Kaip įjungti ir apsaugoti nuotolinį darbalaukį "Windows"

2024 Autorius: Geoffrey Carr | [email protected]. Paskutinį kartą keistas: 2024-01-12 05:16

Nors yra daug alternatyvų, "Microsoft Remote Desktop" yra visiškai perspektyvi alternatyva prieigai prie kitų kompiuterių, tačiau ji turi būti tinkamai apsaugota. Po to, kai yra įdiegtos rekomenduojamos saugumo priemonės, "Remote Desktop" yra galingas įrankis, kurį naudodamiesi "Geeks" galite išvengti trečiųjų šalių programų įvedimo tokio tipo funkcijoms.

Šis vadovas ir juose pateikiami ekrano kopijos yra naudojami "Windows 8.1" ar "Windows 10". Tačiau turėtumėte galėti sekti šiuo vadovu tol, kol naudosite vieną iš šių "Windows" leidimų:

"Windows 10 Professional"
"Windows 8.1 Pro"
"Windows 8.1 Enterprise"
"Windows 8 Enterprise"
"Windows 8 Pro"
"Windows 7 Professional"
"Windows 7 Enterprise"
"Windows 7 Ultimate"
"Windows Vista Business"
"Windows Vista Ultimate"
"Windows Vista Enterprise"
"Windows XP Professional"

Įjungti nuotolinį darbalaukį

Pirmiausia turime įjungti "Remote Desktop" ir pasirinkti, kurie vartotojai turi nuotolinę prieigą prie kompiuterio. Paspauskite "Windows" klavišą + R, kad atidarytumėte komandą "Vykdyti" ir įrašykite "sysdm.cpl".

Kitas būdas pasiekti tą patį meniu yra "Start" meniu įveskite "Šis kompiuteris", dešiniuoju pelės mygtuku spustelėkite "Šis kompiuteris" ir eikite į "Properties":

Bet kuriuo atveju atsiras šis meniu, kuriame turėsite spustelėti skirtuką "Nuotolinis":

Pasirinkite "Leisti nuotolinius prisijungimus prie šio kompiuterio" ir jo apačioje esančią parinktį "Leisti jungtis tik iš kompiuterių, kuriuose veikia" Remote Desktop ", naudojant tinklo lygio autentifikavimą".

Tai nereikalauja reikalauti tinklo lygio autentifikavimo, tačiau tai daro, jūsų kompiuteris tampa saugesnis, apsaugant jus nuo "Man" viduriniuose išpuoliuose. Netgi tokios senos sistemos, kaip ir "Windows XP", gali prisijungti prie kompiuterių su tinklo lygio autentifikavimo funkcija, todėl nėra jokios priežasties jos nenaudoti.

Įjungę nuotolinį darbalaukį, galite gauti įspėjimą apie savo maitinimo parinktis:

Jei taip, įsitikinkite, kad spustelėjote nuorodą į maitinimo parinktis ir sukonfigūruosite savo kompiuterį, kad jis nebūtų užmigęs ar užmigdomas. Jei reikia pagalbos, žr. Mūsų straipsnį apie galios parametrų valdymą.

Tada spustelėkite "Pasirinkti naudotojus".

Bet kurioms Administratorių grupės paskyroms jau bus prieinama. Jei norite suteikti prieigą prie nuotolinio darbalaukio kitiems naudotojams, tiesiog spustelėkite "Pridėti" ir įveskite naudotojo vardus.

Spustelėkite "Tikrinti vardus", kad patikrintumėte, ar teisingai įvedėte naudotojo vardą, tada spustelėkite Gerai. Taip pat spustelėkite "OK" lango sistemos ypatybes.

Nuotolinio darbalaukio apsauga

Šiuo metu jūsų kompiuteris gali būti prijungiamas per nuotolinį darbalaukį (tik jūsų vietiniame tinkle, jei esate už maršrutizatoriaus), tačiau norint pasiekti maksimalų saugumą, reikia nustatyti keletą kitų nustatymų, kuriuos turime konfigūruoti.

Pirma, pakalbėkime apie akivaizdų. Visi naudotojai, kuriems suteikėte nuotolinio darbalaukio prieigą, turi turėti tvirtus slaptažodžius. Yra daugybė robotai, kurie nuolat nuskaito internetą pažeidžiamiems asmeniniams kompiuteriams, kuriuose veikia "Remote Desktop", todėl nepamirškite, kad svarbu turėti patikimą slaptažodį. Naudokite daugiau nei aštuoni simboliai (rekomenduojama 12 ir daugiau) su skaičiais, mažosiomis ir didžiosiomis raidėmis bei specialiaisiais simboliais.

Eikite į meniu Pradėti arba atidarykite komandą Vykdyti (Windows Key + R) ir įrašykite "secpol.msc", kad atidarytumėte Vietos saugumo politikos meniu.

Kai ten išplėskite "Vietinės politikos" ir spustelėkite "Vartotojo teisių suteikimas".

Dukart spustelėkite mygtuką "Leisti prisijungti per nuotolinio darbalaukio paslaugas", pateiktą dešinėje.

Tai yra mūsų rekomendacija pašalinti abi šiame lange jau pateiktas grupes - "Administratoriai" ir "Nuotolinio darbalaukio vartotojai". Po to spustelėkite "Pridėti naudotoją arba grupę" ir rankiniu būdu pridėkite naudotojų, kuriems norite suteikti prieigą prie "Remote Desktop". Tai nėra esminis žingsnis, tačiau jis suteikia daugiau galių, nuo kurių sąskaitas galima naudotis nuotoliniu darbalaukiu. Jei ateityje dėl kokios nors priežasties sukursite naują administratoriaus paskyrą ir pamiršite, kad įdėtumėte į ją tvirtą slaptažodį, jūs atidarysite kompiuterį iki įsilaužėlių visame pasaulyje, jei niekada nesijaudinsite pašalinti "Administratorių" grupę iš šio ekrano.

Uždarykite Vietinio saugumo politikos langą ir atidarykite Vietos grupės redaktorių, įvedę "gpedit.msc" į komandą "Vykdyti" arba meniu "Pradėti".

Kai atidaromas vietinio grupės politikos redagavimo priemonė, išplėskite "Kompiuterių politika"> "Administravimo šablonai"> "Windows" komponentai> Nuotolinio darbalaukio paslaugos> Nuotolinio darbalaukio sesijos priegloba, tada spustelėkite Sauga.

Dukart spustelėkite bet kuriuos šio meniu nustatymus, kad pakeistumėte jų vertes. Rekomenduojame keisti:

Nustatykite kliento ryšio šifravimo lygį - Nustatykite aukščiausią lygį, kad jūsų nuotolinio darbalaukio seansai būtų apsaugoti 128 bitų šifravimu.

Reikalauti saugaus RPC ryšio - Nustatykite tai įjungta.

Reikalauti naudoti tam tikrą apsaugos sluoksnį nuotolinėms (KPP) jungtims. Nustatykite tai SSL (TLS 1.0).

Reikalauti nuotolinio prisijungimo naudotojo autentifikavimo naudojant tinklinio lygio autentifikavimą. Nustatykite tai įjungta.

Kai šie pakeitimai bus atlikti, galite uždaryti Vietinio grupių politikos redaktorių. Paskutinė saugumo rekomendacija - pakeisti numatytąjį prievadą, kurį išgirsta "Remote Desktop". Tai neprivalomas žingsnis ir laikoma saugumu per neapibrėžtumo praktiką, tačiau faktas yra tas, kad numatytojo prievado numerio keitimas labai sumažina kenkėjiško prisijungimo bandymų, kuriuos jūsų kompiuteris gaus, sumą. Jūsų slaptažodis ir saugos nustatymai turi padaryti, kad "Remote Desktop" būtų nepažeidžiamas, nesvarbu, kokį uostą jis klauso, bet galime taip pat sumažinti prisijungimo bandymų kiekį.

Apsauga per nenuoseklumą: Numatyto KPP prievado keitimas

Pagal numatytuosius nustatymus nuotolinis darbalaukis klauso prie 3389 prievado. Pasirinkite penkių skaitmenų numerį, mažesnį nei 65535, kurį norite naudoti savo pasirinktiniam nuotolinio darbalaukio prievado numeriui. Atsižvelgdami į tai, atidarykite registro redaktorių, įvedę "regedit" į komandą "Vykdyti" arba meniu "Pradėti".

Kai atidaromas registro rengyklė, išplėskite HKEY LOCAL MACHINE> SYSTEM> CurrentControlSet> Control> Terminal Server> WinStations> RDP-Tcp>, tada dešiniuoju pelės klavišu spustelėkite "PortNumber".

Atidarykite registro raktą "PortNumber", dešinėje lango pusėje pasirinkite dešimtainį skaičių ir įveskite penkių skaitmenų numerį kairėje esančioje "Reikšmės duomenys".

Spustelėkite Gerai, tada uždarykite registro rengyklę.

Kadangi mes pakeitėme numatytąjį prievadą, kurį naudoja "Remote Desktop", turėsime konfigūruoti "Windows" ugniasienę, kad priimtume prisijungimus prie šio prievado. Eikite į Pradžios ekraną, ieškokite "Windows užkardos" ir spustelėkite jį.

Kai "Windows" užkarda atidaroma, spustelėkite "Papildomi nustatymai", esanti kairėje lango pusėje. Tada dešiniuoju pelės klavišu spustelėkite "Inbound Rules" ir pasirinkite "New Rule".

Bus atsidarys langas "Naujo įvedimo taisyklės vedlys", pasirinkite "Uostas" ir spustelėkite toliau. Kitu ekranu įsitikinkite, kad TCP yra pasirinktas, tada įveskite anksčiau pasirinktą prievado numerį, tada spustelėkite sekantį. Paspauskite dar du kartus, nes būsimos pora puslapių numatytosios vertės bus gerai. Paskutiniame puslapyje pasirinkite šios naujos taisyklės pavadinimą, pvz., "Custom RDP port", tada spustelėkite "Finish".

Paskutiniai žingsniai

Jūsų kompiuteris turėtų būti prieinamas jūsų vietiniame tinkle, tik nurodykite mašinos IP adresą arba jo pavadinimą, po kurio eina dvitaškis ir prievado numeris, pvz., Taip: