مساء الخير أيها القراء الأعزاء وضيوف المدونة، لدينا اليوم المهمة التالية: تغيير المنفذ الوارد لخدمة RDP (الخادم الطرفي) من المعيار 3389 إلى منفذ آخر. اسمحوا لي أن أذكرك أن خدمة RDP هي إحدى وظائف أنظمة تشغيل Windows، والتي بفضلها يمكنك فتح جلسة عبر الشبكة على الكمبيوتر أو الخادم الذي تحتاجه باستخدام بروتوكول RDP، وتكون قادرًا على العمل عليه، كما لو كنت كانوا يجلسون عليه محليا.
قبل تغيير شيء ما، سيكون من الجيد أن نفهم ما هو وكيف يعمل، وأظل أخبرك بهذا. RDP أو بروتوكول سطح المكتب البعيد هو بروتوكول سطح مكتب بعيد لأنظمة تشغيل Microsoft Windows، على الرغم من أن أصوله تأتي من PictureTel (Polycom). مايكروسوفت اشترتها للتو. يستخدم للعمل عن بعد لموظف أو مستخدم لديه خادم بعيد. في أغلب الأحيان، تلعب هذه الخوادم دور الخادم الطرفي، حيث يتم تخصيص تراخيص خاصة لكل مستخدم أو لكل جهاز، ترخيص وصول العميل (CAL). كانت الفكرة هنا هي: هناك خادم قوي للغاية، فلماذا لا تستخدم موارده معًا، على سبيل المثال، لتطبيق 1C. يصبح هذا ذا أهمية خاصة مع ظهور العملاء النحيفين.
لقد رأى العالم الخادم الطرفي نفسه، بالفعل في عام 1998 في نظام التشغيل Windows NT 4.0 Terminal Server، لأكون صادقًا، لم أكن أعلم حتى بوجود مثل هذا الشيء، وفي روسيا في ذلك الوقت كنا جميعًا نلعب لعبة dandy أو sega. عملاء اتصال RDP متوفرون حاليًا في جميع إصدارات Windows وLinux وMacOS وAndroid. أحدث إصدار من بروتوكول RDP في الوقت الحالي هو 8.1.
سأكتب على الفور منفذ RDP الافتراضي 3389، وأعتقد أن جميع مسؤولي النظام يعرفون ذلك.
ولذا فإننا نفهم لماذا توصلنا إلى بروتوكول سطح المكتب البعيد، والآن من المنطقي أنك بحاجة إلى فهم مبادئ عمله. تميز Microsoft بين وضعين لبروتوكول RDP:
بشكل عام، إذا قمت بتثبيت Windows Server 2008 R2 - 2016 بدون خادم طرفي، فسيكون له بشكل افتراضي تراخيص، وسيتمكن مستخدمان من الاتصال به في نفس الوقت، وسيتعين على الثالث طرد شخص ما عمل. في إصدارات العميل من Windows، يوجد ترخيص واحد فقط، ولكن يمكن التحايل على ذلك أيضًا؛ أيضًا في وضع الإدارة عن بُعد، يمكنك موازنة الكتلة والتحميل، وذلك بفضل تقنية NLB وخادم اتصال خدمة دليل الجلسة. يتم استخدامه لفهرسة جلسات المستخدم، وبفضل هذا الخادم يمكن للمستخدم تسجيل الدخول إلى سطح المكتب البعيد للخوادم الطرفية في بيئة موزعة. المكونات المطلوبة أيضًا هي خادم الترخيص.
يعمل بروتوكول RDP عبر اتصال TCP وهو بروتوكول تطبيق. عندما يقوم العميل بإنشاء اتصال بالخادم، يتم إنشاء جلسة RDP على مستوى النقل، حيث يتم التفاوض على طرق التشفير ونقل البيانات. عندما يتم تحديد كافة المفاوضات واكتمال التهيئة، يرسل الخادم الطرفي مخرجات رسومية إلى العميل وينتظر إدخال لوحة المفاتيح والماوس.
