В этом контексте один из ключевых аспектов настройки безопасности системы — это шифрование при подключении к удаленному рабочему столу. По умолчанию в Windows Server 2003 действует умеренное шифрование (Medium), а в Windows Server 2008 R2 — совместимое с клиентским (Client Compatible). На рис. A показаны настройки шифрования RDP в Windows Server 2008 R2. Не стоит путать шифрование RDP с аутентификацией на сетевом уровне (Network Level Authentication), которая представляет собой усовершенствованную версию механизма взаимодействия.
Рисунок A. Нажмите на изображении для увеличения.
Лучший метод централизованного управления шифрованием RDP в системах начиная с Windows Server 2003 и выше — посредством групповой политики. Создать соответствующий объект групповой политики (Group Policy Object, GPO) можно в разделе «Конфигурация компьютера | Административные шаблоны | Компоненты Windows | Терминальные службы | Шифрование и безопасность» (Computer Configuration | Administrative Templates | Windows Components | Terminal Services | Encryption And Security). Здесь можно настроить политику шифрования и развернуть ее на управляемых серверах в Active Directory. Подробнее о настройке групповой политики для этой цели рассказывается на сайте TechNet.
Эти настройки пригодятся и при аудите PCI, если таковой планируется. Требование 2.3 к конфигурации корпоративной сети гласит: «Обязательно шифрование любых соединений для неконсольного административного доступа. Для администрирования через веб-интерфейс и другими неконсольными способами следует применять такие технологии, как SSH, VPN или SSL/TLS (transport layer security — протокол безопасности транспортного уровня)». Для соответствия этим требованиям стоит включить усиленное шифрование RDP (High) на серверах Windows. К тому же, это позволяет укрепить безопасность в рабочей среде.
Если вы знаете другие способы защиты соединений RDP, поделитесь своим опытом в комментариях!
