Въведение
ИТ администраторите трябва да предоставят на служителите надежден и сигурен достъп до вътрешни работни станции и приложения. Традиционно това се постига чрез експониране на RDP през порт 3389 или разчитане на VPN. И двата подхода въвеждат сложност и потенциални рискове за сигурността. Remote Desktop Gateway (RD Gateway) на Microsoft решава този проблем, като тунелира Remote Desktop връзките през HTTPS на порт 443. В тази статия ще преминем през процеса на настройка на RD Gateway на Windows Server и ще обсъдим как TSplus Remote Access предлага по-лесна, мащабируема алтернатива за организации от всякакъв размер.
Какво е RDP шлюз?
Отдалечен десктоп шлюз (RD шлюз) е роля на Windows Server, която позволява сигурни отдалечени връзки към вътрешни ресурси през интернет, като тунелира RDP трафик през HTTPS на порт 443. Той защитава срещу атаки с груба сила с SSL.
шифроване TLS
и прилага строги правила за достъп чрез Политики за авторизация на връзката (CAPs) и Политики за авторизация на ресурси (RAPs), предоставяйки на администраторите прецизен контрол върху това, кой може да се свърже и какво може да достъпи
-
Ключови функции на RD Gateway
-
Как се различава от VPN мрежи
Ключови функции на RD Gateway
Едно от най-големите предимства на RD Gateway е зависимостта му от HTTPS, което позволява на потребителите да се свързват през мрежи, които обикновено блокират RDP трафика. Интеграцията с SSL сертификати също осигурява криптирани сесии, а администраторите могат да конфигурират CAP и RAP, за да ограничат достъпа на базата на потребителски роли, съответствие на устройството или време на деня.
Как се различава от VPN мрежи
Въпреки че VPN мрежите са често срещан начин за предоставяне на дистанционен достъп, те често изискват по-сложна конфигурация и могат да изложат по-широки части от мрежата, отколкото е необходимо. Напротив, RD Gateway се фокусира конкретно върху защитата на RDP сесиите. Той не предоставя достъп до цялата мрежа, а само до одобрени работни станции и приложения. Тази по-тясна обхват помага за намаляване на повърхността на атака и опростява спазването на изискванията в индустрии с строги правила за управление.
Как да настроите RDP Gateway? Подробно ръководство
-
Предварителни изисквания преди настройка
-
Инсталирайте ролята на RD Gateway
-
Конфигурирайте SSL сертификата
-
Създайте политики CAP и RAP
-
Тествайте връзката си с RD Gateway
-
Файъруол, NAT и настройки на DNS
-
Наблюдавайте и управлявайте RD Gateway
Стъпка 1: Изисквания преди настройка
Преди да настроите RD Gateway, уверете се, че вашият сървър е присъединен към домейна на Active Directory и работи с Windows Server 2016 или по-късно с инсталирана роля Remote Desktop Services. Необходими са права на администратор, за да завършите конфигурацията. Ще ви е необходим и валиден
SSL сертификат
от доверен CA за осигуряване на връзки и правилно конфигурирани DNS записи, така че външното име на хоста да се разрешава до публичния IP адрес на сървъра. Без тези елементи, шлюзът няма да функционира правилно.
Стъпка 2 – Инсталирайте ролята на RD Gateway
Инсталацията може да бъде извършена или чрез
Сървърен мениджър
GUI или PowerShell. С помощта на Server Manager администраторът добавя ролята на Remote Desktop Gateway чрез магьосника за добавяне на роли и функции. Процесът автоматично инсталира необходимите компоненти, като IIS. За автоматизация или по-бързо разгръщане, PowerShell е практичен вариант. Изпълнявайки командата
Инсталирайте-WindowsFeature RDS-Gateway -IncludeAllSubFeature -Restart
инсталира ролята и рестартира сървъра при необходимост.
След завършване администраторите могат да потвърдят инсталацията с
Get-WindowsFeature RDS-Gateway
, който показва инсталираното състояние на функцията.
Стъпка 3 – Конфигурирайте SSL сертификата
SSL сертификатът трябва да бъде импортиран и свързан с RD Gateway сървъра, за да се криптира целият RDP трафик през HTTPS. Администраторите отварят RD Gateway Manager, навигират до таба SSL сертификат и импортират .pfx файла. Използването на сертификат от доверен CA избягва проблеми с доверието на клиента.
За организации, които управляват тестови среди, самоподписан сертификат може да е достатъчен, но в продукция се препоръчват публични сертификати. Те осигуряват, че потребителите, свързващи се от външната страна на организацията, не срещат предупреждения или блокирани връзки.
Стъпка 4 – Създаване на CAP и RAP политики
Следващата стъпка е да се определят политиките, които контролират достъпа на потребителите. Политиките за авторизация на връзката определят кои потребители или групи имат право да се свързват през портала. Методи за удостоверяване, като пароли, смарт карти или и двете, могат да бъдат наложени. Пренасочването на устройства също може да бъде разрешено или ограничено в зависимост от нивото на сигурност.
Политиките за авторизация на ресурси след това определят до кои вътрешни сървъри или десктопи могат да получат достъп тези потребители. Администраторите могат да групират ресурсите по IP адреси, имена на хостове или обекти на Active Directory. Тази разделение на политиките за потребители и ресурси осигурява прецизен контрол и намалява риска от неразрешен достъп.
Стъпка 5 – Тествайте вашата RD Gateway връзка
Тестовете гарантират, че конфигурацията работи както се очаква. На Windows клиент може да се използва клиентът за Remote Desktop Connection (mstsc). Под Разширени настройки потребителят посочва външното име на хоста на RD Gateway сървъра. След предоставяне на удостоверения, връзката трябва да бъде установена безпроблемно.
Администраторите могат също да изпълняват тестове от командния ред с
mstsc /v:
/gateway:
Мониторингът на логовете в RD Gateway Manager помага да се потвърди дали удостоверяването и авторизацията на ресурсите работят, както е конфигурирано.
Стъпка 6 – Настройки на защитната стена, NAT и DNS
Тъй като RD Gateway използва
порт 443
администраторите трябва да разрешат входящия HTTPS трафик на защитната стена. За организации зад NAT устройство, пренасочването на портове трябва да насочва заявките на порт 443 към сървъра RD Gateway. Трябва да има правилни DNS записи, така че външното име на хоста (например,
rdgateway.company.com
) разрешава до правилния публичен IP. Тези конфигурации гарантират, че потребителите извън корпоративната мрежа могат да достигнат RD Gateway без проблем.
Стъпка 7 – Наблюдавайте и управлявайте RD Gateway
Непрекъснатото наблюдение е от съществено значение за поддържането на сигурна среда. Мениджърът на RD Gateway предлага вградени инструменти за наблюдение, които показват активни сесии, продължителност на сесиите и неуспешни опити за влизане. Редовният преглед на логовете помага за идентифициране на потенциални атаки с брутфорс или неправилни конфигурации. Интегрирането на наблюдението с централизирани платформи за логване може да предостави още по-дълбока видимост и възможности за известяване.
Какви са често срещаните капани и съвети за отстраняване на проблеми с RDP Gateway?
Докато RD Gateway е мощен инструмент, могат да възникнат няколко често срещани проблема по време на настройка и работа.
Проблеми с SSL сертификата
са чести, особено когато в производството се използват самоподписани сертификати. Използването на публично доверени сертификати минимизира тези главоболия.
Друг често срещан проблем е неправилната конфигурация на DNS. Ако външното име на хоста не се разрешава правилно, потребителите няма да могат да се свържат. Осигуряването на точни DNS записи както вътрешно, така и външно е от съществено значение. Неправилните конфигурации на защитната стена също могат да блокират трафика, така че администраторите трябва да проверят отново пренасочването на портовете и правилата на защитната стена при отстраняване на проблеми.
Накрая, политиките CAP и RAP трябва да бъдат внимателно синхронизирани. Ако потребителите са упълномощени от CAP, но не получат достъп от RAP, връзките ще бъдат отказани. Прегледът на реда и обхвата на политиката може бързо да разреши такива проблеми с достъпа.
Как TSplus Remote Access може да бъде алтернатива на RDP Gateway?
Докато RD Gateway предоставя сигурен метод за публикуване на RDP през HTTPS, той може да бъде сложен за внедряване и управление, особено за малки и средни предприятия. Тук е мястото, където
TSplus Remote Access
идва като опростено, икономично решение.
TSplus Remote Access премахва необходимостта от ръчно конфигуриране на CAPs, RAPs и SSL свързвания. Вместо това предлага прост уеб-базиран портал, който позволява на потребителите да се свързват с техните десктопи или приложения директно чрез браузър. С поддръжка на HTML5 не е необходимо допълнително клиентско софтуер. Това прави отдалечения достъп достъпен на всяко устройство, включително таблети и смартфони.
В допълнение към лесното разгръщане,
TSplus Remote Access
е значително по-достъпно от внедряването и поддържането на инфраструктура Windows Server RDS. Организациите могат да се възползват от функции като публикуване на приложения, сигурен уеб достъп и поддръжка на множество потребители, всичко в една платформа. За ИТ екипи, търсещи баланс между сигурност, производителност и простота, нашето решение е отлична алтернатива на традиционните внедрения на RDP Gateway.
Заключение
Конфигурирането на Remote Desktop Gateway помага на организациите да защитят RDP трафика и да предоставят криптиран достъп, без да излагат порт 3389 или да разчитат на VPN. Въпреки това, сложността на управлението на сертификати, CAPs, RAPs и правила за защитна стена може да направи RD Gateway предизвикателство за по-малки екипи. TSplus Remote Access предлага опростен, достъпен подход, който осигурява същата сигурна свързаност с по-малко пречки. Независимо дали внедрявате RD Gateway или избирате TSplus, целта остава същата: да се осигури надежден, сигурен и ефективен отдалечен достъп за поддръжка на съвременните работни сили.