Как включить и защитить удаленный рабочий стол в Windows
Несмотря на то, что существует множество альтернатив, удаленный рабочий стол Microsoft является вполне приемлемым вариантом для доступа к другим компьютерам, но он должен быть надлежащим образом защищен. После того, как рекомендуемые меры безопасности будут приняты, Remote Desktop станет мощным инструментом для вундеркиндов и позволит вам избежать установки сторонних приложений для этого типа функций..
Это руководство и сопровождающие его снимки экрана сделаны для Windows 8.1 или Windows 10. Однако вы должны иметь возможность следовать этому руководству, если используете один из следующих выпусков Windows:
- Windows 10 Professional
- Окна 8.1 Pro
- Окна 8.1 Enterprise
- Windows 8 Enterprise
- Windows 8 Pro
- Windows 7 Профессиональная
- Windows 7 Enterprise
- Windows 7 Ultimate
- Windows Vista Business
- Windows Vista Ultimate
- Windows Vista Enterprise
- Windows XP Professional
Включение удаленного рабочего стола
Во-первых, нам нужно включить удаленный рабочий стол и выбрать, какие пользователи имеют удаленный доступ к компьютеру. Нажмите клавишу Windows + R, чтобы открыть окно «Выполнить», и введите «sysdm.cpl».
Другой способ попасть в это же меню - ввести «Этот компьютер» в меню «Пуск», щелкнуть правой кнопкой мыши «Этот компьютер» и перейти в «Свойства»:
В любом случае откроется это меню, где вам нужно нажать на вкладку Remote:
Выберите «Разрешить удаленные подключения к этому компьютеру» и параметр под ним «Разрешить подключения только с компьютеров, на которых запущен удаленный рабочий стол с проверкой подлинности на уровне сети».
Нет необходимости требовать аутентификацию на уровне сети, но это делает ваш компьютер более безопасным, защищая вас от атак типа «человек посередине». Системы, даже такие старые, как Windows XP, могут подключаться к узлам с проверкой подлинности на уровне сети, поэтому нет причин не использовать ее.
При включении удаленного рабочего стола вы можете получить предупреждение о параметрах питания:
Если это так, убедитесь, что вы щелкнули ссылку на «Электропитание» и настроили свой компьютер таким образом, чтобы он не засыпал и не спал. Смотрите нашу статью об управлении настройками питания, если вам нужна помощь.
Далее нажмите «Выбрать пользователей».
Любые учетные записи в группе администраторов уже будут иметь доступ. Если вам нужно предоставить доступ к удаленному рабочему столу другим пользователям, просто нажмите «Добавить» и введите имена пользователей..
Нажмите «Проверить имена», чтобы убедиться, что имя пользователя введено правильно, а затем нажмите OK. Нажмите OK в окне «Свойства системы»..
Защита удаленного рабочего стола
В настоящее время ваш компьютер может быть подключен через удаленный рабочий стол (только в локальной сети, если вы находитесь за маршрутизатором), но для достижения максимальной безопасности необходимо настроить еще несколько параметров..
Во-первых, давайте обратимся к очевидному. Все пользователи, которым вы предоставили доступ к удаленному рабочему столу, должны иметь надежные пароли. Есть много ботов, постоянно сканирующих Интернет на наличие уязвимых компьютеров с удаленным рабочим столом, поэтому не стоит недооценивать важность надежного пароля. Используйте более восьми символов (рекомендуется 12+) с цифрами, строчными и прописными буквами и специальными символами.
Перейдите в меню «Пуск» или откройте окно «Выполнить» (Windows Key + R) и введите «secpol.msc», чтобы открыть меню локальной политики безопасности..
Оказавшись там, разверните «Локальные политики» и нажмите «Назначение прав пользователя».
Дважды щелкните политику «Разрешить вход через службы удаленных рабочих столов», указанную справа..
Мы рекомендуем удалить обе группы, уже перечисленные в этом окне, «Администраторы» и «Пользователи удаленного рабочего стола». После этого нажмите «Добавить пользователя или группу» и вручную добавьте пользователей, которым вы хотите предоставить доступ к удаленному рабочему столу. Это не существенный шаг, но он дает вам больше власти над тем, какие учетные записи могут использовать удаленный рабочий стол. Если в будущем вы по какой-либо причине создадите новую учетную запись администратора и забудете ввести надёжный пароль, вы открываете свой компьютер для хакеров по всему миру, если вы никогда не удосужились удалить группу «Администраторы» с этого экрана..
