Windows/удалённое управление

Обновление от 04.07.2021 и воскрешение Remote Desktop Connection Manager

https://docs.microsoft.com/en-us/sysinternals/downloads/rdcman

В результате у вас будет скачан архив, в котором будет лежать Portabe версия RDCM от Sysinernals.

В данной версии RDCMan были закрыты дыры безопасности CVE-2020-0765, теперь уже нет уязвимости с XML. Спасибо Microsoft. К сожалению даже версия 2.81 плохо работает на hidpi мониторах типа 4к, не всегда подхватывается разрешение с основного монитора внутрь сервера, куда идет подключение. Думаю я вам подробно рассказал, о том, что такое Remote Desktop Connection Manager, как вы его можете удобно использовать, и самое главное утилита полностью бесплатная и от разработчика, операционных систем к которым мы подключаемся.

Нет подключения( )

Иногда пользователи могут столкнуться с ситуацией, когда rdp не работает

При этом важно отметить, что, если судить по статистике, пользователю удается все же попасть на сервер, но какие-то инструменты сети не пускают его дальше. Для решения этой проблемы есть несколько действенных способов

Полезный, практичный инструмент, позволяющий запускать приложения из-под DOS. Хорошо ею пользоваться при сбоях, настройке системы. Запускается через «Пуск», найти её там можно в папке стандартных программ. А также открывается через «Выполнить», если вписать в строку cmd.

Как выполнить запуск рабочего стола посредством командной строки.

Помощь этой утилиты весьма полезна, когда у вас не загружается рабочий стол. Обычно причиной этой проблемы становится вредоносное ПО, подправившее реестр . Ниже объясняется, как запустить рабочий стол через командную строку, подсоединиться удалённо с другого устройства.

За процесс запуска области отвечает файл explorer.exe. Иногда, когда происходит сбой из-за перепадов напряжения, отключения электричества или других причин, нарушается интерфейс, затем при последующем включении происходят неполадки в работе.

По сути, сам рабочий стол представляет собой папку, инициируемую тем самым процессом explorer.exe. Значит, чтобы вернуть нормальное состояние, нужно просто запустить настоящий, не изменённый вирусами процесс. Если папка, путь по её адресу повреждены, explorer.exe функционирует некорректно.

Восстанавливать работоспособность, возобновлять нормальное течение процессов удобно через командную строку.

А ещё можно пройти по пути «Пуск» — «Все программы» — «Служебные», там также кликнуть ПКМ по значку утилиты, запуская затем её от администратора.

Подключение к удаленному рабочему столу

Для подключения к VDS с Windows Server используется протокол RDP. Встроенное приложение для его выполнения есть только на Windows. На других ОС для подключения через RDP потребуется установка сторонних приложений.

Подключение по RDP c Windows

Откройте меню «Пуск» и найдите утилиту «Подключение к удаленному рабочему столу». Например, на Виндоус 10 она находится в разделе «Стандартные Windows». Можно также воспользоваться встроенным поиском или утилитой «Выполнить»: нажать на сочетание клавиш Win+R и ввести запрос mstsc.

Введите в окне программы IP-адрес сервера, к которому хотите подключиться. Он указан в письме, которое прислал хостер. Нажмите «Подключить».

Выберите учетную запись для авторизации и введите пароль. Эти данные хостер присылает на почту. 

При первом подключении может появиться предупреждение о недостоверном сертификате. Причина такого поведения — шифрование соединения сертификатом, который выдает не авторизованный центр, а сам сервер. Однако это не значит, что у вас есть проблемы с безопасностью. Подключение по RDP зашифровано, так что можете спокойно пропускать предупреждение. Чтобы оно не раздражало, отметьте пункт «Больше не выводить запрос о подключениях к этому компьютеру».

Если нужно перенести небольшое количество файлов, то самый простой способ — использование буфера обмена. Вы копируете файл на локальной машине, затем подключаетесь к удаленному рабочему столу и вставляете файл.

Если нужно перемещать большое количество файлов, то гораздо удобнее подключить диск. На локальном компьютере с Win это делается так:

1. Подключитесь к удаленному рабочему столу с помощью встроенной утилиты.

2. Перейдите на вкладку «Локальные ресурсы».

3. Выберите диски или другие источники.

После выбора локальных источников вы можете получить к ним доступ с удаленного рабочего стола на VDS с Windows Server.

