parolă special pentru conectarea prin RDP.

Cum să tratați utilizatorul - decideți singur. Cu toate acestea, rețineți că sistemele de operare non-server nu acceptă în mod nativ conectări multiple. Acestea. dacă sunteți autentificat local (consolă) și apoi vă conectați la același utilizator de la distanță, ecranul local va fi blocat și se va deschide sesiunea din același loc în fereastra Conexiune la desktop la distanță. Introduceți parola local fără a ieși din RDP - veți fi exclus de la acces la distanță și veți vedea ecranul curent pe monitorul local. Același lucru vă așteaptă dacă vă conectați ca un utilizator pe consolă și încercați să vă conectați de la distanță sub altul. În acest caz, sistemul vă va solicita să încheiați sesiunea de utilizator local, ceea ce poate să nu fie întotdeauna convenabil.

Deci să mergem la start, faceți clic dreapta pe meniu Un calculatorși apăsați Proprietăți.

În proprietăți Sisteme alege Opțiuni suplimentare sisteme

În fereastra care se deschide, accesați fila Acces de la distanță…

... presa În plus…

Și puneți singura casetă de selectare de pe această pagină.

Acesta este „de casă” Versiunea Windows 7 - cei care au Pro și mai sus vor avea mai multe casete de selectare și se poate face controlul accesului.

Clic Bine pretutindeni.

Acum, poți să mergi la Remote Desktop Connection (Start>Toate Programele>Accesorii), să introduci acolo adresa IP a computerului sau numele dacă vrei să te conectezi la el din rețeaua de acasă și să folosești toate resursele.

Asa. În principiu, totul este simplu. Dacă dintr-o dată apar întrebări sau ceva rămâne neclar - bine ați venit la comentarii.