If-Koubou

Как да активирате и защитите отдалечения работен плот в Windows

Как да активирате и защитите отдалечения работен плот в Windows (Как да)

Макар че има много алтернативи, отдалеченият работен плот на Microsoft е перфектно приложим вариант за достъп до други компютри, но трябва да бъде правилно защитен. След като са налице препоръчителните мерки за сигурност, Remote Desktop е мощен инструмент за използване на джуджетата и ви позволява да избегнете инсталирането на приложения на трети страни за този тип функционалност.

Това ръководство и екранните снимки, които го придружават, са направени за Windows 8.1 или Windows 10. Въпреки това трябва да можете да следвате това ръководство, докато използвате едно от тези издания на Windows:

  • Windows 10 Professional
  • Windows 8.1 Pro
  • Windows 8.1 Предприятие
  • Windows 8 Предприятие
  • Windows 8 Pro
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
  • Windows Vista Business
  • Windows Vista Ultimate
  • Windows Vista Enterprise
  • Windows XP Professional

Разрешаване на отдалечен работен плот

Първо, трябва да активираме отдалечен работен плот и да изберем кои потребители имат отдалечен достъп до компютъра. Натиснете клавиша Windows + R, за да изведете подкана за изпълнение и напишете "sysdm.cpl".

Друг начин да стигнете до едно и също меню е да въведете "Този компютър" в менюто "Старт", щракнете с десния бутон "Този компютър" и отидете на Properties:

Така или иначе, това меню ще се покаже, където трябва да кликнете върху раздела Отдалеченост:

Изберете "Разрешаване на отдалечени връзки към този компютър" и опцията под него, "Разрешаване на връзки само от компютри, работещи с отдалечен работен плот с удостоверяване на ниво мрежа".

Не е необходимо да се изисква удостоверяване на нивото на мрежата, но това прави компютъра по-сигурен, като ви предпазва от Man in Middle Attacks. Системите, които са стари колкото Windows XP, могат да се свързват с хостове с удостоверяване на ниво мрежа, така че няма причина да не се използва.

Възможно е да получите предупреждение относно опциите за захранване, когато активирате отдалечен работен плот:

Ако е така, уверете се, че кликнете върху връзката към Опции за захранване и конфигурирайте компютъра, така че да не заспива или да пресъздава хибернация. Вижте статията ни относно управлението на настройките за захранване, ако имате нужда от помощ.

След това кликнете върху "Избор на потребители".

Всички профили в групата "Администратори" вече ще имат достъп. Ако трябва да предоставите достъп на отдалечен работен плот на други потребители, просто кликнете върху "Добавяне" и въведете потребителските имена.

Кликнете върху "Check Names", за да проверите дали потребителското име е въведено правилно, и след това кликнете върху OK. Кликнете върху OK и в прозореца Свойства на системата.

Осигуряване на отдалечен работен плот

Понастоящем компютърът ви може да се свързва чрез отдалечен работен плот (само в локалната ви мрежа, ако сте зад маршрутизатор), но има още няколко настройки, които трябва да конфигурирате, за да постигнете максимална сигурност.

Първо, нека се обърнем към очевидната. Всички потребители, които сте предоставили достъп до отдалечен работен плот, трябва да имат силни пароли. Има много ботове, които непрекъснато сканират интернет за уязвими компютри, работещи на отдалечен работен плот, така че не подценявайте значението на силна парола. Използвайте повече от осем знака (препоръчва се 12+) с цифри, малки и главни букви и специални знаци.

Отворете менюто "Старт" или отворете подкана "Стартиране" (Windows Key + R) и въведете "secpol.msc", за да отворите менюто Local Security Policy.

Щом е там, разгънете "Local Policies" и кликнете върху "Assignment of User Rights".

Щракнете двукратно върху "Позволи да влезете чрез услугите за отдалечен работен плот", изброени вдясно.

Нашата препоръка е да премахнете и двете групи, които вече са изброени в този прозорец, администратори и потребители на отдалечен работен плот. След това кликнете върху "Добавяне на потребител или група" и добавете ръчно потребителите, с които искате да предоставите достъп до отдалечен работен плот. Това не е важна стъпка, но ви дава повече власт, по която сметките могат да използват отдалечен работен плот. Ако в бъдеще създадете нов администраторски акаунт по някаква причина и забравите да си сложите силна парола, вие отваряте компютъра си до хакери по целия свят, ако никога не сте се притеснявали да премахнете групата "Администратори" от този екран ,

Затворете прозореца Local Security Policy и отворете локалния редактор за групови правила, като въведете "gpedit.msc" в подкана за изпълнение или в менюто "Старт".

Когато се отвори локалният редактор за групови политики, разгънете Компютърна политика> Административни шаблони> Компоненти на Windows> Услуги за отдалечен работен плот> Хост на сесия за отдалечен работен плот, след което щракнете върху Защита.

Кликнете два пъти върху всички настройки в това меню, за да промените техните стойности. Тези, които препоръчваме да променят, са:

Задайте ниво на криптиране на клиентската връзка - Задайте това на високо ниво, така че сесиите ви за отдалечен работен плот да са защитени с 128-битово криптиране.

Изисквай сигурна RPC комуникация - Задайте това на Enabled.

Изисква се използването на специфичен слой за защита за отдалечени (RDP) връзки - Задайте това на SSL (TLS 1.0).

Изискване за удостоверяване на потребител за отдалечени връзки чрез удостоверяване на ниво мрежа - Задайте това на Enabled.

След като направите тези промени, можете да затворите редактора за местна групова политика. Последната препоръка за сигурност, която имаме, е да променим портът по подразбиране, на който се справя Remote Desktop. Това е незадължителна стъпка и се счита за сигурност чрез практиката на неизвестност, но факт е, че промяната на стандартния номер на порта значително намалява броя на опитите за злонамерена връзка, които вашият компютър ще получи. Паролата и настройките ви за сигурност трябва да направят Remote Desktop неуязвима, независимо от пристанището, в което слуша, но можем и да намалим количеството опити за свързване, ако можем.

Сигурност чрез несигурност: Промяна на пристанището по подразбиране

По подразбиране отдалеченият работен плот слуша на порт 3389. Изберете петцифрено число по-малко от 65535, което искате да използвате за персонализирания си номер на порт за отдалечен работен плот. Имайки предвид това число, отворете редактора на системния регистър, като въведете "regedit" в подкана за изпълнение или в менюто "Старт".

Когато се отвори редактора на системния регистър, разгънете HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Control> Terminal Server> WinStations> RDP-Tcp> след това щракнете двукратно върху "PortNumber" в прозореца отдясно.

С отворения ключ на системния регистър на PortNumber изберете "Decimal" в дясната страна на прозореца и след това въведете петцифрените си цифри под "Данни за стойността" вляво.

Щракнете върху OK и след това затворете редактора на системния регистър.

Тъй като сме променили портът по подразбиране, който използва отдалечен работен плот, ще трябва да конфигурираме защитната стена на Windows, за да приемате входящи връзки на това пристанище. Отворете началния екран, потърсете "Windows Firewall" и кликнете върху него.

Когато се отвори защитната стена на Windows, кликнете върху "Разширени настройки" в лявата част на прозореца. След това кликнете с десния бутон върху "Входящи правила" и изберете "Ново правило".

Ще се появи "Нов съветник за входящи правила", изберете Порт и щракнете върху следващия. На следващия екран се уверете, че е избран TCP и след това въведете номера на порт, който сте избрали по-рано, и след това щракнете върху следващия. Кликнете още два пъти, защото стойностите по подразбиране за следващите няколко страници ще бъдат наред. На последната страница изберете име за това ново правило, като например "Персонален RDP порт", след което кликнете върху край.

Последните стъпки

Сега компютърът ви трябва да е достъпен в локалната ви мрежа, просто да посочите IP адреса на устройството или името му, последвано от двоеточие и номера на порта и в двата случая, както е така:

За да имате достъп до компютъра си извън мрежата, най-вероятно ще трябва да препратите порта на маршрутизатора си. След това вашият компютър трябва да бъде достъпен на разстояние от всяко устройство, което има клиент за отдалечен работен плот.

Ако се чудите как можете да следите кой влиза в компютъра ви (и откъде), можете да отворите Event Viewer, за да го видите.

Щом отворите Event Viewer, отворете Logs за приложения и услуги> Microsoft> Windows> TerminalServices-LocalSessionManger и след това щракнете върху Operational.

Кликнете върху някое от събитията в десния панел, за да видите данните за вход.