Закройте окно локальной политики безопасности и откройте редактор локальной групповой политики, введя «gpedit.msc» либо в строке «Выполнить», либо в меню «Пуск»..
Когда откроется редактор локальной групповой политики, разверните узел Политика компьютера> Административные шаблоны> Компоненты Windows> Службы удаленных рабочих столов> Узел сеансов удаленных рабочих столов, а затем нажмите Безопасность.
Дважды щелкните по любым настройкам в этом меню, чтобы изменить их значения. Те, которые мы рекомендуем изменить:
Установить уровень шифрования клиентских подключений - установите для этого параметра значение Высокий уровень, чтобы сеансы удаленного рабочего стола были защищены 128-разрядным шифрованием..
Требовать защищенную связь RPC - установите для этого значение Включено.
Требовать использования определенного уровня безопасности для удаленных (RDP) подключений - установите для этого параметра SSL (TLS 1.0).
Требовать аутентификацию пользователя для удаленных подключений с использованием аутентификации на уровне сети - установите для этого параметра значение Включено.
После внесения этих изменений вы можете закрыть редактор локальной групповой политики. Последняя рекомендация по безопасности - изменить порт по умолчанию, который прослушивает удаленный рабочий стол. Это необязательный шаг, который считается безопасным с точки зрения безопасности, но факт заключается в том, что изменение номера порта по умолчанию значительно уменьшает количество попыток злонамеренного подключения, которые получит ваш компьютер. Ваш пароль и параметры безопасности должны сделать удаленный рабочий стол неуязвимым независимо от того, на каком порту он прослушивается, но мы можем также уменьшить количество попыток подключения, если сможем.
Безопасность через Obscurity: изменение порта RDP по умолчанию
По умолчанию удаленный рабочий стол прослушивает порт 3389. Выберите пятизначное число, меньшее 65535, которое вы хотите использовать в качестве пользовательского номера порта удаленного рабочего стола. Помня это число, откройте редактор реестра, набрав «regedit» в строке «Выполнить» или в меню «Пуск»..
Когда откроется редактор реестра, разверните HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Control> Terminal Server> WinStations> RDP-Tcp>, затем дважды щелкните «PortNumber» в окне справа.
Открыв ключ реестра PortNumber, выберите «Десятичное число» в правой части окна, а затем введите пятизначное число в поле «Значение» слева..
Нажмите кнопку ОК, а затем закройте редактор реестра..
Поскольку мы изменили порт по умолчанию, который использует удаленный рабочий стол, нам нужно настроить брандмауэр Windows на прием входящих подключений через этот порт. Перейдите на начальный экран, найдите «Брандмауэр Windows» и нажмите на него.
Когда откроется брандмауэр Windows, нажмите «Расширенные настройки» в левой части окна. Затем щелкните правой кнопкой мыши «Входящие правила» и выберите «Новое правило».
Появится «Мастер создания нового правила входа», выберите «Порт» и нажмите «Далее». На следующем экране убедитесь, что выбран протокол TCP, затем введите номер порта, который вы выбрали ранее, а затем нажмите «Далее». Нажмите следующие два раза еще раз, потому что значения по умолчанию на следующих нескольких страницах будут в порядке. На последней странице выберите имя для этого нового правила, например «Пользовательский порт RDP», и нажмите «Готово»..
Последние шаги
Теперь ваш компьютер должен быть доступен в вашей локальной сети, просто укажите либо IP-адрес компьютера, либо его имя, а затем двоеточие и номер порта в обоих случаях, например так:
Чтобы получить доступ к вашему компьютеру за пределами вашей сети, вам, скорее всего, потребуется переадресовать порт на маршрутизаторе. После этого ваш компьютер должен быть доступен удаленно с любого устройства, на котором установлен клиент удаленного рабочего стола..
Если вам интересно, как вы можете отслеживать, кто входит в ваш компьютер (и откуда), вы можете открыть Event Viewer, чтобы увидеть.
Открыв средство просмотра событий, разверните Журналы приложений и служб> Microsoft> Windows> TerminalServices-LocalSessionManger, а затем нажмите «Операционный»..
Нажмите на любое из событий в правой панели, чтобы увидеть информацию для входа.