Remote Desktop Protocol

Remote Desktop Protocol (RDP) — это протокол сетевой связи, позволяющий пользователям безопасно подключаться к удаленному компьютеру с помощью другого компьютера или мобильного устройства. Один из основных протоколов, используемых для сеансов удаленного рабочего стола.

Технически протокол осуществляет передачу видеопотока от сервера клиенту. На серверной стороне (или стороне управляемого компьютера) установлена программа захвата и сжатия видео, которое по протоколу TCP/IP передается клиенту (управляющему компьютеру).

ПО на стороне клиента демонстрирует результат, а также берет данные о передвижении мыши и нажатиях клавиатуры и отправяет их серверной части, где специальное ПО трансформирует эту информацию в действия (движения мышью, клики, клавиатурные события) на удаленном компьютере.

Для чего используется RDP?

RDP позволяет IT-специалистам удаленно настраивать и обслуживать оборудование и программное обеспечение. Обычные пользователи с помощью RDP могут подключаться к другому компьютеру: например, офисный сотрудник, работая из дома, может подключиться к своему рабочему компьютеру и оттуда — к системам, доступ к которым возможен лишь из корпоративной сети организации.

Принципы работы

RDP работает по схеме клиент-сервер, используя протокол TCP/IP для обмена данными. Стандартный TCP-порт — 3389. Одна из главных особенностей RDP — способность создавать несколько виртуальных каналов. Это позволяет протоколу эффективно управлять разными типами данных: видео, звуком, файлами.

Чтобы работать быстро и эффективно, RDP использует сжатие данных и кеширование. Он применяет разные методы сжатия для уменьшения объема графической информации, а также кеширует часто используемые изображения и шрифты на стороне клиента, что снижает нагрузку на сеть.

Одна из главных особенностей RDP — его асимметричность. Основная часть вычислений происходит на сервере, что позволяет использовать в качестве клиентов устройства с ограниченными возможностями, например маломощные компьютеры или мобильные устройства.

Протокол предлагает разные уровни шифрования, что дает возможность настроить защиту под конкретные нужды пользователей или организаций.

Реализация в Windows

В системах Windows RDP — неотъемлемая часть операционной системы. Серверная часть уже встроена в Windows Server и профессиональные версии Windows, а клиентская часть — Remote Desktop Connection — предустановлена во всех версиях ОС от Microsoft.

Реализация RDP в Windows поддерживает передачу звука, работу с несколькими мониторами, использование USB-устройств и многое другое. Особое внимание уделено безопасности: RDP тесно связан с системой защиты Windows и использует технологию Network Level Authentication (NLA) для дополнительной проверки при подключении.

RDP в Linux

Хотя Microsoft создала RDP, сообщество разработчиков адаптировало протокол для использования в Linux. Среди проектов с открытым кодом можно выделить FreeRDP и xrdp. Последний поддерживает несколько различных графических подсистем, таких как Xvnc, X11rdp и Xorg, позволяя пользователям подключаться к Linux-компьютерам, используя стандартный клиент RDP от Microsoft или другие совместимые приложения.

В качестве клиента в Linux можно использовать приложения Remmina и Vinagre. Также доступен клиент FreeRDP — он поддерживает основные функции протокола, хотя некоторые продвинутые возможности, доступные в Windows, могут отсутствовать.

Для обеспечения безопасности RDP в Linux разработчики интегрировали механизм PAM (Pluggable Authentication Modules). PAM позволяет гибко настраивать проверку подлинности пользователей при удаленном подключении.

Преимущества Remote Desktop Protocol

Сейчас подключение к удаленному компьютеру — обязательная технология для среднего и крупного бизнеса. Благодаря тому, что ресурсы рабочего компьютера доступны практически из любого места, сотрудники могут выполнять рабочие задачи в любое время. Решения на базе Remote Desktop Protocol и его аналогов обеспечивают удобный способ удаленного администрирования, технической поддержки и доступа к корпоративным ресурсам. Это делает компанию гибче, а производительность сотрудников растет.

