Jak povolit a zabezpečit službu Vzdálená plocha v systému Windows

Obsah:

Video: Jak povolit a zabezpečit službu Vzdálená plocha v systému Windows

Video: Jak povolit a zabezpečit službu Vzdálená plocha v systému Windows
Video: What is WPS in WiFi 2024, Březen
Jak povolit a zabezpečit službu Vzdálená plocha v systému Windows
Jak povolit a zabezpečit službu Vzdálená plocha v systému Windows
Anonim
Přestože existuje mnoho alternativ, vzdálená plocha společnosti Microsoft je dokonale životaschopnou volbou pro přístup k jiným počítačům, ale musí být řádně zajištěna. Po provedení doporučených bezpečnostních opatření je služba Vzdálená plocha výkonným nástrojem pro uživatele geeků a umožňuje vyhnout se instalaci aplikací třetích stran pro tento typ funkcí.
Přestože existuje mnoho alternativ, vzdálená plocha společnosti Microsoft je dokonale životaschopnou volbou pro přístup k jiným počítačům, ale musí být řádně zajištěna. Po provedení doporučených bezpečnostních opatření je služba Vzdálená plocha výkonným nástrojem pro uživatele geeků a umožňuje vyhnout se instalaci aplikací třetích stran pro tento typ funkcí.

Tato příručka a screenshoty, které je doprovázejí, jsou určeny pro Windows 8.1 nebo Windows 10. Měli byste však mít možnost sledovat tuto příručku, pokud používáte jedno z těchto edic Windows:

  • Windows 10 Professional
  • Windows 8.1 Pro
  • Windows 8.1 Enterprise
  • Windows 8 Enterprise
  • Windows 8 Pro
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
  • Windows Vista Business
  • Windows Vista Ultimate
  • Windows Vista Enterprise
  • Windows XP Professional

Povolení vzdálené plochy

Nejprve musíme povolit službu Vzdálená plocha a vybrat, které uživatelé mají vzdálený přístup k počítači. Klepnutím na klávesu Windows + R vyvoláte příkaz Spustit a zadejte příkaz "sysdm.cpl".

Dalším způsobem, jak se dostat do stejné nabídky, je zadat v nabídce Start "Tento počítač", klikněte pravým tlačítkem "Tento počítač" a přejděte na příkaz Vlastnosti:
Dalším způsobem, jak se dostat do stejné nabídky, je zadat v nabídce Start "Tento počítač", klikněte pravým tlačítkem "Tento počítač" a přejděte na příkaz Vlastnosti:
V každém případě se zobrazí toto menu, kde musíte kliknout na kartu Vzdálená:
V každém případě se zobrazí toto menu, kde musíte kliknout na kartu Vzdálená:
Zvolte možnost Povolit vzdálené připojení k tomuto počítači a možnost pod ním: Povolit připojení pouze z počítačů se vzdáleným pracovním stolem s ověřením na úrovni sítě.
Zvolte možnost Povolit vzdálené připojení k tomuto počítači a možnost pod ním: Povolit připojení pouze z počítačů se vzdáleným pracovním stolem s ověřením na úrovni sítě.

Není nutné vyžadovat ověřování úrovní na úrovni sítě, ale díky tomu je váš počítač bezpečnější tím, že vás chrání před útoky člověka v prostředí Middle. Systémy, které jsou staré jako Windows XP, se mohou připojit k hostitelům s ověřením na úrovni sítě, takže není důvod používat.

Pokud povolíte Vzdálená plocha, můžete dostat varování o možnostech napájení:

Pokud ano, ujistěte se, že klepnete na odkaz Možnosti napájení a nakonfigurujete počítač tak, aby nezasílal nebo nepracoval. Pokud potřebujete pomoc, přečtěte si článek o správě nastavení napájení.
Pokud ano, ujistěte se, že klepnete na odkaz Možnosti napájení a nakonfigurujete počítač tak, aby nezasílal nebo nepracoval. Pokud potřebujete pomoc, přečtěte si článek o správě nastavení napájení.

Poté klikněte na "Vybrat uživatele".

Všechny účty ve skupině Administrátoři již budou mít přístup. Pokud potřebujete povolit přístup ke vzdálené ploše ostatním uživatelům, stačí kliknout na tlačítko "Přidat" a zadat uživatelská jména.
Všechny účty ve skupině Administrátoři již budou mít přístup. Pokud potřebujete povolit přístup ke vzdálené ploše ostatním uživatelům, stačí kliknout na tlačítko "Přidat" a zadat uživatelská jména.
Klepnutím na tlačítko "Zkontrolovat jména" ověřte správné zadání uživatelského jména a potom klepněte na tlačítko OK. Klepněte na tlačítko OK také v okně Vlastnosti systému.
Klepnutím na tlačítko "Zkontrolovat jména" ověřte správné zadání uživatelského jména a potom klepněte na tlačítko OK. Klepněte na tlačítko OK také v okně Vlastnosti systému.

