Можливість здійснення віддаленого доступу протоколу RDP система Windows передбачає давно. Такий штатний інструмент з'явився ще у версії Windows NT 4.0, що вийшла 1996 року. Більш-менш функціонально він був доопрацьований у версії Windows ХР, а свою завершеність знайшов уже у складі Windows 7. Версії Windows 8/8.1 і 10 віддалений доступ за протоколом RDP від Windows 7 успадкували без функціональних змін.
Нижче докладно розглянемо роботу віддаленого доступу протоколу RDP у версіях Windows 7, 8.1 і 10.
1. Віддалений доступ за протоколом RDP
Підключення за протоколом RDP здійснюється між комп'ютерами, що знаходяться в одній локальній мережі. Цей тип підключення передбачено в першу чергу для IT-фахівців, які обслуговують комп'ютери компаній, які об'єднані у свою виробничу мережу. Не залишаючи свого робочого місця, підключаючись віддалено до комп'ютерів працівників підприємства, системники можуть вирішувати проблеми, які не вимагають втручання в апаратну частину машин, та проводити профілактичні заходи.
Підключення до віддаленого комп'ютера із задіянням протоколу RDP можливе і за межами локальної мережі через Інтернет. Але для цього будуть потрібні додаткові дії - або прокидання порту 3389 на роутері, або об'єднання з віддаленим комп'ютером в єдину мережу VPN. Тому підключитися до віддаленого комп'ютера по Інтернету набагато простіше з використанням інших програмних інструментів, що не потребують зайвих дій. Це, наприклад, штатна утиліта Windows «Віддалений помічник» для надання комп'ютерної допомоги через Інтернет. Вона працює за принципом надсилання файлу запрошення користувачеві, який надаватиме комп'ютерну допомогу. Її найбільш функціональні аналоги над ринком софту для Windows – програми типу .
Протокол RDP також використовується для підключення до віртуальних машин. Віддалене підключення за протоколом RDP може запропонувати більше можливостей, ніж стандартне вікно підключення штатного гіпервізора. Вікно підключення Hyper-V не передбачає відтворення звуку в гостьовій ОС, не бачить підключені USB-носії інформації, не може запропонувати більшого зв'язку з фізичним комп'ютером, ніж вставка тексту, що скопійується в ньому. Тоді як підключення RDP може забезпечити видимість віртуальної машиною різних пристроїв, приєднаних до фізичного комп'ютера, більш якісне зображення робочого столу гостьової ОС, роботу зі звуком і т.д.
Для підключення по RDP необхідно, щоб віддалений комп'ютер відповідав таким вимогам:
- На ньому має бути запаролений обліковий запис;
- У системі мають бути дозволені віддалені підключення;
- Якщо немає бажання кожного разу при підключенні змінювати дані доступу при динамічному IP-адресі, що постійно змінюється, в налаштуваннях мережі необхідно присвоїти статичний IP-адресу.
Віддалений доступ можливий лише на комп'ютерах із встановленими редакціями Windows Pro, Enterprise або Ultimate. Домашні версії Windows (Home) віддалений доступ за протоколом RDP не передбачають.
2. Пароль на віддаленому комп'ютері
Якщо на віддаленому комп'ютері працює обліковий запис Microsoft, замість довгого пароля використовується короткий PIN-код, при підключенні за протоколом RDP необхідно вводити той самий довгий пароль, а не чотиризначний PIN-код.
Якщо на віддаленому комп'ютері використовується незапаролений локальний обліковий запис, при цьому в паролі особливої необхідності немає, наприклад, при підключенні до віртуальних машин Hyper-V, хоча б найпростіший пароль типу «777» або «qwerty» створити доведеться.
3. IP-адреса віддаленого комп'ютера
При підключенні за протоколом RDP потрібно ввести IP-адресу віддаленого комп'ютера. Внутрішня IP-адреса видно у параметрах мережі. Але у версіях Windows 7, 8.1 та 10 це три різні шляхи. У Windows 7 це розділ панелі управління, а Windows 8.1 і 10 це програма «Параметри» з властивою кожної з версій власною організацією. Тому внутрішню IP-адресу дізнаватимемося універсальним, підходящим для кожної з цих систем способом – за допомогою командного рядка. Ярлик запуску командного рядка у Windows 7 доступний у меню "Пуск". У Windows 8.1 та 10 командний рядок запускається з контекстного меню на кнопці «Пуск».
У вікні командного рядка вводимо:
Після натискання Enter отримаємо зведення даних, де буде видно внутрішню IP-адресу.
4. Дозвіл віддалених підключень
Дозвіл на віддалене підключення в системах Windows спочатку, як правило, вимкнено. Принаймні це стосується ліцензійних збірок. Можливість підключення по протоколу RDP на віддаленому комп'ютері активується у налаштуваннях системи. Нам потрібний розділ "Система". У версії Windows 7 можна отримати доступ до нього за допомогою пошуку в меню «Пуск». А в Windows 8.1 і 10 у розділі «Система» можна потрапити з контекстного меню на кнопці «Пуск».
Клацаємо «Налаштування віддаленого доступу».
У вікні властивостей системи необхідно виставити активну опцію дозволу віддалених підключень. Опцію автентифікації прибирати не варто. Для застосування змін тиснемо "Застосувати" внизу.
Такі налаштування відкриють шлях до віддаленого підключення, але лише для облікового запису адміністратора. Користувачі звичайних облікових записів не мають права самостійно надавати комп'ютер для віддаленого керування. Таке право їм може надати адміністратор.
Нижче опції дозволу віддалених підключень є кнопка "Вибрати користувачів". Тиснемо її.
У полі внизу вводимо ім'я користувача, якому дозволяється, щоб підключалися до нього за протоколом RDP. Для локальних облікових записів це ім'я, а для облікових записів Microsoft – електронна адреса, за допомогою якої відбувається авторизація. Тиснемо «Ок».
Все – тепер доступ до облікового запису цього користувача з будь-якого комп'ютера всередині локальної мережі.
5. Підключення до віддаленого комп'ютера
Всі необхідні дії на віддаленому комп'ютері зроблено, переходимо до основного комп'ютера, з якого здійснюватиметься підключення та керування. Запустити штатну утиліту підключення за протоколом RDP можна, знайшовши її ярлик за допомогою пошуку всередині системи. У Windows 7 це пошук у меню «Пуск».
У версіях Windows 8.1 та 10 тиснемо клавіші Win+Q.
З'явиться невелике віконце підключення. Надалі до віддалених комп'ютерів можна буде підключатися, використовуючи саме його скорочену форму. Але поки що тиснемо "Показати параметри".
У полі «Комп'ютер» вписуємо IP-адресу віддаленого комп'ютера. У полі нижче – «Користувач» – відповідно, вводимо ім'я користувача. Якщо до віддаленого комп'ютера підключено обліковий запис Microsoft, вписуємо електронну адресу.
Якщо на комп'ютері виконується звичайний локальний обліковий запис, введіть ім'я користувача у форматі:
Комп'ютер\Користувач
Наприклад, DESKTOP-R71R8AM\Вася, де DESKTOP-R71R8AM- це ім'я комп'ютера, а Вася- Ім'я користувача локального облікового запису.
