Для повышения безопасности и скорости работы через RDP рекомендуется сделать следующие настройки:
- Включить поддержку SSL. Для этого нужно открыть gpedit.msc, в «Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Узел сеансов удаленных рабочих столов — Безопасность» задать параметр «Требовать использования специального уровня безопасности для удаленных подключений по методу RDP» и в «Уровень безопасности» выбрать «SSL».
- Там же установить «Установить уровень шифрования для клиентских подключений» в «Высокий»
- Там же включить «Требовать проверку подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети»
- Включить использование FIPS 140-1. Для этого нужно зайти в «Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности» и выбрать «Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания».
- Для защиты от брутфорса необходимо ограничить перейти в раздел «Политики учетных записей — Политика блокировки учетной записи» и установить «Пороговое значение блокировки» — 5 (максимум 5 неудачных попыток входа), «Продолжительность блокировки учетной записи» — 30 (на 30 минут учетная запись будет заблокирована после 5 неудачных попыток входа).
- Для запрета подключения учетным записям с пустым паролем нужно перейти «Локальные политики — Параметры безопасности» и выставить значение «Учетные записи: разрешить использование пустых паролей только при консольном входе» в значение «Включен».
- Для увеличения скорости работы откройте «Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Узел сеансов удаленных рабочих столов — Среда удаленных сеансов». В «Наибольшая глубина цвета» выберите 16 бит, этого достаточно
- Там же включите «Принудительная отмена фонового рисунка удаленного рабочего стола»
- В «Настройка сжатия данных RemoteFX» установите «Оптимизация использования полосы пропускания сети»
- Так же для экономии ресурсов сервера я принудительно завершаю сеансы пользователей, которые не активны несколько дней. Для этого в «Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Узел сеансов удаленных рабочих столов — Ограничение сеансов по времени» я задаю параметры «Задать ограничение по времени для отключенных сеансов», «Задать ограничение времени для активных, но бездействующих сеансов служб удаленных рабочих столов» и «Задать ограничение по времени для активных сеансов служб удаленных рабочих столов». Я ставлю ограничение 3 дня, но вы можете задать эти параметры на свое усмотрение.
Свежие комментарии