Объяснение служб терминалов

• Веб-доступ к службам терминалов:

главное преимущество:

С помощью TS Web Access пользователю не нужно запускать клиент подключения к удаленному рабочему столу (RDC), чтобы запустить программу RemoteApp. Вместо этого они обращаются к веб-странице, а затем щелкают значок программы. Подробнее см. Веб-доступ к службам терминалов (веб-доступ к службам терминалов)

• Шлюз служб терминалов

главное преимущество:

Шлюз TS передает весь трафик RDP (который обычно отправляется через порт 3389) на порт 443 с помощью туннеля HTTPS. Это также означает, что весь трафик между клиентом и шлюзом служб терминалов шифруется при передаче через Интернет.

Видеть Шлюз служб терминалов (TS Gateway)

• Удаленное приложение служб терминалов

главное преимущество:

Пользователи могут запускать программы с терминального сервера и работать так же, как если бы программы работали на локальном компьютере конечного пользователя, включая окна с изменяемым размером, поддержку перетаскивания между несколькими мониторами и значки уведомлений в области уведомлений.

Видеть RemoteApp служб терминалов (TS RemoteApp)

Каковы плюсы и минусы каждого из них, особенно с точки зрения безопасности?

Каждая из этих технологий предоставляет разные функции, поэтому это зависит от требований вашего бизнеса. Они не конкурируют, так что это не тот или иной выбор, вы можете реализовать их все, если у вас есть потребность в предоставляемой функциональности. С точки зрения безопасности все эти технологии шифруются или могут быть зашифрованы.

Если я просто подключаюсь к удаленному серверу через порт 3389 с помощью своего клиента удаленного рабочего стола, что для этого говорит Microsoft?

Удаленного рабочего стола

Подходит ли он к какой-либо из вышеперечисленных категорий?

Только в контексте удаленного подключения, если вы хотите подключиться через Интернет, вы также должны использовать шлюз TS или веб-доступ, в зависимости от того, как вы хотите представить подключение.

Является ли основное преимущество TS Web Access по сравнению с прямым подключением с использованием RDC через 3389 только в том, что один может использовать шифрование TLS, а другой - RC4?

RDP можно зашифровать через TLS см. Настройка уровней аутентификации и шифрования сервера , так что привлекательность веб-доступа ... (подождите) ... веб-доступ. Вам по-прежнему нужен установленный клиент, но с доступом в Интернет я могу предоставить вам безопасную веб-страницу со ссылками для подключения либо к полному рабочему столу, либо только к удаленному приложению. Обратите внимание, что один только удаленный рабочий стол даст вам только полный рабочий стол.

Вот пример реального использования шлюза служб терминалов, чтобы дать вам представление о том, как его можно использовать:

В моей компании множество пользователей, которым требуется удаленный доступ к сети нашего головного офиса. Вместо того, чтобы давать каждому сотруднику ноутбук с клиентским программным обеспечением VPN, мы настроили TS Gateway с определенной политикой доступа. В нем указано: «Пользователи этой группы (удаленный доступ) могут получить доступ к компьютерам этой группы».

Итак, теперь Джон Доу оставляет свой офисный компьютер включенным, идет домой и со своего персонального компьютера запускает удаленный рабочий стол. Он вводит имя шлюза служб терминалов в расширенных параметрах и вводит имя своего офисного компьютера в качестве компьютера, к которому нужно подключиться. Затем он может войти в систему и работать, как если бы он был в офисе.

Само по себе это не отличается от удаленного рабочего стола, пока у вас не появится второй пользователь, удаленно работающий из дома. Теперь вы можете использовать то же имя шлюза служб терминалов и указать другой офисный компьютер, и они могут подключаться удаленно. При использовании только удаленного рабочего стола вам потребуется отдельный общедоступный IP-адрес с портом RDC, перенаправленным на конкретный рабочий стол офиса.

Только порт 443 должен быть перенаправлен на сервер TS Gateway от брандмауэра, и любой пользователь может удаленно подключиться к своему рабочему столу на работе.

Это также полезно для нашего планирования пандемии, когда больной пользователь может удаленно зайти из дома на свой офисный компьютер и при необходимости продолжить работу.

Если вы просто создаете правило брандмауэра для tcp / 3389 для своей фермы серверов терминалов, вам не нужен шлюз TS. Если ваши удаленные пользователи запускают RDC Client и знают адрес для подключения, вам не нужен TS Web Access. Шлюз TS обычно предназначен для крупных организаций с традиционными сетями периметра и более строгими требованиями к безопасности. Веб-доступ к службам терминалов предназначен для обеспечения более удобного интерфейса для пользователей или бизнес-требований, когда у вас есть много разных ферм / приложений, и вы не хотите, чтобы ваши пользователи знали / управляли деталями того, как подключаться к каждой из них.

Приложение TS Remote можно сравнить с «опубликованным приложением» Citrix. Пользователи не получают полноценный рабочий стол, они только запускают приложение в «бесшовном окне». На самом деле это выглядит только как окно приложения, а не как окно RDC. Одним из недостатков этого является использование удаленного управления / теневого копирования RDP - это не работает с RemoteApp.

Вы можете использовать шифрование TLS с любой конфигурацией.

Безопасность TLS / сертификата в первую очередь предназначена для проверки подлинности сервера для клиента и создания симметричного ключа для шифрования потока RDP. Он не используется для обеспечения меры контроля доступа, чтобы ограничить доступ только определенным клиентам RDP. Это не намного более «безопасное», чем проприетарное шифрование RDP, но, поскольку оно основано на стандарте, ключи шифрования могут быть изменены при изменении сертификата. Некоторые люди предпочитают стандартную криптографию проприетарным решениям.