Нижче імені користувача передбачено опцію збереження даних авторизації на віддаленому комп'ютері. Параметри підключення - IP-адреса, ім'я користувача та пароль - можна зберегти окремим RDP-файлом і використовувати його для відкриття на іншому комп'ютері. Тиснемо «Підключити», а потім ще раз «Підключити» в новому вікні.
Вводимо пароль від облікового запису віддаленого комп'ютера.
Тиснемо «Так» у вікні помилки сертифіката.
Більше налаштувань підключення по протоколу RDP отримаємо в вікні утиліти спочатку до встановлення з'єднання.
6. Підключення до іншого облікового запису віддаленого комп'ютера
Нижче графи заповнення імені користувача віддаленого комп'ютера, якщо не варто галочка «Завжди вимагати облікові дані», відображаються опції видалення та зміни даних доступу. Натиснувши опцію «Змінити», крім форми авторизації у вже наявному обліковому записі віддаленого комп'ютера, побачимо можливість підключення до іншого облікового запису, що є на цьому ж комп'ютері.
Після введення нового імені користувача та пароля дані авторизації для конкретної IP-адреси будуть перезаписані.
7. Налаштування підключення
У відкритому вікні підключення до віддаленого комп'ютера виявимо вкладки з параметрами, що настроюються. Перші дві стосуються зручності та функціональності віддаленого доступу.
«Екран» – у цій вкладці можна встановити роздільну здатність екрана віддаленого комп'ютера, з цією роздільною здатністю відкриватиметься вікно утиліти після підключення. Якщо доступ здійснюється зі слабкого комп'ютера, можна встановити низьку роздільну здатність та пожертвувати глибиною кольору.
«Локальні ресурси» – тут для економії системних ресурсів можна вимкнути відтворення звуку на віддаленому комп'ютері. А можна, навпаки, встановити ще запис звуку з віддаленого комп'ютера. У графі локальних пристроїв та ресурсів після натискання кнопки «Докладніше», можемо, крім активного принтера, вибрати ще пристрої основного комп'ютера, які будуть працювати на віддаленому комп'ютері. Це смарт-картки, окремі розділи жорсткого диска, флешки, картки пам'яті, зовнішні вінчестери.
Перешкодою використання протоколу RDP може стати блокування його антивірусами. У такому разі роботу протоколу RDP необхідно дозволяти в налаштуваннях антивірусних програм.
Чудового Вам дня!
Як відомо, протокол віддаленого робочого столу (Remote Desktop Protocol або RDP) дозволяє віддалено підключатися до комп'ютерів під керуванням Windows і доступний будь-якому користувачеві Windows, якщо у нього не версія Home, де є тільки клієнт RDP, але не хост. Це зручний, ефективний і практичний засіб для віддаленого доступу для цілей адміністрування або повсякденної роботи. Останнім часом воно сподобалося майнерам, які використовують RDP для віддаленого доступу до своїх ферм. Підтримка RDP включена в ОС Windows, починаючи ще з NT 4.0 і XP, проте далеко не всі знають, як ним користуватися. Тим часом можна відкривати віддалений робочий стіл Microsoft з комп'ютерів під Windows, Mac OS X, а також з мобільних пристроїв з ОС Android або iPhone та iPad.
Якщо правильно розбиратися в налаштуваннях, то RDP буде гарним засобом віддаленого доступу. Він дає можливість не лише бачити віддалений робочий стіл, а й користуватися ресурсами віддаленого комп'ютера, підключати до нього локальні диски або периферійні пристрої. При цьому комп'ютер повинен мати зовнішній IP (статичний або динамічний), або повинна бути можливість "прокинути" порт з маршрутизатора із зовнішньою IP-адресою.
Сервери RDP нерідко застосовують для спільної роботи в системі 1С, або на них розгортають робочі місця користувачів, дозволяючи підключатися до свого робочого місця віддалено. Клієнт RDP дозволяє дати можливість працювати з текстовими та графічними програмами, віддалено отримувати якісь дані з домашнього ПК. Для цього на роутері потрібно прокинути порт 3389, щоб через NAT отримати доступ до домашньої мережі. Теж відноситься до налаштування RDP-сервера в організації.
RDP багато хто вважає небезпечним способом віддаленого доступу в порівнянні з використанням спеціальних програм, таких як RAdmin, TeamViewer, VNC та ін. Інше забобон – великий трафік RDP. Однак на сьогодні RDP не менш безпечний, ніж будь-яке інше рішення для віддаленого доступу (до питання безпеки ми ще повернемося), а за допомогою налаштувань можна досягти високої швидкості реакції та невеликої потреби у смузі пропускання.
Як захистити RDP та налаштувати його продуктивність
| Шифрування та безпека | Потрібно відкрити gpedit.msc, в «Конфігурація комп'ютера – Адміністративні шаблони – Компоненти Windows – Служби віддалених робочих столів – Безпека» задати параметр «Вимагати використання спеціального рівня безпеки для віддалених підключень за методом RDP» та в «Рівень безпеки» вибрати «SSL TLS» . У розділі «Встановити рівень шифрування клієнтських підключень» виберіть «Високий». Щоб увімкнути використання FIPS 140-1, потрібно зайти в «Конфігурація комп'ютера – Конфігурація Windows – Параметри безпеки – Локальні політики – Параметри безпеки» та вибрати «Системна криптографія: використовувати FIPS-сумісні алгоритми для шифрування, хешування та підписування». Параметр "Конфігурація комп'ютера - Параметри Windows - Параметри безпеки - Локальні політики - Параметри безпеки" параметр "Облікові записи: дозволяти використання порожніх паролів тільки при консольному вході" має бути увімкнено. Перевірте список користувачів, які можуть підключатися через RDP. |
| Оптимізація | Відкрийте «Конфігурація комп'ютера – Адміністративні шаблони – Компоненти Windows – Служби віддалених робочих столів – Середовище віддалених сеансів». У «Найбільша глибина кольору» оберіть 16 біт, цього достатньо. Зніміть прапорець "Примусове скасування фонового малюнка віддаленого робочого столу". У «Завдання алгоритму стиснення RDP» встановіть оптимізацію використання смуги пропускання. У розділі «Оптимізувати візуальні ефекти для сеансів служб віддалених робочих столів» встановіть «Текст». Вимкніть «Згладжування шрифтів». |
Базове налаштування виконано. Як підключитися до віддаленого робочого столу?
Підключення до віддаленого робочого столу
Для підключення по RDP необхідно, на віддаленому комп'ютері був обліковий запис з паролем, в системі повинні бути дозволені віддалені підключення, а щоб не змінювати дані доступу при динамічному IP-адресі, що постійно змінюється, в налаштуваннях мережі можна присвоїти статичний IP-адресу. Віддалений доступ можливий лише на комп'ютерах із Windows Pro, Enterprise або Ultimate.Для віддаленого підключення до комп'ютера потрібно дозволити підключення в "Властивості Системи" і задати пароль для поточного користувача, або створити для RDP нового користувача. Користувачі звичайних облікових записів не мають права самостійно надавати комп'ютер для віддаленого керування. Таке право їм може надати адміністратор. Перешкодою використання протоколу RDP може стати блокування його антивірусами. У такому випадку RDP потрібно дозволити в налаштуваннях антивірусних програм.
Варто відзначити особливість деяких серверних ОС: якщо той самий користувач спробує зайти на сервер локально і віддалено, то локальний сеанс закриється і на тому ж місці відкриється віддалений. І навпаки, за локального входу закриється віддалений сеанс. Якщо ж зайти локально під одним користувачем, а віддалено - під іншим, система завершить локальний сеанс.
Підключення по протоколу RDP здійснюється між комп'ютерами, що знаходяться в одній локальній мережі, або по інтернету, але для цього потрібні додаткові дії - прокидання порту 3389 на роутері, або з'єднання з віддаленим комп'ютером VPN.
Щоб підключитися до віддаленого робочого стола в Windows 10 , можна дозволити віддалене підключення в «Параметри - Система - Віддалений робочий стіл» та вказати користувачів, яким потрібно надати доступ, або створити окремого користувача для підключення. За промовчанням доступ мають поточний користувач та адміністратор. У віддаленій системі запустіть утиліту для підключення.
Натисніть Win+R, введіть MSTSC та натисніть Enter. У вікні введіть IP-адресу або ім'я комп'ютера, виберіть "Підключити", введіть ім'я користувача та пароль. Відобразиться екран віддаленого комп'ютера.
При підключенні до віддаленого робочого стола через командний рядок (MSTSC) можна встановити додаткові параметри RDP:
| Параметр | Значення |
| /v:<сервер[: порт]> |
Віддалений комп'ютер, до якого підключено. |
| /admin |
Підключення до сеансу адміністрування сервера. |
| /edit |
Редагування файлу RDP. |
| /f |
Запустити віддалений робочий стіл на повному екрані. |
| /w:<ширина> |
Ширина вікна віддаленого робочого столу. |
| /h:<высота> |
Висота вікна віддаленого робочого столу. |
| /public |
Запустити віддалений робочий стіл у загальному режимі. |
| /span |
Зіставлення ширини та висоти віддаленого робочого столу з локальним віртуальним робочим столом та розгортання на кілька моніторів. |
| /multimon |
Настроювання розміщення моніторів сеансу RDP відповідно до поточної конфігурації на стороні клієнта. |
| /migrate |
Міграція файлів підключення попередніх версій до нових RDP-файлів. |
Для Mac OS компанія Microsoft випустила офіційний RDP-клієнт, який стабільно працює при підключенні до будь-яких версій Windows. У Mac OS X для підключення до комп'ютера Windows потрібно завантажити з App Store програму Microsoft Remote Desktop. У ньому кнопкою «Плюс» можна додати віддалений комп'ютер: введіть його IP-адресу, ім'я користувача та пароль. Подвійне клацання на ім'я віддаленого робочого стола у списку підключення відкриє робочий стіл Windows.
На смартфонах та планшетах під Android та iOS потрібно встановити програму Microsoft Remote Desktop («Віддалений робочий стіл Майкрософт») та запустити її. Виберіть «Додати», введіть параметри підключення - IP-адресу комп'ютера, логін та пароль для входу в Windows. Ще один спосіб - прокидання на роутері порту 3389 на IP-адресу комп'ютера та підключення до публічної адреси роутера із зазначенням цього порту. Це робиться за допомогою опції Port Forwarding роутера. Виберіть Add та введіть:
Name: RDP Тип: TCP & UDP Start port: 3389 End port: 3389 Server IP: IP-адреса комп'ютера для підключення.
А що щодо Linux? RDP – закритий протокол Microsoft, вона не випускає RDP-клієнтів для ОС Linux, але можна скористатися клієнтом Remmina. Для користувачів Ubuntu є спеціальні репозиторії з Remmina та RDP.
Протокол RDP також використовується для підключення до віртуальних машин Hyper-V. На відміну від вікна підключення гіпервізора, при підключенні RDP віртуальна машина бачить різні пристрої, приєднаних до фізичного комп'ютера, підтримує роботу зі звуком, дає більш якісне зображення робочого столу гостьової ОС і т.д.
Налаштування іншої функціональності віддаленого доступу
У вікні підключення до віддаленого комп'ютера є вкладки з параметрами, що настроюються.Подробиці налаштування віддаленого робочого стола у Windows 10 – це відео. А тепер повернемось до безпеки RDP.
Як «викрасти» сеанс RDP?
Чи можна перехоплювати сеанси RDS? І як від цього захищатись? Про можливість викрадення RDP-сесії в Microsoft Windows відомо з 2011 року, а рік тому дослідник Олександр Корзніков у своєму блозі детально описав методики викрадення. Виявляється, існує можливість підключитися до будь-якої запущеної сесії у Windows (з будь-якими правами), будучи залогіненим під будь-якою іншою.Деякі прийоми дають змогу перехопити сеанс без логіна-паролю. Потрібен лише доступ до командного рядка NT AUTHORITY/SYSTEM. Якщо ви запустите tscon.exe як користувач SYSTEM, то зможете підключитися до будь-якої сесії без пароля. RDP не запитує пароль, він просто підключає вас до робочого столу користувача. Ви можете, наприклад, зробити дамп пам'яті сервера та отримати паролі користувачів. Простим запуском tscon.exe з номером сеансу можна отримати робочий стіл вказаного користувача без зовнішніх інструментів. Таким чином за допомогою однієї команди маємо зламаний сеанс RDP. Можна також використовувати утиліту psexec.exe, якщо вона була попередньо встановлена:
Psexec -s \\ localhost cmd
Або ж можна створити службу , яка буде підключати обліковий запис, що атакується, і запустити її, після чого ваша сесія буде замінена цільовою. Ось деякі зауваження про те, як далеко це дозволяє зайти:
- Ви можете підключитися до вимкнених сеансів. Тому, якщо хтось вийшов із системи кілька днів тому, ви можете просто підключитися прямо до його сеансу та почати використовувати його.
- Можна розблокувати заблоковані сеанси. Тому, поки користувач знаходиться далеко від робочого місця, ви входите в його сеанс, і він розблокується без будь-яких облікових даних. Наприклад, співробітник входить у свій обліковий запис, потім відлучається, заблокувавши обліковий запис (але не вийшовши з нього). Сесія активна і всі програми залишаться в колишньому стані. Якщо системний адміністратор входить у свій обліковий запис на цьому ж комп'ютері, то отримує доступ до облікового запису співробітника, а отже, до всіх запущених програм.
- Маючи права локального адміністратора, можна атакувати обліковий запис із правами адміністратора домену, тобто. вищими, ніж права атакуючого.
- Можна підключитись до будь-якої сесії. Якщо, наприклад, це Helpdesk, можна підключитися до неї без будь-якої аутентифікації. Якщо це адміністратор домену, ви станете адміном. Завдяки можливості підключатися до вимкнених сеансів ви отримуєте простий спосіб переміщення по мережі. Таким чином, зловмисники можуть використовувати ці методи для проникнення, так і для подальшого просування всередині мережі компанії.
- Ви можете використовувати експлойти win32k, щоб отримати дозволи SYSTEM, а потім задіяти цю функцію. Якщо патчі не застосовуються належним чином, це доступно навіть звичайному користувачеві.
- Якщо ви не знаєте, що відстежувати, то взагалі не знатимете, що відбувається.
- Метод працює віддалено. Ви можете виконувати сеанси на віддалених комп'ютерах, навіть якщо не зайшли на сервер.
Нарешті, розглянемо, як видалити підключення до віддаленого робочого столу. Це корисна міра потрібна, якщо потреба у віддаленому доступі зникла, або потрібно заборонити підключення сторонніх до віддаленого робочого столу. Відкрийте «Панель управління – Система та безпека – Система». У лівій колонці клацніть "Налаштування віддаленого доступу". У розділі «Віддалений робочий стіл» виберіть пункт «Не дозволяти підключення до цього комп'ютера». Тепер ніхто не зможе підключитись до вас через віддалений робочий стіл.
На завершення – ще кілька лайфхаків, які можуть стати в нагоді при роботі з віддаленим робочим столом Windows 10, та й просто при віддаленому доступі.
Як бачите, рішень та можливостей, які відкриває віддалений доступ до комп'ютера, безліч. Не випадково ним користується більшість підприємств, організацій, установ та офісів. Цей інструмент корисний не тільки системним адміністраторам, а й керівникам організацій, а й простим користувачам віддалений доступ також дуже корисний. Можна допомогти полагодити або оптимізувати систему людині, яка в цьому не розуміється, не встаючи зі стільця, передавати дані або отримати доступ до потрібних файлів, перебуваючи у відрядженні або у відпустці в будь-якій точці світу, працювати за офісним комп'ютером з дому, керувати своїм віртуальним сервером і і т.д.
P.S. Ми шукаємо авторів для нашого блогу на Хабрахабрі.
Якщо у вас є технічні знання щодо роботи з віртуальними серверами, ви вмієте пояснити складні речі простими словами, тоді команда RUVDS буде рада працювати з вами, щоб опублікувати вашу посаду на Хабрахабрі. Подробиці за посиланням.
Теги: Додати теги
Ця стаття відкриває цикл статей, присвячених пристрою та безпеці протоколу RDP. У першій статті цього циклу аналізується пристрій, використання та основні технології, закладені в даний протокол.
Ця стаття відкриває цикл статей, присвячених пристрою та безпеці протоколу RDP. У першій статті цього циклу аналізується пристрій, використання та основні технології, закладені в даний протокол.
У наступних статтях будуть детально розглянуті такі питання:
- Робота підсистеми безпеки Remote Desktop
- Формат обміну службовою інформацією у RDP
- Вразливі місця сервера терміналів та шляхи їх усунення
- Підбір облікових записів користувачів за протоколом RDP (розробки компанії Positive Technologies в даній галузі)
Історія появи RDP
Протокол Remote Desktop створений компанією Microsoft для забезпечення віддаленого доступу до серверів та робочих станцій Windows. Протокол RDP розрахований використання ресурсів високопродуктивного сервера терміналів багатьма менш продуктивними робочими станціями. Вперше сервер терміналів (версія 4.0) з'явився у 1998 році у складі Windows NT 4.0 Terminal Server, на момент написання статті (січень 2009 року) останньою версією термінального сервера є версія 6.1, включена до дистрибутивів Windows 2008 Server та Windows Vista SP1. В даний час RDP є основним протоколом віддаленого доступу для систем сімейства Windows, а клієнтські програми існують як для OC від Microsoft, так і Linux, FreeBSD, MAC OS X та ін.
Говорячи про історію появи RDP, не можна не згадати компанії Citrix. Citrix Systems у 1990-х роках спеціалізувалася на розрахованих на багато користувачів системах і технологіях віддаленого доступу. Після придбання ліцензії на вихідні коди Windows NT 3.51 в 1995 році ця компанія випустила розраховану на багато користувачів версію Windows NT, відому як WinFrame. У 1997 році Citrix Systems і Microsoft уклали договір, за яким розрахована на багато користувачів середовище Windows NT 4.0 базувалася на технологічних розробках Citrix. У свою чергу Citrix Systems відмовилася від поширення повноцінної операційної системи та отримувала право на розробку та реалізацію розширень для продуктів Microsoft. Дані розширення спочатку називалися MetaFrame. Права на ICA (Independent Computing Architecture), прикладний протокол взаємодії тонких клієнтів із сервером програм Citrix, залишилися за Citrix Systems, а протокол Microsoft RDP будувався на базі ITU T.120.
В даний час основна конкурентна боротьба між Citrix і Microsoft розгорілася в області додаткових серверів для малого і середнього бізнесу. Зазвичай рішення з урахуванням Terminal Services виграють у системах з невеликою кількістю однотипних серверів і подібних змін, тоді як Citrix Systems міцно влаштовувалася над ринком складних і високопродуктивних систем. Конкуренція підігрівається випуском полегшених рішень для невеликих систем Citrix і постійним розширенням функціоналу Terminal Services з боку Microsoft.
Розглянемо переваги цих рішень.
Сильні сторони Terminal Services:
- Простота установки додатків для клієнтської частини сервера додатків
- Централізоване обслуговування сесій користувача
- Необхідність ліцензії лише на Terminal Services
Сильні сторони рішень Citrix:
- Простота масштабування
- Зручність адміністрування та моніторингу
- Політика розмежування доступу
- Підтримка корпоративних продуктів сторонніх розробників (IBM WebSphere, BEA WebLogic)
Пристрій мережі, яка використовує Terminal Services
Microsoft передбачає два режими використання протоколу RDP:
- для адміністрування (Remote administration mode)
- для доступу до сервера програм (Terminal Server mode)
RDP у режимі адміністрування
Цей вид з'єднання використовується всіма сучасними операційними системами Microsoft. Серверні версії Windows підтримують одночасно два віддалених підключення та один локальний вхід у систему, тоді як клієнтські - лише один вхід (локальний чи віддалений). Для дозволу віддалених підключень потрібно увімкнути віддалений доступ до робочого столу у властивостях робочої станції.
RDP у режимі доступу до сервера терміналів
Цей режим доступний лише у серверних версіях Windows. Кількість віддалених підключень у цьому випадку не лімітується, але потрібне налаштування сервера ліцензій (License server) та його подальша активація. Сервер ліцензій може бути встановлений як сервер терміналів, і окремий мережевий вузол. Можливість віддаленого доступу до сервера терміналів відкривається лише після встановлення відповідних ліцензій на License server.
При використанні кластера термінальних серверів та балансування навантаження потрібне встановлення спеціалізованого сервера підключень (Session Directory Service). Даний сервер індексує сесії користувача, що дозволяє виконувати вхід, а також повторний вхід на термінальні сервери, що працюють у розподіленому середовищі.
Принцип роботи RDP
Remote Desktop є прикладним протоколом, що базується на TCP. Після встановлення з'єднання на транспортному рівні ініціалізується RDP-сесія, в рамках якої узгоджуються різні параметри передачі даних. Після успішного завершення фази ініціалізації сервер терміналів починає передавати клієнту графічний висновок і чекає на вхідні дані від клавіатури та миші. Як графічний висновок може виступати як точна копія графічного екрану, що передається як зображення, так і команди на малювання графічних примітивів (прямокутник, лінія, еліпс, текст та ін.). Передача виведення за допомогою примітивів є пріоритетною для протоколу RDP, оскільки значно заощаджує трафік; а зображення передається лише в тому випадку, якщо інше неможливе з будь-яких причин (не вдалося погодити параметри передачі примітивів під час встановлення RDP-сесії). RDP-клієнт обробляє отримані команди та виводить зображення за допомогою своєї графічної підсистеми. Введення за замовчуванням передається за допомогою скан-кодів клавіатури. Сигнал натискання та відпускання клавіші передається окремо за допомогою спеціального прапорця.
RDP підтримує кілька віртуальних каналів у межах одного з'єднання, які можуть використовуватися для забезпечення додаткового функціоналу:
- використання принтера або послідовного порту
- перенаправлення файлової системи
- підтримка роботи з буфером обміну
- використання аудіо-підсистеми
Характеристики віртуальних каналів узгоджуються на етапі встановлення з'єднання.
Забезпечення безпеки під час використання RDP
Специфікація протоколу RDP передбачає використання одного з двох підходів до безпеки:
- Standard RDP Security (вбудована підсистема безпеки)
- Enhanced RDP Security (зовнішня підсистема безпеки)
Standard RDP Security
При цьому підході автентифікація, шифрування та забезпечення цілісності реалізується засобами, закладеними в протоколі RDP.
Аутентифікація
Аутентифікація сервера виконується так:
- При старті системи генерується пара RSA-ключів
- Створюється сертифікат (Proprietary Certificate) відкритого ключа
- Сертифікат підписується RSA-ключом, зашитим в операційну систему (будь-який RDP-клієнт містить відкритий ключ даного вбудованого RSA-ключа).
- Клієнт підключається до сервера терміналів та отримує Proprietary Certificate
- Клієнт перевіряє сертифікат та отримує відкритий ключ сервера (цей ключ використовується надалі для узгодження параметрів шифрування)
Аутентифікація клієнта проводиться при введенні імені користувача та пароля.
Шифрування
Як алгоритм шифрування обраний потоковий шифр RC4. Залежно від версії операційної системи, доступні різні довжини ключа від 40 до 168 біт.
Максимальна довжина ключа для операційних систем Winodws:
- Windows 2000 Server – 56 біт
- Windows XP, Windows 2003 Server – 128 біт
- Windows Vista, Windows 2008 Server – 168 біт
При установці з'єднання після узгодження довжини генерується два різні ключі: для шифрування даних від клієнта та сервера.
Цілісність
Цілісність повідомлення досягається застосуванням алгоритму генерації MAC (Message Authentication Code) з урахуванням алгоритмів MD5 і SHA1.
Починаючи з Windows 2003 Server, для забезпечення сумісності з вимогами стандарту FIPS (Federal Information Processing Standard) 140-1 можливе використання алгоритму 3DES для шифрування повідомлень та алгоритму генерації MAC, який використовує лише SHA1, для забезпечення цілісності.
Enhanced RDP Security
У цьому підході використовуються зовнішні модулі безпеки:
- TLS 1.0
- CredSSP
Протокол TLS можна використовувати, починаючи з версії Windows 2003 Server, але тільки якщо його підтримує клієнт RDP. Підтримка TLS додана, починаючи з RDP-клієнта версії 6.0.
У разі використання TLS сертифікат сервера можна генерувати засобами Terminal Sercives або вибирати існуючий сертифікат зі сховища Windows.
Протокол CredSSP є поєднанням функціоналу TLS, Kerberos і NTLM.
Розглянемо основні переваги протоколу CredSSP:
- Перевірка дозволу на вхід у віддалену систему до встановлення повноцінного RDP-з'єднання, що дозволяє заощаджувати ресурси сервера терміналів за великої кількості підключень
- Надійна автентифікація та шифрування за протоколом TLS
- Використання одноразового входу до системи (Single Sign On) за допомогою Kerberos або NTLM
Можливості CredSSP можна використовувати лише в операційних системах Windows Vista та Windows 2008 Server. Цей протокол включається прапором Use Network Level Authentication у налаштуваннях сервера терміналів (Windows 2008 Server) або у налаштуваннях віддаленого доступу (Windows Vista).
Схема ліцензування Terminal Services
У разі використання RDP для доступу до програм у режимі тонкого клієнта потрібне налаштування спеціалізованого сервера ліцензій.
Постійні ліцензії клієнта можуть бути встановлені на сервер тільки після проходження процедури активації, до її проходження можлива видача тимчасових ліцензій, лімітованих за терміном дії. Після активації сервера ліцензій надається цифровий сертифікат, що підтверджує його приналежність і справжність. Використовуючи цей сертифікат, сервер ліцензій може здійснювати подальші транзакції з базою даних Microsoft Clearinghouse і приймати постійні ліцензії клієнта для сервера терміналів.
Види клієнтських ліцензій:
- тимчасова ліцензія (Temporary Terminal Server CAL)
- ліцензія на пристрій (Device Terminal Server CAL)
- ліцензія на користувача (User Terminal Server CAL)
- ліцензія для зовнішніх користувачів (External Terminal Server Connector)
Тимчасова ліцензія
Даний вид ліцензії видається клієнту при першому підключенні до сервера терміналів термін дії ліцензії 90 днів. При успішному вході клієнт продовжує працювати з тимчасовою ліцензією, а при наступному підключенні сервер терміналів намагається замінити тимчасову ліцензію на постійну, при її наявності в сховищі.
Ліцензія "на пристрій"
Ця ліцензія видається для кожного фізичного пристрою, що підключається до сервера програми. Термін дії ліцензії встановлюється випадково у проміжку від 52 до 89 днів. За 7 днів до закінчення терміну дії сервер терміналів намагається оновити ліцензію із сервера ліцензій при кожному новому підключенні клієнта.
Ліцензія «на користувача»
Ліцензування на користувача забезпечує додаткову гнучкість, дозволяючи користувачам підключатися з різних пристроїв. У поточній реалізації Terminal Services немає засобів контролю використання користувацьких ліцензій, тобто. кількість доступних ліцензій на сервері ліцензій не зменшується при підключенні нових користувачів. Використання недостатньої кількості ліцензій на підключення клієнтів порушує ліцензійну угоду з компанією Microsoft. Щоб одночасно використовувати на одному сервері терміналів клієнтські ліцензії для пристроїв та користувачів, сервер повинен бути налаштований для роботи в режимі ліцензування «на користувача».
Ліцензія для зовнішніх користувачів
Це спеціальний вид ліцензії, який призначений для підключення зовнішніх користувачів до корпоративного сервера терміналів. Ця ліцензія не накладає обмежень на кількість підключень, однак, відповідно до угоди (EULA), сервер терміналів для зовнішніх підключень повинен бути виділеним, що не допускає його використання для обслуговування сесій від корпоративних користувачів. Через високу ціну даний вид ліцензії не набув широкого поширення.
Для сервера ліцензій може бути встановлена одна з двох ролей:
- Сервер ліцензій для домену або робочої групи (Domain or Workgroup License server)
- Сервер ліцензій підприємства (Entire Enterprise License Server)
Ролі відрізняються способом виявлення сервера ліцензій: під час використання ролі Enterprise термінальний сервер виконує пошук сервера ліцензії за каталогом ActiveDirectory, інакше пошук виконується з допомогою широкомовного NetBIOS- запроса. Кожен знайдений сервер перевіряється на коректність за допомогою RPC-запиту.
