Um das Sicherheitsniveau zu erhöhen Windows server, es reicht nicht aus Ändern Sie den TCP-Port RDP. Erwägen Sie die Konfiguration des Remote-Desktop-Gateways in der Active Directory-Domäne.
Remotedesktop-Gateway – was ist das?
Remotedesktop-Gateway ist ein Windows server Rolle, die über das SSL-Protokoll eine sichere Verbindung zum Server herstellt RDP. Der Hauptvorteil dieser Lösung besteht darin, dass Sie keine Bereitstellung durchführen müssen VPN Server, und dafür ist das Gateway gedacht.
Es ist zu beachten, dass beginnend mit Windows Server 2008 R2, die Namen aller Remotedesktopdienste wurden geändert. Die zuvor benannten Terminaldienste wurden in Remotedesktopdienste umbenannt.
Vorteile des Remotedesktop-Gateways
- Mithilfe einer verschlüsselten Verbindung ermöglicht das Gateway die Verbindung zu internen Netzwerkressourcen, ohne dass eine Verbindung erforderlich ist VPN Verbindung durch Remote-Benutzer;
- Das Gateway bietet die Möglichkeit, den Zugriff auf bestimmte Netzwerkressourcen zu steuern und so einen umfassenden Schutz zu realisieren;
- Das Gateway ermöglicht die Verbindung zu dahinter liegenden Netzwerkressourcen firewalls in privaten Netzwerken oder NAT;
- Mit der Gateway-Manager-Konsole können Sie Autorisierungsrichtlinien für bestimmte Bedingungen konfigurieren, die erfüllt sein müssen, wenn Remotebenutzer eine Verbindung zu Netzwerkressourcen herstellen. Beispielsweise können Sie bestimmte Benutzer angeben, die eine Verbindung zu internen Netzwerkressourcen herstellen können, und ob dies der Fall sein soll cliDer ent-Computer sollte Mitglied der AD-Sicherheitsgruppe sein, ob eine Umleitung des Geräts und der Festplatte zulässig ist;
- Die Gateway-Manager-Konsole enthält Tools zur Überwachung des Status des Gateways. Mit ihnen können Sie überwachte Ereignisse zur Überwachung zuweisen, beispielsweise fehlgeschlagene Versuche, eine Verbindung zum Terminaldienste-Gateway-Server herzustellen.
Wichtig! Das Terminaldienste-Gateway muss Teil einer Active Directory-Domäne sein. Die Gateway-Konfiguration wird nur im Auftrag des Domänenadministrators auf jedem Server in der Domäne durchgeführt.
Festlegen der Rolle.
Öffnen Sie den Servermanager.
Wählen Sie "Fügen Sie Rollen und Komponenten hinzu".
Auf der Bühne "Installationstyp", wählen "Rollen und Komponenten installieren".
Im nächsten Schritt wählen Sie den aktuellen Server aus.
Serverrolle -Remote-Desktop-Dienst.
Gehen Sie zum Rollendienst. Wählen "Remote-Desktop-Gateway".
Wir fahren mit dem Bestätigungsschritt fort. click das „Installieren".
Konfigurieren der Verbindungs- und Ressourcenautorisierungsrichtlinie.
Öffnen Sie im sich öffnenden Fenster, dem Remotedesktop-Gateway-Manager, im linken Teil des Fensters den Zweig mit dem Servernamen → Richtlinien → Verbindungsautorisierungsrichtlinien.
Wählen Sie im rechten Teil desselben Fensters aus Erstellen Sie eine neue Richtlinie → Assistent.
Im sich öffnenden Fenster erscheint „Assistent zum Erstellen neuer Autorisierungsrichtlinien“, wählen Sie die empfohlene Option „Erstellen Sie eine Richtlinie für die Autorisierung von Remote-Desktop-Verbindungen und die Autorisierung von Remote-Desktop-Ressourcen.“ Drücken Sie den Knopf "Weiter".
Geben Sie im nächsten Schritt einen passenden Namen für die Verbindungsautorisierungsrichtlinie ein. Wir empfehlen, Namen auf Englisch anzugeben.
Der nächste Schritt besteht darin, eine bequeme Authentifizierungsmethode auszuwählen – Passwort oder Chipkarte. In unserem Fall lassen wir nur „Passwort” geprüft. Dazu fügen wir Gruppen hinzu, die sich mit diesem RD-Gateway verbinden können. click das „Gruppe hinzufügen ...".
Im Gruppenauswahlfenster cliKlicken Sie auf die Schaltfläche „zusätzlich".
Die Größe des Fensters wird angepasst. Click das „Suche" Taste. In den Suchergebnissen finden wir „Administratoren der Domäne" und cliKlicken Sie auf die Schaltfläche „OK".
Überprüfen Sie im Gruppenauswahlfenster die ausgewählten Objektnamen und click“OK".
Die Gruppe wird hinzugefügt. Um zum nächsten Schritt zu gelangen, click das „Weiter".
Wählen Sie im nächsten Schritt „Aktivieren Sie die Geräteumleitung für alle cliHNO-Geräte“ und click"Weiter".
Timeouts festlegen – Ausfallzeit und Sitzungszeit, Werte werden in Stunden angegeben. Click“Weiter".
Überprüfen Sie die Einstellungen. Alles ist richtig - click“Weiter".
Konfigurieren Sie im nächsten Schritt die Ressourcenautorisierungsrichtlinie. Geben Sie den gewünschten Richtliniennamen an. Click“Weiter".
Der nächste Schritt besteht darin, die Gruppenzugehörigkeit festzulegen. Normalerweise ist die Gruppe bereits installiert. Ist dies jedoch nicht der Fall, sollten Sie die oben genannten Schritte ausführen. Click“Weiter".
Wir wählen verfügbare Netzwerkressourcen aus. Wählen Sie dazu die Gruppe aus, die die Server enthält, auf denen die benötigten Benutzergruppen mit Remotedesktop arbeiten könnten. Drücken Sie den Knopf "Überblick".
Im Gruppenauswahlfenster click das „zusätzlich".
Im geänderten Fenster click das „Suche" Taste. Im Ergebnisfenster finden wir „Domänencontroller".
Durch Anklicken von „OK".
Wir überprüfen die ausgewählten Objekte und click“OK".
Wir prüfen noch einmal, welche Netzwerkgruppe hinzugefügt wird und click“Weiter".
Besitzt das RDP Wenn sich die Portnummer nicht geändert hat, setzen Sie den Schalterwert auf „Erlauben Sie die Verbindung nur zu Port 3389“. Wenn der Port geändert wurde, geben Sie einen neuen Wert an.
Durch Anklicken von „Erledigt "
In der Phase der Bestätigung der Erstellung der Richtlinie, click das „Menu".
Am Ende der Einrichtung wird das Fenster ähnlich aussehen.
Installieren Sie das SSL-Zertifikat.
Im gleichen Fenster „Manager des Remote-Desktop-Gateways“, im linken Fenster, cliKlicken Sie auf das Serversymbol im Hauptteil des Fensters – „Eigenschaften anzeigen und ändern Zertifikat".
Im geöffneten Fenster „Eigenschaften “, gehen Sie auf den Reiter „SSL-Zertifikat“. Setzen Sie den Schalter „Selbstsigniertes Zertifikat erstellen“ und cliKlicken Sie auf die Schaltfläche „Zertifikat erstellen und importieren ...“.
Obwohl zwei weitere Optionen möglich sind:
- Import eines zuvor hochgeladenen Zertifikats (früher selbstsigniert oder von einem Drittanbieter);
- Laden Sie ein Zertifikat eines Drittanbieters (z. B. Comodo) herunter und importieren Sie es.
Im Fenster "Erstellen eines selbstsignierten Zertifikats„Wir überprüfen die Einstellungen und cliKlicken Sie auf die Schaltfläche „OK".
Das System benachrichtigt Sie, dass das Zertifikat erfolgreich erstellt wurde. Es gibt auch Informationen darüber, wo Sie die Zertifikatsdatei selbst finden können. Drücken Sie den Knopf "OK".
Im Fenster „Servereigenschaften“ click das „Jetzt bewerben".
Das selbstsignierte Zertifikat wird auf TCP-Port 443 (standardmäßig SSL-Port) installiert.
Aus Sicherheitsgründen empfehlen wir Ihnen, den Standard-SSL-Port zu ändern. Wählen Sie dazu im Hauptmenü des Fensters „Aktionen“ → „Eigenschaften".
Gehen Sie zur Registerkarte „Transporteinstellungen” und stellen Sie den gewünschten Wert für das Feld „ einHTTPSport“. Speichern Sie die Einstellungen mit clidas „Jetzt bewerben".
Das System fragt nach einer Bestätigung – antworten Sie mit „Ja“.
Verbindung über das Gateway herstellen.
Öffnen Sie den Microsoft Store auf Ihrem Windows-PC. RDP client, gehen Sie zur Registerkarte „zusätzlich"Und drücken Sie die Taste"Einstellungen ".
Wählen Sie im sich öffnenden Fenster „Verwenden Sie Folgendes Einstellungen des Remote-Desktop-Gateway-Servers". Wir geben den Domänennamen des Servers und durch den Doppelpunkt (:) den SSL-Port an. Die Anmeldemethode ist „Kennwort abfragen". Click“OK".
Gehen Sie zur Registerkarte „Allgemeines“. Geben Sie die Adresse des Computers und den Benutzer an, unter dem die Verbindung hergestellt werden soll. Drücke den Knopf "Vernetz Dich"
Das Program fragt nach dem Passwort des Kontos.
Die Ergebnisse des Gateways können durch Tracing überprüft werden – den Befehl „tracert“.