Як включити і захистити віддалений робочий стіл на Windows. T
Хоча існує багато альтернатив, віддалений робочий стіл Microsoft - це цілком життєздатний варіант для доступу до інших комп'ютерів, але він повинен бути належним чином захищений. Після вжиття рекомендованих заходів безпеки віддалений робочий стіл є потужним інструментом для використання виродків і дозволяє уникнути встановлення додатків третьої сторони для цього типу функціональності.
Цей посібник і скріншоти, які супроводжують його, створено для Windows 8.1 або Windows 10. Однак, ви повинні дотримуватися цього керівництва, якщо ви використовуєте одне з цих видань Windows:
- Windows 10 Professional
- Windows 8.1 Pro
- Windows 8.1 Enterprise
- Windows 8 Enterprise
- Windows 8 Pro
- Windows 7 Professional
- Windows 7 Enterprise
- Windows 7 Ultimate
- Windows Vista Business
- Windows Vista Ultimate
- Windows Vista Enterprise
- Windows XP Professional
Увімкнення віддаленого робочого стола
По-перше, потрібно ввімкнути віддалений робочий стіл і вибрати користувачів, які мають віддалений доступ до комп'ютера. Натисніть клавішу Windows + R, щоб відкрити рядок запуску, і введіть "sysdm.cpl".
Інший спосіб дістатися до того ж меню - ввести в меню «Пуск» «Цей комп'ютер», клацнути правою кнопкою миші «Цей комп'ютер» і перейти до пункту Властивості:
У будь-якому випадку буде відкрито це меню, де потрібно натиснути вкладку "Віддалений":
Виберіть "Дозволити віддалені підключення до цього комп'ютера" та параметр, наведений нижче, "Дозволити з'єднання лише з комп'ютерів, на яких працює віддалений робочий стіл з мережевим рівнем автентифікації".
Це не є необхідністю вимагати аутентифікації на рівні мережі, але це робить ваш комп'ютер більш безпечним, захищаючи вас від атак "Людина в середньому". Системи, навіть старі, як Windows XP, можуть підключатися до хостів за допомогою автентифікації на рівні мережі, тому немає причин не використовувати їх.
Під час ввімкнення віддаленого робочого стола можна отримати попередження про параметри живлення:
Якщо так, переконайтеся, що ви клацніть посилання на параметри живлення та налаштуйте комп'ютер, щоб він не засипав або не засвітився. Дивіться нашу статтю про керування параметрами живлення, якщо вам потрібна допомога.
Далі натисніть "Вибрати користувачів".
Будь-які облікові записи групи адміністраторів вже мають доступ. Якщо вам потрібно надати доступ до віддаленого робочого столу іншим користувачам, просто натисніть кнопку "Додати" і введіть імена користувачів.
Натисніть кнопку "Перевірити імена", щоб перевірити правильність вводу імені користувача, а потім натисніть кнопку ОК. Натисніть кнопку OK у вікні властивостей системи.
Захист віддаленого робочого столу
Наразі ваш комп'ютер може бути підключений через віддалений робочий стіл (лише у вашій локальній мережі, якщо ви знаходитесь за маршрутизатором), але є ще кілька налаштувань, які потрібно налаштувати для досягнення максимальної безпеки.
По-перше, звернемося до очевидного. Всі користувачі, яким ви надали доступ до віддаленого робочого столу, повинні мати міцні паролі. Існує багато ботів, які постійно переглядають Інтернет для уразливих ПК під управлінням віддаленого робочого столу, тому не варто недооцінювати важливість надійного пароля. Використовуйте більше восьми символів (рекомендується 12+) з цифрами, малими та великими літерами та спеціальними символами.
Перейдіть до меню "Пуск" або відкрийте запрошення запуску (клавіша Windows + R) і введіть "secpol.msc", щоб відкрити меню "Локальна політика безпеки".
Після цього розгорніть "Локальні правила" та натисніть "Призначення прав користувачів".
Двічі клацніть правою кнопкою миші на полі "Дозволити вхід через служби віддалених робочих столів".
Наші рекомендації - видалити обидві групи, які вже вказані в цьому вікні, - "Адміністратори" та "Користувачі віддаленого робочого столу". Після цього натисніть "Додати користувача або групу" та вручну додайте користувачів, яким хочете надати доступ до віддаленого робочого столу. Це не є важливим кроком, але це дає вам більшу владу над обліковими записами для використання віддаленого робочого столу. Якщо в майбутньому ви зробите новий обліковий запис адміністратора з певних причин і забудете ввести надійний пароль на нього, ви відкриваєте свій комп'ютер для хакерів у всьому світі, якщо ви ніколи не намагалися видалити групу "Адміністратори" з цього екрана..
Закрийте вікно "Локальна політика безпеки" та відкрийте "Редактор локальної групової політики", ввівши "gpedit.msc" або у рядку "Запуск", або в меню "Пуск".
Коли відкриється редактор локальної групової політики, розгорніть розділ Політика комп'ютера> Адміністративні шаблони> Компоненти Windows> Служби віддалених робочих столів> Хост сеансу віддаленого робочого стола, а потім натисніть кнопку Безпека.
Двічі клацніть будь-які параметри в цьому меню, щоб змінити їх значення. Ми рекомендуємо змінювати:
Встановіть рівень шифрування підключення клієнта - Встановіть для цього високий рівень, щоб сеанси віддаленого робочого стола були захищені 128-бітним шифруванням.
Потрібна безпечна комунікація RPC - Встановіть значення Увімкнено.
Вимагати використання спеціального шару безпеки для віддалених (RDP) з'єднань - установіть це у SSL (TLS 1.0).
Потрібна аутентифікація користувача для віддалених з'єднань за допомогою автентифікації на рівні мережі - Встановіть значення Увімкнено.
Після внесення цих змін можна закрити редактор локальної групової політики. Остання рекомендація щодо безпеки - це змінити порт за промовчанням, який слухає віддалений робочий стіл. Це необов'язковий крок і вважається безпекою через практику незрозумілості, але факт полягає в тому, що зміна номера порту за замовчуванням значно зменшує кількість шкідливих спроб підключення, які отримає ваш комп'ютер. Для налаштування пароля та безпеки необхідно, щоб віддалений робочий стіл був невразливим незалежно від того, який порт він слухає, але ми можемо також зменшити кількість спроб підключення, якщо зможемо.
Безпека через невизначеність: зміна портів RDP за замовчуванням
За промовчанням віддалений робочий стіл прослуховує порт 3389. Виберіть п'ятизначний номер, менший за 65535, який потрібно використовувати для вашого власного номера порту віддаленого робочого стола. Маючи на увазі це число, відкрийте редактор реєстру, ввівши "regedit" у рядок запуску або у меню "Пуск".
Коли відкриється редактор реєстру, розгорніть HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Керування> сервер терміналів> WinStations> RDP-Tcp>, а потім двічі клацніть на “PortNumber” у вікні праворуч.
Відкривши ключ реєстру PortNumber, виберіть "Decimal" у правій частині вікна, а потім введіть п'ятизначний номер у розділі "Value value" (Дані про вартість) ліворуч.
Натисніть кнопку OK, а потім закрийте редактор реєстру.
Оскільки ми змінили порт за умовчанням, який використовує віддалене робоче місце, нам потрібно налаштувати брандмауер Windows, щоб він приймав вхідні з'єднання на цьому порту. Перейдіть на стартовий екран, знайдіть "Брандмауер Windows" і натисніть на нього.
Коли відкриється брандмауер Windows, натисніть кнопку "Додаткові параметри" в лівій частині вікна. Потім клацніть правою кнопкою миші на "Правила входу" і виберіть "Нове правило".
Відкриється вікно «Новий майстер вхідного правила», виберіть «Порт» і натисніть кнопку «Далі». На наступному екрані переконайтеся, що вибрано TCP, а потім введіть номер порту, який ви вибрали раніше, а потім натисніть кнопку Далі. Натисніть наступні два рази, тому що значення за замовчуванням на наступних сторінках пари будуть добре. На останній сторінці виберіть назву для цього нового правила, наприклад, "Порт користувача RDP", а потім натисніть "Завершити".
Останні кроки
Тепер ваш комп'ютер має бути доступним у вашій локальній мережі, просто вкажіть або IP-адресу машини, або ім'я, за яким слід двокрапка і номер порту в обох випадках, наприклад:
Щоб отримати доступ до комп'ютера поза мережею, вам, швидше за все, потрібно перенаправити порт на маршрутизаторі. Після цього ваш комп'ютер має бути віддалено доступним з будь-якого пристрою, який має клієнта віддаленого робочого стола.
Якщо вам цікаво, як можна відстежувати, хто входить у ваш комп'ютер (і звідки), ви можете відкрити переглядач подій, щоб переглянути.
Після відкриття переглядача подій розгорніть розділ Програми та служби Журнали> Microsoft> Windows> TerminalServices-LocalSessionManger, а потім клацніть Операційний.
Натисніть будь-яку подію в правій області, щоб переглянути інформацію про вхід.