Explicação dos serviços de terminal

•Terminal Services Web Access:

principal benefício:

Com o TS Web Access, um usuário não precisa iniciar o cliente RDC para iniciar um programa RemoteApp. Em vez disso, eles acessam a página da Web e, em seguida, clicam em um ícone de programa.  Para obter detalhes, consulte Acesso via Web aos Serviços de Terminal (Acesso via Web TS)

•Terminal Services Gateway

principal benefício:

O TS Gateway transmite todo o tráfego RDP (que normalmente seria enviado pela porta 3389) para a porta 443 usando um túnel HTTPS. Isso também significa que todo o tráfego entre o cliente e o Gateway TS é criptografado enquanto está em trânsito pela Internet.

Consulte Gateway de serviços de terminal (Gateway TS)

•Terminal Services Remote App

principal benefício:

Os usuários podem executar programas de um servidor de terminal e ter a mesma experiência como se os programas estivessem sendo executados no computador local do usuário final, incluindo janelas redimensionáveis, suporte para arrastar e soltar entre vários monitores e ícones de notificação na área de notificação

Veja RemoteApp dos Serviços de Terminal (TS RemoteApp)

What are the pros/cons of each, especially from a security standpoint?

Cada uma dessas tecnologias oferece funcionalidades diferentes, de modo que depende de seus requisitos de negócios. Eles não competem, por isso não é uma escolha deste ou daquele, você poderia implementá-los todos se tiver a necessidade da funcionalidade fornecida. Em termos de segurança, todas essas tecnologias são ou podem ser criptografadas.

If I just connect to a remote server over port 3389 using my Remote Desktop Client, what is Microsoft-speak for that?

Área de trabalho remota

Does it fit into any of the above categorizations?

Apenas no contexto em que é uma conexão remota, se você deseja se conectar pela Internet, também usa o gateway TS ou o acesso à Web, dependendo de como deseja apresentar a conexão.

Is the main draw of TS Web Access versus a direct connection using RDC over 3389 just that one can use TLS encryption while the other uses RC4?

O RDP pode ser criptografado via TLS, consulte Configurar a Autenticação do Servidor e os Níveis de Criptografia , então o sorteio do acesso à web é ... (espere) ... acesso web. Você ainda precisa do cliente instalado, mas com o acesso à web posso fornecer uma página da Web segura de links para conectar-se a uma área de trabalho completa ou apenas a um remoteapp. Observe que a área de trabalho remota sozinha fornecerá apenas uma área de trabalho completa.

Este é um caso de uso real para o Gateway dos Serviços de Terminal, para dar uma ideia de como ele pode ser usado:

Minha empresa tem uma ampla variedade de usuários que exigem acesso remoto à nossa rede de matriz. Em vez de fornecer a cada funcionário um laptop com software cliente VPN, configuramos o TS Gateway com uma política de acesso específica. Afirma "Usuários deste grupo (remoteaccess) podem acessar computadores deste grupo".

Agora, John Doe deixa o computador do escritório, vai para casa e, a partir de seu computador pessoal, executa o Remote Desktop. Ele insere o nome do TS Gateway em opções avançadas e digita o nome do computador do escritório como o computador ao qual se conectar. Ele pode então entrar e trabalhar como se estivesse no escritório.

Isso não é diferente da Área de Trabalho Remota, até que você tenha um segundo usuário remotamente em casa. Agora você pode usar o mesmo nome de Gateway TS e especificar um computador de escritório diferente, e eles podem se conectar remotamente. Com a Área de Trabalho Remota sozinha, você teria que ter IPs públicos separados com a porta RDC encaminhada para a área de trabalho específica do escritório.

Somente a porta 443 deve ser encaminhada para o servidor TS Gateway pelo firewall, e qualquer usuário pode ser remoto em sua própria área de trabalho.

Isso também é útil para o planejamento de uma pandemia, em que um usuário doente pode se conectar remotamente de casa ao computador do escritório e continuar trabalhando, se necessário.

Se você acabou de criar uma regra de firewall para tcp / 3389 em seu farm de servidores de terminal, não será necessário o Gateway TS. Se seus usuários remotos executarem o RDC Client e souberem o endereço para se conectar, você não precisará do TS Web Access. O TS Gateway é tipicamente para organizações maiores com redes de perímetro tradicionais e requisitos de segurança mais rígidos. O TS Web Access destina-se a fornecer um front-end mais amigável para usuários ou requisitos de negócios nos quais você possui muitos farms / aplicativos diferentes e não deseja que seus usuários precisem conhecer / gerenciar os detalhes de como se conectar a cada um.

O TS Remote App é comparável ao "aplicativo publicado" da Citrix. Os usuários não recebem uma área de trabalho completa, eles só executam um aplicativo em uma "janela transparente". Na verdade, parece apenas com a janela do aplicativo, sem janela RDC. Uma desvantagem disso é usar controle remoto / sombreamento RDP - que não funciona com o RemoteApp.

Você pode usar a criptografia TLS com qualquer uma das configurações.

A segurança TLS / certificado tem como objetivo principal verificar a autenticidade do servidor para o cliente e gerar uma chave simétrica para a criptografia de fluxo RDP. Ele não é usado para fornecer uma medida de controle de acesso para restringir o acesso apenas a clientes RDP específicos. Não é esmagadoramente "mais seguro" do que a criptografia RDP proprietária, mas como ela é baseada em um padrão, as chaves de criptografia podem ser alteradas quando o certificado é alterado. Algumas pessoas preferem a criptografia baseada em padrões em relação a soluções proprietárias.