8Sep
Přestože existuje mnoho alternativ, vzdálená plocha společnosti Microsoft je perfektně dostupná možnost přístupu k jiným počítačům, ale musí být řádně zabezpečena. Po provedení doporučených bezpečnostních opatření je služba Vzdálená plocha výkonným nástrojem pro uživatele geeků a umožňuje vyhnout se instalaci aplikací třetích stran pro tento typ funkcí.
Tato příručka a screenshoty, které je doprovázejí, jsou vytvořeny pro Windows 8.1 nebo Windows 10. Měli byste však být schopni sledovat tuto příručku, pokud používáte jednu z těchto edic Windows:
- Windows 10 Professional
- Windows 8.1 Pro
- Windows 8.1 Enterprise
- Windows 8 Enterprise
- Windows 8 Pro
- Windows 7 Professional
- Windows 7 Enterprise
- Windows 7 Ultimate
- Windows Vista Business
- Windows Vista Ultimate
- Windows Vista Enterprise
- Windows XP Professional
Povolení vzdálené plochy
Nejprve je třebapovolte Vzdálená plocha a vyberte, kteří uživatelé mají vzdálený přístup k počítači. Klepnutím na klávesu Windows + R vyvoláte výzvu Spustit a zadejte příkaz "sysdm.cpl".
Dalším způsobem, jak se dostat do stejné nabídky, je zadat v nabídce Start tento počítač, klepněte pravým tlačítkem myši na tento počítač a přejděte naVlastnosti:
V obou případech se objeví toto menu, kde musíte kliknout na kartu Vzdálená:
Vyberte "Povolit vzdálené připojení k tomuto počítači" a možnost pod ním "Povolit připojení pouze z počítačů se vzdáleným pracovním stolem s ověřením na úrovni sítě. "
Není nutné vyžadovat ověřování na úrovni sítě, ale díky tomu je počítač bezpečnější tím, že vás ochrání před útoky člověka v prostředí Middle. Systémy, které jsou staré jako Windows XP, se mohou připojit k hostitelům s ověřením na úrovni sítě, takže není důvod používat.
Při povolení funkce Vzdálená plocha můžete obdržet varování o možnostech napájení:
Pokud ano, ujistěte se, že klepnete na odkaz Možnosti napájení a nakonfigurujete počítač tak, aby nespíval nebo nespánl. Pokud potřebujete pomoc, přečtěte si článek o správě nastavení napájení.
Dále klikněte na tlačítko "Vybrat uživatele".
Všechny účty ve skupině Administrators budou mít přístup. Pokud potřebujete povolit přístup ke vzdálené ploše ostatním uživatelům, stačí kliknout na tlačítko "Přidat" a zadat uživatelská jména.
Klepnutím na tlačítko "Check Names" ověřte správné zadání uživatelského jména a potom klepněte na tlačítko OK.Klepněte na tlačítko OK také v okně Vlastnosti systému.
Zabezpečení vzdálené plochy
Počítač je v současné době připojitelný prostřednictvím vzdálené plochy( pouze v místní síti, pokud jste za směrovačem), ale pro nastavení maximální bezpečnosti je potřeba nastavit další nastavení.
Nejprve řekni to zřejmou. Všichni uživatelé, kterým jste poskytli přístup ke vzdálené ploše, musí mít silná hesla. Existuje mnoho robotů, kteří neustále skenují internet pro zranitelné počítače se vzdáleným pracovním stolem, takže nepodceňujte význam silného hesla. Použijte více než osm znaků( doporučuje se 12+) s čísly, malými a velkými písmeny a speciálními znaky.
Přejděte do nabídky Start nebo otevřete příkaz Spustit( Windows Key + R) a zadejte příkaz "secpol.msc" a otevřete nabídku Místní zásady zabezpečení.
Jakmile se tam objeví, rozbalte položku "Místní zásady" a klikněte na "Přiřazení uživatelských práv".
Poklepejte na zásadu "Povolit přihlášení pomocí služeb vzdálené plochy", která je uvedena vpravo.
Doporučujeme odstranit obě skupiny již uvedené v tomto okně, administrátoři a uživatelé vzdálené plochy. Poté klikněte na tlačítko "Přidat uživatele nebo skupinu" a ručně přidejte uživatele, kterým chcete povolit přístup ke vzdálené ploše. Nejedná se o zásadní krok, ale dává vám větší sílu, na které účty lze použít Vzdálená plocha. Pokud v budoucnu vytvoříte nový účet správce z nějakého důvodu a zapomenete na něj vložit silné heslo, otevřete počítač hackerům po celém světě, pokud jste se obtěžovali odstranit skupinu "Administrátoři" z této obrazovky.
Zavřete okno Místní zásady zabezpečení a otevřete Editor místní politiky skupiny zadáním příkazu "gpedit.msc" do příkazu Spustit nebo do nabídky Start.
Když se otevře místní editor skupinové politiky, rozbalte položku Pravidla počítače & gt;Šablony pro správu & gt;Komponenty systému Windows & gt;Služby vzdálené plochy & gt;Host Host relace vzdálené plochy a potom klepněte na položku Zabezpečení.
Poklepejte na libovolná nastavení v tomto menu a změňte jejich hodnoty. Ty, které doporučujeme změnit, jsou:
Nastavte úroveň šifrování klientského připojení - Nastavte tuto úroveň na vyšší úroveň, aby byla relace vzdálené plochy zabezpečena 128bitovým šifrováním.
Vyžadovat zabezpečenou komunikaci RPC - Nastavte tuto volbu na možnost Enabled( Povoleno).
Vyžaduje použití specifické vrstvy zabezpečení pro vzdálené( RDP) připojení - Nastavte SSL( TLS 1.0).
Požadovat ověření uživatele pro vzdálené připojení pomocí ověřování úrovní sítě - Nastavte tuto hodnotu na hodnotu Povoleno.
Jakmile byly provedeny tyto změny, můžete zavřít Editor lokálních zásad skupiny. Posledním doporučením zabezpečení, které máme, je změnit výchozí port, na který je vzdálená plocha naslouchána. Jedná se o volitelný krok a je považován za zabezpečení prostřednictvím praxe obspustnosti, ale faktem je, že změna výchozího čísla portu výrazně snižuje množství pokusů o škodlivé připojení, které počítač obdrží.Nastavení hesla a zabezpečení musí zajistit, aby byla vzdálená plocha nezranitelná, bez ohledu na to, na jakém portu se poslouchá. Mohli bychom ovšem snížit množství pokusů o připojení, pokud to bude možné.
Zabezpečení prostřednictvím observace: Změna výchozího portu RDP
Ve výchozím nastavení vzdálená plocha naslouchá na portu 3389. Vyberte číslo pět čísel méně než 65535, které chcete použít pro vlastní číslo portu vzdálené plochy. S tímto číslem pamatujte, otevřete Editor registru zadáním příkazu "regedit" do příkazu Spustit nebo do nabídky Start.
Při otevření Editoru registru rozbalte položku HKEY_LOCAL_MACHINE & gt;SYSTEM & gt;CurrentControlSet & gt;Control & gt;Terminal Server & gt;WinStations & gt;RDP-Tcp>pak poklepejte na "PortNumber" v okně vpravo.
Pomocí otevřeného klíče registru PortNumber vyberte v pravé části okna položku "Decimal" a zadejte doleva hodnotu "pět číslic" v části "Value data".
Klepněte na tlačítko OK a potom zavřete Editor registru.
Vzhledem k tomu, že jsme změnili výchozí port, který používá služba Vzdálená plocha, musíme nakonfigurovat bránu firewall systému Windows, aby přijímala příchozí připojení na daném portu. Přejděte na obrazovku Start, vyhledejte položku "Brána firewall systému Windows" a klikněte na ni.
Po otevření brány firewall systému Windows klikněte na "Rozšířené nastavení" na levé straně okna. Pak klikněte pravým tlačítkem myši na "Příchozí pravidla" a zvolte "Nové pravidlo".
Zobrazí se okno "Nový průvodčí pro příchozí pravidla", vyberte port a klikněte na tlačítko Další.Na další obrazovce se ujistěte, že je vybrána volba TCP a potom zadejte číslo portu, které jste si vybrali dříve, a potom klepněte na tlačítko Další.Další dvakrát klikněte, protože výchozí hodnoty na dalších pár stránkách budou v pořádku. Na poslední stránce vyberte název nového pravidla, například "Vlastní port RDP", a potom klepněte na tlačítko Dokončit.
Poslední kroky
Počítač by měl být nyní dostupný v místní síti, stačí zadat buď adresu IP zařízení nebo jeho název, za kterým se v obou případech objeví dvojtečka a číslo portu, například:
Přístup k počítačize sítě mimo vaši síť, budete pravděpodobně muset přesměrovat port na směrovači. Poté by měl být váš počítač vzdáleně dostupný z libovolného zařízení, které má klient vzdálené plochy.
Pokud jste zvědaví, jak můžete sledovat, kdo se přihlásí do počítače( a odkud), můžete otevřít Prohlížeč událostí, který chcete vidět.
Po otevření Prohlížeče událostí rozbalte protokoly aplikací a služeb & gt;Microsoft & gt;Windows & gt;TerminalServices-LocalSessionManger a potom klepněte na položku Operační.
Kliknutím na kteroukoli událost v pravém podokně zobrazíte přihlašovací údaje.