Усиление безопасности подключения к терминальным службам WS2008

В этой записи рассказывается о нововведениях в терминальных службах Windows Server 2008, направленных на усиление безопасности. В стандартной поставке Windows XP с использованием этих нововведений возникнут проблемы, я расскажу, как их решить.

Начиная с Windows Server 2008 значительно повышена безопасность подключения к службам терминалов за счет использования двух технологий: SSL и NLA.

SSL

Шифрование SSL применяется не только для защиты трафика от перехвата, но и для удостоверения подлинности сервера терминалов, к которому подключается клиент. Для этого на сервере должен быть установлен сертификат компьютера. Такой сертификат устанавливается на все компьютеры автоматически, если они являются членами домена и в домене развернуты службы сертификации. Но можно выдать и установить такой сертификат вручную.

При подключении клиента к терминальному серверу с включенной защитой SSL проверяется сертификат сервера: он должен быть выдан доверенным центром и подключение должно осуществляться к тому же адресу, что и заявлен в сертификате. В этом случае клиент не получит никаких предупреждений. Если же сертификат не признается довернным, либо адрес сервера отличается, клиенту выдается предупреждение. Таки образом трафик не только шифруется, но и защищается от атаки типа «человек посердине».

NLA

Network Level Authentication направлена на защиту терминального сервера от атак на отказ в обслуживании. Эта технология запрашивает авторизацию пользователя средствами самого клиента RDP в самом начале подключения. Если авторизация не проходит, сервер не напрягается рисовать окно входа в систему и выполнять прочие связанные с этим действия. Это особенно актуально, если такой терминальный сервер доступен из интернета.

Совместимость с клиентами

Чтобы успешно подключаться к терминальному серверу, на котором активированы обе технологии, необходим терминальный клиент, поддерживающий протокол RDP 6.1. Этот протокол поддерживается клиентами, идущими в комлекте с ОС начиная с Windows Vista. Для Windows XP необходим установленный SP3 (либо обновление KB952155 для SP2) и кое-какая дополнительная настройка, описанная в статье KB951608.

Для включения поддержки CredSSP (через которую работает NLA) в RDP клиенте Windows XP необходимо внести следующие изменения в реестр:

  • в параметре:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
    добавить строку со значением:tspkg
  • в параметре:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders
    добавить строку со значением:credssp.dll

Для вступления изменений в силу нужно перезагрузить компьютер.

В недавно вышедшем Windows Server 2008 R2 протокол RDP обновлен до версии 7.0. Полная его поддержка встроена в Windows 7, для Windows Vista и Windows XP необходима установка обновления KB969084.