أداة Windows القياسية للوصول عن بعد عبر RDP داخل الشبكة المحلية. كيفية إعداد اتصال عن بعد (من الإنترنت) بخادم طرفي (RDP)

17.02.2024

مساء الخير أيها القراء الأعزاء وضيوف المدونة، لدينا اليوم المهمة التالية: تغيير المنفذ الوارد لخدمة RDP (الخادم الطرفي) من المعيار 3389 إلى منفذ آخر. اسمحوا لي أن أذكرك أن خدمة RDP هي إحدى وظائف أنظمة تشغيل Windows، والتي بفضلها يمكنك فتح جلسة عبر الشبكة على الكمبيوتر أو الخادم الذي تحتاجه باستخدام بروتوكول RDP، وتكون قادرًا على العمل عليه، كما لو كنت كانوا يجلسون عليه محليا.

ما هو بروتوكول RDP

قبل تغيير شيء ما، سيكون من الجيد أن نفهم ما هو وكيف يعمل، وأظل أخبرك بهذا. RDP أو بروتوكول سطح المكتب البعيد هو بروتوكول سطح مكتب بعيد لأنظمة تشغيل Microsoft Windows، على الرغم من أن أصوله تأتي من PictureTel (Polycom). مايكروسوفت اشترتها للتو. يستخدم للعمل عن بعد لموظف أو مستخدم لديه خادم بعيد. في أغلب الأحيان، تلعب هذه الخوادم دور الخادم الطرفي، حيث يتم تخصيص تراخيص خاصة لكل مستخدم أو لكل جهاز، ترخيص وصول العميل (CAL). كانت الفكرة هنا هي: هناك خادم قوي للغاية، فلماذا لا تستخدم موارده معًا، على سبيل المثال، لتطبيق 1C. يصبح هذا ذا أهمية خاصة مع ظهور العملاء النحيفين.

لقد رأى العالم الخادم الطرفي نفسه، بالفعل في عام 1998 في نظام التشغيل Windows NT 4.0 Terminal Server، لأكون صادقًا، لم أكن أعلم حتى بوجود مثل هذا الشيء، وفي روسيا في ذلك الوقت كنا جميعًا نلعب لعبة dandy أو sega. عملاء اتصال RDP متوفرون حاليًا في جميع إصدارات Windows وLinux وMacOS وAndroid. أحدث إصدار من بروتوكول RDP في الوقت الحالي هو 8.1.

منفذ RDP الافتراضي

سأكتب على الفور منفذ RDP الافتراضي 3389، وأعتقد أن جميع مسؤولي النظام يعرفون ذلك.

كيف يعمل بروتوكول rdp

ولذا فإننا نفهم لماذا توصلنا إلى بروتوكول سطح المكتب البعيد، والآن من المنطقي أنك بحاجة إلى فهم مبادئ عمله. تميز Microsoft بين وضعين لبروتوكول RDP:

  • وضع الإدارة عن بعد > للإدارة، تذهب إلى الخادم البعيد وتقوم بتكوينه وإدارته
  • وضع الخادم الطرفي > للوصول إلى خادم التطبيق أو التطبيق البعيد أو مشاركته للعمل.

بشكل عام، إذا قمت بتثبيت Windows Server 2008 R2 - 2016 بدون خادم طرفي، فسيكون له بشكل افتراضي تراخيص، وسيتمكن مستخدمان من الاتصال به في نفس الوقت، وسيتعين على الثالث طرد شخص ما عمل. في إصدارات العميل من Windows، يوجد ترخيص واحد فقط، ولكن يمكن التحايل على ذلك أيضًا؛ أيضًا في وضع الإدارة عن بُعد، يمكنك موازنة الكتلة والتحميل، وذلك بفضل تقنية NLB وخادم اتصال خدمة دليل الجلسة. يتم استخدامه لفهرسة جلسات المستخدم، وبفضل هذا الخادم يمكن للمستخدم تسجيل الدخول إلى سطح المكتب البعيد للخوادم الطرفية في بيئة موزعة. المكونات المطلوبة أيضًا هي خادم الترخيص.

يعمل بروتوكول RDP عبر اتصال TCP وهو بروتوكول تطبيق. عندما يقوم العميل بإنشاء اتصال بالخادم، يتم إنشاء جلسة RDP على مستوى النقل، حيث يتم التفاوض على طرق التشفير ونقل البيانات. عندما يتم تحديد كافة المفاوضات واكتمال التهيئة، يرسل الخادم الطرفي مخرجات رسومية إلى العميل وينتظر إدخال لوحة المفاتيح والماوس.

