افزایش امنیت در ارتباط Remote Desktop

زمانی که شما می خواهید ویندوز خود را از راه دور مدیریت کنید بهترین ابزاری که برای این کار وجود دارد استفاده از Remote Desktop می باشد. در نسخه های قبلی ویندوز نام این سرویس Terminal Service بود.

بصورت پیش فرض پروتکل RDP پکت های رد و بدل شده بین کلاینت و سرور را رمزنگاری می کند. این رمزنگاری بر مبنای RC4 بنا نهاده شده است. رمزنگاری که در این پروتکل جا داده شده است فوی و قابل اطمینان می باشد.

اما این پروتکل یک ضعف عمده دارد. در صورتی که هکری خود را در بین دو سیستمی قرار دهد که می خواهند RDP برقرار کنند می تواند ترافیک رد و بدل شده بین دو سیستم را بخواند. چون در این سناریو هکر به کلاینت می قبولاند که سرور است. در نسخه های قبلی RDP هیچ راهی وجود نداشت که بتوان هویت سرور را تایید کرد. تا زمانی که RDP 6.0 به همراه ویندوز ویندوز ویستا ارائه شد از Network Level Authentication و TLS 1.0 پشتیبانی کرد. در این حالت کلاینت و سرور قبل از اینکه ارتباطی را برقرار کنند یکدیگر را Authenticate می کنند. این باعث می شود که فرآیند استفاده از RDP بسیار امن تر شود.

این قابلیت ها در RDP 7.0 که به همراه ویندوز ۲۰۰۸ R2 و ویندوز ۷ ارائه شد نیز پشتیبانی می شود.

در صورتی که شما از سرور های ۲۰۰۸ به بالا در ساختار خود استفاده کنید احتمالا در هنگام remote کردن به آن سرور اخطار Certificate را دیده اید:

در این قسمت به شما اعلام می کند که سیستم شما نمی تواند کامپیوتری را که به آن وصل می شوید Authenticate کند.

اساس این Authentication بر PKI یا Publick Key Infrastructure پیاده سازی شده است. در این روش کلاینت می تواند ارتباط خود را بر اساس TLS و certificate ارائه شده از طرف سرور برقرار کند. چون این certificate از محل معتبری صادر شده است هویت سرور را نیز تایید می کند.

برای تنظیم کردن این قابلیت کافی است که از CA سروری که راه اندازی کرده اید یک certificate برای کامپیوتر خود دریافت کنید. حال کافی است که سرور و کلاینتی که می خواهند وصل شوند به این CA Server اعتماد داشته باشند.

مراحل انجام کار بر روی سرور

به کنسول mmc رفته

کلید های Ctrl+M را فشار می دهیم سپس در پنجره باز شده کنسول Certificates را انتخاب می کنیم.

در لیست ظاهر شده Computer account را انتخاب می کنیم.

در صورتی که کامپیوتر شما Certificate ی به نام خود داشت، نیازی نیست درخواست certificate کنید. اما در صورتی که certificate نداشته باشد باید یک certificate جدید از CA دریافت کنیم.

سپس به کنسول Remote Desktop Session Host Configuration در Administrative Tools می رویم.

بر روی RDP-Tcp راست کلیک کرده و Properties را می زنیم.

بر روی Select که در زیر Certificates وجود دارد کلیک می کنیم و Certificate داده شده را انتخاب می کنیم.

و سپس OK می کنیم.

زمانی که می خواهید Remote Desktop را بر روی این سرور فعال کنید دو گزینه دارید:

Allow connection from computers running any version of remote desktop

در صورتی که این گزینه را انتخاب کنید کامپیوتر هایی که نسخه های قدیمی Remote Desktop را دارند نیز می توانند به این سرور وصل شوند.

Allow connections only from computers runnign Remote Desktop with Network Level Authentiocation

در صورتی که این گزینه را انتخاب کنید ارتباط فقط از کلاینت هایی برقرار می شود که از نسخه Remote Desktop Client جدید استفاده می کنند.

شما می توانید نسخه های جدید RDP Client را برای سیستم های مختلف از سایت مایکروسافت دانلود کنید. 

در صورتی که کلاینت شما به CA بکار رفته در ساختار Trust داشته باشد. سرور نیز Authenticate خواهد شد و ارتباط بسیار امنی بر اساس TLS بین کلاینت و سرور نیز برقرار می شود. سپس در منوی بالای Remote Desktop شما می توانید عکس یک قفل را مشاهده کنید که نشان دهنده ارتباط کاملا امن بین کلاینت و سرور می باشد.

برای وصل شدن باید نام کامپیوتر را وارد کنید. چون certificate نام کامپیوتر را چک می کند. در صورتی که IP کامپیوتر را وارد کنید دوباره این ایراد را خواهید دید.

مایکروسافت remoteapp امنیت security, امنیت در سیتریکس, امنیت در citrix, امنیت دورکاری, remoteapp, ریموت اپ مایکروسافت