يدعم بروتوكول سطح المكتب البعيد قنوات افتراضية متعددة ضمن اتصال واحد، مما يسمح لك باستخدام وظائف إضافية
يحتوي بروتوكول سطح المكتب البعيد على طريقتين للمصادقة: أمان RDP القياسي وأمان RDP المحسن، وسنتناول كليهما بمزيد من التفاصيل أدناه.
يقوم بروتوكول RDP بطريقة المصادقة هذه بتشفير الاتصال باستخدام بروتوكول RDP نفسه الموجود فيه باستخدام هذه الطريقة:
إذا أخذنا بعين الاعتبار الخوارزمية التي يتم بها تشفير كل شيء، فهي تشفير دفق RC4. مفاتيح بأطوال مختلفة من 40 إلى 168 بت، كل هذا يتوقف على إصدار نظام التشغيل Windows، على سبيل المثال في Windows 2008 Server - 168 بت. بمجرد أن يقرر الخادم والعميل طول المفتاح، يتم إنشاء مفتاحين مختلفين جديدين لتشفير البيانات.
إذا سألت عن سلامة البيانات، فسيتم تحقيق ذلك من خلال خوارزمية MAC (رمز مصادقة الرسالة) المبنية على SHA1 وMD5
يستخدم بروتوكول RDP مع طريقة المصادقة هذه وحدتي أمان خارجيتين:
TLS مدعوم من الإصدار 6 من RDP. عند استخدام TLS، يمكن إنشاء شهادة تشفير باستخدام خادم طرفي، أو شهادة موقعة ذاتيًا، أو تحديدها من أحد المتاجر.
عند استخدام بروتوكول CredSSP، فهو عبارة عن تكافل بين تقنيات Kerberos وNTLM وTLS. باستخدام هذا البروتوكول، يتم إجراء الفحص نفسه، الذي يتحقق من إذن الدخول إلى الخادم الطرفي، مسبقًا، وليس بعد اتصال RDP كامل، وبالتالي يمكنك حفظ الموارد على الخادم الطرفي، بالإضافة إلى وجود تشفير أكثر موثوقية ويمكنك قم بتسجيل الدخول مرة واحدة (الدخول الموحد)، وذلك بفضل NTLM وKerberos. يعمل CredSSP فقط في أنظمة تشغيل لا تقل عن Vista وWindows Server 2008. يوجد هنا مربع الاختيار هذا في خصائص النظام
السماح بالاتصالات فقط من أجهزة الكمبيوتر التي تعمل بسطح المكتب البعيد مع مصادقة على مستوى الشبكة.
لتغيير منفذ RDP، سوف تحتاج إلى:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
ابحث عن مفتاح PortNumber وقم بتغيير قيمته إلى رقم المنفذ الذي تحتاجه.
تأكد من تحديد قيمة عشرية، على سبيل المثال، سأضع المنفذ 12345.
بمجرد الانتهاء من ذلك، أعد تشغيل خدمة سطح المكتب البعيد عبر سطر الأوامر باستخدام الأوامر التالية:
ونقوم بإنشاء قاعدة واردة جديدة لمنفذ RDP الجديد. اسمحوا لي أن أذكرك أن منفذ RDP الافتراضي هو 3389.
نختار ما هي القاعدة التي ستكون للميناء
نترك البروتوكول كـ TCP ونحدد رقم منفذ RDP جديدًا.
ستكون القاعدة هي السماح باتصال RDP على منفذ غير قياسي
إذا لزم الأمر، قم بتعيين ملفات تعريف الشبكة الضرورية.
حسنًا، دعونا نسمي القاعدة باللغة التي نفهمها.
للاتصال من أجهزة الكمبيوتر العميلة التي تعمل بنظام Windows، اكتب العنوان الذي يشير إلى المنفذ. على سبيل المثال، إذا قمت بتغيير المنفذ إلى 12345، وعنوان الخادم (أو فقط الكمبيوتر الذي تتصل به): myserver، فسيبدو اتصال MSTSC كما يلي:
مستسك -v:myserver:12345
تحتوي جميع إصدارات نظام التشغيل Windows بدءًا من XP على عميل RDP قياسي يُستخدم للاتصال بخدمة سطح المكتب البعيد. في هذه المقالة أريد أن أصف بالتفصيل إمكانيات هذا البرنامج.
