RDP sobre SSL para o gateway RDP e desativando o UDP

2

Eu quero me conectar a uma VM do Azure (Windows 2012 R2) via SSL, que é possível com o serviço de gateway RDP. No entanto, isso é normalmente usado para conectar-se a outras máquinas da rede local em vez do próprio gateway.

É possível RDP no próprio gateway através de SSL? Em caso afirmativo, o que especifico nas configurações do RDP para conexão?

Além disso, posso desativar as conexões UDP que o gateway usa? O que está perdido nesse caso?

Obrigado!

    
por georgiosd 26.05.2015 / 14:48

2 respostas

2

Não sei se é diferente em uma VM do Azure, mas tecnicamente não é necessário ter serviços de Gateway RDP para usar o TLS (SSL) com o RDP. O serviço RDP nativo executará o TLS bem por si só, desde que você o configure dessa maneira. E se a questão é mais ao longo das linhas de conexão na porta 443, você pode apenas alterar a porta de escuta de 3389 para 443.

Veja como

Portanto, a maneira mais fácil de configurar e aplicar mais dessas configurações é obviamente com a diretiva de grupo. Na seção Windows Components - Remote Desktop Services - Remote Desktop Sesstion Host - Security , você tem as seguintes políticas:

  • Defina o nível de criptografia da conexão do cliente (defina como "Alto nível")
  • Exigir o uso de camada de segurança específica para conexões remotas (RDP) (defina isso como "SSL (TLS 1.0)"
  • Requer autenticação do usuário para conexões remotas usando a Autenticação no Nível da Rede (esta não é tecnicamente relacionada ao SSL, mas ainda é uma boa ideia se seus clientes a suportarem)

Essas configurações correspondem às seguintes configurações da GUI no nível do host que estavam disponíveis na Configuração do Host da Sessão da Área de Trabalho Remota em 2008 R2, mas foram embora em 2012 e além.

Sevocêquiserdefinirmanualmenteessasopçõessemadiretivadegrupoemumhost2012+,amaneiramaisfácilépormeiodoPowerShelledoWMI.Aclasse Win32_TSGeneralSetting tem SetEncryptionLevel , SetSecurityLayer e SetUserAuthenticationRequired métodos que podem ser usados assim:

$rdp = gwmi "Win32_TSGeneralSetting" -namespace "root\cimv2\terminalservices" -Filter "TerminalName='RDP-tcp'"
$rdp.SetEncryptionLevel(3)
$rdp.SetSecurityLayer(2)
$rdp.SetUserAuthenticationRequired(1)

Infelizmente, não há uma GUI ou um método WMI elegante para definir a porta de escuta. É apenas uma alteração manual do registro e uma reinicialização manual do serviço TermService. Você também precisará adicionar uma regra ao firewall se estiver usando isso. Você pode tecnicamente usar as Preferências da Política de Grupo para manter o valor definido, mas não é uma política de grupo verdadeira.

Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp -Name PortNumber -Value 443
netsh advfirewall firewall add rule name="RDP Alternate Port" protocol=TCP dir=in localport=443 action=allow
Restart-Service -Name TermService -Force

Eu estou fora do tempo por enquanto, mas posso tentar voltar para uma explicação adicional sobre os certificados reais.

    
por 27.05.2015 / 00:36
1

Sim, você especifica seu Gateway RD no cliente MSTSC. E defina o nome do computador como o nome do servidor de gateway.

Contanto que suas políticas de gateway RD permitam que você se conecte ao servidor Gateway RD.

Sim, você pode desativar o transporte UDP. Isso é usado como parte da multimídia e de outros aprimoramentos no RD 2012. Tenha certeza de que o tráfego UDP ainda está seguro via DTLS.

link

    
por 27.05.2015 / 00:16