Как включить и защитить удаленный рабочий стол в Windows

2024 Автор: Geoffrey Carr | [email protected]. Последнее изменение: 2023-12-17 10:57

Несмотря на то, что существует множество альтернатив, удаленный рабочий стол Microsoft является весьма жизнеспособным вариантом для доступа к другим компьютерам, но он должен быть надежно защищен. После того, как будут приняты рекомендуемые меры безопасности, Remote Desktop - это мощный инструмент для разработчиков компьютерных технологий и позволяет избежать установки сторонних приложений для этого типа функций.

Это руководство и скриншоты, которые его сопровождают, сделаны для Windows 8.1 или Windows 10. Однако вы должны следовать этому руководству, если используете один из этих выпусков Windows:

Windows 10 Professional
Windows 8.1 Pro
Windows 8.1 Enterprise
Windows 8 Enterprise
Windows 8 Pro
Windows 7 Professional
Windows 7 Enterprise
Windows 7 Ultimate
Windows Vista Business
Windows Vista Ultimate
Windows Vista Enterprise
Windows XP Professional

Включение удаленного рабочего стола

Во-первых, нам нужно включить Remote Desktop и выбрать, какие пользователи имеют удаленный доступ к компьютеру. Нажмите клавишу Windows + R, чтобы открыть приглашение «Запуск» и введите «sysdm.cpl».

Другой способ добраться до того же меню - набрать «Этот ПК» в меню «Пуск», щелкнуть правой кнопкой мыши «Этот ПК» и перейти в «Свойства»:

В любом случае вы откроете это меню, где вам нужно щелкнуть на вкладке Remote:

Выберите «Разрешить удаленные подключения к этому компьютеру» и параметр ниже «Разрешить подключения только с компьютеров, работающих на удаленном рабочем столе с аутентификацией на сетевом уровне».

Нет необходимости требовать аутентификацию на сетевом уровне, но при этом ваш компьютер будет более безопасным, защищая вас от Man in Middle at. Системы, даже такие старые, как Windows XP, могут подключаться к узлам с аутентификацией уровня сети, поэтому нет причин не использовать ее.

При включении удаленного рабочего стола вы можете получить предупреждение о своих параметрах питания:

Если это так, убедитесь, что вы нажимаете ссылку на Power Options и настраиваете свой компьютер, чтобы он не засыпал или не спящий. См. Нашу статью об управлении параметрами питания, если вам нужна помощь.

Затем нажмите «Выбрать пользователей».

Любые учетные записи в группе «Администраторы» уже имеют доступ. Если вам необходимо предоставить доступ к удаленному рабочему столу другим пользователям, просто нажмите «Добавить» и введите имена пользователей.

Нажмите «Проверить имена», чтобы проверить правильность ввода имени пользователя и нажмите «ОК». Нажмите ОК в окне «Свойства системы».

Защита удаленного рабочего стола

В настоящее время ваш компьютер подключается через удаленный рабочий стол (только в локальной сети, если вы находитесь за маршрутизатором), но для обеспечения максимальной безопасности необходимо настроить еще несколько параметров.

Во-первых, давайте обратимся к очевидному. Все пользователи, которым вы дали доступ к удаленному рабочему столу, должны иметь надежные пароли. Существует много ботов, которые постоянно просматривают Интернет для уязвимых компьютеров под управлением удаленного рабочего стола, поэтому не стоит недооценивать важность надежного пароля. Используйте более восьми символов (рекомендуется 12+) с цифрами, строчными и прописными буквами и специальными символами.

Перейдите в меню «Пуск» или откройте приглашение «Запуск» (Windows Key + R) и введите «secpol.msc», чтобы открыть меню «Локальная политика безопасности».

После этого разверните «Локальные политики» и нажмите «Назначение прав пользователя».

Дважды щелкните по ссылке «Разрешить вход в систему через службы удаленных рабочих столов», указанную справа.

Мы рекомендуем удалить обе группы, уже перечисленные в этом окне, администраторы и пользователи удаленных рабочих столов. После этого нажмите «Добавить пользователя или группу» и вручную добавьте пользователей, которым вы хотите предоставить доступ к удаленному рабочему столу. Это не важный шаг, но он дает вам больше возможностей для использования учетными записями Remote Desktop. Если в будущем вы создадите новую учетную запись администратора по какой-то причине и забыли указать на нее надежный пароль, вы откроете свой компьютер для хакеров по всему миру, если вы никогда не беспокоились об удалении группы «Администраторы» с этого экрана,

Закройте окно «Локальная политика безопасности» и откройте редактор локальной групповой политики, набрав «gpedit.msc» в приглашении «Запуск» или в меню «Пуск».

Когда откроется редактор локальной групповой политики, откройте «Компьютерная политика»> «Административные шаблоны»> «Компоненты Windows»> «Службы удаленных рабочих столов»> «Узел сеансов удаленных рабочих столов» и нажмите «Безопасность».

Дважды щелкните по любым настройкам в этом меню, чтобы изменить их значения. Мы рекомендуем изменить:

Установите уровень шифрования клиентского соединения. Установите этот параметр на высокий уровень, чтобы сеансы удаленного рабочего стола были защищены 128-битным шифрованием.

Требовать безопасную связь RPC - установите для этого параметра значение Включено.

Требуется использование определенного уровня безопасности для удаленных (RDP) соединений. Установите это значение в SSL (TLS 1.0).

Требовать аутентификацию пользователей для удаленных подключений с помощью проверки подлинности на уровне сети. Установите для этого значение Включено.

После того, как эти изменения были сделаны, вы можете закрыть редактор локальных групповых политик. Последняя рекомендация по безопасности заключается в изменении порта по умолчанию, который прослушивает Remote Desktop. Это необязательный шаг и считается безопасным с помощью практики безвестности, но факт заключается в том, что изменение номера порта по умолчанию значительно уменьшает количество попыток вредоносного соединения, которые ваш компьютер получит. В вашем пароле и настройках безопасности необходимо, чтобы удаленный рабочий стол неуязвим независимо от того, какой порт он прослушивает, но мы могли бы также уменьшить количество попыток подключения, если это возможно.

Безопасность через Obscurity: изменение порта RDP по умолчанию

По умолчанию Remote Desktop прослушивает порт 3389. Выберите пятизначное число менее 65535, которое вы хотите использовать для своего пользовательского номера порта удаленного рабочего стола. С учетом этого числа откройте редактор реестра, набрав «regedit» в приглашении «Запуск» или в меню «Пуск».

Когда откроется редактор реестра, разверните HKEY LOCAL MACHINE> SYSTEM> CurrentControlSet> Control> Terminal Server> WinStations> RDP-Tcp>, затем дважды щелкните по «PortNumber» в окне справа.

Открыв ключ реестра PortNumber, выберите «Десятичный» в правой части окна, а затем введите пятизначный номер в поле «Данные значения» слева.

Нажмите «ОК», а затем закройте редактор реестра.

Поскольку мы изменили порт по умолчанию, который использует Remote Desktop, нам нужно настроить брандмауэр Windows для приема входящих соединений на этом порту. Перейдите на экран «Пуск», найдите «Брандмауэр Windows» и нажмите на него.

Когда откроется брандмауэр Windows, нажмите «Дополнительные настройки» в левой части окна. Затем щелкните правой кнопкой мыши «Входящие правила» и выберите «Новое правило».

Появится «New Inbound Rule Wizard», выберите «Порт» и нажмите «Далее». На следующем экране убедитесь, что выбран TCP, а затем введите номер порта, который вы выбрали ранее, а затем нажмите кнопку «Далее». Нажмите еще два раза, потому что значения по умолчанию на следующих страницах пары будут в порядке. На последней странице выберите имя для этого нового правила, например «Пользовательский порт RDP», а затем нажмите «Готово».

Последние шаги

Теперь ваш компьютер должен быть доступен в вашей локальной сети, просто укажите либо IP-адрес устройства, либо его имя, за которым следует двоеточие и номер порта в обоих случаях: