8Sep

Ako povoliť a zabezpečiť vzdialenú pracovnú plochu v systéme Windows

Zatiaľ čo existuje veľa alternatív, vzdialená pracovná plocha spoločnosti Microsoft je perfektnou možnosťou prístupu k iným počítačom, ale musí byť riadne zabezpečená.Po vykonaní odporúčaných bezpečnostných opatrení je služba Vzdialená plocha výkonným nástrojom pre geekov a umožňuje vyhnúť sa inštalácii aplikácií tretích strán pre tento typ funkcií.

Táto príručka a screenshoty, ktoré ju sprevádzajú, sú vytvorené pre Windows 8.1 alebo Windows 10. Avšak mali by ste byť schopní sledovať túto príručku, pokiaľ používate jedno z týchto verzií systému Windows:

  • Windows 10 Professional
  • Windows 8.1 Pro
  • Windows 8.1 Podnik
  • Windows 8 Enterprise
  • Windows 8 Pro
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
  • Windows Vista Business
  • Windows Vista Ultimate
  • Windows Vista Enterprise

Povolenie vzdialenej pracovnej plochy

Najprv musímepovoliť vzdialenú pracovnú plochu a vybrať, ktorí používatelia majú vzdialený prístup k počítaču. Stlačte kláves Windows + R, aby ste vyvolali výzvu na spustenie a zadajte príkaz "sysdm.cpl".

Ďalšou cestou, ako sa dostať do rovnakej ponuky je zadanie "Tento počítač" v ponuke Štart, kliknite pravým tlačidlom "Tento počítač"Vlastnosti:

V obidvoch prípadoch sa zobrazí toto menu, kde musíte kliknúť na kartu Vzdialené:

Zvoľte "Povoliť vzdialené pripojenia k tomuto počítaču" a možnosť pod ním, "Povoliť pripojenia iba z počítačov so vzdialenou pracovnou plochou s autentifikáciou na úrovni siete. "

Nie je potrebné vyžadovať overenie úrovne na úrovni siete, ale tým sa váš počítač stáva bezpečnejším tým, že vás ochráni pred útokmi Mana v strede. Systémy, ktoré sú už staré ako Windows XP, sa môžu pripojiť k hostiteľom s autentifikáciou na úrovni siete, takže nie je dôvod ho nepoužívať.

Ak povolíte vzdialenú pracovnú plochu, môžete dostať varovanie o možnostiach napájania:

Ak je to tak, uistite sa, že kliknete na prepojenie na položku Možnosti napájania a nakonfigurujete počítač tak, aby nespĺňal alebo nespánal. Ak potrebujete pomoc, prečítajte si článok o správe nastavení napájania.

Ďalej kliknite na tlačidlo "Vybrať používateľov".

Všetky účty v skupine Administrators už budú mať prístup. Ak potrebujete prideliť prístup k vzdialenej ploche všetkým ostatným používateľom, stačí kliknúť na tlačidlo "Pridať" a zadať používateľské mená.

Kliknutím na položku "Check Names" overte správne zadanie používateľského mena a potom kliknite na tlačidlo OK.Kliknite na OK v okne Vlastnosti systému.

Zabezpečenie vzdialenej pracovnej plochy

Počítač je v súčasnosti pripojiteľný prostredníctvom vzdialenej pracovnej plochy( iba v miestnej sieti, ak ste za routerom), ale sú tu ešte ďalšie nastavenia, ktoré potrebujeme nakonfigurovať, aby sme dosiahli maximálnu bezpečnosť.

Po prvé, poďme sa zaoberať očividným. Všetci používatelia, ktorým ste poskytli prístup k vzdialenej ploche, musia mať silné heslá.Existuje veľa robotov, ktorí neustále skenujú internet pre zraniteľné počítače so vzdialenou pracovnou plochou, takže nepodceňujte dôležitosť silného hesla. Použite viac ako osem znakov( odporúča sa 12 alebo viac) s číslami, malými a veľkými písmenami a špeciálnymi znakmi.

Prejdite do ponuky Štart alebo otvorte výzvu Run( Windows Key + R) a zadajte "secpol.msc" a otvorte ponuku Local Security Policy.

Raz tam rozbaľte položku "Local Policies" a kliknite na "Priradenie užívateľských práv".

Dvakrát kliknite na položku "Allow log on through Remote Desktop Services" uvedené vpravo.

Odporúčame odstrániť obe skupiny, ktoré sú už uvedené v tomto okne, Administrátori a Používatelia vzdialenej pracovnej plochy. Potom kliknite na položku Pridať používateľ alebo skupinu a ručne pridajte používateľov, ktorým chcete prideliť prístup k vzdialenej ploche. To nie je zásadný krok, ale poskytuje väčšiu moc, cez ktorú účty sa môže použiť vzdialená pracovná plocha. Ak v budúcnosti z nejakého dôvodu vytvoríte nový účet správcu a zabudnete naň vložiť silné heslo, otvárate váš počítač hackerom po celom svete, ak ste sa obťažovali, že odstránite skupinu "Administrators" z tejto obrazovky,

Zatvorte okno miestnych bezpečnostných pravidiel a otvorte Editor lokálnych zásad politiky zadaním príkazu "gpedit.msc" do poľa Spustiť alebo do ponuky Štart.

Keď sa otvorí Editor lokálnych zásad skupiny, rozbaľte položku Pravidlá počítača & gt;Šablóny pre správu & gt;Komponenty systému Windows & gt;Služby vzdialenej pracovnej plochy & gt;Hostiteľ relácie vzdialenej pracovnej plochy a potom kliknite na položku Zabezpečenie.

Poklepaním na ľubovoľné nastavenia v tomto menu môžete zmeniť ich hodnoty. Tie, ktoré odporúčame zmeniť, sú:

Nastavenie úrovne šifrovania klientskeho pripojenia - nastavte ho na vysokú úroveň, aby vaše relácie vzdialenej pracovnej plochy boli zabezpečené 128-bitovým šifrovaním.

Vyžaduje bezpečnú komunikáciu RPC - nastavte túto možnosť na možnosť Enabled( Povolené).

Vyžadovať používanie špecifickej vrstvy zabezpečenia pre vzdialené( RDP) pripojenia - Nastavte SSL( TLS 1.0).

Vyžaduje autentifikáciu používateľa pre vzdialené pripojenia pomocou autentifikácie na úrovni siete - nastavte túto možnosť na hodnotu Enabled( Povolené).

Po vykonaní týchto zmien môžete zavrieť Editor lokálnych zásad skupiny. Posledným bezpečnostným odporúčaním, ktoré máme, je zmena predvoleného portu, na ktorý sa nasníma vzdialená pracovná plocha. Toto je voliteľný krok a považuje sa za bezpečnosť skrze prax obscurity, ale faktom je, že zmena predvoleného čísla portu značne znižuje počet pokusov o zlomyseľné pripojenie, ktoré váš počítač dostane. Heslo a nastavenia zabezpečenia musia robiť vzdialenú pracovnú plochu nezraniteľnou bez ohľadu na to, na akom portu počúva, ale môžeme tiež znížiť počet pokusov o pripojenie, ak môžeme.

Zabezpečenie prostredníctvom nezabezpečenia: Zmena predvoleného portu RDP

Vzdialená plocha na základe predvoleného nastavenia počúva na portu 3389. Vyberte si päťmiestne číslo menšie ako 65535, ktoré chcete použiť pre vlastné číslo portu vzdialenej pracovnej plochy. S týmto číslom pamätajte, otvorte Editor databázy Registry zadaním príkazu "regedit" do poľa Spustiť alebo v ponuke Štart.

Keď sa otvorí Editor databázy Registry, rozbaľte položku HKEY_LOCAL_MACHINE & gt;SYSTEM & gt;CurrentControlSet & gt;Control>Terminal Server & gt;WinStations & gt;RDP-Tcp>potom dvakrát kliknite na "PortNumber" v okne vpravo.

Pri otvorení kľúča databázy Registry systému PortNumber zvoľte v pravom okne okienko "Decimal" a doľava zadajte svoje päťčíslové číslo pod "Hodnota údajov".

Kliknite na tlačidlo OK a potom zatvorte Editor databázy Registry.

Keďže sme zmenili predvolený port, ktorý používa Vzdialenú plochu, musíme nakonfigurovať Brána firewall systému Windows na prijímanie prichádzajúcich pripojení na danom portu. Prejdite na úvodnú obrazovku, vyhľadajte "Windows Firewall" a kliknite na ňu.

Keď sa otvorí brána Windows Firewall, kliknite na "Rozšírené nastavenia" na ľavej strane okna. Potom kliknite pravým tlačidlom myši na "Prichádzajúce pravidlá" a zvoľte "Nové pravidlo".

Zobrazí sa príručka "Nový prichádzajúci kód", zvoľte Port a kliknite na tlačidlo Next. Na ďalšej obrazovke skontrolujte, či je vybratá možnosť TCP a zadajte číslo portu, ktoré ste si vybrali predtým, a potom kliknite na tlačidlo Ďalej.Ďalšie dve ďalšie kliknutia, pretože predvolené hodnoty na ďalších pár stránkach budú v poriadku. Na poslednej strane vyberte názov pre toto nové pravidlo, napríklad "Vlastný port RDP", a potom kliknite na tlačidlo Dokončiť.

Posledné kroky

Počítač by mal byť teraz dostupný v lokálnej sieti, stačí zadať buď adresu IP zariadenia alebo názov zariadenia, za ktorým nasleduje dvojbodka a číslo portu v oboch prípadoch, napríklad:

Prístup k počítačumimo vašej siete, budete musieť presmerovať port na smerovači. Potom by mal byť počítač vzdialene dostupný z ľubovoľného zariadenia, ktoré má klient vzdialenej pracovnej plochy.

Ak sa zaujímate o to, ako môžete sledovať, kto sa prihlasuje do počítača( a odkiaľ), môžete otvoriť prehliadač udalostí, ktorý chcete vidieť.

Po otvorení programu Event Viewer rozbaľte protokoly aplikácií a služieb & gt;Microsoft & gt;Windows & gt;TerminalServices-LocalSessionManger a potom kliknite na položku Prevádzka.

Kliknutím na ľubovoľnú udalosť v pravom paneli zobrazíte prihlasovacie informácie.