يدعم بروتوكول سطح المكتب البعيد قنوات افتراضية متعددة ضمن اتصال واحد، مما يسمح لك باستخدام وظائف إضافية

  • انقل الطابعة أو منفذ COM إلى الخادم
  • إعادة توجيه محركات الأقراص المحلية الخاصة بك إلى الخادم
  • الحافظة
  • الصوت والفيديو

مراحل اتصال RDP

  • إنشاء اتصال
  • التفاوض على معلمات التشفير
  • مصادقة الخادم
  • التفاوض على معلمات جلسة RDP
  • مصادقة العميل
  • بيانات جلسة RDP
  • إنهاء جلسة RDP

الأمان في بروتوكول RDP

يحتوي بروتوكول سطح المكتب البعيد على طريقتين للمصادقة: أمان RDP القياسي وأمان RDP المحسن، وسنتناول كليهما بمزيد من التفاصيل أدناه.

أمان RDP القياسي

يقوم بروتوكول RDP بطريقة المصادقة هذه بتشفير الاتصال باستخدام بروتوكول RDP نفسه الموجود فيه باستخدام هذه الطريقة:

  • عند بدء تشغيل نظام التشغيل لديك، يتم إنشاء زوج من مفاتيح RSA
  • يتم الآن إنشاء شهادة الملكية
  • وبعد ذلك يتم توقيع شهادة الملكية باستخدام مفتاح RSA الذي تم إنشاؤه مسبقًا
  • الآن سيحصل عميل RDP المتصل بالخادم الطرفي على شهادة ملكية
  • يقوم العميل بالاطلاع عليه والتحقق منه، ثم يتلقى المفتاح العام للخادم، والذي يستخدم في مرحلة الاتفاق على معلمات التشفير.

إذا أخذنا بعين الاعتبار الخوارزمية التي يتم بها تشفير كل شيء، فهي تشفير دفق RC4. مفاتيح بأطوال مختلفة من 40 إلى 168 بت، كل هذا يتوقف على إصدار نظام التشغيل Windows، على سبيل المثال في Windows 2008 Server - 168 بت. بمجرد أن يقرر الخادم والعميل طول المفتاح، يتم إنشاء مفتاحين مختلفين جديدين لتشفير البيانات.

إذا سألت عن سلامة البيانات، فسيتم تحقيق ذلك من خلال خوارزمية MAC (رمز مصادقة الرسالة) المبنية على SHA1 وMD5

تعزيز أمن RDP

يستخدم بروتوكول RDP مع طريقة المصادقة هذه وحدتي أمان خارجيتين:

  • CredSSP
  • تي إل إس 1.0

TLS مدعوم من الإصدار 6 من RDP. عند استخدام TLS، يمكن إنشاء شهادة تشفير باستخدام خادم طرفي، أو شهادة موقعة ذاتيًا، أو تحديدها من أحد المتاجر.

عند استخدام بروتوكول CredSSP، فهو عبارة عن تكافل بين تقنيات Kerberos وNTLM وTLS. باستخدام هذا البروتوكول، يتم إجراء الفحص نفسه، الذي يتحقق من إذن الدخول إلى الخادم الطرفي، مسبقًا، وليس بعد اتصال RDP كامل، وبالتالي يمكنك حفظ الموارد على الخادم الطرفي، بالإضافة إلى وجود تشفير أكثر موثوقية ويمكنك قم بتسجيل الدخول مرة واحدة (الدخول الموحد)، وذلك بفضل NTLM وKerberos. يعمل CredSSP فقط في أنظمة تشغيل لا تقل عن Vista وWindows Server 2008. يوجد هنا مربع الاختيار هذا في خصائص النظام

السماح بالاتصالات فقط من أجهزة الكمبيوتر التي تعمل بسطح المكتب البعيد مع مصادقة على مستوى الشبكة.

تغيير منفذ RDP

لتغيير منفذ RDP، سوف تحتاج إلى:

  1. افتح محرر التسجيل (ابدأ -> تشغيل -> regedit.exe)
  2. دعنا ننتقل إلى القسم التالي:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

ابحث عن مفتاح PortNumber وقم بتغيير قيمته إلى رقم المنفذ الذي تحتاجه.

تأكد من تحديد قيمة عشرية، على سبيل المثال، سأضع المنفذ 12345.

بمجرد الانتهاء من ذلك، أعد تشغيل خدمة سطح المكتب البعيد عبر سطر الأوامر باستخدام الأوامر التالية:

ونقوم بإنشاء قاعدة واردة جديدة لمنفذ RDP الجديد. اسمحوا لي أن أذكرك أن منفذ RDP الافتراضي هو 3389.

نختار ما هي القاعدة التي ستكون للميناء

نترك البروتوكول كـ TCP ونحدد رقم منفذ RDP جديدًا.

ستكون القاعدة هي السماح باتصال RDP على منفذ غير قياسي

إذا لزم الأمر، قم بتعيين ملفات تعريف الشبكة الضرورية.

حسنًا، دعونا نسمي القاعدة باللغة التي نفهمها.

للاتصال من أجهزة الكمبيوتر العميلة التي تعمل بنظام Windows، اكتب العنوان الذي يشير إلى المنفذ. على سبيل المثال، إذا قمت بتغيير المنفذ إلى 12345، وعنوان الخادم (أو فقط الكمبيوتر الذي تتصل به): myserver، فسيبدو اتصال MSTSC كما يلي:
مستسك -v:myserver:12345

تحتوي جميع إصدارات نظام التشغيل Windows بدءًا من XP على عميل RDP قياسي يُستخدم للاتصال بخدمة سطح المكتب البعيد. في هذه المقالة أريد أن أصف بالتفصيل إمكانيات هذا البرنامج.

