Argon On-Line Blog » terminal services http://argon.com.ru/blog Очередной блог на WordPress Wed, 28 Jul 2010 12:39:29 +0000 en hourly 1 http://wordpress.org/?v=3.0 Усиление безопасности подключения к терминальным службам WS2008 http://argon.com.ru/blog/2010/01/ws2008-ts-security-updates/ http://argon.com.ru/blog/2010/01/ws2008-ts-security-updates/#comments Fri, 29 Jan 2010 09:50:53 +0000 Argon http://argon.com.ru/blog/?p=51 В этой записи рассказывается о нововведениях в терминальных службах Windows Server 2008, направленных на усиление безопасности. В стандартной поставке Windows XP с использованием этих нововведений возникнут проблемы, я расскажу, как их решить.

Начиная с Windows Server 2008 значительно повышена безопасность подключения к службам терминалов за счет использования двух технологий: SSL и NLA.

SSL

Шифрование SSL применяется не только для защиты трафика от перехвата, но и для удостоверения подлинности сервера терминалов, к которому подключается клиент. Для этого на сервере должен быть установлен сертификат компьютера. Такой сертификат устанавливается на все компьютеры автоматически, если они являются членами домена и в домене развернуты службы сертификации. Но можно выдать и установить такой сертификат вручную.

При подключении клиента к терминальному серверу с включенной защитой SSL проверяется сертификат сервера: он должен быть выдан доверенным центром и подключение должно осуществляться к тому же адресу, что и заявлен в сертификате. В этом случае клиент не получит никаких предупреждений. Если же сертификат не признается довернным, либо адрес сервера отличается, клиенту выдается предупреждение. Таки образом трафик не только шифруется, но и защищается от атаки типа «человек посердине».

NLA

Network Level Authentication направлена на защиту терминального сервера от атак на отказ в обслуживании. Эта технология запрашивает авторизацию пользователя средствами самого клиента RDP в самом начале подключения. Если авторизация не проходит, сервер не напрягается рисовать окно входа в систему и выполнять прочие связанные с этим действия. Это особенно актуально, если такой терминальный сервер доступен из интернета.

Совместимость с клиентами

Чтобы успешно подключаться к терминальному серверу, на котором активированы обе технологии, необходим терминальный клиент, поддерживающий протокол RDP 6.1. Этот протокол поддерживается клиентами, идущими в комлекте с ОС начиная с Windows Vista. Для Windows XP необходим установленный SP3 (либо обновление KB952155 для SP2) и кое-какая дополнительная настройка, описанная в статье KB951608.

Для включения поддержки CredSSP (через которую работает NLA) в RDP клиенте Windows XP необходимо внести следующие изменения в реестр:

  • в параметре
    HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ Lsa\ Security Packages
    добавить строку со значением
    tspkg
  • в параметре
    HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SecurityProviders\ SecurityProviders
    в строку значений дописать
    credssp.dll

Для вступления изменений в силу нужно перезагрузить компьютер.

В недавно вышедшем Windows Server 2008 R2 протокол RDP обновлен до версии 7.0. Полная его поддержка встроена в Windows 7, для Windows Vista и Windows XP необходима установка обновления KB969084.

]]> http://argon.com.ru/blog/2010/01/ws2008-ts-security-updates/feed/ 0