آموزش شبکه و سرور - مجازی سازی - نصب انواع سیستم عامل
آموزش نصب انواع سیستم عامل ، شبکه ، سرویس هاست ، مجازی سازی و غیره...

بخش دوم اتصال به یک رایانه از راه دور با پروتکل RDP - Remote Desktop Protocol

سلام مجدد به همه دوستان
اجازه بدهید بحث Remote Desktop را کمی بیشتر بشکافیم و نکاتی از نظر کارکردی و امنیتی در این مورد را مطرح نماییم
.
اول از همه اجازه بدهید به سوالی که مطرح شده بود و یکی از دوستان پاسخ داده بودند بپردازیم و اندکی بیشتر توضیح دهیم :

امکان RDP Through Web یا Remote Desktop Web Connection پیاده سازی همان اتصال از راه دور است از طریق یک صفحه وب ساده !



برای نصب این برنامه یا قابلیت وارد Add/Remove Programs شده و به آدرس زیر رفته و تیک Remote Desktop Web Connection را بزنید. (چند تیک دیگر هم که پیش*نیازهای این برنامه هستند اتوماتیک خورده می*شود).



Internet Information Service - World Wide Web Services - Remote Desktop Web Connection




لوح فشرده ویندوز را داخل دستگاه بگذارید تا برنامه*ها و فایل*های لازمه کپی شود.


اکنون این خاصیت یعنی RDP از طریق یک سایت ساخته شده در IIS برای شما فراهم شده است. در آینده نزدیک بیشتر به مباحث IIS خواهیم پرداخت. فعلا برای مشاهده این سایت در Run دستور inetmgr را تایپ کنید تا به کنسول مدیریت IIS وارد شوید.


به Web Sites – Default Website بروید و زیرسایت tsweb را ملاحظه کنید. این همان زیر سایتی است که امکان مورد نظر را برای شما فراهم کرده است.


عرض کردم که بعدا به IIS بیشتر می پردازیم اما بد نیست نکاتی کوچک را همین جا مطرح کنیم. این سایت می تواند برای افرادی خاص در دسترس باشد که این افراد را می توانید از همان رایانه یا دامین انتخاب کنید
. پیش فرض این سایت برای همه (Anonymous) قابل دسترسی است. برای تغییر این وضعیت از سایت tsweb پراپرتیز بگیرید و به برگه Directory Security بروید. در قسمت Authentication دکمه Edit را زده و تیک Enable Anonymous Access را بردارید. سپس از قسمت پایین نحوه پیاده*سازی دسترسی و افراد مجاز و غیر مجاز را با دسترسی*های خاص خود تعیین کنید.






حال چگونه از این سایت استفاده کنیم.
صفحه اصلی این سایت (اگر در IIS دقت کرده باشید) Default.htm است. بنابراین اگر سرور ما 192.168.1.1 باشد برای دسترسی به این امکان در مرورگر وارد می کنیم :
192.168.1.1/tsweb/default.html

وارد کردن نام یا آدرس سرور و بله ! همان صفحه معروف RDP و ادامه قضایا.







اما بیایید چند نکته مهم را در این خصوص بررسی کنیم.

1- گمان نکنید که با این قضیه توانسته*اید پورت و امکان RDP را دور بزنید. خیر ! بهتر بگویم. اینطور نیست که روی سیستم مقصد فایروال روشن باشد و اجازه RDP را ندهد اما مثلا وب آن باز باشد و شما بگویید خوب همه چیز روبراه است. با وب وصل می*شویم. نه ! این صفحه وب هم در نهایت از RDP استفاده خواهد کرد. به عنوان تمرین بد نیست این موضوع را تست کنید.