Отдельно отметим пользу протокола для служб IT. Благодаря RDP можно быстро устранить неполадки и решить проблемы с программным обеспечением у любого члена команды, даже если он не находится в офисе.

Риски использования RDP

RDP остается ключевым инструментом для удаленного доступа к устройствам в корпоративной сети. Но важно помнить, что его использование сопряжено с определенными рисками. Ключевой из них — это риск информационной безопасности.

Например, у работников компании могут быть «слабые учетные данные». Как правило, пользователи не создают сложные пароли, не меняют их, не используют методы двойной аутентификации. А компании зачастую не управляют этими паролями. Тем самым удаленные соединения остаются открытыми для атак. Злоумышленники могут получить доступ к RDP либо через брутфорс-атаки, эксплуатируя слабую парольную политику в организации, либо через MITM-атаки (человек посередине), которая в некоторых случаях при прослушивании трафика позволяет перехватить учетные данные RDP-соединения, либо через уязвимости в протоколе или связанных с ним технологиях.

Другая распространенная проблема — неограниченный доступ к порту. Почти всегда RDP-соединения выполняются через порт 3389. Злоумышленники могут предположить, что этот порт используется, и атаковать его напрямую. Удачная атака на протокол RDP дает практически безграничный доступ к управляемой системе: атакующие могут установить на рабочую станцию вредоносное ПО, нарушить работу корпоративной IT-инфраструктуры и похитить конфиденциальные сведения.

Эти риски переносят RDP в класс решений, к развертыванию и использованию которых IT-администраторам следует подходить с осторожностью и учетом всех необходимых мер информационной безопасности.

Шесть советов, которые помогут защитить RDP

  1. Защитите конечную точку. Если пользователь подключается к корпоративной инфраструктуре с личного девайса, который никак не защищен, то большинство следующих советов не сработают. Эффективный способ — использование тонких клиентов, своего рода облегченной версии компьютера. Иногда этот клиент выглядит как приложение, которое устанавливается в ОС, а иногда, как в случае Kaspersky Thin Client, это полноценный мини-компьютер на базе KasperskyOS, для которого не нужны дополнительные средства защиты.
  2. Защитите имена и пароли пользователей. Сложные и уникальные пароли, многофакторная аутентификация и регулярное обновление учетных данных — эти меры снизят риски несанкционированного доступа.Также необходимо ограничить количество попыток входа для каждого пользователя и фиксировать как неудачные, так и успешные попытки входа, чтобы отслеживать подозрительную активность.
  3. Ограничьте доступ к портам. Используйте защищенные методы для удаленного доступа и избегайте использования открытого интернета для подключений RDP. VPN обеспечит создание безопасного туннеля для запросов, а настройка брандмауэра компании для ограничения трафика к порту 3389 за исключением разрешенных IP-адресов дополнительно усилит защиту.
  4. Управляйте привилегиями пользователей. Ограничьте доступ удаленных пользователей, дайте им возможность пользоваться только теми данными и ресурсами, которые им действительно необходимы для работы.
  5. Обновляйтесь и устанавливайте патчи. Производители ПО достаточно оперативно реагируют на известные уязвимости, поэтому критически важно использовать последние патчи и обновления. А сканеры уязвимостей помогут найти слабые места в инфраструктуре компании до того, как их атакуют.
  6. Обучайте пользователей. Один из лучших способов защититься от киберугроз — повышение уровня осведомленности сотрудников о принципах кибербезопасности и актуальных угрозах. Тренинги, вебинары и семинары, информация о фишинговых атаках и методах защиты данных — все это сделает компанию устойчивой к киберугрозам.

Узнайте больше о KasperskyOS

Мы всегда рады ответить на ваши вопросы о KasperskyOS и решениях на ее основе. Заполните форму, чтобы получить дополнительную информацию или обсудить перспективы сотрудничества

Задать вопрос

Отвечаем на самые популярные вопросы о KasperskyOS и решениях на ее основе

Перейти в FAQ