Настройка проверки подлинности на уровне сети для сервера узла сеансов удаленных рабочих столов

Проверка подлинности на уровне сети позволяет повысить безопасность сервера Узел сеансов удаленных рабочих столов за счет требования проверки подлинности пользователя на этом сервере перед созданием сеанса.

Проверка подлинности на уровне сети - это метод проверки подлинности, при котором подлинность пользователей проверяется перед установлением подключения к удаленному рабочему столу и появлением экрана входа в систему. Это более безопасный метод проверки подлинности, помогающий защитить удаленный компьютер от злоумышленников и вредоносных программ. Использование проверки подлинности на уровне сети предоставляет нижеописанные преимущества.

• Проверка подлинности на уровне сети изначально требует меньше ресурсов компьютера. До проверки подлинности пользователя удаленный компьютер использует ограниченное количество ресурсов вместо полного подключения к удаленному рабочему столу, как в предыдущих версиях.
  
  
• Такая проверка обеспечивает большую безопасность, уменьшая риск атак типа «отказ в обслуживании».
  
  

Для использования проверки подлинности на уровне сети необходимо обеспечить соблюдение следующих требований:

• На клиентском компьютере необходимо использовать программу подключения к удаленному рабочему столу версии 6.0 или более поздней.
  
  
• Клиентский компьютер должен работать под управлением операционной системы, которая поддерживает протокол CredSSP (например, Windows® 7 или Windows Vista®).
  
  
• Сервер Узел сеансов удаленных рабочих столов должен работать под управлением ОС Windows Server 2008 R2 или Windows Server 2008.
  
  

Сервер Узел сеансов удаленных рабочих столов можно настроить таким образом, чтобы он поддерживал только подключения клиентов, использующих проверку подлинности на уровне сети. Чтобы настроить проверку подлинности на уровне сети для сервера Узел сеансов удаленных рабочих столов, можно воспользоваться следующими способами.

• В процессе установки службы роли Узел сеансов удаленных рабочих столов в Диспетчер серверов на странице Укажите метод проверки подлинности для узла сеансов удаленных рабочих столов компонента Мастер добавления ролей.
  
  
• На вкладке Удаленный доступ в диалоговом окне Свойства системы на сервере Узел сеансов удаленных рабочих столов.
  
  Если флажок Разрешать подключения от компьютеров с любой версией удаленного рабочего стола (опаснее) не установлен и недоступен для выбора, значит параметр групповой политики Требовать проверку подлинности на уровне сети для удаленных подключений был включен и применен к серверу Узел сеансов удаленных рабочих столов.
  
  Сведения о настройке проверки подлинности на уровне сети с использованием вкладки Удаленный доступ диалогового окна Свойства системы на сервере Узел сеансов удаленных рабочих столов см. в разделе Изменение параметров удаленного подключения.
  
  
• На вкладке Общие в диалоговом окне Свойства подключения в средстве Конфигурация узла сеансов удаленных рабочих столов путем установки флажка Разрешать подключения только от компьютеров с удаленным рабочим столом с сетевой проверкой подлинности.
  
  Если флажок Разрешать подключения только от компьютеров с удаленным рабочим столом с сетевой проверкой подлинности установлен и затенен, значит, параметр групповой политики Требовать проверку подлинности на уровне сети для удаленных подключений был включен и применен к серверу Узел сеансов удаленных рабочих столов.
  
  
• Путем применения параметра групповой политики Требовать проверку подлинности на уровне сети.
  
  Этот параметр групповой политики находится в разделе Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Безопасность. Для его настройки можно использовать редактор локальной групповой политики или консоль управления групповыми политиками. Обратите внимание, что параметр групповой политики будет иметь приоритет над параметром, настроенным в Конфигурация узла сеансов удаленных рабочих столов или на вкладке Удаленный.