يتم استخدام عميل RDP للاتصال بخادم طرفي باستخدام بروتوكول سطح المكتب البعيد، أو عبر سطح مكتب بعيد. يمكنك أيضًا القراءة عن تثبيت خادم باستخدام محطة طرفية على هذا الموقع.

يمكنك تشغيل البرنامج "" من القائمة " يبدأ» — « جميع البرامج» — « معيار» — « اتصال سطح المكتب البعيد"، أو عن طريق تنفيذ الأمر mstsc.exe(للقيام بذلك، اضغط على مجموعة المفاتيح فوز+روأدخل اسم الأمر في النافذة التي تظهر " ينفذ"). وفقا لذلك، الملف القابل للتنفيذ نفسه mstsc.exeالموجود في الدليل جيم:\ويندوز\System32. للراحة، يمكنك وضع اختصار على العامل بالإعدادات المحددة.

في النافذة التي تظهر، تحتاج إلى إدخال عنوان IP أو اسم الخادم الذي تريد الاتصال به.

عند الاتصال، سيُطلب منك إدخال بيانات الاعتماد الخاصة بك. بمجرد الدخول، سيتم نقلك إلى سطح مكتب الخادم الخاص بك.

لتغيير المعلمات، انقر على الرابط " إظهار الخيارات"في النافذة الرئيسية للبرنامج.

في القائمة التي تظهر، يمكنك تكوين المعلمات التي تحتاج إلى استخدامها عند الاتصال.

في علامة التبويب الثانية " شاشة» يضبط حجم سطح المكتب البعيد المتصل وعمق الألوان للجلسة البعيدة. يمكنك أيضًا إزالة لوحة الاتصال التي تمتد بالكامل من الأعلى، لكن لا أنصحك بذلك، حيث أنك ستغلق الاتصال من خلال البديل+F4لن تعمل إذا كانت الإعدادات تتضمن استخدام اختصار لوحة المفاتيح " على جهاز كمبيوتر بعيد"، ولا يمكنك إغلاق الاتصال إلا من خلال "إدارة المهام".

على " الموارد المحلية» تم تكوين نقل الصوت - التسجيل والتشغيل. للتكوين، تحتاج إلى الضغط على الزر " خيارات».

تم تكوينه هنا أيضًا " استخدام اختصارات لوحة المفاتيح"، الذي كتبت عنه أعلاه.

في علامة التبويب هذه، يمكنك تكوين ما إذا كنت تريد تمكين أو تعطيل "الطابعات" و"الحافظة"، والتي سيتم استخدامها أثناء جلسة عمل عن بعد، عن طريق إلغاء تحديد علامة المعلمات التي تحتاجها أو على العكس من ذلك.

وإذا قمت بالنقر فوق الزر مزيد من التفاصيل"، ثم يمكنك توصيل "البطاقات الذكية"، إذا كان لديك، بالطبع، بطاقة ذكية تحتوي على بيانات الاعتماد، فيمكنك أيضًا توصيل أي قرص أو قرص DVD أو قرص مضغوط بالكمبيوتر المحلي الذي يتم الاتصال منه.

على " البرامج"يمكنك تكوين تشغيل البرنامج الذي سيتم تشغيله تلقائيًا عندما يقوم المستخدم بتسجيل الدخول إلى سطح المكتب البعيد. تم تكوين دليل عمل المستخدم هنا أيضًا.

في علامة التبويب التالية " تفاعل"، يمكنك تحديد سرعة الاتصال بالخادم الطرفي وتحديد المعلمات المطلوبة أو غير المطلوبة لتحسين الأداء. على الرغم من أنه في عصر الإنترنت عالي السرعة، لم تعد هذه الإعدادات ذات صلة، لذا يمكنك ترك الاكتشاف التلقائي بأمان.

على " بالإضافة إلى ذلك» تكوين مصادقة الخادم.

يمكنك أيضًا تكوين اتصال من خلال Remote Desktop Gateway بالنقر فوق " خيارات».

لحفظ جميع الإعدادات التي تحتاجها للانتقال إلى علامة التبويب " عام"واحفظ الإعدادات كاختصار للاتصال عبر RDP في أي مكان مناسب لك وبأي اسم.

من خلال الاختصار الذي تم الحصول عليه بهذه الطريقة، سوف تتصل بسطح المكتب البعيد بالإعدادات التي تم إنشاؤها وحفظها مسبقًا.

هل هذه المقالة تساعدك؟

من بين المستخدمين، سمع الكثير من الأشخاص أن هناك عميل RDP معين.

لكن قلة من الناس يعرفون ما هو ولماذا هو مطلوب وكيفية التعامل معه.

ولكن في الواقع، هذا ببساطة شيء لا يمكن الاستغناء عنه بالنسبة لأولئك الذين يحتاجون إلى العمل في عدة أماكن، ولكن لا توجد وسيلة لحمل جهاز كمبيوتر محمول معهم.

لماذا تحتاج RDP؟

تخيل أنك تعمل في مكتب. تشمل مسؤولياتك الجدولة والأعمال الورقية والمزيد. يمكنك تنفيذ كل هذه المهام على جهاز الكمبيوتر الخاص بك في المكتب. لكن يوم العمل ينتهي، يقول الحارس إنه سيغلق الغرفة ولا يمكنك البقاء فيها، وما زلت بحاجة إلى إكمال عدة مهام مهمة. علاوة على ذلك، لن يكون من الممكن تأجيلها إلى الغد.

وفي هذه اللحظة يأتي نفس برنامج RDP للإنقاذ. تخيل أنك قادر على العودة إلى المنزل، وتشغيل الكمبيوتر المنزلي الخاص بك، ومواصلة العمل على نفس سطح المكتب وبنفس البيانات الموجودة على الكمبيوتر في العمل. أي أنك أثناء تواجدك في المنزل، ستعمل في الواقع على كمبيوتر العمل الخاص بك.

أرز. 1. يتيح لك RDP العمل من كمبيوتر إلى آخر

مثير للاهتمام؟

ثم دعونا نواصل!

فك تشفير RDP

RDP هو بروتوكول سطح المكتب البعيد. هذا هو بالضبط التعريف الوارد في المصادر الرسمية. يرمز هذا الاختصار إلى "بروتوكول سطح المكتب البعيد". في الواقع، يتم ترجمة هذا على أنه بروتوكول سطح المكتب البعيد.

لا يوجد علم معقد هنا. تم تصميم هذا البروتوكول بالفعل للسماح لك بالعمل مع سطح المكتب الخاص بك عن بعد. هذا يعني أنك على مسافة معينة من المكان الذي يوجد فيه سطح المكتب فعليًا، وما زال لديك الفرصة للعمل معه.

في الواقع، عميل RDP هو برنامج يسمح لك بتنفيذ وظائف هذا البروتوكول بالذات. بمعنى آخر، هو برنامج يسمح للمستخدم بالعمل مع الكمبيوتر عن بعد. يمكنك بسهولة تنظيم الوصول إلى جهاز الكمبيوتر الخاص بك، ثم الاتصال به من جهاز آخر ومواصلة العمل. في الواقع، لا يوجد شيء معقد في هذا الأمر.

أرز. 2. الوصول عن بعد إلى جهاز كمبيوتر من جهاز لوحي

اليوم، يتواجد عملاء RDP على مجموعة واسعة من أنظمة التشغيل، بما في ذلك:

  • نوافذ؛
  • نظام التشغيل ماك؛
  • أندرويد;

يتمتع مستخدمو جميع هذه الأنظمة الأساسية بفرصة تنظيم الوصول عن بعد إلى أجهزتهم بسهولة. علاوة على ذلك، من جهاز يعمل بنظام تشغيل واحد، يمكنك القيام بنفس الشيء لجهاز يعمل بنظام تشغيل آخر. على سبيل المثال، يمكنك الاتصال بجهاز كمبيوتر يعمل بنظام Windows من جهاز لوحي يعمل بنظام Android.

بشكل عام، ميزة مفيدة جدا ومثيرة للاهتمام. سننظر الآن في كيفية العمل مع هذا البروتوكول وبرامج العمل معه.

عميل RDP على نظام التشغيل Windows

المثال الأقدم والأكثر شيوعًا لبرنامج العمل مع بروتوكول الوصول عن بعد هو أداة Remote Desktop Connection على نظام Windows. في الواقع، تم تطوير بروتوكول RDP لنظام التشغيل هذا. وعندها فقط بدأوا في استخدامه في أنظمة التشغيل الأخرى.

اليوم، يحتوي أي إصدار من Windows على أداة مدمجة تسمى "Remote Desktop Connection". يمكن العثور عليه في قائمة "ابدأ" أو باستخدام البحث. يطلق عليه نفس الشيء في كل مكان.

لاستخدامه، يجب عليك أولا تكوين الكمبيوتر الذي ستتصل به، أي سطح المكتب الذي ستعمل عليه. للقيام بذلك، قم بما يلي:

  1. تحتاج أولاً إلى معرفة عنوان IP الخاص بالكمبيوتر، بحيث يمكنك بعد ذلك نقله إلى جهاز آخر، والذي سيتم من خلاله التحكم في الجهاز الأول. للقيام بذلك، اتبع الخطوات التالية:
  • قم بتشغيل نافذة تنفيذ البرنامج بالضغط على الزرين Win وR على لوحة المفاتيح في نفس الوقت؛
  • في النافذة التي تفتح، في حقل الإدخال الوحيد، أدخل "cmd" واضغط على Enter بلوحة المفاتيح - سيؤدي هذا إلى تشغيل سطر الأوامر؛

أرز. 3. أمر لتشغيل سطر الأوامر في نافذة تنفيذ البرنامج

  • في سطر الأوامر، أدخل الأمر "ipconfig" واضغط على Enter مرة أخرى؛
  • سيتم فتح جميع معلومات الشبكة المتاحة، ابحث عن السطر "عنوان IPv4" هناك - مقابله سيكون عنوان IP، تذكره (!).

