遠程用戶可以使用遠程桌面協(xié)議 (RDP) 在另一個地方的設(shè)備上查看和使用 Windows。遠程機器共享必要的外圍設(shè)備，如您的鍵盤和鼠標(biāo)，讓您可以像直接坐在它面前一樣使用和操作它。

RDP 是 Microsoft 的專有網(wǎng)絡(luò)通信協(xié)議，允許運行任何操作系統(tǒng)的 PC 和設(shè)備相互連接。雖然是專有的，但某些 RDP 規(guī)范是開放的，任何人都可以在 Microsoft 網(wǎng)站上查看。因此，如果需要，可以擴展 RDP 以滿足特定的組織要求。

Windows 仍然是全球最流行的操作系統(tǒng)，因此您可以使用 RDP 輕松連接到大多數(shù)計算機。但是，您使用的 Windows PC 必須滿足特定的許可要求。其他網(wǎng)絡(luò)通信協(xié)議，例如虛擬網(wǎng)絡(luò)計算 (VNC)，但由客戶端和服務(wù)器組件組成的 RDP 可以說是最受歡迎的。

了解遠程桌面協(xié)議

想一想可以通過無線電波從遠處控制的遙控汽車或無人機，以了解協(xié)議。RDP 的運行方式與計算設(shè)備的運行方式大致相同。它不使用無線電波，而是使用互聯(lián)網(wǎng)進行通信并控制另一臺機器。由于 RDP 促進遠程連接，它傳統(tǒng)上用于幫助遠程用戶解決計算機或設(shè)備問題。

由于虛擬化和云計算現(xiàn)在無處不在，因此一直在使用 RDP 和類似的協(xié)議。當(dāng)您在云中啟動虛擬機 (VM) 并遠程連接到它時，您的組織可能正在使用 RDP 或類似協(xié)議。無論您是連接到遠程計算機還是虛擬機，RDP 都需要互聯(lián)網(wǎng)連接。

RDP 是如何工作的？

您可以訪問遠程計算機或 VM，并在您使用 RDP 的計算機上顯示其桌面。您可以使用鼠標(biāo)和鍵盤控制遠程計算機，并操作遠程計算機及其上的任何應(yīng)用程序。

發(fā)出連接請求的計算機必須運行 RDP客戶端軟件，而被訪問的計算機必須運行 RDP 服務(wù)器軟件。后者稱為遠程桌面會話主機 (RDSH)。配置不佳的設(shè)備可以訪問和運行功能齊全的程序，就好像它們是 RDSH 的本地設(shè)備一樣。連接設(shè)備和 RDSH 之間的大部分通信都是從后者到前者的。到服務(wù)器的多個同時遠程會話是可能的。

默認情況下，所有 Windows 計算機都包含 RDP 服務(wù)器軟件，因此可以訪問連接請求。但是，RDP 客戶端軟件遠程桌面連接 (RDC) 僅可供 Windows Pro 及更高版本的用戶訪問。如果您運行的是 Windows Home，則需要升級到 Windows Pro（或更高版本）才能使用 RDC。為避免與升級相關(guān)的成本，您可以嘗試其他 RDP 客戶端軟件。

RDC 是微軟遠程桌面服務(wù) (RDS) 瘦客戶端架構(gòu)的三個客戶端組件之一，它允許支持遠程桌面協(xié)議 (RDP) 的遠程客戶端機器連接到 Windows 和任何運行 RDS 的計算機。Windows 遠程協(xié)助和快速用戶切換是 RDS 的其他客戶端組件。除了 RDC，RDP 客戶端也可用于 Linux、Unix、macOS、iOS、Android 和其他操作系統(tǒng)。因此，您幾乎可以使用任何設(shè)備控制您的工作站或運行虛擬機。RDP 服務(wù)器軟件也可用于 Windows、Unix、Linux 和 OS X。Microsoft Azure 使用 RDP 為其客戶的用戶虛擬機提供服務(wù)。

RDP 的優(yōu)勢是什么？

在組織內(nèi)使用 RDP 有多種好處，包括：

• 更快更輕松的部署。您體驗到更快的應(yīng)用程序和/或桌面部署，因為不需要在客戶端設(shè)備上安裝應(yīng)用程序和/或桌面。廣泛的RDP支持意味著您可以使用任何設(shè)備連接到 Windows 桌面。
• 增強的安全性。避免因駐留在網(wǎng)絡(luò)外部的不安全數(shù)據(jù)而引起的安全問題。可以強制執(zhí)行組織規(guī)則以防止您的用戶將數(shù)據(jù)存儲在設(shè)備和閃存驅(qū)動器中。因此，所有操作都在您的網(wǎng)絡(luò)內(nèi)執(zhí)行，以防止數(shù)據(jù)隨時超出其范圍。
• 減少停機時間。安全的云存儲意味著在設(shè)備出現(xiàn)故障的情況下可以最大限度地減少停機時間。您的用戶不會受制于他們的設(shè)備——他們可以使用任何設(shè)備訪問他們的虛擬機。
• 降低成本。可以根據(jù)需要將計算資源分配給設(shè)備。這意味著較低的總擁有成本，因為不具備處理能力或本機運行應(yīng)用程序能力的設(shè)備仍然可以在不升級的情況下使用。
• 更多設(shè)備。基于 Windows 的應(yīng)用程序可以交付給非 Windows 機器，例如 iOS、Android 和瘦客戶端設(shè)備。用戶幾乎可以使用任何設(shè)備連接到遠程桌面。

RDP 中的安全性如何？

RDP安全分為兩種類型：

• 標(biāo)準(zhǔn)安全性使用 RSA 的 RC4 加密算法來加密客戶端和服務(wù)器之間的流量。
• 使用傳輸層安全協(xié)議 (TLS 1.0/1.1/1.2)、憑據(jù)安全支持協(xié)議 (CredSSP) 或無線電數(shù)據(jù)系統(tǒng) (RDS) TLS增強安全性以啟用網(wǎng)絡(luò)級身份驗證，這要求客戶端驗證其與服務(wù)器的會話。

如果您對 RDP 使用增強的安全性，將會有所幫助。與此相結(jié)合，您應(yīng)該將 RDP 服務(wù)器置于防火墻之后，以減少它們對外部攻擊的脆弱性，并最大限度地減少對已通過身份驗證的用戶的潛在威脅。

最佳實踐

保護 RDP 服務(wù)器的其他最佳實踐包括：

• 強用戶密碼：強制執(zhí)行要求強用戶密碼的規(guī)則，并在一定次數(shù)的登錄嘗試失敗后將用戶鎖定在他們的機器之外。
• 雙因素身份驗證：配置遠程桌面 (RD) 網(wǎng)關(guān)，在授予對服務(wù)器的訪問權(quán)限之前強制執(zhí)行雙因素身份驗證。桌面和工作站上的服務(wù)應(yīng)該只能從 RD 網(wǎng)關(guān)訪問。
• 更新軟件：定期更新您的 RDP 客戶端和服務(wù)器軟件，無論這些是 Microsoft 還是非 Microsoft 實現(xiàn)。
• 管理訪問：通過 RDP 刪除管理訪問，除非使用 RD 進行系統(tǒng)管理。即便如此，也要限制負責(zé)維護 RDP 實施的系統(tǒng)管理員的數(shù)量。執(zhí)行此操作的最佳方法是使用組策略設(shè)置覆蓋 RD 設(shè)備上的本地安全策略，或?qū)⒐芾碛脩粼O(shè)置為受限組策略的一部分。無論哪種方式，盡可能禁用具有 RDP 訪問權(quán)限的本地管理帳戶。