يتم استخدام عميل RDP للاتصال بخادم طرفي باستخدام بروتوكول سطح المكتب البعيد، أو عبر سطح مكتب بعيد. يمكنك أيضًا القراءة عن تثبيت خادم باستخدام محطة طرفية على هذا الموقع.
يمكنك تشغيل البرنامج "" من القائمة " يبدأ» — « جميع البرامج» — « معيار» — « اتصال سطح المكتب البعيد"، أو عن طريق تنفيذ الأمر mstsc.exe(للقيام بذلك، اضغط على مجموعة المفاتيح فوز+روأدخل اسم الأمر في النافذة التي تظهر " ينفذ"). وفقا لذلك، الملف القابل للتنفيذ نفسه mstsc.exeالموجود في الدليل جيم:\ويندوز\System32. للراحة، يمكنك وضع اختصار على العامل بالإعدادات المحددة.
في النافذة التي تظهر، تحتاج إلى إدخال عنوان IP أو اسم الخادم الذي تريد الاتصال به.
عند الاتصال، سيُطلب منك إدخال بيانات الاعتماد الخاصة بك. بمجرد الدخول، سيتم نقلك إلى سطح مكتب الخادم الخاص بك.
لتغيير المعلمات، انقر على الرابط " إظهار الخيارات"في النافذة الرئيسية للبرنامج.
في القائمة التي تظهر، يمكنك تكوين المعلمات التي تحتاج إلى استخدامها عند الاتصال.
في علامة التبويب الثانية " شاشة» يضبط حجم سطح المكتب البعيد المتصل وعمق الألوان للجلسة البعيدة. يمكنك أيضًا إزالة لوحة الاتصال التي تمتد بالكامل من الأعلى، لكن لا أنصحك بذلك، حيث أنك ستغلق الاتصال من خلال البديل+F4لن تعمل إذا كانت الإعدادات تتضمن استخدام اختصار لوحة المفاتيح " على جهاز كمبيوتر بعيد"، ولا يمكنك إغلاق الاتصال إلا من خلال "إدارة المهام".
على " الموارد المحلية» تم تكوين نقل الصوت - التسجيل والتشغيل. للتكوين، تحتاج إلى الضغط على الزر " خيارات».
تم تكوينه هنا أيضًا " استخدام اختصارات لوحة المفاتيح"، الذي كتبت عنه أعلاه.
في علامة التبويب هذه، يمكنك تكوين ما إذا كنت تريد تمكين أو تعطيل "الطابعات" و"الحافظة"، والتي سيتم استخدامها أثناء جلسة عمل عن بعد، عن طريق إلغاء تحديد علامة المعلمات التي تحتاجها أو على العكس من ذلك.
وإذا قمت بالنقر فوق الزر مزيد من التفاصيل"، ثم يمكنك توصيل "البطاقات الذكية"، إذا كان لديك، بالطبع، بطاقة ذكية تحتوي على بيانات الاعتماد، فيمكنك أيضًا توصيل أي قرص أو قرص DVD أو قرص مضغوط بالكمبيوتر المحلي الذي يتم الاتصال منه.
على " البرامج"يمكنك تكوين تشغيل البرنامج الذي سيتم تشغيله تلقائيًا عندما يقوم المستخدم بتسجيل الدخول إلى سطح المكتب البعيد. تم تكوين دليل عمل المستخدم هنا أيضًا.
في علامة التبويب التالية " تفاعل"، يمكنك تحديد سرعة الاتصال بالخادم الطرفي وتحديد المعلمات المطلوبة أو غير المطلوبة لتحسين الأداء. على الرغم من أنه في عصر الإنترنت عالي السرعة، لم تعد هذه الإعدادات ذات صلة، لذا يمكنك ترك الاكتشاف التلقائي بأمان.
