RDP, теория и практика. Защищаем и оптимизируем RDP.

Защищаем и оптимизируем RDP

   Введение

   Протокол RDP – удобное, эффективное и практичное средство для удалённого доступа как для целей администрирования, так и для повседневной работы.

   Учитывая, что его реализации есть практически везде (различные платформы и ОС), и их много, нужно хорошо представлять его возможности.

    По крайней мере, это будет нужно по ряду причин:

   1. Зачастую вместо RDP используется другое решение (VNC, Citrix ICA) по простой причине – предполагается, что “встроенный RDP минимальный и ничего не умеет”.

  2. Во многих решениях, связанных с модными сейчас облачными технологиями (перевод офисов на “тонкие клиенты”, да и просто организация терминальных серверов), бытует мнение что “RDP плохой потому что встроенный”.

  3. Есть стандартный миф про то, что “RDP нельзя без VPN наружу выставлять, ломанут” (миф имеет под собой обоснование, но уже давно не актуален).

   Ну, раз уж про мифы заговорили – бытует мнение, что “Перейдя с RDP на Citrix трафик в пару раз падает”. Ведь цитрикс – это дорого, следовательно как минимум на 157% круче.

   Все эти мифы – ерунда и смесь устаревших “дельных советов”, актуальных во времена NT 4.0, а так же откровенных вымыслов, не имеющих никаких причин к существованию. Так как IT – это точная наука, надо разобраться. Хорошо настроеный протокол RDP новых версий, с учётом всех новых функциональных возможностей, является достаточно хорошим и надёжным инструментом для организации удалённого доступа.

Поэтому мы займёмся:

• Кратким упоминанием про версии RDP
• Настройкой режима защиты RDP-сессии
• Настройкой шифрования для RDP
• Привязкой к конкретному адаптеру и порту
• Меняем стандартный порт на нужный
• Делаем раздельные настройки RDP для нескольких сетевых адаптеров
• Включением NLA
• Как включается NLA со стороны RDP-сервера
• NLA и Windows XP
• Как включить CredSSP в XP
• Выбором правильного сертификата для RDP
• Блокированием подключений по RDP учётным записям с пустым паролем
• Настройка ACL для подключения по RDP
• Оптимизацией скорости RDP
• Отключаем редирект неиспользуемых устройств
• Настраиваем общую логику оптимизации визуальных данных RDP
• Оптимизацией сжатия RDP
• Настраиваем общее сжатие RDP
• Настраиваем сжатие аудиопотока RDP
• Оптимизацией соотношения потоков данных RDP
• Включением Require secure RPC communication для RDP

Приступим.

Ошибка: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} и APPID {9CA88EE3-ACB7-47C8-AFC4-AB702511C276}

На сервере Windows Server 2012 R2 постоянно возникает такая ошибка:

Имя журнала: Система

Источник: DistributedCOM

Код: 10016

Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID

{D63B10C5-BB46-4990-A94F-E40B9D520160}

и APPID

{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}

пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.

Сначала нужно обновить Windows через центр обновления, и если не поможет, то делаем следующее.

Ошибка The network bridge on device vmnet0 is not running в Windows 8 and 8.1

     Сегодня, в процессе обновления Windows 8 до версии Windows 8.1 совсем перестала работать сеть на VmWare, Несколько виртуальных машин с разными ОС (WinXp, Win7, Win2008 Server) не видят сети, выдают сообщение "Сетевой кабель не подключен". При попытке включить интерфейс выдает ошибку "the network bridge on device vmnet0 is not running".

Деавторизация и авторизация компьютеров в iTunes. (Инструкция)

Две недели назад я в очередной раз сменил второй рабочий компьютер — купил планшет-ультрабук одного тайваньского производителя. После первичной настройки очень захотелось расслабиться и послушать что-нибудь из своей медиатеки iTunes. Не тут-то было: оказалось, что лимит в 5 компьютеров, привязанных к моему аккаунту Apple, был исчерпан. И музыку, которую я купил, мне почему-то нельзя проиграть на новой «рабочей лошадке». Было грустно.

Это небольшая инструкция для тех, кто столкнулся с необходимостью деавторизации компьютеров в программе iTunes. Что это такое, зачем она применяется и вообще нужна, а также что делать, когда один из пяти компьютеров просто невозможно деавторизовать — расскажу далее. 

Что за авторизация и деавторизация, и зачем они нужны?

Обязательный ликбез для начала. Система авторизации и деавторизации — это механизм идентификации компьютеров, подключенных к iTunes Store. Говоря простым языком, авторизация компьютеров «привязывает» их к вашей учётной записи и даёт возможность через них прослушивать, скачивать или удалять музыку, ранее купленную или закачанную в «облако» в рамках сервиса iTunes Match.

Требование авторизации компьютера в iTunes Store всегда возникает, когда вы пытаетесь скачать в программе iTunes что-либо из своих предыдущих покупок. Например, загрузить программу в память iPhone через кабель синхронизации или просто «залить» на жёсткий диск давно купленный альбом. Всё это разрешается только после процедуры авторизации устройства: вы вводите пароль от своей учётной записи ещё раз, и тогда iTunes «запоминает» ваш PC или Mac и разрешает проводить все возможные операции с вашим аккаунтом Apple ID. Если на одном и том же компьютере стоят несколько операционных систем, авторизацию потребуется проводить для каждой из них.

