Удаленный рабочий стол и удаленный помощник

Протокол Remote Desktop

Удаленный рабочий стол использует для связи протокол RDP (Remote Desktop Protocol). RDP - это протокол представления, позволяющий Windows-клиенту обмениваться информацией с компьютером, работающим в операционной системе Windows XP Professional. RDP работает во всех TCP/IP-соединениях, что делает его идеальным для использования в широком диапазоне соединений.

В Windows XP Professional используется версия RDP v.5.1. Любой клиент, пользующийся RDP 5.1, может работать со следующими атрибутами другого компьютера, тоже использующего протокол RDP 5.1.

• Файловая система. Файловая система удаленного компьютера является полностью доступной, как если бы это был сетевой жесткий диск.
• Звук. Любой звук, слышимый на Remote Desktop-сервере, будет доноситься из колонок Remote Desktop-клиента.
• Порт. Доступ к последовательным, параллельным или USB-портам клиентского компьютера невозможен во время использования приложения на сервере. Это позволяет использовать любое периферийное устройство во время сеанса связи.
• Принтер. Во время сессии компьютер-клиент использует принтер, установленный по умолчанию (при условии, что на сервере имеется необходимый драйвер).
• Remote Desktop-сервер и Remote Desktop-клиент пользуются общим буфером. Это позволяет им свободно обмениваться информацией.

Вопросы безопасности

Разумеется, вопрос обеспечения безопасности является очень важным для Remote Desktop. Не только в связи с возможностью неавторизованного доступа к вашему компьютеру, но также в связи с необходимостью устанавливать, каким авторизованным пользователям разрешено иметь доступ к компьютеру, а каким - нет.

Управлять безопасностью Remote Desktop можно несколькими способами. В следующих разделах рассказывается о том, как обеспечить разные уровни безопасности своей системы, используя Remote Desktop. Эти настройки делаются в секции Terminal Services (Службы терминала) оснастки Group Policy (Групповая политика).

Найти Terminal Services (Службы терминала) можно, активировав ММС с оснасткой Group Policy и дважды щелкнув на Computer Configuration (Конфигурация компьютера). Затем следует щелкнуть на Administrative Templates (Административные шаблоны), далее - на Windows Components (Компоненты Windows) и, наконец, на Terminal Services (Службы терминала). Этот инструмент показан на рис. 13.1.

Рис. 13.1. Раздел Terminal Services (Службы терминала) в оснастке Group Policy (Групповая политика)

Шифрование

Используя настройки служб терминала групповой политики, вы можете установить и управлять различными уровнями шифрования сообщений, которыми обмениваются между собой Remote Desktop-клиент и сервер. Как видно из рис. 13.2, на выбор представлено два уровня шифрования.

• High level (Высокий уровень). На этом уровне шифрования данных, которыми обмениваются клиент и сервер, применяется сильное 128-битное шифрование. Этот уровень следует выбирать, только если вы уверены в том, что оба компьютера могут пользоваться 128-битным шифрованием (например, оба компьютера используют систему Windows XP Professional). Если ваш клиент не поддерживает такой уровень шифрования, то связь с ним установить невозможно.
• Client Compatible (Совместимый с клиентским). При этом уровне шифрование проводится на самом высоком уровне, который поддерживает компьютер-клиент.

Если настройки шифрования несовместимы, например на вашем сервере установлен 128-битный уровень, а клиент может поддерживать только 56-битный уровень, то соединение не будет установлено.

Рис. 13.2. Настройка уровней шифрования для удаленного рабочего стола

Применение пароля при аутентификации

Вместо автоматического ввода пароля при входе клиента в систему хорошей практикой считается попросить пользователя ввести свой пароль. В настройках Terminal Services это выполняется с помощью указания Always prompt client for password (Всегда запрашивать пользователя о вводе пароля).

Отключение буфера

Если вы хотите запретить совместное использование буфера обмена между Remote Desktop-клиентом и сервером, то это можно осуществить в настройках Terminal Services с помощью опции Do not allow clipboard redirection (Не разрешать перенаправление буфера обмена).

Отключение принтера

Отключение принтера тоже возможно, и в целях безопасности вы можете это сделать. Для отмены использования переадресации сервера в настройках Terminal Services примените опцию Do not allow printer redirection (Не разрешать перенаправление на принтер).

Отключение файлов

Если вы не хотите, чтобы удаленные пользователи просматривали файловую систему, связанную с Remote Desktop-сервером, в настройках Terminal Serviced включите опцию Do not allow drive redirection (Не разрешать перенаправление дисков).