2- شاید با خود می گویید خوب پس این به چه درد می خورد
. من نظر خود را می گویم ولی منتظر نظر اساتید می مانم (خصوصا دوستان ویژه و مدیران که به این بخش توجه زیادی ندارند). ببینید در واقع این امکانی است که شما را از کلاینت RDP بی*نیاز می*کند. فرض کنید روی سیستمی هستید کهبرنامه MSTSC.exe آن ایراد دارد. اصلا از یک سیستم لینوکسی می خواهید به سرور ویندوز خود ریموت بزنید. (اگر در این خصوص اشتباه میکنم دوستان حتما تصحیح بفرمایند) در این حالت از طریق وب به آن وصل می شوید و کلاینت RDP از روی سایت tsweb برای شما اجرا می گردد. ضمنا می توانید از مزایای IIS هم در چنین حالتی استفاده کنید چون به هر حال به یک سایت متصل شده اید.
3- پیشنهاد می شود برای امنیت بیشتر سایت را به صورت Secure یا HTTPS پیاده کنید. البته نگران نباشید. همانطور که از صفحه وب می*بینید، هکر تنها چیزی که گیرش می آید، آدرس یا نام سرور مقصد است و بقیه موارد از طریق همان پروتکل RDP انجام می شود.

برخی نکات دیگر در خصوص RDP :
1- صحبت کردیم در این خصوص که چه کسانی می توانند به سیستم RDP بزنند. یادتان هست ؟ بله ! گروه Administrators و گروه Remote Desktop Users ! اما این از کجا آمده است و اگر بخواهیم آن را تغییر بدهیم چه باید کرد. در واقع این دو گروه دارای یک حق دسترسی (User Rights) هستند که در جلسات پیش در این مورد صحبت کرده ایم. این حق دسترسی در بخشی User Rights Assignment با نام Allow Logon Through Terminal Services قابل مشاهده است. می بینید که پیش فرض گروه های فوق الذکر در آن وجود دارند. شما می توانید برای امنیت بیشتر فقط یک یوزر یا گروه خاص مد نظر خود را در این قسمت وارد کنید و پیشنهاد می شود گروه Administrators را از این بخش خارج کنید.
2- یادم نمی آید گفتم یا نه اما بهرحال اشاره می کنم که قابلیت RDP دادن به یوزر به معنای بالا بردن حق دسترسی وی نیست. مثلا اگر یوزری در دامین من قابلیت RDP زدن به یک سرور را دارد فقط برای اینکه تنظیمات خاص برنامه روی آن را انجام دهد، دیگر دسترسی به سایر منابع و سرویس های آن سرور ندارد و شما هم نباید امکان و قدرتی پیش از تنظیم همان App خاص در اختیار وی قرار دهید
.
3- امنیت اتصال را بالا ببرید. ویندوز XP به صورت پیش فرض و برای حفظ و سازگاری با نسخ قدیمی این برنامه، ارتباطات با امنیت پایین یا حتی بدون Encrypt را هم می پذیرد اما شما تنظیم کنید که فقط مثلا ارتباط مد شده با کلید 128 بیتی قابل قبول باشد. برای این کار به Group Policy و آدرس زیر در آن بروید و Encryption Level مد نظر خود را انتخاب کنید.


Computer Configuration, Administrative Templates, Windows Components, Terminal Services, Encryption & Security -> Set Client Connection Encryption Level








1- تغییر پورت را که جلسه قبل در موردش صحبت کردیم فراموش نکنید.
2- پورت RDP را باز کنید اما حتما در Firewall Exceptions تعیین کنید که چه آدرس هایی می توانند به آن وصل شوند.
3- برای جلوگیری از حملات Man In The Middle ویندوز XP کار خاصی نمی تواند انجام بدهد. اما ویندوز 2003 از TLS پشتیبانی می کند به شرطی که RDP Client شما هم به روز باشد.
4- در نهایت نکته مهمی که همیشه باید رعایت کرد و آن چک کردن لاگ فایروال است تا ببینید چه کسی قصد نفوذ به سرور شما از طریق RDP را داشته است و بعد پیداش کنید و بزنید پدر پدر پدر پدرسوخته اش رو دربیارید
و اما دو تمرین :
حتما این تمرینات را انجام دهید وگرنه به جلسه بعدی نخواهیم رفت. این بار قضیه جدی است
.