Перспективні технології Terminal Services
Рішення для серверів програм активно просуваються компанією Microsoft, розширюється функціонал, вводяться додаткові модулі. Найбільшого розвитку набули технології, що спрощують встановлення додатків та компоненти, відповідальні за роботу сервера терміналів у глобальних мережах.
У Terminal Services для Windows 2008 Server введено такі можливості.
Маємо:усередині невеликої корпоративної мережі знаходиться Windows 2003 Server з 1C: Бухгалтерією.
Завдання:налаштувати підключення до даного серверу з інтернету, щоб бухгалтери з будь-якої точки світу, де є інтернет, могли з ним працювати.
Так як тлумачного матеріалу з цього питання мало і доводилося багато нюансів «нагуглювати» по крихтах і був написаний цей пост.
1. Вирішення проблеми динамічної ip-адреси
Так як провайдери в більшості випадків надають статичну IP-адресу за окремі гроші, у цієї проблеми є кілька рішень:
- Доплачувати провайдеру за надання статичної ip-адреси. Даний спосіб найнадійніший тому що ми не залежимо від жодних сторонніх сервісів (див. наступний пункт).
- Динамічний DNS(Dynamic DNS, Static DNS for Your Dynamic IP) – за допомогою даного сервісу призначаємо нашому пристрою з динамічною ip-адресою (в даному випадку роутеру) постійне доменне ім'я.
- Впізнаватибудь-яким чином діюча в даний момент ip-адреса. Проблематичність цього способу залежить від того, наскільки складно його дізнатися і як часто він змінюється.
Для себе ми вибрали другий спосіб – з динамічним DNS. Благо сервісів, які безкоштовно надають таку послугу, поки що достатньо:
1. Реєструємося на сайті no-ip.com та натискаємо кнопку «Додати пристрій» (Add a Host)
2. Вигадуємо ім'я, вибираємо безкоштовний домен та натискаємо кнопку «Створити домен» (Create Host)
2. Прив'язка до роутера динамічного DNS
Нам пощастило, роутер D-Link DIR-615 має вбудовану підтримку динамічного DNS. Ідемо на відповідну сторінку "Tools" - "DYNAMIC DNS".
Налаштовуємо прив'язку динамічного DNS до роутера D-link DIR-615
Enable dynamic DNS- Ставимо галочку
Server address- адреса сервера, що надав динамічний ДНР (у нашому випадку це « dynupdate.no-ip.com»)
Host Name— доменне ім'я, яке ми вибрали собі
Username or Key— ім'я користувача, яке ми вибрали при реєстрації на сайті No-IP.com
Password or Key— пароль, який ми вибрали при реєстрації на сайті No-IP.com
Verify Password or Key- повторити пароль
Timeout- залишаємо як є (576)
Через 15-20 хвилин після реєстрації Statusзміниться на Connected, Що означає, що прив'язка пройшла успішно!
Налаштовуємо прив'язку динамічного DNS до роутера TP-LINK: Вибираємо зі списку наш сервіс-провайдер (No-IP), вводимо ім'я користувача, пароль та доменне ім'я, отримані під час його реєстрації
3. Відкриваємо доступ до сервера з Інтернету
Тепер нам необхідно перенаправити людей, що підключаються до сервера, від роутера до самого сервера. Для цього необхідно на роутер здійснити переадресацію порту 3389 (саме він використовується для RDP-підключень) на сервер. Заходимо на роутері "ADVANCED" - "Virtual Server":
Name- будь-яке
Public Port — 3389
Protocol- Both (обидва)
Schedule- Always (завжди)
IP Address- 192.168.0.102 (ip-адреса сервера терміналів у мережі)
Private Port— 3389
Inbound Filter- Allow All (дозволити все)
Важливо!Для успішного застосування цієї операції необхідно перезавантажувати роутер. Просте натискання кнопки Save Settings результату не дає.
Те саме для роутерів TP-LINK: Переадресація — Віртуальні сервери — Додати нову…
Бажанопрописати на сервері власні налаштування ip-адреси, щоб при наступному перезавантаженні він не змінився і переадресація порту не «пішла в порожнечу»:
Висновок
Якщо все зроблено правильно, то спроба підключення віддаленого робочого столу з будь-якої точки світу:
завершиться успішно:
P.S.
Корисне посилання:як встановити та налаштувати зв'язок Windows 2003 Server + Сервер терміналів + 1C Підприємство 7.7.
Якщо ж у Вас підвищені вимогидо стабільності та безпеки роботи, цілодобової підтримки технічними фахівцями, Ви можете замовити розміщення серверів у датацентрі. У такому разі багато з вищеперелічених питань відпадуть самі собою.
Налаштовуємо RDP (remote desktop protocol) - віддалений робочий стіл
Якщо у Вас є професійна або максимальна версія — Ви можете налаштувати вхід на свій ПК через віддалений робочий стіл. Для цього потрібно зробити кілька речей.
- дозволити вхід через віддалений робочий стіл (для молодших версій цього меню немає) 
— додати користувачів, які мають право працювати через віддалений робочий стіл (зазвичай Windows автоматично додає поточного користувача)
Як запустити Видалений робочий стіл у Windows 7?
Все через кнопку "Пуск":
Набираємо в пошуковому рядку «Підключення до віддаленого робочого столу» (смішно - саме так, через рядок «Пошук» рекомендує MicroSoft -> відкриється в новій вкладці) або «mstsc.exe» - власне сама програма так називається
Або через папку «Стандартні» у програмах. Не у всіх версіях Windows є, наприклад, у Windows 7 Started (так, та сама з програмним обмеженням ОЗУ в 2 Гб) такої папки немає.
Після запуску отримуємо форму налаштувань віддаленого робочого столу, нам потрібен розгорнутий варіант (з параметрами)
На спільній вкладці налаштовуємо:
Комп'ютер — або IP-адреса або назва комп'ютера
Користувач - користувач, під яким входитимемо на віддалений ПК
На вкладці «Локальні ресурси» вибираємо, чи будуть доступні принтери основного комп'ютера і буфер обміну.
Якщо у Вас всі ПК у локальній локальній мережі (тобто швидкість мережі не критична) — можна на вкладці «Додатково» використовувати фоновий малюнок робочого столу віддаленого ПК.
Ну от, начебто всі налаштували — повертаємось на першу вкладку, зберігаємо як ярлик — пробуємо підключитись.
Результат: (
Основні причини такої ситуації:
- віддалений ПК має IP-адресу, призначену йому роутером через DHCP, вона періодично змінюється. Необхідно у властивості адаптера прописати фіксовану IP-адресу
- забули дозволити віддалений доступ через «Властивості» комп'ютера
- віддалений доступ дозволили, але забули вказати користувача, якому можна входити
- забороняє брендмаузер Windows, необхідно додати «віддалений робочий стіл» у виключення
- Ви зробили віддалену перезавантаження ПК і до входу локального користувача віддалений робочий стіл не працюватиме
У більшості випадків Windows 7 все це має зробити сама (додати поточного користувача, дозволити в брендмаузері та ін), але не завжди це працює. Тобто. наприклад, «Видалений робочий стіл» до списку програм у бредмаузері доданий, але галочка не встановлена: (Треба все самому перевірити.
Додаткові параметри віддаленого робочого столу.
