RDP 5.0 - Windows 2000

RDP 5.1 - Windows XP

RDP 5.2 - Windows 2003

Вобще-то я уже рекомендовал книгу, но повторюсь:

Администрирование Windows Server 2000/2003 на терминальном сервере.
Тодд Мазерс

Читайте. Больше вам все равно никто ничего не скажет.

Подключение к удаленному столу (клиент служб терминалов версии 6.0) (http://support.microsoft.com/kb/925876)

а ссылочки на эл.версию этого журнала нет? »
нету.. я вечером вывешу статью на сайте... в подписи
Там нужно в реестре гдето подправить, чтобы было сложнее взломать.
RDP 6 - это вистовский. Его также можно скачать и для 2003 и для ХР на сайте производителя. Ссылка выше.
Дело в том, что 6 безопаснее чем 5.
вот я и хочу, чтобы все пользователи сменили клиенты. Но за всеми не уследишь, если в ручную.

Дело в том, что 6 безопаснее чем 5. »

RDP 5.x обеспечивает шифрование по алгоритму RC4.
Используется 3 режима: Низкий, Средний, Высокий.
Высокий уровень обеспечивает 128 битное шифрование, как входящего так и исходящего трафика.

Чего такого можно улучшить в RDP6?

Чего такого можно улучшить в RDP6? »
TLS (http://ru.wikipedia.org/wiki/TLS)
Но из-за уязвимости " man-in-the-middle vulnerability " в версиях ранее 6.0 ,
во многих случаях, трафик может быть расшифрован по пути.
хм... 6.1 в SP3 для ХР-ки... нужно всем обновления делать...

хм... 6.1 в SP3 для ХР-ки... нужно всем обновления делать...
Насколько я понимаю, то клиентов еще можно обновлять/менять (5.2, 6, 6.1). А вот сервер Windows 2003 кроме как 5.2 не поддерживает? Сервер RDP6.1 только в Win2008 возможен?

А вот сервер Windows 2003 кроме как 5.2 не поддерживает? »
ну почему?
вот же:Подключение к удаленному столу (клиент служб терминалов версии 6.0) »
Загрузить пакет клиента служб терминалов версии 6.0 для Windows Server 2003 (KB925876). (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=cc148041-577f-4201-b62c-d71adc98adb1)

Загрузить пакет клиента служб терминалов версии 6.0 для 64-разрядных версий Windows Server 2003 (KB925876). (http://www.microsoft.com/downloads/details.aspx?FamilyId=43C0EAE9-6B64-428F-A9DC-F97F5A1B4493)

Загрузить пакет клиента служб терминалов версии 6.0 для Windows XP (KB925876). (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=26f11f0c-0d18-4306-abcf-d4f18c8f5df9)

Загрузить пакет клиента служб терминалов версии 6.0 для 64-разрядных версий Windows XP (KB925876).

ну почему?
потому, что это - клиенты

потому, что это - клиенты »
а точно... ну вообщем я ставил на 2003 клиент 6-ой, и спокойно соединялся с терминалом 2003 сервера.
Киньте кто-нить ссылку на разницу служб терминалов 2003 и 2008.

я ставил на 2003 клиент 6-ой, и спокойно соединялся с терминалом 2003 сервера
следовательно, в данном случе нет смысла в 6-ом. Соединение все равно по 5.2 проходит.

следовательно, в данном случе нет смысла в 6-ом. Соединение все равно по 5.2 проходит. »
в книге от 2008 года по 70-290 написанно - что лучше обновить клиент, и будет безопаснее.

Вопрос: почему/чем соединение сервера терминалов на Win2k3 (RDP5.2) c клиентом RDP6.x безопаснее, чем с клиентом RDP5.2?
Ответ:
в книге от 2008 года по 70-290 написанно - что лучше обновить клиент, и будет безопаснее
не подходит :). Нужны пояснения и объяснения.

Но из-за уязвимости " man-in-the-middle vulnerability " в версиях ранее 6.0 , »

Вай-вей. В переводе на язык родных осин это значит что протокол RDP, не имеет встроенных средств аутентификации сервера. Т. е. если какой-либо злыдень подсунет свой сервер вместо оригинального, и будет пересылать трафик на оригинальный, то по запросам-ответам можно расшифровать ключ сессии и соответственно данного пользователя.

Хочу огорчить, большая часть протоколов имеют такую уязвимость. В том числе и сети Windows.

Правдо в реальном мире такая уязвимость достаточно условна, т.к. сервер "подсовывать" тяжеловато.

zet2, не встретил в теме вопроса, у вас сервер напрямую мордой в интернет смотрит? Или есть какое-то защищающее приложение? (Встроенный файрволл Windows можете не упоминать даже.) Если есть, то какое? Или это железка?

(Встроенный файрволл Windows можете не упоминать даже.) »
а чем он плох?

А чем хорош? Особенно для сети масштаба предприятия? Дарвин такое называл естественным отбором...

Oleg Krylov, т.е. вы считаете если им закрыть все IP кроме 2-3 (это конечно не масштаб предприятия) для администрирования - то этого не хватит?

На мой взгляд, в масштабах предприятия ставится серьезный продукт в качестве корпоративного файрволла, например MS ISA 2006. Который с легкостью зарежет на уровне аутентификации. Т.е. проблемы будут не в адресации, а в логоне.
Тут конечно возможны варианты, но я обычно вообще не публикую RDP во внешние сети. Для этого есть VPN, а сейчас еще и TSGateway. Но это только мое мнение.

Который с легкостью зарежет на уровне аутентификации. »
но ведь можно и раньше зарезать... темже VPN-ом.

Можно, просто смысл сводится к необходимости вырастать из штанишек 30-машинных админов. И доступность RDP снаружи яркий тому показатель.