Para aumentar o nível de segurança do servidor Windows, não basta alterar a porta TCP RDP. Considere a possibilidade de configurar o gateway de área de trabalho remota no domínio do Active Directory.
Gateway de área de trabalho remota - o que é isso?
O Remote Desktop Gateway é uma função de servidor do Windows que fornece uma conexão segura usando o protocolo SSL para o servidor via RDP. A principal vantagem dessa solução é que você não precisa implantar um servidor VPN, e é para isso que o gateway serve.
Deve-se observar que, a partir do Windows Server 2008 R2, os nomes de todos os Serviços de Área de Trabalho Remota foram alterados. Os Serviços de Terminal anteriormente denominados foram renomeados como Serviços de Área de Trabalho Remota.
Vantagens do Gateway de Área de Trabalho Remota
- Usando uma conexão criptografada, o gateway permite a conexão a recursos de rede interna sem a necessidade de uma conexão VPN por usuários remotos;
- O gateway oferece a capacidade de controlar o acesso a determinados recursos de rede, proporcionando assim uma proteção abrangente;
- O gateway permite a conexão com recursos de rede que estão localizados atrás de firewalls em redes privadas ou NAT;
- Você pode usar o console do gerenciador de gateway para configurar políticas de autorização para determinadas condições que devem ser atendidas quando usuários remotos se conectam a recursos de rede. Por exemplo, você pode especificar usuários específicos que podem se conectar a recursos de rede interna, bem como se o computador cliente deve ser membro do grupo de segurança do AD, se o redirecionamento do dispositivo e do disco é permitido;
- O console do gerenciador de gateway contém ferramentas criadas para monitorar o status do gateway. Com elas, você pode atribuir eventos monitorados para auditoria, como tentativas fracassadas de conexão com o servidor de gateway de serviços de terminal.
Importante!O gateway de serviços de terminal deve fazer parte de um domínio do Active Directory. A configuração do gateway é realizada somente em nome do administrador do domínio, em qualquer servidor do domínio.
Definição da função.
Abra o gerenciador do servidor.
Selecione "Adicionar funções e componentes".
Na etapa "Tipo de instalação", selecione "Instalando funções e componentes".
A próxima etapa é selecionar o servidor atual.
Função do servidor -Serviço de área de trabalho remota.
Vá para o serviço de função. Selecione "Gateway de área de trabalho remota".
Prosseguimos para a etapa de confirmação, clique no botão "Install".
Configuração da conexão e da política de autorização de recursos.
Na janela que se abre, o gerenciador de gateway de área de trabalho remota, na parte esquerda da janela, abra a ramificação com o nome do servidor → Políticas → Políticas de autorização de conexão.
Na parte direita da mesma janela, selecione Create a new policy → Wizard.
Na janela que se abre, "Assistente para criar novas políticas de autorização", selecione a opção recomendada "Criar uma política para autorização de conexões de área de trabalho remota e autorização de recursos de área de trabalho remota". Pressione o botão "Next".
Na próxima etapa, digite um nome conveniente para a política de autorização de conexão. Recomendamos dar nomes em inglês.
A próxima etapa será escolher um método de autenticação conveniente - senha ou cartão inteligente. Em nosso caso, deixamos apenas a opção "Password" marcada. Adicionamos grupos que podem se conectar a esse RD-gateway; para isso, clique no botão "Add Group ...".
Na janela de seleção de grupos, clique no botão "Additionally".
A janela será redimensionada. Clique no botão "Search". Nos resultados da pesquisa, encontramos "Administradores do domínio" e clicamos no botão "OK".
Na janela de seleção de grupos, verifique os nomes de objetos selecionados e clique em "OK".
O grupo é adicionado. Para ir para a próxima etapa, clique no botão "Next".
Na próxima etapa, selecione "Enable device redirection for all client devices" e clique em "Next".
Definir tempos limite - tempo de inatividade e tempo de sessão, os valores são indicados em horas. Clique em "Next".
Verifique as configurações. Tudo está correto - clique em "Next".
Na próxima etapa, configure a política de autorização de recursos. Especifique o nome da política desejada. Clique em "Next".
A próxima etapa é estabelecer a associação ao grupo. Normalmente, o grupo já está instalado, mas se isso não for feito, você deve seguir as etapas acima. Clique em "Next".
Selecionamos os recursos de rede disponíveis. Para fazer isso, selecione o grupo que contém os servidores nos quais os grupos de usuários necessários podem trabalhar com a área de trabalho remota. Pressione o botão "Visão geral".
Na janela de seleção de grupos, clique no botão "Additionally".
Na janela alterada, clique no botão "Search". Na janela de resultados, encontramos "Controladores de domínio".
Clique em "OK".
Verificamos os objetos selecionados e clicamos em "OK".
Mais uma vez, verificamos qual grupo de rede foi adicionado e clicamos em "Next".
Se o número da porta RDP não tiver sido alterado, defina o valor do switch como "Allow the connection only to port 3389". Se a porta tiver sido alterada, especifique um novo valor.
Clique em "Done"
Na etapa de confirmação da criação da política, clique no botão "Close".
Ao final da configuração, a janela terá uma aparência semelhante.
Instale o certificado SSL.
Na mesma janela "Manager of the remote desktop gateway", na janela esquerda, clique no ícone do servidor, na parte principal da janela - "View and change properties of the certificate".
Na janela aberta "Properties <server name>", vá para a guia "SSL Certificate". Defina a opção "Criar um certificado autoassinado" e clique no botão "Criar e importar certificado...".
Embora sejam possíveis mais duas opções:
- importar um certificado carregado anteriormente (autoassinado anteriormente ou de terceiros);
- Baixar um certificado de terceiros (por exemplo, Comodo) e importá-lo;
Na janela "Criando um certificado autoassinado", verificamos as configurações e clicamos no botão "OK".
O sistema notificará que o certificado foi criado com êxito, e também há informações sobre onde você pode encontrar o próprio arquivo de certificado. Pressione o botão "OK".
Na janela de propriedades do servidor, clique no botão "Apply".
O certificado autoassinado é instalado na porta TCP 443 (porta SSL por padrão).
Por motivos de segurança, recomendamos que você altere a porta SSL padrão. Para fazer isso, no menu principal da janela, selecione "Actions" → "Properties".
Vá para a guia "Transport settings" e defina o valor desejado para o campo "HTTPS port". Salve as configurações clicando no botão "Apply".
O sistema solicitará a confirmação - responda "Yes".
Conectando-se por meio do gateway.
Abra o cliente RDP, vá para a guia "Additionally" e pressione o botão "Settings".
Na janela que se abre, selecione "Use o seguinte Configurações do servidor de gateway de área de trabalho remota". Indicamos o nome de domínio do servidor e, por meio de dois pontos (:), indicamos a porta SSL. O método de login é "Request Password". Clique em "OK".
Vá para a guia "General". Especifique o endereço do computador e o usuário sob o qual a conexão será feita. Pressione o botão "Connect"
O programa solicitará a senha da conta.
Os resultados do gateway podem ser verificados por meio de rastreamento - o comando tracert.