Zabezpečení vzdálené plochy

Váš počítač je nyní možné připojit prostřednictvím vzdálené plochy (pouze v místní síti, pokud jste za směrovačem), ale existují ještě další nastavení, která musíme konfigurovat, abychom dosáhli maximální bezpečnosti.

Nejprve se zamyslíme nad očividným. Všichni uživatelé, kterým jste poskytli přístup ke vzdálené ploše, musí mít silná hesla. Existuje mnoho robotů, kteří neustále skenují internet pro zranitelné počítače se vzdáleným pracovním stolem, takže nepodceňujte význam silného hesla. Použijte více než osm znaků (doporučuje se 12+) s čísly, malými a velkými písmeny a speciálními znaky.

Přejděte do nabídky Start nebo otevřete příkaz Spustit (Windows Key + R) a zadejte "secpol.msc" a otevřete nabídku Místní zásady zabezpečení.

Jakmile tam najdete, rozbalte "Místní zásady" a klikněte na "Přiřazení uživatelských práv".
Jakmile tam najdete, rozbalte "Místní zásady" a klikněte na "Přiřazení uživatelských práv".
Poklepejte na zásadu "Povolit přihlášení pomocí služeb vzdálené plochy", které jsou uvedeny vpravo.
Poklepejte na zásadu "Povolit přihlášení pomocí služeb vzdálené plochy", které jsou uvedeny vpravo.
Naším doporučením je odstranit obě skupiny již uvedené v tomto okně, administrátoři a uživatelé vzdálené plochy. Poté klikněte na tlačítko "Přidat uživatele nebo skupinu" a ručně přidejte uživatele, kterým chcete povolit přístup ke vzdálené ploše. Nejedná se o zásadní krok, ale dává vám větší sílu, na které účty lze použít Vzdálená plocha. Pokud v budoucnu vytvoříte nový účet správce z nějakého důvodu a zapomenete na něj zadat silné heslo, otevřete počítač hackerům po celém světě, pokud jste se obtěžovali odstranit skupinu "Administrátoři" z této obrazovky.
Naším doporučením je odstranit obě skupiny již uvedené v tomto okně, administrátoři a uživatelé vzdálené plochy. Poté klikněte na tlačítko "Přidat uživatele nebo skupinu" a ručně přidejte uživatele, kterým chcete povolit přístup ke vzdálené ploše. Nejedná se o zásadní krok, ale dává vám větší sílu, na které účty lze použít Vzdálená plocha. Pokud v budoucnu vytvoříte nový účet správce z nějakého důvodu a zapomenete na něj zadat silné heslo, otevřete počítač hackerům po celém světě, pokud jste se obtěžovali odstranit skupinu "Administrátoři" z této obrazovky.

Zavřete okno Místní zásady zabezpečení a otevřete Editor místní politiky skupiny zadáním příkazu "gpedit.msc" do příkazu Spustit nebo do nabídky Start.

Po spuštění Editoru místní skupiny zásad rozbalte položku Pravidla počítače> Šablony pro správu> Komponenty systému Windows> Služby vzdálené plochy> Host relace vzdálené plochy a potom klepněte na položku Zabezpečení.
Po spuštění Editoru místní skupiny zásad rozbalte položku Pravidla počítače> Šablony pro správu> Komponenty systému Windows> Služby vzdálené plochy> Host relace vzdálené plochy a potom klepněte na položku Zabezpečení.
Poklepáním na libovolná nastavení v této nabídce můžete změnit jejich hodnoty. Ty, které doporučujeme změnit, jsou:
Poklepáním na libovolná nastavení v této nabídce můžete změnit jejich hodnoty. Ty, které doporučujeme změnit, jsou:

Nastavení úrovně šifrování klientského připojení - Nastavte tuto úroveň na vysokou úroveň, aby byla relace vzdálené plochy zabezpečena 128bitovým šifrováním.

Vyžadovat zabezpečenou komunikaci RPC - Nastavte tuto volbu na Povoleno.
Vyžadovat zabezpečenou komunikaci RPC - Nastavte tuto volbu na Povoleno.

Vyžadovat použití určité vrstvy zabezpečení pro vzdálené (RDP) připojení - Nastavte SSL (TLS 1.0).

Požadovat ověřování uživatelů pro vzdálená připojení pomocí funkce Ověřování na úrovni sítě - Nastavte toto nastavení na hodnotu Povoleno.

Po provedení těchto změn můžete zavřít Editor lokálních zásad skupiny. Posledním doporučením zabezpečení, které máme, je změnit výchozí port, na který je vzdálená plocha naslouchána. Jedná se o volitelný krok a je považován za zabezpečení prostřednictvím praxe obspustnosti, ale faktem je, že změna výchozího čísla portu výrazně snižuje množství pokusů o škodlivé připojení, které počítač obdrží. Nastavení hesla a zabezpečení musí zajistit, aby byla vzdálená plocha nezranitelná, bez ohledu na to, na jakém portu se poslouchá. Mohli bychom ovšem snížit množství pokusů o připojení, pokud to bude možné.

Zabezpečení skrze zabezpečení: Změna výchozího portu RDP

Ve výchozím nastavení služba Vzdálená plocha naslouchá portu 3389. Vyberte pětciferné číslo menší než 65535, které chcete použít pro vlastní číslo portu vzdálené plochy. S tímto číslem pamatujte, otevřete Editor registru zadáním příkazu "regedit" do příkazu Spustit nebo do nabídky Start.

Po otevření Editoru registru rozbalte položku HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Ovládací prvek> Terminálový server> WinStations> RDP-Tcp> a poklepejte na "PortNumber" v okně vpravo.
Po otevření Editoru registru rozbalte položku HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Ovládací prvek> Terminálový server> WinStations> RDP-Tcp> a poklepejte na "PortNumber" v okně vpravo.
Při otevření klíče registru PortNumber vyberte v pravé části okna položku "Decimal" a zadejte vpravo od vašeho pětimístného čísla "Údaje o hodnotách".
Při otevření klíče registru PortNumber vyberte v pravé části okna položku "Decimal" a zadejte vpravo od vašeho pětimístného čísla "Údaje o hodnotách".
Klepněte na tlačítko OK a potom zavřete Editor registru.
Klepněte na tlačítko OK a potom zavřete Editor registru.

Vzhledem k tomu, že jsme změnili výchozí port, který používá služba Vzdálená plocha, musíme nakonfigurovat bránu firewall systému Windows a přijmout příchozí připojení na daném portu. Přejděte na obrazovku Start, vyhledejte položku "Brána firewall systému Windows" a klikněte na ni.

Po otevření brány firewall systému Windows klikněte na "Rozšířené nastavení" na levé straně okna. Poté klikněte pravým tlačítkem myši na "Příchozí pravidla" a zvolte "Nové pravidlo".
Po otevření brány firewall systému Windows klikněte na "Rozšířené nastavení" na levé straně okna. Poté klikněte pravým tlačítkem myši na "Příchozí pravidla" a zvolte "Nové pravidlo".
Zobrazí se okno "Průvodce novým příchozím pravidlem", vyberte možnost Port a klikněte na další. Na další obrazovce se ujistěte, že je vybrána volba TCP a potom zadejte číslo portu, které jste si vybrali dříve, a potom klepněte na tlačítko Další. Další dvakrát klikněte, protože výchozí hodnoty na dalších pár stránkách budou v pořádku. Na poslední stránce vyberte název tohoto nového pravidla, například "Vlastní port RDP", a pak klepněte na tlačítko Dokončit.
Zobrazí se okno "Průvodce novým příchozím pravidlem", vyberte možnost Port a klikněte na další. Na další obrazovce se ujistěte, že je vybrána volba TCP a potom zadejte číslo portu, které jste si vybrali dříve, a potom klepněte na tlačítko Další. Další dvakrát klikněte, protože výchozí hodnoty na dalších pár stránkách budou v pořádku. Na poslední stránce vyberte název tohoto nového pravidla, například "Vlastní port RDP", a pak klepněte na tlačítko Dokončit.

Poslední kroky

Váš počítač by měl být nyní dostupný v místní síti, stačí zadat buď adresu IP stroje nebo jeho název, za kterým následuje dvojtečka a číslo portu v obou případech:

Chcete-li získat přístup k počítači mimo síť, budete pravděpodobně muset přesměrovat port na směrovači. Poté by měl být počítač vzdáleně dostupný z libovolného zařízení, které má klient vzdálené plochy.
Chcete-li získat přístup k počítači mimo síť, budete pravděpodobně muset přesměrovat port na směrovači. Poté by měl být počítač vzdáleně dostupný z libovolného zařízení, které má klient vzdálené plochy.

Pokud vás zajímá, jak můžete sledovat, kdo se přihlašuje k počítači (a odkud), můžete otevřít Prohlížeč událostí, který chcete vidět.

Doporučuje: