RDP 三文字ゲーム

ご存知のように、 リモートデスクトッププロトコル （ リモートデスクトッププロトコルまたはRDP）を使用すると、Windowsを実行しているコンピューターにリモートで接続でき、RDPクライアントのみが存在し、ホストは存在しないホームバージョンがない場合、すべてのWindowsユーザーが利用できます。 これは、管理目的または日常業務でのリモートアクセスに便利で効果的かつ実用的なツールです。 最近、農場へのリモートアクセスにRDPを使用する鉱夫を惹きつけました。 NT 4.0およびXP以降、 RDPサポートは Windowsに含まれていますが、すべての人がそれを使用する方法を知っているわけではありません。 一方、Windows、Mac OS Xを実行しているコンピューターから、およびAndroid OSを搭載したモバイルデバイスから、またはiPhoneとiPadからMicrosoftリモートデスクトップを開くことができます。









設定を適切に理解していれば、RDPはリモートアクセスの良い手段になります。 リモートデスクトップを表示できるだけでなく、リモートコンピューターのリソースを使用して、ローカルディスクまたは周辺機器を接続することもできます。 この場合、コンピューターには外部IP（静的または動的）が必要です。または、外部IPアドレスを持つルーターからポートを「転送」できる必要があります。



RDPサーバーは、多くの場合、1Cシステムでのコラボレーションに使用されるか、ユーザーワークステーションを展開して、リモートでワークステーションに接続できるようにします。 RDPクライアントを使用すると、テキストおよびグラフィックアプリケーションを操作し、自宅のPCからデータをリモートで受信できます。 これを行うには、NATを介してホームネットワークにアクセスするために、ルーターのポート3389を転送する必要があります。 同じことが組織内のRDPサーバーのセットアップにも当てはまります。



RDPは、 RAdmin 、TeamViewer、VNCなどの特別なプログラムを使用する場合と比較して、リモートアクセスの安全でない方法であると多くの人が考えています。別の先入観は、高いRDPトラフィックです。 ただし、今日のRDPは他のどのリモートアクセスソリューションよりも安全であり（セキュリティの問題に戻ります）、設定の助けを借りて、高い反応速度と低帯域幅の要件を達成できます。

RDPを保護し、パフォーマンスを調整する方法

暗号化とセキュリティ

「コンピューターの構成-管理用テンプレート-Windowsコンポーネント-リモートデスクトップサービス-セキュリティ」でgpedit.mscを開く必要があります。「RDPメソッドを使用したリモート接続には特別なレベルのセキュリティの使用が必要」パラメータを設定し、「セキュリティレベル」で「SSL TLS」を選択します。 [クライアント接続の暗号化レベルの設定]で、[高]を選択します。 FIPS 140-1の使用を有効にするには、「コンピューターの構成-Windowsの構成-セキュリティ設定-ローカルポリシー-セキュリティ設定」に進み、「システム暗号化：暗号化、ハッシュ、署名にFIPS互換アルゴリズムを使用します」を選択します。 「コンピューターの構成-Windowsの設定-セキュリティの設定-ローカルポリシー-セキュリティの設定」オプション、「アカウント：コンソールログインでのみ空のパスワードの使用を許可する」オプションを有効にする必要があります。 RDP経由で接続できるユーザーのリストを確認します。

最適化

「コンピューターの構成-管理用テンプレート-Windowsコンポーネント-リモートデスクトップサービス-リモートセッション環境」を開きます。 [最大色深度]で16ビットを選択します。これで十分です。 [リモートデスクトップのバックグラウンドを強制的にキャンセルする]チェックボックスをオフにします。 「RDP圧縮アルゴリズムの設定」で、「帯域幅使用量の最適化」を設定します。 [リモートデスクトップサービスセッションの視覚効果の最適化]で、値を[テキスト]に設定します。 フォントスムージングを無効にします。

基本セットアップが完了しました。 リモートデスクトップへの接続方法

リモートデスクトップ接続

RDP経由で接続するには、リモートコンピューターにパスワードを持つアカウントが必要です。システムでリモート接続を許可する必要があります。また、絶えず変化する動的IPアドレスでアクセスデータを変更しないようにするには、ネットワーク設定で静的IPアドレスを割り当てることができます 。 リモートアクセスは、Windows Pro、Enterprise、またはUltimateを実行しているコンピューターでのみ使用できます。



コンピューターにリモートで接続するには、「システムのプロパティ」で接続を有効にし、現在のユーザーのパスワードを設定するか、RDPの新しいユーザーを作成する必要があります。 通常のアカウントのユーザーには、リモート管理用のコンピューターを個別に提供する権利がありません。 そのような権利は、管理者がそれらに与えることができます。 RDPプロトコルを使用する際の障害は、ウイルス対策ソフトウェアによるブロックです。 この場合、ウイルス対策設定でRDPを有効にする必要があります。



一部のサーバーOSの機能に注目する価値があります。同じユーザーがローカルおよびリモートでサーバーにログインしようとすると、ローカルセッションが閉じ、リモートセッションが同じ場所で開きます。 逆に、ローカルでログインすると、リモートセッションが閉じます。 1人のユーザーとしてローカルにログインし、別のユーザーとしてリモートでログインすると、システムはローカルセッションを終了します。



RDP接続は、同じローカルネットワーク上またはインターネット上にあるコンピューター間で行われますが、これには追加の手順が必要になります-ルーターのポート3389を転送するか、VPN経由でリモートコンピューターに接続します。



Windows 10でリモートデスクトップに接続するには、[設定-システム-リモートデスクトップ]でリモート接続を有効にし、アクセスを許可する必要があるユーザーを指定するか、接続用に別のユーザーを作成します。 デフォルトでは、現在のユーザーと管理者がアクセスできます。 リモートシステムで、ユーティリティを実行して接続します。



Win + Rを押し、MSTSCと入力してEnterを押します。 ウィンドウで、IPアドレスまたはコンピューター名を入力し、[接続]を選択して、ユーザー名とパスワードを入力します。 リモートコンピューターの画面が表示されます。









コマンドライン（MSTSC）を介してリモートデスクトップに接続する場合、追加のRDPパラメーターを指定できます。

パラメータ	価値
/ v：<サーバー[：ポート]>	接続先のリモートコンピューター。
/管理者	セッションに接続してサーバーを管理します。
/編集	RDPファイルの編集。
/ f	リモートデスクトップを全画面で実行します。
/ w：<幅>	リモートデスクトップウィンドウの幅。
/ h：<高さ>	リモートデスクトップウィンドウの高さ。
/公開	一般モードでのリモートデスクトップの起動。
/スパン	リモートデスクトップの幅と高さをローカル仮想デスクトップに合わせて、複数のモニターに展開します。
/マルチモン	現在のクライアント側の構成に従って、RDPセッションモニターの配置を構成します。
/移行	レガシー接続ファイルを新しい.rdpファイルに移行します。

Mac OSの場合、MicrosoftはWindowsのどのバージョンに接続しても安定して動作する公式のRDPクライアントをリリースしました。 Mac OS Xでは、Windowsコンピューターに接続するには、App StoreからMicrosoftリモートデスクトップアプリケーションをダウンロードする必要があります。 その中で、[プラス]ボタンを使用して、リモートコンピューターを追加できます。IPアドレス、ユーザー名、およびパスワードを入力します。 接続リストでリモートデスクトップの名前をダブルクリックすると、Windowsデスクトップが開きます。



AndroidおよびiOSを実行しているスマートフォンおよびタブレットでは、Microsoftリモートデスクトップアプリケーション（「Microsoftリモートデスクトップ」）をインストールして実行する必要があります。 [追加]を選択し、接続パラメーター（コンピューターのIPアドレス、ユーザー名、およびWindowsにログインするためのパスワード）を入力します。 別の方法は、ポート3389をルーター上のコンピューターのIPアドレスに転送し、このポートでルーターのパブリックアドレスに接続することです。 これは、ポート転送ルーターオプションを使用して行われます。 [追加]を選択して入力します。

Name: RDP Type: TCP & UDP Start port: 3389 End port: 3389 Server IP: IP-   .
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

Linuxはどうですか？ RDPはMicrosoftのクローズドプロトコルであり、Linux用のRDPクライアントはリリースしませんが、Remminaクライアントを使用できます。 Ubuntuユーザーには、RemminaとRDPの特別なリポジトリがあります。



RDPは、Hyper-V仮想マシンへの接続にも使用されます。 ハイパーバイザー接続ウィンドウとは対照的に、RDP経由で接続する場合、仮想マシンは物理コンピューターに接続されたさまざまなデバイスを認識し、サウンドの操作をサポートし、ゲストOSのデスクトップのより良い画像を提供します。



共有ホスティングプロバイダーの場合、Windows VPSは通常、デフォルトで標準RDPプロトコルを使用した接続にも使用できます。 標準のWindowsオペレーティングシステムを使用している場合、サーバーに接続するには、[スタート]-[プログラム]-[アクセサリ]-[リモートデスクトップに接続]を選択するか、Win + Rを押して表示されるウィンドウでMSTSCと入力します。 VPSサーバーのIPアドレスがウィンドウに入力されます。



[接続]ボタンをクリックすると、承認フィールドのあるウィンドウが表示されます。



PCに接続されているUSBデバイスとネットワークプリンターがサーバーにアクセスできるようにするには、サーバーに初めて接続するときに、左下隅にある[設定を表示]を選択します。 ウィンドウで、[ローカルリソース]タブをクリックし、必要なパラメーターを選択します。



リモートコンピューターに認証データを保存するオプションを使用すると、接続パラメーター（IPアドレス、ユーザー名、パスワード）を別のRDPファイルに保存して、別のコンピューターで使用できます。



RDPは、Azure仮想マシンへの接続にも使用できます 。

他のリモートアクセス機能を構成する

リモートコンピューターに接続するためのウィンドウには、カスタマイズ可能なパラメーターを持つタブがあります。

タブ	予定
スクリーン	リモートコンピューターの画面解像度、つまり接続後のユーティリティウィンドウを設定します。 低解像度を設定し、色深度を犠牲にすることができます。
「ローカルリソース」	システムリソースを節約するために、リモートコンピューターのサウンドをオフにすることができます。 [ローカルデバイス]セクションでは、USBデバイス、メモリカード、外部ドライブなど、リモートPCで使用できるメインコンピューターのプリンターおよびその他のデバイスを選択できます。

Windows 10でのリモートデスクトップのセットアップの詳細は、このビデオにあります。 次に、RDPセキュリティに戻ります。

RDPセッションを「ハイジャック」する方法

RDSセッションをインターセプトできますか？ そして、これから身を守る方法は？ 2011年以降、Microsoft WindowsでRDPセッションをハイジャックする可能性について知られており、1年前、研究者のAlexander Korznikovがブログでハイジャックの手法について詳しく説明しました。 他のセッションでログインしている状態で、Windowsで実行中のセッションに（任意の権限で）接続できることがわかりました。



一部の手法では、ログインパスワードなしでセッションをインターセプトできます。 必要なのは、NT AUTHORITY / SYSTEMコマンドラインへのアクセスだけです。 SYSTEMユーザーとしてtscon.exeを実行すると、パスワードなしで任意のセッションに接続できます。 RDPはパスワードを要求せず、ユーザーのデスクトップに接続するだけです。 たとえば、サーバーのメモリをダンプし、ユーザーパスワードを取得できます。 セッション番号でtscon.exeを実行するだけで、外部ツールなしで、指定したユーザーのデスクトップを取得できます。 したがって、1つのコマンドで、ハッキングされたRDPセッションができます。 以前にインストールされていた場合は、psexec.exeユーティリティを使用することもできます。

 psexec -s \\localhost cmd
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

または、攻撃されたアカウントを接続して開始するサービスを作成できます 。その後、セッションはターゲットに置き換えられます。 これがどこまで進むかについての注意事項を次に示します。

• 切断されたセッションに接続できます。 そのため、数日前に誰かがログアウトした場合、そのセッションに直接接続して使用を開始できます。
• ロックされたセッションのロックを解除できます。 したがって、ユーザーが職場を離れている間、あなたは彼のセッションに入り、資格情報なしでロック解除されます。 たとえば、ある従業員が自分のアカウントにログインし、その後アカウントをブロックします（ログアウトはしません）。 セッションはアクティブであり、すべてのアプリケーションは同じ状態のままになります。 システム管理者が同じコンピューターでアカウントにログインすると、従業員のアカウントにアクセスできるため、実行中のすべてのアプリケーションにアクセスできます。
• ローカル管理者権限を持っている場合、ドメイン管理者権限を持つアカウントを攻撃できます。 攻撃者の権利よりも高い。
• 任意のセッションに接続できます。 たとえば、これがヘルプデスクの場合、認証なしで接続できます。 これがドメイン管理者の場合、管理者になります。 切断されたセッションに接続する機能により、ネットワーク内を簡単に移動できます。 したがって、攻撃者はこれらの方法を、侵入と会社のネットワーク内でのさらなる促進の両方に使用できます。
• win32kエクスプロイトを使用してSYSTEM権限を取得し、この機能を使用できます。 パッチが適切に適用されない場合、これは平均的なユーザーでもアクセス可能です。
• 何を追跡するのかわからない場合、何が起こっているのかわかりません。
• このメソッドはリモートで機能します。 サーバーにログオンしていなくても、リモートコンピューターでセッションを実行できます。

多くのサーバーオペレーティングシステムはこの脅威にさらされており、RDPを使用するサーバーの数は常に増加しています。 Windows 2012 R2、Windows 2008、Windows 10、およびWindows 7に対して脆弱であることが判明しました。 RDPセッションのハイジャックを防ぐために、2要素認証を使用することをお勧めします。 更新されたArcSight用のSysmon FrameworkとSplunk用のSysmon Integration Frameworkは、RDPセッションをハイジャックするために悪意のあるコマンドを実行することについて管理者に警告します。 Windowsセキュリティモニタユーティリティを使用して、セキュリティイベントを監視することもできます。



最後に、リモートデスクトップ接続を削除する方法を検討します。 これは、リモートアクセスの必要性がなくなった場合や、部外者がリモートデスクトップに接続できないようにする場合に便利な手段です。 「コントロールパネル-システムとセキュリティ-システム」を開きます。 左の列で、[リモートアクセスの構成]をクリックします。 [リモートデスクトップ]セクションで、[このコンピューターへの接続を許可しない]を選択します。 これで、リモートデスクトップ経由で誰もあなたに接続できなくなります。



結論として、Windows 10のリモートデスクトップを使用する場合、および単にリモートアクセスを使用する場合に役立つライフハックがさらにいくつかあります。

1. OneDriveを使用して、リモートコンピューター上のファイルにアクセスできます。
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
2. Win10でリモートPCを再起動する方法は？ Alt + F4を押します。 ウィンドウが開きます：
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   別の方法は、コマンドラインとシャットダウンコマンドです。
   
   
   
   
   
   
   
   
   
   
   
   shutdownコマンドで/ iオプションを指定すると、ウィンドウが表示されます。
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
3. Windows 10 Creators Updateでは、「システム」セクションがさらに別のサブセクションでさらに充実し、Microsoftリモートデスクトップアプリケーションを使用して、他のOS、特にモバイルOSからコンピューターへのリモートアクセスをアクティブ化できます。
   
   
   
   
   
   
   
   
   
   
4. さまざまな理由により、 Windows Azure仮想マシンへのRDP接続が機能しない場合があります。 問題は、仮想マシンのリモートデスクトップサービス、ネットワーク接続、またはコンピューターのリモートデスクトップクライアントクライアントにある可能性があります。 ここで RDP接続問題を解決するための最も一般的な方法のいくつかを与えます 。
   
   
5. 通常のバージョンのWindows 10からターミナルサーバーを作成することは非常に可能です。その後、複数のユーザーがRDPを介して通常のコンピューターに接続し、同時にそれを操作できるようになります。 上記のように、1Cファイルベースを使用する複数のユーザーの作業が一般的になりました。 Windows 10をターミナルサーバーにすると、Windows 7- RDP Wrapper Library by Stas'Mでうまく機能したツールが役立ちます。
   
   
6. Parallels Remote Application Server（RAS）を「人間の顔を持つRDP」として使用できますが、その機能の一部はWindows Server側（または使用する仮想マシン） で構成する必要があります 。
   
   

ご覧のとおり、コンピューターへのリモートアクセスを可能にする多くのソリューションと機会があります。 ほとんどの企業、組織、機関、およびオフィスがそれを使用することは偶然ではありません。 このツールは、システム管理者だけでなく、組織の長にとっても有用です。また、一般ユーザーにとっては、リモートアクセスも非常に便利です。 椅子から立ち上がらずに、これを理解していない人のためにシステムを修復または最適化するのに役立ちます。世界中の出張や休暇中にデータを転送したり、必要なファイルにアクセスしたり、自宅からオフィスのコンピューターで働いたり、仮想サーバーを管理したり、など



頑張って







PS私たちは、Habrahabrのブログで著者を探しています。

仮想サーバーの操作に関する技術的な知識がある場合は、複雑なことを簡単な言葉で説明できます。RUVDSチームは、Habrahabrで投稿を公開するために喜んで協力します。 リンクの詳細。