على " بالإضافة إلى ذلك» تكوين مصادقة الخادم.
يمكنك أيضًا تكوين اتصال من خلال Remote Desktop Gateway بالنقر فوق " خيارات».
لحفظ جميع الإعدادات التي تحتاجها للانتقال إلى علامة التبويب " عام"واحفظ الإعدادات كاختصار للاتصال عبر RDP في أي مكان مناسب لك وبأي اسم.
من خلال الاختصار الذي تم الحصول عليه بهذه الطريقة، سوف تتصل بسطح المكتب البعيد بالإعدادات التي تم إنشاؤها وحفظها مسبقًا.
هل هذه المقالة تساعدك؟
من بين المستخدمين، سمع الكثير من الأشخاص أن هناك عميل RDP معين.
لكن قلة من الناس يعرفون ما هو ولماذا هو مطلوب وكيفية التعامل معه.
ولكن في الواقع، هذا ببساطة شيء لا يمكن الاستغناء عنه بالنسبة لأولئك الذين يحتاجون إلى العمل في عدة أماكن، ولكن لا توجد وسيلة لحمل جهاز كمبيوتر محمول معهم.
تخيل أنك تعمل في مكتب. تشمل مسؤولياتك الجدولة والأعمال الورقية والمزيد. يمكنك تنفيذ كل هذه المهام على جهاز الكمبيوتر الخاص بك في المكتب. لكن يوم العمل ينتهي، يقول الحارس إنه سيغلق الغرفة ولا يمكنك البقاء فيها، وما زلت بحاجة إلى إكمال عدة مهام مهمة. علاوة على ذلك، لن يكون من الممكن تأجيلها إلى الغد.
وفي هذه اللحظة يأتي نفس برنامج RDP للإنقاذ. تخيل أنك قادر على العودة إلى المنزل، وتشغيل الكمبيوتر المنزلي الخاص بك، ومواصلة العمل على نفس سطح المكتب وبنفس البيانات الموجودة على الكمبيوتر في العمل. أي أنك أثناء تواجدك في المنزل، ستعمل في الواقع على كمبيوتر العمل الخاص بك.
أرز. 1. يتيح لك RDP العمل من كمبيوتر إلى آخر
مثير للاهتمام؟
ثم دعونا نواصل!
RDP هو بروتوكول سطح المكتب البعيد. هذا هو بالضبط التعريف الوارد في المصادر الرسمية. يرمز هذا الاختصار إلى "بروتوكول سطح المكتب البعيد". في الواقع، يتم ترجمة هذا على أنه بروتوكول سطح المكتب البعيد.
لا يوجد علم معقد هنا. تم تصميم هذا البروتوكول بالفعل للسماح لك بالعمل مع سطح المكتب الخاص بك عن بعد. هذا يعني أنك على مسافة معينة من المكان الذي يوجد فيه سطح المكتب فعليًا، وما زال لديك الفرصة للعمل معه.
في الواقع، عميل RDP هو برنامج يسمح لك بتنفيذ وظائف هذا البروتوكول بالذات. بمعنى آخر، هو برنامج يسمح للمستخدم بالعمل مع الكمبيوتر عن بعد. يمكنك بسهولة تنظيم الوصول إلى جهاز الكمبيوتر الخاص بك، ثم الاتصال به من جهاز آخر ومواصلة العمل. في الواقع، لا يوجد شيء معقد في هذا الأمر.
أرز. 2. الوصول عن بعد إلى جهاز كمبيوتر من جهاز لوحي
اليوم، يتواجد عملاء RDP على مجموعة واسعة من أنظمة التشغيل، بما في ذلك:
يتمتع مستخدمو جميع هذه الأنظمة الأساسية بفرصة تنظيم الوصول عن بعد إلى أجهزتهم بسهولة. علاوة على ذلك، من جهاز يعمل بنظام تشغيل واحد، يمكنك القيام بنفس الشيء لجهاز يعمل بنظام تشغيل آخر. على سبيل المثال، يمكنك الاتصال بجهاز كمبيوتر يعمل بنظام Windows من جهاز لوحي يعمل بنظام Android.