أرز. 4. معلومات الشبكة على سطر الأوامر

كما ترون، في مثالنا عنوان IP هو 192.168.1.88.

  1. يجب عليك الآن تمكين القدرة على الوصول إلى جهاز الكمبيوتر الخاص بك باستخدام أداة الإدارة عن بعد. للقيام بذلك، قم بما يلي:
    • في القائمة "ابدأ"، افتح "لوحة التحكم"؛
    • انقر على قسم "النظام والأمان"؛

أرز. 5. قسم "النظام والأمان" في لوحة التحكم

  • في النافذة التالية، انقر فوق القسم الفرعي "النظام"؛

أرز. 6. القسم الفرعي "النظام"

  • في القائمة الموجودة على اليسار، حدد "إعدادات النظام المتقدمة"؛
  • في النافذة التي تفتح، انتقل إلى علامة التبويب "الوصول عن بعد"؛
  • ضع علامات مقابل العناصر الموضحة في الشكل 7 بالرقمين 1 و2؛
  • أغلق جميع النوافذ، وقبل ذلك انقر فوق "تطبيق".

أرز. 7. السماح بالتحكم عن بعد في قسم "النظام".

الآن يمكنك الاتصال بسهولة بهذا الكمبيوتر. هذه العملية أيضًا بسيطة جدًا. يتم تنفيذه بالتسلسل التالي:

  1. انتقل إلى قائمة "ابدأ"، وحدد قائمة كافة البرامج هناك، ثم قسم "البرامج الملحقة" وانقر على الأداة المسماة "Remote Desktop Connection". لن يكون من الصعب العثور عليه.

أرز. 8. أداة الاتصال بسطح المكتب البعيد في قائمة ابدأ

  1. ثم في النافذة التالية تحتاج إلى إدخال عنوان IP الذي حددناه في إحدى الخطوات السابقة. تذكر أنه في مثالنا هو 168.1.88. يجب إدخال هذا العنوان في هذه النافذة بالذات. عند الانتهاء من ذلك، انتقل إلى الخطوة التالية، ولكن لا تنقر فوق الزر "اتصال" بعد. بدلاً من ذلك، انقر فوق نقش "الخيارات"، الموجود أسفل حقل إدخال العنوان قليلاً وعلى يساره.

أرز. 9. نافذة أداة للاتصال بالعامل عن بعد

  1. من المهم أن تتاح لك الفرصة للعمل ليس فقط مع المجلدات والملفات، ولكن أيضًا مع الأجهزة المتصلة بالكمبيوتر الذي سيتم التحكم فيه. لذلك، في النافذة التي تظهر، انتقل إلى علامة التبويب "الموارد المحلية" وحدد المربعات المجاورة لعناصر "الطابعات" و"الحافظة". يمكنك الآن النقر فوق الزر "اتصال" وبالتالي الانتقال إلى الخطوة التالية.

أرز. 10. معلمات الاتصال بجهاز كمبيوتر بعيد

بعد ذلك، سيتم إجراء اتصال بالكمبيوتر المحدد على عنوانه. يقوم بعض الأشخاص بتثبيت نظام حساب على أجهزتهم. في هذه الحالة، سيتعين عليك إدخال اسم المستخدم وكلمة المرور للاتصال. ولكن إذا لم تفعل أي شيء في المرحلة الأولى من الإعداد الموصوفة أعلاه لتثبيت مثل هذا النظام، فلن تحتاج إلى إدخال أي شيء.

انها بسيطة! أليس هذا صحيحا؟

أنت الآن تعرف كيفية استخدام أبسط إصدار من RDP ويمكنك بسهولة إنشاء اتصال عن بعد. إذا كان لديك أي أسئلة أو صعوبات، فاكتب عنها في التعليقات أدناه. سنجيب بالتأكيد.

في كثير من الأحيان، لدى العديد من المستخدمين الذين يستخدمون جلسات الوصول عن بعد، سؤال حول كيفية تغيير منفذ RDP. الآن دعونا نلقي نظرة على أبسط الحلول، ونشير أيضًا إلى عدة مراحل رئيسية في عملية الإعداد.

ما هو بروتوكول RDP؟

أولاً، بضع كلمات عن RDP. إذا نظرت إلى فك تشفير الاختصار، فيمكنك فهم الوصول عن بعد

بعبارات بسيطة، هذه أداة لخادم طرفي أو محطة عمل. تستخدم إعدادات Windows (وأي إصدار من النظام) الإعدادات الافتراضية التي تناسب معظم المستخدمين. ومع ذلك، في بعض الأحيان هناك حاجة لتغييرها.

