远程用户可以使用远程桌面协议 (RDP) 在另一个地方的设备上查看和使用 Windows。远程机器共享必要的外围设备,如您的键盘和鼠标,让您可以像直接坐在它面前一样使用和操作它。
RDP 是 Microsoft 的专有网络通信协议,允许运行任何操作系统的 PC 和设备相互连接。虽然是专有的,但某些 RDP 规范是开放的,任何人都可以在 Microsoft 网站上查看。因此,如果需要,可以扩展 RDP 以满足特定的组织要求。
Windows 仍然是全球最流行的操作系统,因此您可以使用 RDP 轻松连接到大多数计算机。但是,您使用的 Windows PC 必须满足特定的许可要求。其他网络通信协议,例如虚拟网络计算 (VNC),但由客户端和服务器组件组成的 RDP 可以说是最受欢迎的。
了解远程桌面协议
想一想可以通过无线电波从远处控制的遥控汽车或无人机,以了解协议。RDP 的运行方式与计算设备的运行方式大致相同。它不使用无线电波,而是使用互联网进行通信并控制另一台机器。由于 RDP 促进远程连接,它传统上用于帮助远程用户解决计算机或设备问题。
由于虚拟化和云计算现在无处不在,因此一直在使用 RDP 和类似的协议。当您在云中启动虚拟机 (VM) 并远程连接到它时,您的组织可能正在使用 RDP 或类似协议。无论您是连接到远程计算机还是虚拟机,RDP 都需要互联网连接。
RDP 是如何工作的?
您可以访问远程计算机或 VM,并在您使用 RDP 的计算机上显示其桌面。您可以使用鼠标和键盘控制远程计算机,并操作远程计算机及其上的任何应用程序。
发出连接请求的计算机必须运行 RDP客户端软件,而被访问的计算机必须运行 RDP 服务器软件。后者称为远程桌面会话主机 (RDSH)。配置不佳的设备可以访问和运行功能齐全的程序,就好像它们是 RDSH 的本地设备一样。连接设备和 RDSH 之间的大部分通信都是从后者到前者的。到服务器的多个同时远程会话是可能的。
默认情况下,所有 Windows 计算机都包含 RDP 服务器软件,因此可以访问连接请求。但是,RDP 客户端软件远程桌面连接 (RDC) 仅可供 Windows Pro 及更高版本的用户访问。如果您运行的是 Windows Home,则需要升级到 Windows Pro(或更高版本)才能使用 RDC。为避免与升级相关的成本,您可以尝试其他 RDP 客户端软件。
RDC 是微软远程桌面服务 (RDS) 瘦客户端架构的三个客户端组件之一,它允许支持远程桌面协议 (RDP) 的远程客户端机器连接到 Windows 和任何运行 RDS 的计算机。Windows 远程协助和快速用户切换是 RDS 的其他客户端组件。除了 RDC,RDP 客户端也可用于 Linux、Unix、macOS、iOS、Android 和其他操作系统。因此,您几乎可以使用任何设备控制您的工作站或运行虚拟机。RDP 服务器软件也可用于 Windows、Unix、Linux 和 OS X。Microsoft Azure 使用 RDP 为其客户的用户虚拟机提供服务。
RDP 的优势是什么?
在组织内使用 RDP 有多种好处,包括:
- 更快更轻松的部署。您体验到更快的应用程序和/或桌面部署,因为不需要在客户端设备上安装应用程序和/或桌面。广泛的RDP支持意味着您可以使用任何设备连接到 Windows 桌面。
- 增强的安全性。避免因驻留在网络外部的不安全数据而引起的安全问题。可以强制执行组织规则以防止您的用户将数据存储在设备和闪存驱动器中。因此,所有操作都在您的网络内执行,以防止数据随时超出其范围。
- 减少停机时间。安全的云存储意味着在设备出现故障的情况下可以最大限度地减少停机时间。您的用户不会受制于他们的设备——他们可以使用任何设备访问他们的虚拟机。
- 降低成本。可以根据需要将计算资源分配给设备。这意味着较低的总拥有成本,因为不具备处理能力或本机运行应用程序能力的设备仍然可以在不升级的情况下使用。
- 更多设备。基于 Windows 的应用程序可以交付给非 Windows 机器,例如 iOS、Android 和瘦客户端设备。用户几乎可以使用任何设备连接到远程桌面。
RDP 中的安全性如何?
RDP安全分为两种类型:
- 标准安全性使用 RSA 的 RC4 加密算法来加密客户端和服务器之间的流量。
- 使用传输层安全协议 (TLS 1.0/1.1/1.2)、凭据安全支持协议 (CredSSP) 或无线电数据系统 (RDS) TLS增强安全性以启用网络级身份验证,这要求客户端验证其与服务器的会话。
如果您对 RDP 使用增强的安全性,将会有所帮助。与此相结合,您应该将 RDP 服务器置于防火墙之后,以减少它们对外部攻击的脆弱性,并最大限度地减少对已通过身份验证的用户的潜在威胁。
最佳实践
保护 RDP 服务器的其他最佳实践包括:
- 强用户密码:强制执行要求强用户密码的规则,并在一定次数的登录尝试失败后将用户锁定在他们的机器之外。
- 双因素身份验证:配置远程桌面 (RD) 网关,在授予对服务器的访问权限之前强制执行双因素身份验证。桌面和工作站上的服务应该只能从 RD 网关访问。
- 更新软件:定期更新您的 RDP 客户端和服务器软件,无论这些是 Microsoft 还是非 Microsoft 实现。
- 管理访问:通过 RDP 删除管理访问,除非使用 RD 进行系统管理。即便如此,也要限制负责维护 RDP 实施的系统管理员的数量。执行此操作的最佳方法是使用组策略设置覆盖 RD 设备上的本地安全策略,或将管理用户设置为受限组策略的一部分。无论哪种方式,尽可能禁用具有 RDP 访问权限的本地管理帐户。
