Windows Embedded Handheld 6.5 RDP

LMA Soluções is an IT service provider.

6 Replies

Is the user able to run it without it being in startup?

LMA Soluções is an IT service provider.

Actually I solved it by creating a shortcut of the wpctsc.exe in the startup folder. But, I need it to connect directly. The users can not use nothing but the RDP session. They can not even change the IP or username. They will destroy everything if there are anything to they use.

So far as I had seen, there’s no free solution for that. Only paid Launchers.

LMA Soluções is an IT service provider.

I’m using a trial version of a Launcher now, but I still can’t lock the options to connect on a remote server. I do not want the user to change the IP address, username, password and the domain.

If someone out there comes up with a solution, please post it.

Windows embedded handheld rdp

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Answered by:

Question

Thank you in advance for reading this. I’m setting up a newer version for our Windows 7 Embedded upgrading from SP0 zu SP1 so I can use the newer remote desktop client.

However, it won’t let me install the update to upgrade the client. I’ve tried KB2592687 and KB2923545. They both say that the packet is not for my OS version. I’ve downloaded the x86 version since I’m running 32 bit Windows 7 Embedded Standard.

I wonder if I miss any packages that may be required to update the remote desktop client, maybe you can send me into the right direction. If you need a list of features/packages installed just say and I’ll provide it. But, please suggest me a way to post a feature/package list in an easy to read way, I guess posting the .xml file would be a little over the top.

Answers

I might be a little or extremly late with the followup but:

This «issue» was not related to WEDU it’s a matter of the installation order. To get RDC 8.1 working I installed KB2574819, KB2592687, KB2857650, KB2830477 and KB2923545 in that order and rebooting as often as it is asked.

There is no need to find special downloads, the normal windows 7 downloads are fine as long as prerequisites are OK.

Защищаем RDP Windows Server без VPN

Часто у наших клиентов (обычно это небольшие организации без собственной IT службы) возникает необходимость предоставить доступ к своему серверу терминалов (о настройке и обеспечении отказоустойчивости будет отдельная статья) через глобальную сеть Интернет. Мы конечно же советуем так не делать, а использовать для подключения VPN (рекомендуем любимый нами SoftEther VPN Server), но если уж клиент настаивает, то стараемся максимально его обезопасить. И вот как раз про средства, которыми мы этого достигаем и пойдет речь в этой статье.

Первая программа, о которой мы расскажем называется Cyberarms Intrusion Detection and Defense Software (IDDS).

К сожалению, судя по всему, разработка была прекращена в 2017-м году, но тем не менее программа (с некоторыми нюансами — о них далее) работает даже на ОС Windows Server 2019.

Принцип действия довольно таки простой, но в тоже время эффективный: после нескольких неудачных попыток ввода пароля(количество для блокировки определено в параметрах) срабатывает Soft lock(подозрение в брутфорсе), в журнале создается инцидент и IP помечается как подозрительный. Если новых попыток не последовало, то спустя 20 минут адрес убирается из списка наблюдаемых. Если же перебор паролей продолжается, то IP адрес «злоумышленника» добавляется в запрещающее подключения правило брандмауэра Windows (должен быть в активированном состоянии) и тем самым подбор пароля с этого адреса временно прекращается, так как подключения полностью блокируются. Блокировка Hard lock продлится 24 часа — такой параметр выставлен по умолчанию. Вечную блокировку,»Hard lock forever», включать не рекомендуем, иначе количество IP в правиле брандмауэра быстро «распухнет» и программа будет тормозить.

Soft and Hard lock threshold — counts and duration

Устанавливается программа просто — скачиваем архив с установщиком, распаковываем во временную папку. Cкачиваем и устанавливаем Microsoft Visual C++ 2010 x64 (vcredist_x64.exe) и только после этого запускаем пакет установщика Windows —Cyberarms.IntrusionDetection.Setup.x64.msi, потому как у setup.exe скачать и установить автоматически Visual C++ не получается.

Далее производим настройку — активируем агент для защиты RDP сессий «TLS/SSL Security Agent«, во вкладке «AGENTS«:

Enable «TLS/SSL Security Agent»

Вторая программа — Duo Authentication for Windows Logon and RDP

это инструмент для мультифакторной аутентификации от Duo Security (Cisco), коммерческий многофункциональный продукт, который безупречно работает и позволяет использовать смартфоны, токены и коды для 2FA.

Настраивается ПО немного сложнее предыдущей программы, но благодаря хорошей документации от разработчика довольно таки быстро.

Зарегистрируйте себе административный аккаунт, для доступа к панели управления (Личный кабинет). Рекомендуем сразу добавить еще одного администратора, потому как восстановить доступ с помощью разработчика довольно таки проблематично, а прецеденты с неожиданной утратой смартфона администратора возникают часто.

Войдите в панель администратора Duo и перейдите в Приложения (Applications).

Нажмите «Защитить приложение» и найдите в списке приложений запись для Microsoft RDP. Щелкните Защитить в крайнем правом углу, чтобы настроить приложение и получить ключ интеграции, секретный ключ и имя хоста API. Эта информация понадобится вам для завершения настройки (в процессе установки Duo Authentication for Windows Logon).

Мы рекомендуем установить политики по умолчанию для новых пользователей приложения Microsoft RDP значение «Запрет доступа«, поскольку ни один незарегистрированный в Duo пользователь не должен успешно проходить авторизацию. Но для этого вам будет необходимо добавить всех пользователей в Duo через панель управления вручную или, что намного удобнее, через импорт из Active Directory (об этом расскажем позже) и выслать им ссылку для активации приложения Duo Security, предварительно установленному на их смартфонах.

4. Загрузите и установите пакет установщика Duo Authentication for Windows Logon. Во время установки введите данные, полученные на предыдущем шаге.

Если вы хотите включить автономный доступ с помощью Duo MFA, вы можете сделать это сейчас в разделе «Настройки автономного доступа» на странице приложения Duo или вернуться в панель администратора позже, чтобы настроить автономный доступ после первой проверки успешного входа в систему с помощью двух-факторной аутентификации.

Также во время установки рекомендуем установить все 3 галки в чекбоксах — эти настройки позволят вам получать доступ в ОС без 2FA, например при использовании консоли гипервизора или при отсутствии подключения к серверам Duo (частый случай — большое расхождение по времени):

не лишним будет напоминание о безопасном хранении всех ключей:
Treat your secret key like a password

The security of your Duo application is tied to the security of your secret key (skey). Secure it as you would any sensitive credential. Don’t share it with unauthorized individuals or email it to anyone under any circumstances!

После установки Duo Authentication for Windows Logon можно добавить пользователя (своего, без привилегий администратора) и активировать приложение на смартфоне. Для этого переходим в раздел Users, жмем Add User — заполняем необходимые поля. Далее добавляем пользователю телефон (раздел Phones — Add Phone) и активируем Duo Moibile (ссылку для активации пользователю можно отправить SMS, если есть деньги на балансе или вручную через Email или другим удобным способом).

Теперь при подключении и успешной авторизации (по логину и паролю) пользователю будет отправлено Push уведомление на смартфон с активированным приложением Duo Mobile:

Если на смартфоне нет доступа в Интернет (и соответственно Push приходить не будут), то можно подтвердить авторизацию сгенерированным кодом (Passcode ) из приложения:

Настройка синхронизации пользователей с глобальным каталогом (Azure AD — Active Directory — LDAP) хорошо описана в документации разработчика, хочу лишь уточнить что это платный функционал. Основной компонент для синхронизации пользователей, это Duo Authentication Proxy — ПО, которое обеспечивает подключение к каталогу.

Если вы используете RDWEb (клиентский доступ или шлюз), то вам пригодится еще один компонент — Duo Authentication for Microsoft Remote Desktop Web. Настройка его аналогична Duo Authentication for Windows Logon и не должна вызвать затруднений.

Подводя итоги заметим, что рассмотренное ПО не является панацеей от всех бед для публичных сервисов (доступных из сети Интернет), потому как бывают уязвимости, эксплуатация которых позволяет злоумшленникам обходить даже такие меры по обеспечению безопасности ОС\инфраструктуры в целом. Поэтому требуется всегда комплесно подходить к этому вопросу — мониторинг, аудит и регламентные процедуры по обновлению позволят вам почувствовать себя защищенными в этом неспокойном мире. Берегите свои данные!

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Windows embedded handheld rdp

Вопрос

Доброго времени суток!

кто нибудь смог подобные решения подружить ? У меня куча тонких клиентов ТОНК. Старые версии еще можно поменять. Но новые на 7 версии куплено уже много и менять их никак. Так вот вопрос, кто нибудь пробовал подружить? Я что то никак не соображу как подключиться в ферму? Файл *.rdp через браузер невозможно получить, так как встроенный браузер не заходит на WEB. Флешкой скопировал, но файл тоже не запускается. При подключении к ферме ТОНК подключается прямо на RDCB, если подключаться по имени фермы. Совсем нет возможности их использовать?

Ответы

Все ответы

Подружить что и с чем?