بشكل عام، ميزة مفيدة جدا ومثيرة للاهتمام. سننظر الآن في كيفية العمل مع هذا البروتوكول وبرامج العمل معه.
المثال الأقدم والأكثر شيوعًا لبرنامج العمل مع بروتوكول الوصول عن بعد هو أداة Remote Desktop Connection على نظام Windows. في الواقع، تم تطوير بروتوكول RDP لنظام التشغيل هذا. وعندها فقط بدأوا في استخدامه في أنظمة التشغيل الأخرى.
اليوم، يحتوي أي إصدار من Windows على أداة مدمجة تسمى "Remote Desktop Connection". يمكن العثور عليه في قائمة "ابدأ" أو باستخدام البحث. يطلق عليه نفس الشيء في كل مكان.
لاستخدامه، يجب عليك أولا تكوين الكمبيوتر الذي ستتصل به، أي سطح المكتب الذي ستعمل عليه. للقيام بذلك، قم بما يلي:
أرز. 3. أمر لتشغيل سطر الأوامر في نافذة تنفيذ البرنامج
أرز. 4. معلومات الشبكة على سطر الأوامر
كما ترون، في مثالنا عنوان IP هو 192.168.1.88.
أرز. 5. قسم "النظام والأمان" في لوحة التحكم
أرز. 6. القسم الفرعي "النظام"
أرز. 7. السماح بالتحكم عن بعد في قسم "النظام".
الآن يمكنك الاتصال بسهولة بهذا الكمبيوتر. هذه العملية أيضًا بسيطة جدًا. يتم تنفيذه بالتسلسل التالي:
أرز. 8. أداة الاتصال بسطح المكتب البعيد في قائمة ابدأ
أرز. 9. نافذة أداة للاتصال بالعامل عن بعد
أرز. 10. معلمات الاتصال بجهاز كمبيوتر بعيد
بعد ذلك، سيتم إجراء اتصال بالكمبيوتر المحدد على عنوانه. يقوم بعض الأشخاص بتثبيت نظام حساب على أجهزتهم. في هذه الحالة، سيتعين عليك إدخال اسم المستخدم وكلمة المرور للاتصال. ولكن إذا لم تفعل أي شيء في المرحلة الأولى من الإعداد الموصوفة أعلاه لتثبيت مثل هذا النظام، فلن تحتاج إلى إدخال أي شيء.
انها بسيطة! أليس هذا صحيحا؟
أنت الآن تعرف كيفية استخدام أبسط إصدار من RDP ويمكنك بسهولة إنشاء اتصال عن بعد. إذا كان لديك أي أسئلة أو صعوبات، فاكتب عنها في التعليقات أدناه. سنجيب بالتأكيد.
في كثير من الأحيان، لدى العديد من المستخدمين الذين يستخدمون جلسات الوصول عن بعد، سؤال حول كيفية تغيير منفذ RDP. الآن دعونا نلقي نظرة على أبسط الحلول، ونشير أيضًا إلى عدة مراحل رئيسية في عملية الإعداد.
أولاً، بضع كلمات عن RDP. إذا نظرت إلى فك تشفير الاختصار، فيمكنك فهم الوصول عن بعد
بعبارات بسيطة، هذه أداة لخادم طرفي أو محطة عمل. تستخدم إعدادات Windows (وأي إصدار من النظام) الإعدادات الافتراضية التي تناسب معظم المستخدمين. ومع ذلك، في بعض الأحيان هناك حاجة لتغييرها.
لذلك، بغض النظر عن تعديل Windows، فإن جميع البروتوكولات لها معنى محدد مسبقًا. هذا هو منفذ RDP 3389، والذي يُستخدم لإجراء جلسة اتصال (توصيل محطة واحدة بالأجهزة البعيدة).
ما هو سبب الموقف عندما تحتاج القيمة القياسية إلى التغيير؟ بادئ ذي بدء، فقط مع ضمان أمن الكمبيوتر المحلي. بعد كل شيء، إذا نظرت إلى ذلك، مع تثبيت منفذ قياسي، من حيث المبدأ، يمكن لأي مهاجم اختراق النظام بسهولة. فلنرى الآن كيفية تغيير منفذ RDP الافتراضي.
نلاحظ على الفور أن إجراء التغيير يتم تنفيذه حصريًا في الوضع اليدوي، ولا يوفر عميل الوصول عن بعد نفسه أي إعادة تعيين أو تثبيت معلمات جديدة.
أولاً، اتصل بمحرر التسجيل القياسي باستخدام الأمر regedit في قائمة "Run" (Win + R). نحن هنا مهتمون بفرع HKLM، حيث نحتاج إلى النزول إلى شجرة الأقسام عبر دليل الخادم الطرفي إلى دليل RDP-Tcp. في النافذة الموجودة على اليمين نجد مفتاح PortNumber. وهذا معناه أننا بحاجة إلى التغيير.
نذهب إلى التحرير ونرى 00000D3D هناك. كثير من الناس في حيرة على الفور حول ما هو عليه. وهذا مجرد تمثيل سداسي عشري للرقم العشري 3389. للإشارة إلى المنفذ في شكل عشري، نستخدم السطر المقابل لعرض تمثيل القيمة، ثم نحدد المعلمة التي نحتاجها.
بعد ذلك نقوم بإعادة تشغيل النظام، وعند محاولة الاتصال نحدد منفذ RDP جديد. هناك طريقة أخرى للاتصال وهي استخدام الأمر الخاص mstsc /v:ip_address:XXXXX، حيث XXXX هو رقم المنفذ الجديد. ولكن هذا ليس كل شيء.
لسوء الحظ، قد يقوم جدار الحماية المدمج في Windows بحظر المنفذ الجديد. هذا يعني أنك بحاجة إلى إجراء تغييرات على إعدادات جدار الحماية نفسه.
قم باستدعاء إعدادات جدار الحماية بإعدادات الأمان المتقدمة. هنا يجب عليك أولاً تحديد الاتصالات الواردة والنقر على السطر لإنشاء قاعدة جديدة. الآن نختار العنصر لإنشاء قاعدة للمنفذ، ثم ندخل قيمته لـ TCP، ثم نسمح بالاتصال، ونترك قسم الملفات الشخصية دون تغيير، ونخصص أخيرًا اسمًا للقاعدة الجديدة، وبعد ذلك نضغط على زر التكوين الكامل. كل ما تبقى هو إعادة تشغيل الخادم، وعند الاتصال، حدد منفذ RDP الجديد من خلال نقطتين في السطر المناسب. من الناحية النظرية، لا ينبغي أن تكون هناك مشاكل.
في بعض الحالات، عند استخدام اتصال لاسلكي بدلاً من اتصال كبل، قد تحتاج إلى إعادة توجيه المنفذ الموجود على جهاز التوجيه الخاص بك. لا يوجد شيء معقد في هذا.
أولاً، في خصائص النظام، نسمح ونشير إلى المستخدمين الذين لديهم الحق في القيام بذلك. ثم انتقل إلى قائمة إعدادات جهاز التوجيه من خلال المتصفح (192.168.1.1 أو في النهاية 0.1 - كل هذا يتوقف على طراز جهاز التوجيه). في الحقل (إذا كان عنواننا الرئيسي هو 1.1)، فمن المستحسن الإشارة إلى العنوان بدءًا من الثالث (1.3)، وكتابة قاعدة إصدار العنوان للثاني (1.2).
ثم في اتصالات الشبكة نستخدم عرض التفاصيل، حيث يجب عليك عرض التفاصيل ونسخ عنوان MAC الفعلي من هناك ولصقه في معلمات جهاز التوجيه.
الآن، في قسم إعدادات NAT على المودم، قم بتمكين الاتصال بالخادم، وأضف قاعدة وحدد المنفذ XXXXXX، الذي يجب إعادة توجيهه إلى منفذ RDP القياسي 3389. احفظ التغييرات وأعد تشغيل جهاز التوجيه (سيظهر المنفذ الجديد لا يتم قبوله دون إعادة التشغيل). يمكنك التحقق من الاتصال على بعض مواقع الويب المتخصصة مثل ping.eu في قسم اختبار المنفذ. كما ترون، كل شيء بسيط.
أخيرًا، لاحظ أن قيم المنافذ موزعة على النحو التالي:
بشكل عام، عادةً ما يقوم العديد من المستخدمين بتحديد منافذ RDP من النطاق الثالث من القائمة لتجنب المشكلات. ومع ذلك، يوصي كل من المتخصصين والخبراء باستخدام هذه القيم في الإعدادات، لأنها مناسبة لمعظم المهام.
أما بالنسبة لهذا الإجراء بالذات، فهو يستخدم بشكل أساسي فقط في حالات الاتصال بشبكة Wi-Fi. كما ترون بالفعل، مع اتصال سلكي عادي ليس مطلوبا: فقط قم بتغيير قيم مفاتيح التسجيل وإضافة قواعد للمنفذ في جدار الحماية.
هناك رأي مفاده أن الاتصال عبر Windows Remote Desktop (RDP) غير آمن للغاية بالمقارنة مع نظائره (VNC، TeamViewer، وما إلى ذلك). ونتيجة لذلك، يعد فتح الوصول من الخارج إلى أي جهاز كمبيوتر أو خادم شبكة محلية قرارًا متهورًا للغاية - وسيتم اختراقه بالتأكيد. الحجة الثانية ضد RDP عادةً ما تبدو كالتالي: "إنه يستهلك حركة المرور، وليس خيارًا لإنترنت بطيء". وفي أغلب الأحيان، لا يتم إثبات هذه الحجج.
لقد كان بروتوكول RDP موجودًا منذ فترة طويلة؛ وقد ظهر لأول مرة على نظام التشغيل Windows NT 4.0 منذ أكثر من 20 عامًا، وقد مر الكثير من الماء تحت الجسر منذ ذلك الحين. حاليًا، لا يعد RDP أقل أمانًا من أي حل آخر للوصول عن بعد. أما بالنسبة لعرض النطاق الترددي المطلوب، فهناك مجموعة من الإعدادات في هذا الصدد والتي يمكن استخدامها لتحقيق استجابة ممتازة وتوفير عرض النطاق الترددي.
باختصار، إذا كنت تعرف ماذا وكيف وأين يتم تكوينه، فسيكون RDP أداة وصول جيدة جدًا عن بعد. السؤال هو، كم عدد المسؤولين الذين حاولوا التعمق في الإعدادات المخفية بشكل أعمق قليلاً من تلك الموجودة على السطح؟
سأخبرك الآن بكيفية حماية RDP وتكوينه لتحقيق الأداء الأمثل.
أولاً، هناك العديد من إصدارات بروتوكول RDP. سيتم تطبيق جميع الأوصاف الإضافية على RDP 7.0 والإصدارات الأحدث. هذا يعني أن لديك Windows Vista SP1 على الأقل. لمحبي الرجعية هناك تحديث خاص لنظام التشغيل Windows XP SP3 كيلو بايت 969084الذي يضيف RDP 7.0 إلى نظام التشغيل هذا.
على الكمبيوتر الذي ستتصل به، افتح gpedit.msc، انتقل إلى تكوين الكمبيوتر - قوالب الإدارة - مكونات Windows - خدمات سطح المكتب البعيد - الأمان
قم بتعيين المعلمة "يتطلب استخدام مستوى أمان خاص للاتصالات عن بعد باستخدام طريقة RDP" على "ممكّن" ومستوى الأمان على "SSL TLS 1.0"
مع هذا الإعداد قمنا بتمكين التشفير على هذا النحو. نحتاج الآن إلى التأكد من استخدام خوارزميات التشفير القوية فقط، وليس بعض DES 56 بت أو RC2.