1. Існує необхідність перезавантажувати ПК через віддалений робочий стіл. Сама перезавантаження - це не проблема - або через диспетчер завдань або через Alt F4. (У кнопці «Пуск» цієї можливості не буде). Але до входу локального користувача віддалений робочий стіл не підключатиметься. А якщо ПК стоїть у темній кімнаті, де немає жодних локальних користувачів?
Тут сюрприз - потрібно створювати ярлик для віддаленого робочого столу через командний рядок з параметром /admin
Ось так: mstsc.exe /admin
Візуально налаштування ярлика буде такою самою — але система пускатиме через віддалений робочий стіл після перезавантаження віддаленого ПК.
Ось повний перелік параметрів запуску віддаленого робочого столу з командного рядка
2. При необхідності дозволити вхід без пароля (вкрай не рекомендується для корпоративного сегменту)
меню "Пуск" - виконати - gpedit.msc (редактор політик) - "конфігурація комп'ютера" - "конфігурація windows" - "локальні політики" - "параметри безпеки" - "обмежити використання порожніх паролів ....." - "відключено" 
Так, на молодших версіях Windows, звичайно, gpedit.msc не запускається (немає цієї настройки)
— Усі побутові версії Windows дозволяють працювати на ПК лише одному користувачеві (при вході нового користувача поточний користувач буде закрито) на відміну від серверних варіантів. Це ліцензійне обмеження, але вихід є. Небагато шаманства - і все працює, дивитися (відкриття в новому вікні)
3. Автоматичний вхід зі збереженим логіном та паролем
Є чарівна галочка "Дозволити мені зберігати облікові дані". Якщо запустити зміну ще раз — галочка зміниться на «Завжди вимагати облікові дані»
Отримуємо запит на введення даних, вони зберігаються, вхід на віддалену машину працює тільки на кліку на ярлик.
А якщо облікові дані не зберігаються (у Windows 7 і більше)?
Або отримуємо попередження «Системний адміністратор заборонив використовувати збережені облікові дані для входу в систему віддаленого комп'ютера, тому що його справжність не повністю перевірена. Введіть нові облікові дані.»
Що робити?
Справа в тому, що в останніх версіях Windows пароль зберігається не в rdp-файлі, а в окремому сховищі (Credential Manager - Диспетчер облікових даних). Як мінімум — у групових політиках мають бути відключені такі параметри:
- Конфігурація користувача - Адміністративні шаблони - Компоненти Windows - Служби віддалених робочих столів - Клієнт підключення до віддаленого робочого столу - Заборонити збереження паролів;
- Конфігурація комп'ютера - Адміністративні шаблони - Компоненти Windows - Служби віддалених робочих столів - Клієнт підключення до віддаленого робочого столу - Заборонити збереження паролів.
Ось можна (відкриється у новому вікні)
4. Іноді під час підключення Ви бачите таку картину – «не вдається перевірити справжність віддаленого комп'ютера»
Автентифікація була додана з Windows XP SP3. Але вона там відключена за замовчуванням (на Wibdows Vista вже включено).
Як увімкнути автентифікацію віддаленого комп'ютера на Windows XP SP3?
Ідемо до реєстру regedit.exe (Виконати)
Гілка HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Відкриваємо параметр Security Packages і шукаємо там слово tspkg. Якщо його немає, додаємо до існуючих параметрів.
Гілка HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
Відкриваємо параметр SecurityProviders та додаємо до вже існуючих провайдерів credssp.dll, якщо така відсутня.
Закриваємо редактор реєстру. Перезавантажуємось.
Якщо цього не зробити, то при спробі підключення комп'ютер запросить у нас ім'я користувача та пароль, але замість віддаленого робочого столу відповість:
Підключення до віддаленого робочого столу
Помилка при автентичності(код 0×507)
5. При підключенні з'являється попередження системи безпеки Windows
"Не вдається визначити видавця цього віддаленого підключення"
Це означає, що rdp файл не захищений підписаним сертифікатом. Для локальної мережі нічого страшного тут немає, можна поставити галочку "Більше не виводити запит ..."
Сама система безпеки працює в такий спосіб. Параметр політики дозволяє вказати, чи користувачі можуть запускати на клієнтському комп'ютері непідписані файли протоколу віддаленого робочого столу (RDP) та RDP-файли, отримані від невідомих видавців.
Якщо цей параметр політики увімкнено або не настроєно, користувачі можуть запускати на клієнтському комп'ютері непідписані RDP-файли та RDP-файли, отримані від невідомих видавців. Перед початком сеансу RDP користувач отримає попередження та запит на підтвердження підключення.
Якщо цей параметр політики вимкнено, користувачі не можуть запускати на клієнтському комп'ютері непідписані RDP-файли та RDP-файли, отримані від невідомих видавців. Якщо користувач спробує розпочати сеанс RDP, він отримає повідомлення про блокування видавця.
Підтримується:Не нижче Windows Vista з пакетом оновлень 1 (SP1)
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| Value Name | AllowUnsignedFiles |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |
Файл Default.rdp
Власне це саме файл, а не ярлик віддаленого робочого столу. Цей налаштований файл можна переслати іншому користувачеві, він його збереже і все буде працювати.
Більше того, це простий текстовий файл, у якому зберігаються всі налаштування віддаленого підключення, і цей файл можна відкрити Блокнотом. До речі, частина параметрів не редагується через стандартні параметри, їх можна вписати руками.
screen mode id:i:- 1 - віддалений сеанс виконується у віконному режимі, 2 - у повноекранному режимі. Редагується на вкладці ”Екран” вікна ”Параметри” засобу ”Підключення до віддаленого робочого столу”.
use multimon:i:- 0 - заборона підтримки кількох моніторів, 1 - дозвіл підтримки кількох моніторів. Може використовуватися у Windows 7/Windows Server 2008 та пізніших версіях.
desktopwidth:i:- Ширина робочого столу. Вибирається на вкладці ”Екран” вікна ”Параметри” засобу ”Підключення до віддаленого робочого столу”.
desktopheight:i:- Висота робочого столу. Вибирається на вкладці ”Екран” вікна ”Параметри” засобу ”Підключення до віддаленого робочого столу”.
session bpp:i:- Глибина кольору. Вибирається у групі ”Кольори” на вкладці ”Екран” вікна ”Параметри” засобу ”Підключення до віддаленого робочого столу”.
winposstr:s:— позиція та розміри вікна у форматі WINDOWPOS
compression:i:- 0 - не використовувати стиснення даних, 1 - використовувати.
keyboardhook:i:— Визначає, як інтерпретуються клавіші Windows. Значення цього параметра відповідає налаштуванню у полі ”Клавіатура” на вкладці ”Локальні ресурси” вікна ”Параметри засобу ”Підключення до віддаленого робочого столу”. 0 – на локальному комп'ютері. 1 — на віддаленому комп'ютері. 2 — лише у повноекранному режимі.
audiocapturemode:i:- Визначає, де відтворюється звук. Значення цього параметра відповідає параметрам ”Віддалений звук” на вкладці ”Локальні ресурси” вікна ”Параметри” засобу ”Підключення до віддаленого робочого столу”. 0 - на клієнтському комп'ютері. 1 — на віддаленому комп'ютері. 2 - звук не відтворюється.
videoplaybackmode:i:- 0 - не використовувати RDP efficient multimedia streaming під час відтворення відео. 1 - використовувати.
connection type:i: 2 - тип з'єднання для досягнення максимальної швидкодії. Відповідає параметрам ”Швидкодія” на вкладці ”Додатково” вікна ”Параметри” засобу ”Підключення до віддаленого робочого столу” Визначається типом вибраної швидкості з'єднання.
displayconnectionbar:i:— Відображення панелі підключень під час входу до системи віддаленого комп'ютера у повноекранному режимі. Значення цього параметра відповідає стану прапорця ”Відображати панель підключень під час роботи на повному екрані” на вкладці ”Екран” вікна ”Параметри” засобу ”Підключення до віддаленого робочого столу”. 0 — не відображатиме панель підключень. 1 — Відобразити панель підключень.
disable wallpaper:i:- Заборона відображення фонового малюнка віддаленого робочого столу. Відповідає налаштуванням у групі ”Швидкодія”- прапорець ”Фоновий малюнок робочого столу” на вкладці ”Додатково” вікна ”Параметри” засобу ”Підключення до віддаленого робочого столу”. 0 — Відображення фонового малюнка. 1 – не відображати фоновий малюнок.
allow font smoothing:i:- Дозвіл згладжування шрифтів. Відповідає настройкам у групі ”Швидкодія” - прапорець ”Згладжування шрифтів” на вкладці ”Додатково” вікна ”Параметри” засобу ”Підключення до віддаленого робочого столу”. 0 – не використовувати згладжування. 1 - використовувати.
allow desktop composition:i: 0 — Відповідає настройкам у групі ”Швидкодія” – прапорець ”Згладжування шрифтів” на вкладці ”Додатково” вікна ”Параметри” засобу ”Підключення до віддаленого робочого столу”. 0 – не використовувати згладжування. 1 - використовувати.
disable full window drag:i:— Відображення вмісту папки під час перетягування. Значення цього параметра відповідає стану прапорця ”Відображати вміст вікна під час перетягування” на вкладці ”Додатково” вікна ”Параметри” засобу ”Підключення до віддаленого робочого столу”. 0 — Відображення вмісту під час перетягування. 1 – не відображати.
disable menu anims:i:- Заборона візуальних ефектів. Значення цього параметра відповідає стану прапорця ”Візуальні ефекти при відображенні меню та вікон” на вкладці ”Додатково” вікна ”Параметри”. 0 – використовувати візуальні ефекти, 1 – не використовувати.
disable themes:i:- Заборона використання тем. 0 – використовувати теми. 1 – не використовувати теми.
disable cursor setting:i:0- Заборона налаштувань курсору. 0 — Дозволяє налаштувати курсор. 1 - заборонена.
bitmapcachepersistenable:i:1- Кешування точкових малюнків на локальному комп'ютері. Значення цього параметра відповідає стану прапорця ”Постійне кешування точкових малюнків” на вкладці ”Додатково” вікна ”Параметри”. 0 – не використовувати кешування. 1 - використовувати кешування.
full address:s:— Ім'я або IP-адреса віддаленого комп'ютера, до якого підключено RDP. При необхідності, можна вказати номер порту, що використовується TCP.
audiomode:i:- Визначає, де відтворюється звук. Значення цього параметра відповідає запису у полі ”Віддалений звук” на вкладці ”Локальні ресурси” вікна ”Параметри”. 0 - на клієнтському комп'ютері. 1 На віддаленому комп'ютері. 2 — звук вимкнено.
redirectprinters:i:— Використовуйте принтери під час віддаленого сеансу. Значення цього параметра відповідає стану прапорця ”Принтери” на вкладці ”Локальні ресурси” вікна ”Параметри”. 0 – не використовувати локальні принтери під час віддаленого сеансу. 1 — Використовувати автоматичне підключення принтерів.
redirectcomports:i:— використання послідовних портів локального комп'ютера під час підключення до віддаленого робочого стола. 0 - не використовувати. 1 - використовувати.
redirectsmartcards:i:— Використовуйте смарт-картки локального комп'ютера під час підключення до віддаленого робочого стола. 0 - не використовувати. 1 - використовувати.
redirectclipboard:i:— використовувати спільний буфер обміну для локального та віддаленого комп'ютера. Значення цього параметра відповідає стану прапорця ”Буфер обміну” на вкладці ”Локальні ресурси” вікна ”Параметри”. 0 – не використовувати спільний буфер обміну. 1 - використовувати.
redirectposdevices:i:— Перенаправлення пристроїв, які використовують Microsoft Point of Service (POS). 0 – не використовувати перенаправлення. 1 - використовувати.
redirectdirectx:i:- Перенаправлення DirectX. 0 - не використовувати перенаправлення DirectX. 1 - використовувати.
autoreconnection enabled:i:1— автоматичне підключення під час з'єднання з віддаленим комп'ютером. Значення цього параметра відповідає стану прапорця ”Відновити з'єднання під час розриву” на вкладці ”Додатково” вікна ”Параметри”. 0 – не використовувати автоматичне відновлення з'єднання. 1 - використовувати.
authentication level:i:— рівень автентифікації для віддаленого підключення. Визначає дії, якщо не вдається підтвердити справжність віддаленого комп'ютера. Визначається налаштуванням групи ”Перевірка автентичності сервера” на вкладці ”Підключення”. У Windows 10 – вкладці ”Підключення” відповідає вкладка ”Взаємодія”. 0 — якщо не вдалося підтвердити дійсність термінального сервера, підключатися без попередження. 1 - не підключатися. 2 - підключатися із попередженням.
prompt for credentials:i:— запит користувачеві на підтвердження облікових даних, якщо вони були збережені раніше. 0 — не вимагати облікові дані, якщо вони були попередньо збережені. 1 — завжди вимагати облікові дані.
negotiate security layer:i:- Рівень шифрування сесії RDP. 0 - сесія з шифруванням TLS 1.0 (SSL) буде використовуватись у разі підтримки клієнтом. Якщо клієнт не підтримує його, буде використовуватися стандартне вбудоване шифрування RDP. 1 - віддалена сесія буде використовувати шифрування x.224
remoteapplicationmode:i:— режим роботи з віддаленим програмним забезпеченням. 0 — режим роботи з віддаленим робочим столом. 1 — режим роботи з віддаленою програмою.
alternate shell: s:- Ім'я альтернативної оболонки користувача.
shell working directory:s:- Робочий каталог оболонки користувача.
gatewayhostname:s:- Ім'я сервера шлюзу віддалених робочих столів. Значення параметрів сервера шлюзу визначається групою ”Підключення з будь-якого місця” на вкладці ”Підключення” (для Windows 10 – на вкладці ”Додатково”).
gatewayusagemethod:i:4метод використання сервера шлюзу віддалених робочих столів. 0 – ніколи не використовувати сервер шлюзу віддалених робочих столів. 1 – завжди використовувати сервер шлюзу віддалених робочих столів. 2 – не використовувати сервер шлюзу віддалених робочих столів для локальних клієнтів. 3 — Використовувати стандартні настройки сервера шлюзу віддалених робочих столів. 4 — не використовувати сервер шлюзу віддалених робочих столів, але в налаштуванні ”Підключення з будь-якого місця” – ”Параметри” увімкнено прапорець ”Не використовувати сервер шлюзу віддалених робочих столів для локальних адрес”