• Изменено Solenoid Editor 24 января 2016 г. 8:41

Обращайтесь к производителю тонких клиентов, у НР есть софт который позволяет сделать образ и разлить его на остальные тонкие клиенты, так же по сети через тулзовину можно изменить настройки и применить их на клиенте (некоторые дефолтные пути при этом заблокированы в самом образе)

В общем и целом, есть вариант с полным рабочим столом (который можно включить и отключить), настройке клиента, и отключение всех ненужных пользователю фич (типа того же рабочего стола)

The opinion expressed by me is not an official position of Microsoft

То есть вы реально дружили HP тонкие клиенты на урезанной ОС с фермой? НР дают запускать свой RDP файл на тонком клиенте??

Например, конфиг может быть такой:

Windows 2012 R2 — RDVH(n серверов) + виртуальные машины с Windows 8.1 Enterprise в пуле.
Windows 2012 R2 — RDCB
Windows 2012 R2 — RDWA
Тонкие клиенты (Thin Clients) с Windows embedded 7 SP1 + RDP 8.0(8.1).

Все это работает.

Кстати, у вас какой RDP клиент?

NTLose, скрин покажу завтра. Там есть RDP клиент конечно.. Он цепляется к обычному серверу терминальному. Но проблема именно в том, что если я построив ферму подключаюсь к серверам по имени term.firma.local который указывает на RDCB сервера, то и подцепляется к ним напрямую и не перебрасывает подключение на сервера RDSH. Но это и нормально. потому как если к ферме подцепиться с рабочего компа на Win 8.1 просто через RDP запустив как обычно, то точно так же попадешь на сервер RDCB. В том файле, который нужно скачать с WEB-портала содержит некоторые настройки если их открыть текстовым редактором. Типа такого..

use redirection server name:i:1
loadbalanceinfo:s:tsv://MS Terminal Services Plugin.1.termfirmalocal

Ферма собрана на 2012R2, RDSH 2 штуки пока, RDCB + RDWA + на нем же сервер лицензирования.

Некоторые вещи написанные вами меня удивляют, ну да ладно.

Давайте разложим по полочкам, дайте ответ в такой форме (реальные имена замените)

4 Имя коллекции(укажите что публикуете приложения или рабочие столы)

Что удивляет? Я может как то не совсем понятно выражаюсь.. Но вроде все правильно

1. test-RDCB1, test-rdcb2(на нем же сервер лицензирования и он находится на отказоустойчивом кластере), SQL 2012R2, пользовательские данные хранятся в VHDX на отделном хранилище.

2. test-rdsh1, test-rdsh2

4 term.domain.local Публикую рабочие столы.

В DNS две записи term.domain.local указывающие на сервера rdcb. Подключаюсь с тонких клиентов на имя term.domain.local

Теперь давайте посмотрим на Ваш RDP-файл.

Зайдите на брокер в реестр

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\CentralPublishedResources\PublishedFarms\term.domain.local\RemoteDesktops

найдите значение RDPFileContents, нажмите Изменить, скопируйте содержимое в блокнот, имена серверов поменяйте на те, что написаны выше, кусок относящийся к сертификату удалите.

Текст скопируйте в следующее сообщение.

То есть вы реально дружили HP тонкие клиенты на урезанной ОС с фермой? НР дают запускать свой RDP файл на тонком клиенте??

Конечно на кой они тогда нужны, выглядит это следующим образом, запускается клиент НР в котором расписаны все доступные для пользователя подключения, в некоторых случаях это 2 фермы и набор серверов, в некоторых случаях одна ферма, в некоторых случаях — один сервер.

есть конфиги в которых на ембедед утсановлен софт и тонкие используются как толстые (софта мало и он специализированный) таких не много но вполне живой конфиг

The opinion expressed by me is not an official position of Microsoft

Хм.. Все оказалось банальнее.. Все тонки хоть и с 7 версией Windows, но у всех почему то 6.1 версия RDP клиента. Видимо по этому и не работает ничего. Ну тогда вопрос закрыт, видимо в этом и проблема. Тогда обойдется наш доблестный отдел АСУП чтобы поиметь ферму.. Пускай юзают третий сервер и настраивают кучу юзеров ручками. На переход 50-70 юзеров с одних тонких клиентов на другие я думаю они не согласны )))

ну так на то обновления существуют. что бы обновлять ОС и ее компоненты (ембедед клиенты в таком случае не исключение) можете запросить у производителя последовательность действий для обновления клиентов (изредка используются специализированные образы)

В общем случае клиенты можно обновлять либо выпустив в интернет либо со всуса либо руками

ПС под версей рдп 6.1 все должно работать, так как никаких спец возможностей в отношении фермы ЕМНИП в более новых версиях нет.

ППС под похожую задачу писал когда то костыль для обновления отдельно стоящих клиентов серверов.

The opinion expressed by me is not an official position of Microsoft