تمرین 1 : چگونه امکان ذخیره شدن رمز و نام کاربری را در RDP Sessions از بین ببریم.
تمرین 2 : چگونه History اتصالات RDP (نام سرورها و کاربرهای ذخیره شده در برنامه MSTSC ) را پاک کنیم.





طبقه بندی: دوره شبکه مایکروسافت، 
برچسب ها: بخش دوم اتصال به یک رایانه، اتصال به یک رایانه از راه دور، اتصال از راه دور، پروتکل Remote Desktop Protocol، پروتکل RDP، آموزش remote شدن به سرور، آموزش remote desktop، remote desktop چیست،
ارسال توسط پیمان کوره پز
شاید به نظر برسه داستان خیلی ساده است و احتمالا همه شما بارها و بارها با این پروتکل کار کردید ولی خوب مطلب زیاد داره که البته ما هم نمیرسیم به همش بپردازیم ولی شما میتونید با جستجوهای ساده تو گوگل مطالب خوبی در این باره پیدا کنید.

به طور خلاصه پروتکل RDP یک پروتکل انحصاری مایکروسافت است که به کمک آن می توان از طریق شبکه به یک سیستم دیگر به صورت گرافیکی وصل شد و آن را کنترل کرده و از امکانات آن بهره برد. این پروتکل و این قابلیت در ویندوز را با نام Terminal Services هم می شناسند که البته شاید بتوان تفاوت هایی کوچک را بین آنها متصور شد.
به یاد داشته باشیم سیستم عامل های مختلف ویندوز می توانند با این پروتکل کنترل شوند اما برای اتصال به این سیستمها می توان از برنامه های نوشته شده موجود در دیگر سیستم عامل ها هم بهره برد
.
به بیان ساده تر، سرور این پروتکل یک سیستم عامل ویندوزی است اما کلاینت آن می تواند سیستم عامل های دیگر هم باشد.
به طور پیش فرض، سرویس RDP از پورت TCP 3389 استفاده می کند که البته می توان آن را با استفاده از رجیستری به سادگی تغییر داد. در انتهای این جلسه به نحوه انجام این کار خواهیم پرداخت.
پروتکل RDP طی سال ها و همزمان (یا در طول استفاده) از سیستم عامل های مختلف ویندوز تغییرات زیادی داشته است.
اولین نسخه RDP 4.0 بود که برای ویندوز NT 4.0 ارایه شد. و آخرین نسخه هم RDP 7.0 است که برای ویندوز سرور 2008 و ویندوز 7 معرفی شده است
.
شاید با خود بگویید چه مواردی تغییر کرده است. یک اتصال به راه دور است که باید برقرار شود پس این نسخه های پی در پی چه تفاوتی با هم داشته*اند.

در پاسخ باید گفت امکانات ارتباطی، عملکردی و امنیتی در هر نسخه نسبت به نسخ قبلی تغییرات قابل ملاحظه ای داشته است. برای مثال

این که شما بتوانید حتی صدای در حال پخش در سیستم دیگر را بشنوید.
این که بتوانید فایل را در سیستم مقصد با استفاده از چاپگر روی سیستم خود پرینت بگیرید.
امنیت این ارتباط افزایش پیدا کرده و به سادگی قابل نفوذ نیست.
حجم دیتای ارسالی در یک جلسه یا نشست (Session) با استفاده از مکانیسم*های مختلف کاهش داشته است.
کیفیت تصویرهایی که ساپورت می*شوند زیاد شده است (مثلا 24 بیت)
و ...

استفاده از این قابلیت همانطور که همه می دانید بسیار ساده است. دستور MSTSC.EXE را در Run
بنویسید تا کلاینت برنامه اجرا شود (یعنی برنامه ای که از آن جهت اتصال به مقصد استفاده می کنید). این کلمه مخفف عبارت زیر است :

MicroSoft Terminal Services Console

در ساده ترین حالت کافیست نام یا IP سیستم مقصد به همراه یوزر و پسوردی که این قابلیت را دارد وارد کنید تا به سیستم مقصد متصل گردید.

اما نکات مهم و کاربردی برای استفاده از این برنامه

-
اول از همه مد نظر داشته باشید که سیستم مقصد باید اجازه وصل شدن از راه دور به سیستم های دیگر را بدهد. برای این کار از My Computer – Properties گرفته و از برگه Remote تیک زیر را بزنید.

Allow Users To Connect Remotely to This Computer





-
مطمئن شوید که فایروال خاموش است یا حداقل پورت RDP که گفتیم پیش فرض TCP 3389 است روی آن باز می باشد
. (در Exception فایروال تعریف شده است)
-
یوزری که می خواهید در مقصد وجود داشته باشد و از آن برای اتصال استفاده کنید باید اولا حتما دارای رمز عبور بوده و ثانیا عضو گروه Remote Desktop Users باشد.

پس به همین سادگی با رعایت این چند نکته می*توانیم از این امکان استفاده کنیم. حال بیایید چند نکته در مورد برنامه کلاینت را بررسی کنیم.



برگه General :
توضیح خاصی نیاز نیست. وارد کردن نام کاربری و رمز عبور به علاوه نام (اگر DNS به خوبی کار می*کند) یا IP سیستم مقصد
ضمن اینکه می*توان این اطلاعات را برای سیستم مقصد ذخیره کرد تا در دفعات بعد نیازی به ورود مجدد اطلاعات نباشد. (از این حالت با احتیاط استفاده کنید)

برگه Display :
قطعا اگر از Dial-up استفاده می*کنید نباید کیفیت 24 بیت را برگزینید. اما اگر در LAN هستید می*توانید از بالاترین کیفیت رنگ و عمق تصویر بهره ببرید.

برگه Local Resources :
قسمت مهمی است و البته درک آن ساده.
می*توانید بگویید صدای سیستم مقصد به این سیستم انتقال داده شود. چگونگی استفاده از کلیدهای ترکیبی تعریف می*شود و در قسمت آخر می*گویید آیا چاپگرها و حافظه Clipboard هم بین دو طرف Share شود یا خیر.
به یاد داشته باشید با زدن کلید More می*توانید همین تعاریف را برای منابع دیگر هم داشته باشید. خصوصا اگر می*خواهید درایوهای سیستم مبدا در سیستم مقصد قابل استفاده باشند حتما تیک Drives را بزنید.
بارها دیده*ام طرف فایلها را روی سیستم خودش Share می*کند. سپس به مقصد RDP میزند و از آنجا به Share متصل شده و فایلها را بر می دارد. نکن برادر من ! نکن عزیز جان ! این تیک را بزن و به راحتی فایلهای مبدا را در مقصد ببین و استفاده کن.

برگه Programs :
باز هم ساده است. این که چه برنامه ای پس از اتصال اجرا شود.

برگه Experience :
تنظیماتی در خصوص میزان رنگ و فونت*ها و پشت صفحه و ... که با توجه به نوع (سرعت) ارتباط شما پیشنهاد می*شود.

برگه Advanced :
قسمت بالا در خصوص Server Authentication است و به طور خلاصه به تنظیم این قضیه می*پردازد که اگر تنظیمات و سیاست*های امنیتی در دو طرف تفاوت داشته باشد چه باید کرد. هشدار دهد و وصل شود ؟ اصلا وصل نشود یا بی خیال ! وصل شو و صدایت هم درنیاید
قسمت پایین را (Connect From Anywhere) شما به عنوان تمرین بگویید که چه می*کند. مثل همان تمرینات قبلی که ماشا.. هزار نفر جواب دادند J

نکته مهم :
در ویندوز XP تنها می*توان یک Session داشت (منظور Session های اینچنینی است) بنابراین اگر شا در حال کار هستید و شخصی بخواهد به شما RDP بزند شما متاسفانه دیگر نمی*توانید کار کنید.

در ویندوز سرور 2003 همزمان می*توان دو ارتباط Remote داشت که البته این پیش*فرض است و با سرویس Terminal Services Licensing می*توان این تعداد را بیشتر کرد که ان شاء ا.. اگر عمری بود بعدا به آن می*پردازیم.

نکات بعدی ارتباط چندانی به بحث های MCSE ندارند اما می*خواهم به آن توجه کنید. این مطالب در خصوص امنیت و نکات امنیتی این برنامه هستند.
این سرویس در ارتباط بین دو سمت و رد و بدل کردن دیتا، کدگذاری و امنیت خوبی دارد اما روش Brute Force برای حمله به آن کاربرد زیادی دارد. بدین معنا که شخص بَد  پس از اینکه فهمید پورت و سرویس مورد نظر روی سیستم شما باز است از برنامه های مخصوصی استفاده می*کند تا با حدس زدن رمز مقصد به آن متصل شود. پس این موارد را رعایت کنید (من اینها به ذهنم رسید. ممنون می شود دوستان هم نکات دیگر را اضافه کنند)

1- اگر واقع لازم نیست اصلا این سرویس را فعال نکنید.
2- این سرویس را فقط برای استفاده از سیستم*های خاصی قابل استفاده نمایید و امنیت را با استفاده از MAC,IP بالا ببرید. فقط سیستمی با فلان MAC یا IP بتواند وصل شود.)
3- حتما رمز پیچیده*ای را برای یوزرهای دارای قابلیت مذکور انتخاب کنید.
4- حتما کاربری غیر از Administrator را برای این کار استفاده کنید.
5- کاربری را که برای اتصال راه دور تعریف می*کنید در حداقل دسترسی تعریف نمایید. فقط در همان حدی که کار شما را راه بیندازد.
6- گزارش گیری روی فایروال را فعال کنید و بررسی کنید چه کسانی قصد اتصال با RDP را داشته باشند.
7- و نکته آخر اینکه پورت پیش فرض مورد نظر را با استفاده از روش زیر عوض کنید.

با دستور regedit.exe وارد رجیستری شوید و به آدرس زیر بروید

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\TerminalServer\WinStations\RDP-Tcp\PortNumber

از Edit و Modify استفاده کرده و decimal را انتخاب کنید و سپس پورت مورد نظر خود را وارد نمایید
.


این هم از این جلسه ! قطعا نکات زیادی مانده که عزیزان می توانند تکمیل نمایند. امیدوارم سودمند بوده باشد.

یک تمرین دارم :
خواهشمندم چند نفری انجام بدهند تا بدانم این بحث ها و نوشته ها خواننده دارد.

می خواهم خاصیت Remote Desktop Web Connection و چرایی و چگونگی استفاده از آن را تشریح نمایید. هر کس جواب بدهد جایزه دارد. 



طبقه بندی: دوره شبکه مایکروسافت، 
برچسب ها: آموزش مایکروسافت، اتصال به یک رایانه از راه دور، پروتکل RDP، خاصیت Remote Desktop Web Connection،
ارسال توسط پیمان کوره پز
آخرین مطالب
ساخت وبلاگ در میهن بلاگ

شبکه اجتماعی فارسی کلوب | اخبار کامپیوتر، فناوری اطلاعات و سلامتی مجله علم و فن | ساخت وبلاگ صوتی صدالاگ | سوال و جواب و پاسخ | رسانه فروردین، تبلیغات اینترنتی، رپرتاژ، بنر، سئو