منفذ RDP القياسي: هل يجب تغييره؟

لذلك، بغض النظر عن تعديل Windows، فإن جميع البروتوكولات لها معنى محدد مسبقًا. هذا هو منفذ RDP 3389، والذي يُستخدم لإجراء جلسة اتصال (توصيل محطة واحدة بالأجهزة البعيدة).

ما هو سبب الموقف عندما تحتاج القيمة القياسية إلى التغيير؟ بادئ ذي بدء، فقط مع ضمان أمن الكمبيوتر المحلي. بعد كل شيء، إذا نظرت إلى ذلك، مع تثبيت منفذ قياسي، من حيث المبدأ، يمكن لأي مهاجم اختراق النظام بسهولة. فلنرى الآن كيفية تغيير منفذ RDP الافتراضي.

تغيير الإعدادات في سجل النظام

نلاحظ على الفور أن إجراء التغيير يتم تنفيذه حصريًا في الوضع اليدوي، ولا يوفر عميل الوصول عن بعد نفسه أي إعادة تعيين أو تثبيت معلمات جديدة.

أولاً، اتصل بمحرر التسجيل القياسي باستخدام الأمر regedit في قائمة "Run" (Win + R). نحن هنا مهتمون بفرع HKLM، حيث نحتاج إلى النزول إلى شجرة الأقسام عبر دليل الخادم الطرفي إلى دليل RDP-Tcp. في النافذة الموجودة على اليمين نجد مفتاح PortNumber. وهذا معناه أننا بحاجة إلى التغيير.

نذهب إلى التحرير ونرى 00000D3D هناك. كثير من الناس في حيرة على الفور حول ما هو عليه. وهذا مجرد تمثيل سداسي عشري للرقم العشري 3389. للإشارة إلى المنفذ في شكل عشري، نستخدم السطر المقابل لعرض تمثيل القيمة، ثم نحدد المعلمة التي نحتاجها.

بعد ذلك نقوم بإعادة تشغيل النظام، وعند محاولة الاتصال نحدد منفذ RDP جديد. هناك طريقة أخرى للاتصال وهي استخدام الأمر الخاص mstsc /v:ip_address:XXXXX، حيث XXXX هو رقم المنفذ الجديد. ولكن هذا ليس كل شيء.

قواعد جدار حماية ويندوز

لسوء الحظ، قد يقوم جدار الحماية المدمج في Windows بحظر المنفذ الجديد. هذا يعني أنك بحاجة إلى إجراء تغييرات على إعدادات جدار الحماية نفسه.

قم باستدعاء إعدادات جدار الحماية بإعدادات الأمان المتقدمة. هنا يجب عليك أولاً تحديد الاتصالات الواردة والنقر على السطر لإنشاء قاعدة جديدة. الآن نختار العنصر لإنشاء قاعدة للمنفذ، ثم ندخل قيمته لـ TCP، ثم نسمح بالاتصال، ونترك قسم الملفات الشخصية دون تغيير، ونخصص أخيرًا اسمًا للقاعدة الجديدة، وبعد ذلك نضغط على زر التكوين الكامل. كل ما تبقى هو إعادة تشغيل الخادم، وعند الاتصال، حدد منفذ RDP الجديد من خلال نقطتين في السطر المناسب. من الناحية النظرية، لا ينبغي أن تكون هناك مشاكل.

إعادة توجيه منفذ RDP على جهاز التوجيه

في بعض الحالات، عند استخدام اتصال لاسلكي بدلاً من اتصال كبل، قد تحتاج إلى إعادة توجيه المنفذ الموجود على جهاز التوجيه الخاص بك. لا يوجد شيء معقد في هذا.

أولاً، في خصائص النظام، نسمح ونشير إلى المستخدمين الذين لديهم الحق في القيام بذلك. ثم انتقل إلى قائمة إعدادات جهاز التوجيه من خلال المتصفح (192.168.1.1 أو في النهاية 0.1 - كل هذا يتوقف على طراز جهاز التوجيه). في الحقل (إذا كان عنواننا الرئيسي هو 1.1)، فمن المستحسن الإشارة إلى العنوان بدءًا من الثالث (1.3)، وكتابة قاعدة إصدار العنوان للثاني (1.2).

ثم في اتصالات الشبكة نستخدم عرض التفاصيل، حيث يجب عليك عرض التفاصيل ونسخ عنوان MAC الفعلي من هناك ولصقه في معلمات جهاز التوجيه.

الآن، في قسم إعدادات NAT على المودم، قم بتمكين الاتصال بالخادم، وأضف قاعدة وحدد المنفذ XXXXXX، الذي يجب إعادة توجيهه إلى منفذ RDP القياسي 3389. احفظ التغييرات وأعد تشغيل جهاز التوجيه (سيظهر المنفذ الجديد لا يتم قبوله دون إعادة التشغيل). يمكنك التحقق من الاتصال على بعض مواقع الويب المتخصصة مثل ping.eu في قسم اختبار المنفذ. كما ترون، كل شيء بسيط.