Подключение по RDP c Linux

На Linux нет официального протокола для подключения через RDP к Win-серверу. Однако это не проблема. Установить соединение можно с помощью клиента Remmina. 

В качестве примера установим утилиту на Ubuntu. Откройте терминал и выполните следующие команды:

sudo apt-add-repository ppa:remmina-ppa-team/remmina-next // Установка Remmina

sudo apt-get update // Установка апдейтов

sudo apt-get install remmina remmina-plugin-rdp libfreerdp-plugins-standard // Установка плагина РДП

После установки клиент появится в списке приложений. Найдите его и запустите. Нажмите на плюсик для добавления нового подключения и введите уже знакомые данные: IP-адрес сервера, логин, пароль. Главное — выбрать в строке Protocol значение RDP (Remote Desktop Protocol). 

Нажмите на кнопку Save, чтобы сохранить новое подключение. Оно отобразится в списке. Чтобы использовать его, щелкните по нему два раза левой кнопкой.

При первом подключении может появиться предупреждение о недоверенном сертификате безопасности. Ситуация такая же, как в случае с WIndows. Никакой угрозы безопасности нет, поэтому просто игнорируйте предупреждение. Нажмите ОК в появившемся окне.

Подключение с macOS

На macOS для подключения к удаленному рабочему столу на Windows Server используется фирменное приложение Microsoft, которое называется Remote Desktop. Его можно установить из App Store.

1. Запустите программу и нажмите на кнопку New.

2. В Connection name укажите любое имя для подключения — например, VDS Windows.

3. В строке PC name пропишите IP-адрес сервера, к которому вы будете подключаться.

4. В разделе Credentials укажите логин и пароль для подключения к VDS.

После сохранения настроек в списке подключений появится новое соединение. Выделите его и нажмите на кнопку Start или используйте двойной клик. 

При первом подключении может появиться предупреждение о недоверенном сертификате. Нажмите на кнопку «Показать сертификат» и отметьте пункт «Всегда доверять». Больше предупреждение не будет появляться. Проблем с безопасностью из-за этого не возникнет.

RDP на Android и iOS

Подключиться к удаленному рабочему столу с Windows Server можно и с мобильного устройства. На Android и iOS для этого используется фирменное приложение Microsoft, которое называется Remote Desktop.

На обеих мобильных системах подключение через RDP настраивается одинаково.

1. Запустите приложение и нажмите на плюс для добавления нового соединения.

2. Выберите тип «Рабочий стол» (Desktop).

3. В поле «Имя ПК» укажите адрес сервера.

4. Впишите имя администратора и пароль.

5. При появлении предупреждения о недоверенном сертификате отметьте пункт «Больше не спрашивать» и нажмите «ОК».

После успешного подключения вы увидите удаленный рабочий стол, размещенный на VDS с Windows Server.

Подключение к серверу по SSH

Для подключения к серверам с ОС Linux используется протокол SSH. Он позволяет безопасно управлять сервером по сети.

Подключиться к серверу можно:

• по логину и паролю из панели управления — в таком случае при каждом подключении к серверу нужно вводить пароль;
• по паре сгенерированных SSH-ключей — при таком подключении вводить пароль не нужно, пользователь идентифицируется при первом подключении. Используется пара ключей: открытый ключ размещается на сервере, а закрытый ключ хранится на компьютере пользователя. Примечание: подключиться к серверу по SSH можно только с того компьютера, на котором хранится закрытый SSH-ключ.

Для подключения к серверу используются данные, которые указаны в панели управления на вкладке Операционная система на странице сервера:

• публичный IP-адрес сервера (поле IP);
• логин и пароль для доступа в систему (поля Username и Password).

Подключение по SSH из Linux / macOS

Для подключения к серверу по SSH введите в терминале команду:

Где — публичный IP-адрес сервера.

Далее система запросит пароль от сервера, введите его. Если вы ранее , то для подключения к серверу пароль указывать не требуется.

Подключение по SSH из Windows

В Windows 10 подключение происходит так же, как в Linux и macOS, но через командную строку (cmd.exe).