لذلك، في نفس الموضوع، افتح الخيار "تعيين مستوى التشفير لاتصالات العميل". قم بتشغيله وحدد المستوى "عالي". سيعطينا هذا تشفير 128 بت.
ولكن هذا ليس الحد الأقصى. يتم توفير أعلى مستوى من التشفير بواسطة معيار FIPS 140-1. في هذه الحالة، كافة RC2/RC4 تمر عبر الغابة تلقائيًا.
لتمكين استخدام FIPS 140-1، يتعين عليك الانتقال إلى تكوين الكمبيوتر - تكوين Windows - إعدادات الأمان - السياسات المحلية - إعدادات الأمان في نفس الأداة الإضافية.
نبحث عن خيار "تشفير النظام: استخدم خوارزميات متوافقة مع FIPS للتشفير والتجزئة والتوقيع" وقم بتمكينه.
وأخيرًا، تأكد من تمكين خيار "يتطلب اتصال RPC آمن" على طول المسار تكوين الكمبيوتر - القوالب الإدارية - مكونات Windows - خدمات سطح المكتب البعيد - الأمان.
يتطلب هذا الإعداد توصيل العملاء لطلب التشفير وفقًا للإعدادات التي قمنا بتكوينها أعلاه.
الآن أصبح التشفير كاملاً، ويمكنك المضي قدمًا.
بشكل افتراضي، يتم تعليق بروتوكول RDP على منفذ TCP 3389. وللقيام بذلك، يمكن تغييره، تحتاج إلى تغيير مفتاح PortNumber في التسجيل على العنوان
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
افتراضيًا، يمكنك الاتصال عبر RDP دون إدخال اسم المستخدم وكلمة المرور الخاصة بك ورؤية شاشة الترحيب لسطح المكتب البعيد، حيث سيُطلب منك تسجيل الدخول. هذا ليس آمنًا على الإطلاق، بمعنى أنه يمكن بسهولة DDoSed لمثل هذا الكمبيوتر البعيد.
ولذلك، في نفس الموضوع نقوم بتمكين الخيار "يتطلب مصادقة المستخدم للاتصالات عن بعد باستخدام المصادقة على مستوى الشبكة"
أولاً، تأكد من تمكين الإعداد "الحسابات: السماح بكلمات المرور الفارغة فقط أثناء تسجيل الدخول إلى وحدة التحكم". يمكن العثور على الإعداد في تكوين الكمبيوتر - قوالب الإدارة - مكونات Windows - خدمات سطح المكتب البعيد - الأمان.
ثانيًا، لا تنس التحقق من قائمة المستخدمين الذين يمكنهم الاتصال عبر RDP
انتقل إلى القسم تكوين الكمبيوتر - قوالب الإدارة - مكونات Windows - خدمات سطح المكتب البعيد - بيئة الجلسة البعيدة.
هنا يمكنك ويجب عليك ضبط العديد من المعلمات:
بخلاف ذلك، عند الاتصال بجهاز كمبيوتر بعيد من جانب العميل، يمكنك أيضًا تعطيل:
لقد قمنا بالفعل بتحديد المعلمات المتبقية مسبقًا مثل خلفية سطح المكتب وعمق الألوان على جانب الخادم.
بالإضافة إلى ذلك، على جانب العميل، يمكنك زيادة حجم ذاكرة التخزين المؤقت للصورة؛ ويتم ذلك في السجل. في HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\، تحتاج إلى إنشاء مفتاحين من النوع DWORD 32 BitmapPersistCacheSize وBitmapCacheSize
لن أقول أي شيء عن إعادة توجيه أي طابعات، وما إلى ذلك. من احتاج إلى شيء فليرسله.
وبهذا ينتهي الجزء الرئيسي من الإعداد. سأخبرك في المراجعات التالية كيف يمكنك تحسين وتأمين RDP بشكل أكبر. استخدم RDP بشكل صحيح، وتمتع باتصال مستقر للجميع! تعرف على كيفية إنشاء خادم طرفي RDP على أي إصدار من Windows.