أخيرًا، لاحظ أن قيم المنافذ موزعة على النحو التالي:

  • 0 - 1023 - منافذ لبرامج النظام ذات المستوى المنخفض؛
  • 1024 - 49151 - المنافذ المخصصة للأغراض الخاصة؛
  • 49152 - 65535 - منافذ خاصة ديناميكية.

بشكل عام، عادةً ما يقوم العديد من المستخدمين بتحديد منافذ RDP من النطاق الثالث من القائمة لتجنب المشكلات. ومع ذلك، يوصي كل من المتخصصين والخبراء باستخدام هذه القيم في الإعدادات، لأنها مناسبة لمعظم المهام.

أما بالنسبة لهذا الإجراء بالذات، فهو يستخدم بشكل أساسي فقط في حالات الاتصال بشبكة Wi-Fi. كما ترون بالفعل، مع اتصال سلكي عادي ليس مطلوبا: فقط قم بتغيير قيم مفاتيح التسجيل وإضافة قواعد للمنفذ في جدار الحماية.

هناك رأي مفاده أن الاتصال عبر Windows Remote Desktop (RDP) غير آمن للغاية بالمقارنة مع نظائره (VNC، TeamViewer، وما إلى ذلك). ونتيجة لذلك، يعد فتح الوصول من الخارج إلى أي جهاز كمبيوتر أو خادم شبكة محلية قرارًا متهورًا للغاية - وسيتم اختراقه بالتأكيد. الحجة الثانية ضد RDP عادةً ما تبدو كالتالي: "إنه يستهلك حركة المرور، وليس خيارًا لإنترنت بطيء". وفي أغلب الأحيان، لا يتم إثبات هذه الحجج.

لقد كان بروتوكول RDP موجودًا منذ فترة طويلة؛ وقد ظهر لأول مرة على نظام التشغيل Windows NT 4.0 منذ أكثر من 20 عامًا، وقد مر الكثير من الماء تحت الجسر منذ ذلك الحين. حاليًا، لا يعد RDP أقل أمانًا من أي حل آخر للوصول عن بعد. أما بالنسبة لعرض النطاق الترددي المطلوب، فهناك مجموعة من الإعدادات في هذا الصدد والتي يمكن استخدامها لتحقيق استجابة ممتازة وتوفير عرض النطاق الترددي.

باختصار، إذا كنت تعرف ماذا وكيف وأين يتم تكوينه، فسيكون RDP أداة وصول جيدة جدًا عن بعد. السؤال هو، كم عدد المسؤولين الذين حاولوا التعمق في الإعدادات المخفية بشكل أعمق قليلاً من تلك الموجودة على السطح؟

سأخبرك الآن بكيفية حماية RDP وتكوينه لتحقيق الأداء الأمثل.

أولاً، هناك العديد من إصدارات بروتوكول RDP. سيتم تطبيق جميع الأوصاف الإضافية على RDP 7.0 والإصدارات الأحدث. هذا يعني أن لديك Windows Vista SP1 على الأقل. لمحبي الرجعية هناك تحديث خاص لنظام التشغيل Windows XP SP3 كيلو بايت 969084الذي يضيف RDP 7.0 إلى نظام التشغيل هذا.

الإعداد رقم 1 - التشفير

على الكمبيوتر الذي ستتصل به، افتح gpedit.msc، انتقل إلى تكوين الكمبيوتر - قوالب الإدارة - مكونات Windows - خدمات سطح المكتب البعيد - الأمان

قم بتعيين المعلمة "يتطلب استخدام مستوى أمان خاص للاتصالات عن بعد باستخدام طريقة RDP" على "ممكّن" ومستوى الأمان على "SSL TLS 1.0"

مع هذا الإعداد قمنا بتمكين التشفير على هذا النحو. نحتاج الآن إلى التأكد من استخدام خوارزميات التشفير القوية فقط، وليس بعض DES 56 بت أو RC2.

لذلك، في نفس الموضوع، افتح الخيار "تعيين مستوى التشفير لاتصالات العميل". قم بتشغيله وحدد المستوى "عالي". سيعطينا هذا تشفير 128 بت.

ولكن هذا ليس الحد الأقصى. يتم توفير أعلى مستوى من التشفير بواسطة معيار FIPS 140-1. في هذه الحالة، كافة RC2/RC4 تمر عبر الغابة تلقائيًا.

لتمكين استخدام FIPS 140-1، يتعين عليك الانتقال إلى تكوين الكمبيوتر - تكوين Windows - إعدادات الأمان - السياسات المحلية - إعدادات الأمان في نفس الأداة الإضافية.

نبحث عن خيار "تشفير النظام: استخدم خوارزميات متوافقة مع FIPS للتشفير والتجزئة والتوقيع" وقم بتمكينه.

وأخيرًا، تأكد من تمكين خيار "يتطلب اتصال RPC آمن" على طول المسار تكوين الكمبيوتر - القوالب الإدارية - مكونات Windows - خدمات سطح المكتب البعيد - الأمان.

يتطلب هذا الإعداد توصيل العملاء لطلب التشفير وفقًا للإعدادات التي قمنا بتكوينها أعلاه.

الآن أصبح التشفير كاملاً، ويمكنك المضي قدمًا.

الإعداد رقم 2 - تغيير المنفذ

بشكل افتراضي، يتم تعليق بروتوكول RDP على منفذ TCP 3389. وللقيام بذلك، يمكن تغييره، تحتاج إلى تغيير مفتاح PortNumber في التسجيل على العنوان

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

الإعداد رقم 3 - مصادقة الشبكة (NLA)

افتراضيًا، يمكنك الاتصال عبر RDP دون إدخال اسم المستخدم وكلمة المرور الخاصة بك ورؤية شاشة الترحيب لسطح المكتب البعيد، حيث سيُطلب منك تسجيل الدخول. هذا ليس آمنًا على الإطلاق، بمعنى أنه يمكن بسهولة DDoSed لمثل هذا الكمبيوتر البعيد.

ولذلك، في نفس الموضوع نقوم بتمكين الخيار "يتطلب مصادقة المستخدم للاتصالات عن بعد باستخدام المصادقة على مستوى الشبكة"

الإعداد رقم 4 - ماذا يجب التحقق منه

أولاً، تأكد من تمكين الإعداد "الحسابات: السماح بكلمات المرور الفارغة فقط أثناء تسجيل الدخول إلى وحدة التحكم". يمكن العثور على الإعداد في تكوين الكمبيوتر - قوالب الإدارة - مكونات Windows - خدمات سطح المكتب البعيد - الأمان.

ثانيًا، لا تنس التحقق من قائمة المستخدمين الذين يمكنهم الاتصال عبر RDP

الإعداد رقم 5 - تحسين السرعة

انتقل إلى القسم تكوين الكمبيوتر - قوالب الإدارة - مكونات Windows - خدمات سطح المكتب البعيد - بيئة الجلسة البعيدة.

هنا يمكنك ويجب عليك ضبط العديد من المعلمات:

  • أعلى عمق للألوان - يمكنك قصر نفسك على 16 بت. سيؤدي هذا إلى توفير حركة المرور بأكثر من مرتين مقارنة بعمق 32 بت.
  • الإلغاء القسري لخلفية سطح المكتب البعيد - ليس ضروريًا للعمل.
  • ضبط خوارزمية ضغط RDP - من الأفضل ضبط القيمة على تحسين استخدام النطاق الترددي. في هذه الحالة، سوف يستهلك RDP قدرًا أكبر من الذاكرة، لكنه سيتم ضغطه بشكل أكثر كفاءة.
  • تحسين التأثيرات المرئية لجلسات خدمات سطح المكتب البعيد - اضبط القيمة على "نص". ما تحتاجه لهذا المنصب.

بخلاف ذلك، عند الاتصال بجهاز كمبيوتر بعيد من جانب العميل، يمكنك أيضًا تعطيل:

  • تنعيم الخط . وهذا سوف يقلل بشكل كبير من وقت الاستجابة. (إذا كان لديك خادم طرفي كامل، فيمكن أيضًا تعيين هذه المعلمة على جانب الخادم)
  • تكوين سطح المكتب - مسؤول عن Aero وما إلى ذلك.
  • إظهار النافذة عند السحب
  • المؤثرات البصرية
  • أنماط التصميم - إذا كنت تريد المتشددين

لقد قمنا بالفعل بتحديد المعلمات المتبقية مسبقًا مثل خلفية سطح المكتب وعمق الألوان على جانب الخادم.

بالإضافة إلى ذلك، على جانب العميل، يمكنك زيادة حجم ذاكرة التخزين المؤقت للصورة؛ ويتم ذلك في السجل. في HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\، تحتاج إلى إنشاء مفتاحين من النوع DWORD 32 BitmapPersistCacheSize وBitmapCacheSize

  • يمكن تعيين BitmapPersistCacheSize على 10000 (10 ميجا بايت). افتراضيًا، يتم تعيين هذه المعلمة على 10، وهو ما يعادل 10 كيلو بايت.
  • يمكن أيضًا تعيين BitmapCacheSize على 10000 (10 ميجابايت). بالكاد ستلاحظ ما إذا كان اتصال RDP يستهلك 10 ميجابايت إضافية من ذاكرة الوصول العشوائي لديك

لن أقول أي شيء عن إعادة توجيه أي طابعات، وما إلى ذلك. من احتاج إلى شيء فليرسله.

وبهذا ينتهي الجزء الرئيسي من الإعداد. سأخبرك في المراجعات التالية كيف يمكنك تحسين وتأمين RDP بشكل أكبر. استخدم RDP بشكل صحيح، وتمتع باتصال مستقر للجميع! تعرف على كيفية إنشاء خادم طرفي RDP على أي إصدار من Windows.



مقالات ذات صلة
أنواع
  • التعليمات
  • مقارنة
  • مفتاح مجاني
  • المعاينة الفنية
  • أخبار
مقالات شعبية
مقالات جديدة