В более ранних версиях Windows подключение к серверу происходит с помощью PuTTY:

1. Запустите PuTTY.
2. Перейдите на вкладку Session. В поле Host Name укажите публичный IP-адрес сервера, а в поле Port — 22.
3. Укажите тип соединения SSH в поле Connection type.
4. Если вы подключаетесь с помощью , перейдите на вкладку SSH — Auth, нажмите Browse и выберите файл с приватным ключом.
5. Нажмите Open, чтобы подключиться.
6. Подтвердите подключение. В открывшейся консоли укажите логин и пароль для входа на сервер. Если вы ранее создавали пару ключей, то для подключения к серверу пароль указывать не требуется.

Создание пары ключей в Linux / macOS

Чтобы создать пару ключей:

Откройте терминал и выполните команду:

В консоли появится следующий диалог:

Укажите имя файла, в котором будут сохранены ключи, или используйте имя и путь по умолчанию .

Система предложит ввести кодовую фразу для дополнительной защиты:

Этот шаг можно пропустить.

Будет создан закрытый ключ () и открытый ключ ()

В консоли появится следующее сообщение:

Для вывода открытого ключа в консоль выполните команду:

Обратите внимание! — это путь до файла, в котором хранится открытый ключ. Если на шаге 2 вы изменили путь, то укажите его.

Добавьте открытый ключ в панели управления Selectel — на вкладке Операционная система на странице сервера нажмите кнопку Изменить конфигурацию сервера и введите ключ в поле SSH.

После создания ключей вы можете подключаться к серверу без пароля.

Создание пары ключей в Windows

В Windows 10 создать пару ключей можно таким же образом, как в Linux и macOS, но через командную строку (cmd.exe).

В более ранних версиях Windows для генерации ключей используется PuTTY:

1. Установите PuTTY и запустите приложение PuTTYgen.
2. В меню Type of key to generate выберите тип ключа RSA и нажмите Generate. Перемещайте курсор по экрану до тех пор, пока не будут созданы ключи.
3. После создания пары ключей открытый ключ будет выведен на экран. Нажмите Save public key и сохраните его в текстовом файле, например в новом файле с названием .
4. В поле Key passphrase введите кодовую фразу для дополнительной защиты. Этот шаг можно пропустить.
5. Нажмите Save private key для сохранения закрытого ключа.
6. Добавьте открытый ключ в панели управления Selectel – на вкладке Операционная система на странице сервера нажмите кнопку Изменить конфигурацию сервера и введите ключ в поле SSH.

После создания ключей вы можете подключаться к серверу без пароля.

▍Слабости RDP

Брутфорс-атаки

1. Простейшие атаки, которые заключаются в подборе элементарных паролей без использования каких-либо инструментов автоматизации.
2. Атаки по словарю, во время которых запускается перебор всевозможных паролей для предполагаемого имени пользователя.
3. Гибридные атаки, которые включают использование словарей, но каждый пароль проверяется не только в словарной форме, но и после ряда простых модификаций.
4. Password spraying, во время которых для известного пароля перебираются миллионы имен пользователей, пока не найдется совпадение.
5. Credential stuffing, при которых для перебора злоумышленники используют список скомпрометированных учетных данных пользователей.

Какие плюсы и минусы в использовании протокола RDP?

Начнём с приятного – с плюсов. Плюс состоит в том, что этот инструмент, который правильней называть Клиентом RDP, доступен любому пользователю Windows как на компьютере, с которого предстоит управлять удалённым, так и тому, кто хочет к своему компьютеру удалённый доступ открыть.

Через подключение к удалённому рабочему столу возможно не только видеть удалённый рабочий стол и пользоваться ресурсами удалённого компьютера, так и подключать к нему локальные диски, принтеры, смарткарты и т.п. Конечно, если вы захотите посмотреть видео или послушать музыку через RDP – вряд ли этот процесс доставит вам удовольствие, т.к. в большинстве случаев вы увидите слайд шоу, и звук скорей всего будет прерываться. Но, не под эти задачи разрабатывалась служба RDP.

Ещё одним несомненным плюсом является то, что подключение к компьютеру осуществляется безо всяких дополнительных программок, которые в большинстве своём платные, хотя и имеют свои достоинства. Время доступа к RDP-серверу (которым и является ваш удалённый компьютер) ограничивается лишь вашим желанием.

Минусов всего два. Один существенный, другой – не очень. Первый и существенный – для работы с RDP компьютер, к которому осуществляется подключение, должен иметь белый (внешний) IP, либо на этот компьютер должна быть возможность «пробросить» порт с маршрутизатора, который опять же должен иметь внешний IP. Статическим он будет или динамическим – значения не имеет, но он должен быть.