Отзыв пользовательских сертификатов OpenVPN

В качестве примера, отзовём сертификат пользователя client2. Пример будет для Linux/BSD/Unix. 

cd /usr/local/etc/openvpn 
. ./vars 
./revoke-full client2 

В результате видим примерно следующее: 

Using configuration from /usr/local/etc/openvpn/openssl.cnf 
DEBUG[load_index]: unique_subject = "yes" Revoking Certificate 04. 
Data Base Updated

Передача ролей FSMO windows 2012 r2

Передача ролей FSMO выполняется с помощью программы Ntdsutil.exe (запускается из командной строки) или оснасток консоли MMC. В зависимости от передаваемой роли используются:

оснастка «Схема Active Directory»;
оснастка «Active Directory — домены и доверие»;
оснастка «Active Directory — пользователи и компьютеры».

Если компьютер больше не существует, роль необходимо присвоить с помощью программы Ntdsutil.exe.

Передача роли хозяина схемы

Для передачи роли хозяина схемы используется оснастка «Схема Active Directory». Перед ее запуском необходимо зарегистрировать файл Schmmgmt.dll. 

Регистрация файла Schmmgmt.dll

1. Нажмите кнопку Пуск и выберите пункт Выполнить.
2. Введите в поле Открыть команду regsvr32 schmmgmt.dll и нажмите кнопку OK.
3. Получив сообщение об успешном завершении операции, нажмите кнопку ОК.

Передача роли хозяина схемы

Автоматическое монтирование сетевой папки при загрузке в Linux (Debian / Ubuntu)

Если есть, например, офисный сервер на котором находятся общие сетевые папки для пользователей, то целесообразно сделать что бы эти папки монтировались у пользователей при загрузке ПК автоматически. Имеем: сервер 192.168.1.1,доступ к файлам и папкам по протоколу Samba  и на нем папки //192.168.1.1/Xlam и //192.168.1.1/Musor. Для этого надо всего лишь добавить нужные записи в /etc/fstab:

1) Создаем локальные папки,к которым будут монтироваться сетевые — например это будет папки Xlam  и Musor. Создаем их в домашней папке пользователя на его ПК. Если у нас юзер в Линуксе зовется Rusua то новые папки создаются в /home/rusua/. Обязательно создавать из под этим юзером,а не под рутом,иначе записать туда ничего будет нельзя,так как папки будет принадлежать root а не rusua.

Установка .NET Framework 3.5 в Windows Server 2012 R2

Большинство современных Windows-приложений для своей нормальной работы требуют наличие установленной платформы .NET Framework. Мастер установки ролей и компонентов Server Manager в Windows Server 2012 R2 позволяет запустить установку двух разных версий .NET Framework — 3.5 и 4.5. Установка .NET Framework 4.5 обычно вопросов не вызывает – вся процедура крайне проста, чего не скажешь про установку .NET — 3.5.

Дело в том, что при попытке установить .NET Framework 3.5 в Windows Server 2012 R2 со стандартными настройками появляется ошибка «Installation of one of more roles, role services or features failed. The source files could not be found…».

Настройка DNS-серверов и клиентов домена Windows

Стартовая настройка DNS-серверов и клиентов домена Windows 

В домене который подключен к Интернету, настройка DNS на серверах и клиентах - важнейший этап первоначального конфигурирования сети. Ошибки на этом этапе не относятся к трудно диагностируемым, однако способны сделать локальную сеть практически "невменяемой".

Дабы не пришлось вам перелистывать многотомные мануалы (а например замечательная книга "DNS и Bind" издается аж на 700 страниах), создно это КРАТКОЕ руководство, которое позволит вам быстро привести в порядок или настроить сеть.

Но мануалы со временем перечитать нужно, в них много полезного.

Перечислим основные моменты настройки:

1. В зонах прямого просмотра DNS-сервера следует удалить зону "." (на жаргоне: "зона точка", "корень", "корневая зона", "зона корневых серверов"), если она там есть. После этого перезапустить службу "DNS-сервер".
   
2. a) Если в вашем домене только один контроллер домена, то в "Свойствах TCP/IP" в разделе "Предпочитаемый DNS сервер" каждого интерфейса необходимо указывать только IP этого же самого интефейса, а в качестве "Альтернативный DNS сервер" не следует указывать вообще ничего.
   b) Если в вашем домене два или более контроллеров домена, то на каждом контроллере домена, на котором работает DNS-сервер, в "Свойствах TCP/IP" каждого "внутреннего" (глядящего внутрь вашей локальной сети) интерфейса следует указать
   - "первым сервером DNS" - IPшник любого другого (разумеется, ближайшего по топологии сети) контроллера этого домена с работающим DNS,
   - "вторым сервером DNS" - IPшник этого же самого интерфейса, т.е. "самого себя" (но ни в коем случае не 127.0.0.1!).

Как отредактировать файл resolv.conf (и другие защищенные файлы)

    В документации по DNS сказано, что файл resolv.conf не редактируется, а все изменения в нет отменяются при выходе. Связано это с тем, что параметры DNS считываются из сетевых инетерфейсов. И изменяются при перезагрузке.
    Но для сервера перезагрузки крайне не желательны.
    Действительно, попытавшись отредактировать файл /etc/resolv.conf мы потерпим неудачу.

    Решение:

    нужно отменить защиту от редактирования командой:
    chattr -i /etc/resolv.conf

    отредактировать файл:
    sudo nano /etc/resolv.conf

    и вернуть назад защиту от изменений
    chattr +i /etc/resolv.conf

   перезапустить интерфейсы
   sudo /etc/init.d/networking restart


   Так новые настройки DNS вступят в силу без перезагрузки сервера.


    !!! Внимание !!!
    Система Linux разумна и ничего не делает просто так.
    Если защита на редактирование даже для root поставлена, значит это действительно нужно.
    Будьте осторожны.