Как да активирате и защитите отдалечения работен плот на Windows
Макар че има много алтернативи, отдалеченият работен плот на Microsoft е напълно приложим вариант за достъп до други компютри, но той трябва да бъде подходящо обезопасен. След като са въведени препоръчани мерки за сигурност, отдалеченият работен плот е мощно средство за използване на отрепки и ви позволява да избегнете инсталирането на приложения на трети страни за този тип функционалност..
Това ръководство и екранните снимки, които го придружават, са направени за Windows 8.1 или Windows 10. Въпреки това трябва да можете да следвате това ръководство, стига да използвате някое от тези издания на Windows:
- Windows 10 Professional
- Windows 8.1 Pro
- Windows 8.1 Enterprise
- Windows 8 Enterprise
- Windows 8 Pro
- Windows 7 Professional
- Windows 7 Enterprise
- Windows 7 Ultimate
- Windows Vista Business
- Windows Vista Ultimate
- Windows Vista Enterprise
- Windows XP Professional
Активиране на отдалечения работен плот
Първо, трябва да активираме Remote Desktop и да изберем кои потребители имат отдалечен достъп до компютъра. Натиснете клавиша Windows + R, за да изведете подкана за изпълнение и напишете "sysdm.cpl."
Друг начин да стигнете до същото меню е да напишете “Този компютър” в менюто Старт, щракнете с десния бутон “Този компютър” и отидете в Properties: \ t
Така или иначе ще отворите това меню, където трябва да кликнете върху раздела „Отдалечено“:
Изберете „Разрешаване на отдалечени връзки към този компютър“ и опцията под нея, „Разрешаване на връзки само от компютри с отдалечен работен плот с удостоверяване на ниво мрежа“.
Не е необходимо да изисквате удостоверяване на мрежово ниво, но това прави компютъра ви по-сигурен, като ви предпазва от атаки от човек в средата. Системите, дори и стари като Windows XP, могат да се свързват с хостове с удостоверяване на мрежово ниво, така че няма причина да не го използвате.
Когато активирате отдалечения работен плот, можете да получите предупреждение за опциите си за захранване:
Ако е така, уверете се, че щракнете върху връзката към опциите за захранване и конфигурирайте компютъра, така че да не заспи или да заспи. Вижте нашата статия за управление на настройките на захранването, ако имате нужда от помощ.
След това кликнете върху „Избор на потребители“.
Всички профили в групата „Администратори“ вече имат достъп. Ако трябва да предоставите достъп до отдалечен работен плот на други потребители, просто кликнете върху „Добавяне“ и въведете потребителските имена.
Кликнете върху „Проверка на имената“, за да проверите дали потребителското име е въведено правилно и след това щракнете върху OK. Щракнете върху OK в прозореца System Properties (Свойства на системата).
Защита на отдалечения работен плот
Понастоящем компютърът ви може да се свързва чрез отдалечен работен плот (само в локалната ви мрежа, ако сте зад рутер), но има още няколко настройки, които трябва да конфигурираме, за да постигнем максимална сигурност.
Първо, нека се обърнем към очевидното. Всички потребители, на които сте дали достъп с отдалечен работен плот, трябва да имат силни пароли. Има много ботове, които постоянно сканират интернет за уязвими компютри, работещи с отдалечен работен плот, така че не подценявайте важността на силната парола. Използвайте повече от осем знака (препоръчва се 12+) с цифри, малки и главни букви и специални символи.
Отидете в менюто "Старт" или отворете подкана за изпълнение (клавиш Windows + R) и напишете "secpol.msc", за да отворите менюто "Местна политика за сигурност".
Веднъж там, разгънете „Местни правила“ и кликнете върху „Задаване на потребителски права“.
Кликнете два пъти върху правилото „Разрешаване на влизане чрез услуги за отдалечен работен плот“, посочено вдясно.
Нашата препоръка е да премахнете и двете групи, които вече са изброени в този прозорец, Администратори и Потребители на отдалечен работен плот. След това кликнете върху „Добавяне на потребител или група“ и ръчно добавете потребителите, на които искате да предоставите достъп до отдалечения работен плот. Това не е съществена стъпка, но ви дава по-голяма власт над това, кои сметки да използват за отдалечен работен плот. Ако в бъдеще създадете нов администраторски акаунт по някаква причина и забравите да поставите силна парола върху него, вие отваряте компютъра си до хакери по целия свят, ако никога не сте се опитвали да премахнете групата „Администратори“ от този екран.
Затворете прозореца "Локална политика за сигурност" и отворете местния редактор на групови правила, като напишете "gpedit.msc" или в подканата за изпълнение, или в менюто "Старт"..
Когато се отвори Редакторът за локални групови правила, разгънете Политика на компютъра> Административни шаблони> Компоненти на Windows> Услуги за отдалечен работен плот> Хост на сесията за отдалечен работен плот и след това щракнете върху Защита.
Кликнете два пъти върху настройките в това меню, за да промените техните стойности. Препоръчваме ви да промените:
Задаване на ниво на криптиране на връзка с клиент - Задайте това на високо ниво, така че сесиите от отдалечения работен плот да са защитени с 128-битово криптиране.
Изисква сигурна RPC комуникация - Задайте това на Enabled.
Изискване за използване на специфичен защитен слой за отдалечени (RDP) връзки - Задайте това на SSL (TLS 1.0).
Изискване за удостоверяване на потребителя за отдалечени връзки с помощта на удостоверяване на ниво мрежа - Задайте това на Активирано.
След като направите тези промени, можете да затворите редактора на локални групови правила. Последната ни препоръка за сигурност е да променим портовете, които Remote Desktop слуша. Това е незадължителна стъпка и се счита за сигурност чрез практиката на неизвестност, но фактът е, че промяната на номера на порта по подразбиране значително намалява количеството злонамерени опити за свързване, които вашият компютър ще получи. Вашите пароли и настройки за сигурност трябва да направят отдалечения работен плот неуязвим, независимо от пристанището, на което слушат, но може и да намалим броя на опитите за свързване, ако можем.
Сигурност чрез несигурност: Промяна на портовете по подразбиране по RDP
По подразбиране отдалеченият работен плот слуша на порт 3389. Изберете петцифрено число по-малко от 65535, което искате да използвате за потребителския си номер на порт за отдалечен работен плот. Имайки предвид този номер, отворете редактора на системния регистър, като напишете „regedit“ в подкана за изпълнение или в менюто „Старт“.
Когато се отвори редактора на системния регистър, разгънете HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Контрол> Терминален сървър> WinStations> RDP-Tcp> и щракнете двукратно върху "PortNumber" в прозореца вдясно.
При отворен ключ на системния регистър PortNumber изберете „Decimal“ от дясната страна на прозореца и след това въведете петцифрения си номер под „Data value“ отляво.
Щракнете върху OK, след което затворете редактора на системния регистър.
Тъй като сме сменили портовете по подразбиране, които използва отдалеченият работен плот, ще трябва да конфигурираме защитната стена на Windows да приема входящи връзки на този порт. Отидете на началния екран, потърсете “Защитна стена на Windows” и кликнете върху него.
При отваряне на защитната стена на Windows щракнете върху „Разширени настройки“ от лявата страна на прозореца. След това щракнете с десния бутон върху “Inbound Rules” и изберете “New Rule”.
Ще се появи „Съветникът за ново входящо правило“, изберете Port и щракнете върху next. На следващия екран се уверете, че е избран TCP и след това въведете номера на порта, който сте избрали по-рано, и след това щракнете върху Next (Напред). Кликнете върху следващите два пъти, защото стойностите по подразбиране на следващите няколко страници ще са наред. На последната страница изберете име за това ново правило, като например „Custom RDP port“, след което щракнете върху Finish.
Последни стъпки
Компютърът ви сега трябва да е достъпен в локалната ви мрежа, просто посочете IP адреса на устройството или името му, последвано от двоеточие и номера на порта и в двата случая, например така:
За да получите достъп до компютъра извън мрежата си, най-вероятно ще трябва да препратите порта на маршрутизатора. След това вашият компютър трябва да бъде отдалечен от всяко устройство, което има клиент за отдалечен работен плот.
Ако се чудите как можете да следите кой влиза в компютъра ви (и откъде), можете да отворите Преглед на събития, за да видите.
След като отворите Event Viewer, разгънете Logs на Приложения и услуги> Microsoft> Windows> TerminalServices-LocalSessionManger и след това кликнете върху Operational.
Кликнете върху някое от събитията в десния панел, за да видите информация за вход.