Второй минус – не такой существенный – последние версии клиента перестали поддерживать 16-цветную цветовую схему. Минимум – 15бит. Это сильно замедляет работу по RDP, когда вы подключаетесь по чахлому-дохлому интернету со скоростью, не превышающей 64 килобита в секунду.

Настройки mstsc

Рассмотрим дополнительные настройки программы mstsc, которые открываются при нажатии на кнопку «Показать параметры»:

На вкладке «Общие» вы можете указать имя пользователя.

Вы можете поставить галочку «Разрешить мне сохранять учётные данные» чтобы не вводить каждый раз имя пользователя и пароль.

При желании вы можете сохранить настройки в RDP файл или выбрать сохранённый ранее файл с настройками RDP.

На вкладке «Экран» доступны настройки:

• Укажите размер удалённого рабочего стола. Крайнее правое положение ползунка соответствует полноэкранному режиму.
• Использовать все мои мониторы для удалённого сеанса
• Укажите глубину цвета для удалённого сеанса.
• Отображать панель подключений при работе на полном экране

На вкладке «Локальные ресурсы» вы найдёте настройки:

• звука (где проигрывать и записывать звуки удалённого рабочего стола)
• клавиатуры (где будут работать сочетания клавиш — на текущем или удалённом рабочем столе)
• локальные ресурсы (использовать ли принтеры, буфер обмена, смарт-карты, порты, диски, устройства видеозахвата и PnP устройства)

Вкладка «Взаимодействие»:

В разделе «Быстродействие» вы можете выбрать тип подключения и включить или отключить второстепенные функции, чтобы при любой скорости Интернета работа с удалённым столом была комфортной.

По умолчанию качество соединения определяется автоматически и также автоматически включаются или отключаются второстепенные функции.

Вручную можно включить или отключить (функции, зависимые от качества соединения):

• Фон рабочего стола
• Сглаживание шрифтов
• Композиция рабочего стола
• Отображать содержимое окна при перетаскивании
• Визуальные эффекты при отображении меню и окон
• Стили оформления

Также вы есть настройки:

• Постоянное кэширование точечных рисунков
• Восстановить подключение при разрыве

Вкладка «Дополнительно»:

Проверка подлинности сервера: Проверка подлинности сервера удостоверяет, что подключение выполняется к правильному удалённому компьютеру. Строгость проверки, необходимая для подключения, определяется политикой безопасности

Если не удалось подтвердить подлинность удалённого компьютера, то доступны варианты:

• Предупреждать
• Подключаться без предупреждения
• Не соединять

Подключение из любого места: Настройка параметров для подключения через шлюз при удалённой работе.

Android

Создайте новое подключение, нажав на плюс в правом верхнем углу и выбрав Desktop.

Далее в поле PC name укажите IP-адрес сервера и нажмите Save.

При первом подключении появится уведомление о недоверенном сертификате безопасности. Это связано с тем, что подключение к серверу шифруется сертификатом, который заверен самим сервером, а не центром сертификации. Чтобы данное уведомление не появлялось при последующих подключениях, отметьте чекбокс Don’t ask me again и нажмите Connect.

При первом подключении к серверу при появлении уведомления «» нажмите «Да». Это позволит корректно подключаться к серверу в дальнейшем.

Смерть Remote Desktop Connection Manager (RDCMan)

К сожалению в первом квартале 2020 года, компания Microsoft обнаружила очень серьезную брешь в своем программном продукте для удаленного подключения CVE-2020-0765. 

В Remote Desktop Connection Manager существует уязвимость, приводящая к раскрытию информации, когда он неправильно анализирует входные данные XML, содержащие ссылку на внешнюю сущность. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может прочитать произвольные файлы с помощью объявления внешнего объекта XML (XXE).

Чтобы воспользоваться этой уязвимостью, злоумышленник может создать файл RDG, содержащий специально созданный контент XML, и убедить аутентифицированного пользователя открыть файл.

Самое печальное, что Microsoft закрывает поддержку RDCM, Microsoft не планирует исправлять эту уязвимость в RDCMan и устарела. Microsoft рекомендует использовать поддерживаемые клиенты удаленного рабочего стола и проявлять осторожность при открытии файлов конфигурации RDCMan (.rdg). Хочу отметить, что со стороны компании это не самое правильное решение, так как более удобного инструмента для массового использования RDP подключений я не встречал, по крайней мере из бесплатных

Надеюсь, что в Microsoft найдется человек, который сможет исправить данную проблему с безопасностью Remote Desktop Connection Manager

Хочу отметить, что со стороны компании это не самое правильное решение, так как более удобного инструмента для массового использования RDP подключений я не встречал, по крайней мере из бесплатных. Надеюсь, что в Microsoft найдется человек, который сможет исправить данную проблему с безопасностью Remote Desktop Connection Manager.

Установка необходимого ПО «на минималках», тестирование подключения

2.3 Установить русскую локаль и раскладку

Localisation Options

1. Change Locale, снимаем * с en-GB.UTF-8 и устанавливаем напротив ru-RU.UTF-8. Подтверждаем, и в следующем окне выбираем ее же, как основную.
2. Change Timezone, и выберите страну и город часового пояса.
3. Change Keyboard Layout, там Generic 105-key (Intl) PC → Other → Russian → Russian → Control+Shift (или Alt+Shift, по желанию, для переключения раскладки) → No temporary switcher → Right Alt (AltGr) → No compose key.

FinishFinish

UTF-8Guess optimal character setLet the system to select…8×16

Midnight Commander

mcedit

2.6 Вынесем волатильные разделы на виртуальные диски

/tmp/var/log

1. система не точила попусту sd-карту,
2. было меньше шансов, что при аварийном отключении питания развалится корневая файловая система,
3. чтобы в отдаленном будущем логи не забили свободное место на карте.

/etc/fstab

/var/log/tmp

сесть за физический терминал

Проверка политики ограничения числа подключений

Вы можете задать ограничение на число одновременных подключений к удаленному рабочему столу на уровне отдельного компьютера или путем настройки объекта групповой политики. По умолчанию ограничение не задано.

Чтобы проверить текущие параметры и определить существующие объекты групповой политики на сервере RDSH, откройте окно командной строки как администратор и введите следующую команду:

Когда команда будет выполнена, откройте файл gpresult.html. Выберите Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Подключения и найдите политику Ограничить количество подключений.

• Если для параметра этой политики задано значение Отключено, групповая политика не ограничивает подключения по протоколу RDP.
• Если же для параметра этой политики задано значение Включено, проверьте результирующий объект групповой политики. Если нужно удалить или изменить ограничение числа подключений, измените этот объект групповой политики.

Чтобы применить изменения политики, откройте окно командной строки на соответствующем компьютере и введите следующую команду:

Базовые операции

На самом деле развитие консольных утилит все это время тоже не стояло на месте. Список команд не сильно изменился: net, netdom, whoami, скрипт активации slmgr.vbs, программа управления службами sc, сетевые утилиты для настройки и диагностики ipconfig, netsh, netstat/nbtstat, arp/getmac, ping, tracert, nslookup и многие другие.

Такая судьба постигла консольный вариант диспетчера сервера ServerManagerCmd.exe и утилиту установки компонентов OCSetup.exe, которые, появившись в Win2008, пропали уже в Win2021. Теперь для установки компонентов из консоли используются командлеты Install-WindowsFeature и Add-WindowsFeature.

Консольные утилиты по-прежнему привычнее, чем командлеты, но результат, полученный при помощи PowerShell, позволяет выбирать больше параметров, фильтровать их, обрабатывать в скриптах. А главное – теперь нужные данные можно получить не только с локальной, но и с удаленной системы, и в удобном виде. Все это говорит о том, что нужно уже быть готовым к переменам.

В последних редакциях ОС ярлык для запуска cmd.exe спрятали подальше в меню. Правда, и особой необходимости в его использовании нет, так как все традиционные консольные команды можно вводить непосредственно в консоли PowerShell (хотя есть и нюансы), обладающей несомненным преимуществом – автодополнением (по Tab).

Постепенно на замену старым добрым утилитам появляются соответствующие командлеты, которые выдают аналогичный результат. Попробуем разобраться со всеми операциями по порядку, рассмотрим типичные задачи с использованием консольных команд и PowerShell.

Сразу после установки операционная система получает имя, сгенерированное случайным образом. Чтобы переименовать систему и подключить ее к домену, используется утилита netdom: