Kaip įjungti ir saugoti nuotolinį darbalaukį Windows sistemoje
Nors yra daug alternatyvų, „Microsoft“ nuotolinis darbalaukis yra visiškai perspektyvi galimybė pasiekti kitus kompiuterius, tačiau ji turi būti tinkamai apsaugota. Kai rekomenduojamos saugumo priemonės yra įdiegtos, nuotolinis darbalaukis yra galingas įrankis, skirtas geeks naudoti, ir leidžia išvengti tokio tipo funkcijų diegimo trečiosioms šalims..
Šis vadovas ir su juo susiję ekrano kopijos yra pagaminti „Windows 8.1“ arba „Windows 10“. Tačiau turėtumėte turėti galimybę sekti šį vadovą, jei naudojate vieną iš šių „Windows“ leidimų:
- „Windows 10 Professional“
- „Windows 8.1 Pro“
- „Windows 8.1 Enterprise“
- „Windows 8 Enterprise“
- „Windows 8 Pro“
- „Windows 7 Professional“
- „Windows 7 Enterprise“
- „Windows 7 Ultimate“
- „Windows Vista Business“
- „Windows Vista Ultimate“
- „Windows Vista Enterprise“
- „Windows XP Professional“
Nuotolinio darbalaukio įjungimas
Pirma, turime įjungti nuotolinį darbalaukį ir pasirinkti, kurie vartotojai turi nuotolinę prieigą prie kompiuterio. Spustelėkite „Windows“ klavišą + R, kad būtų rodomas „Run“ veiksmas, ir įveskite „sysdm.cpl“.
Kitas būdas patekti į tą patį meniu yra „Start PC“ meniu „This PC“, dešiniuoju pelės mygtuku spustelėkite „This PC“ ir eikite į Properties:
Bet kuriuo atveju pasirodys šis meniu, kur jums reikia spustelėti skirtuką Nuotolinis valdymas:
Pasirinkite „Leisti nuotolinius ryšius su šiuo kompiuteriu“ ir žemiau esančią parinktį: „Leisti jungtis tik iš kompiuterių, kuriuose veikia nuotolinis darbalaukis su tinklo lygio autentifikavimu“.
Nereikia reikalauti tinklo lygio autentifikavimo, tačiau tai daro jūsų kompiuterį saugesnį, apsaugant jus nuo žmogaus vidurio atakose. Sistemos, kurios yra net tokios senos, kaip „Windows XP“, gali prisijungti prie kompiuterių su „Network Level Authentication“, todėl nėra pagrindo jo naudoti.
Įjungę nuotolinį darbalaukį galite gauti įspėjimą apie maitinimo parinktis:
Jei taip, įsitikinkite, kad spustelėjote nuorodą į „Power Options“ ir sukonfigūruokite kompiuterį, kad jis neužmigtų ar užmigdytų. Jei reikia pagalbos, žr. Straipsnį apie galios nustatymų valdymą.
Toliau spustelėkite „Pasirinkti naudotojus“.
Visos paskyros administratorių paskyros jau turės prieigą. Jei reikia suteikti nuotolinio darbalaukio prieigą kitiems vartotojams, tiesiog spustelėkite „Pridėti“ ir įveskite naudotojų vardus.
Spustelėkite „Tikrinti vardus“, kad patikrintumėte, ar teisingai įvedėte naudotojo vardą, tada spustelėkite Gerai. Sistemos ypatybių lange taip pat spustelėkite Gerai.
Nuotolinio darbalaukio apsauga
Šiuo metu jūsų kompiuteris gali būti prijungtas per nuotolinį darbalaukį (tik vietiniame tinkle, jei esate už maršrutizatoriaus), tačiau yra daugiau nustatymų, kuriuos reikia sukonfigūruoti norint pasiekti maksimalų saugumą.
Pirma, aptarkime akivaizdų. Visi naudotojai, kuriems suteikėte nuotolinio darbalaukio prieigą, turi turėti stiprius slaptažodžius. Yra daug robotų, kurie nuolat nuskaito internetą pažeidžiamiems kompiuteriams, kuriuose veikia nuotolinis darbalaukis, todėl nepakankamai įvertinkite stipraus slaptažodžio svarbą. Naudokite daugiau nei aštuonis simbolius (rekomenduojama 12+) su skaičiais, mažosiomis ir didžiosiomis raidėmis ir specialiomis raidėmis.
Eikite į meniu Pradėti arba atidarykite paleidimo eilutę („Windows“ raktas + R) ir įveskite „secpol.msc“, kad atidarytumėte vietos saugumo politikos meniu.
Išplėskite „Vietinė politika“ ir spustelėkite „Naudotojo teisių priskyrimas“.
Dukart spustelėkite dešinėje esančią politiką „Leisti prisijungti per nuotolinio darbalaukio paslaugas“.
Tai mūsų rekomendacija pašalinti abi šiame lange jau išvardytas grupes, administratoriai ir nuotolinio darbalaukio naudotojai. Po to spustelėkite „Pridėti vartotoją ar grupę“ ir rankiniu būdu pridėkite naudotojus, kuriems norite suteikti nuotolinio darbalaukio prieigą. Tai nėra esminis žingsnis, bet suteikia daugiau galios, kurią paskyrą galima naudoti nuotolinio darbalaukio naudojimui. Jei ateityje dėl kažkokios priežasties padarysite naują administratoriaus paskyrą ir pamiršote įdėti tvirtą slaptažodį, atveriate kompiuterį nuo įsilaužėlių visame pasaulyje, jei niekada nesuklupėte „Administratorių“ grupės pašalinimo iš šio ekrano.
Uždarykite vietinio saugumo politikos langą ir atidarykite vietinės grupės strategijos redaktorių, įvesdami „gpedit.msc“ į „Run“ arba „Start“ meniu.
Atsidarius Vietinės grupės strategijos redaktoriui, išplėskite Kompiuterio politika> Administravimo šablonai> „Windows“ komponentai> Nuotolinio darbalaukio paslaugos> Nuotolinio darbalaukio sesijos priegloba ir spustelėkite „Sauga“.
Dukart spustelėkite bet kuriuos šiame meniu nustatymus, kad pakeistumėte jų vertes. Rekomenduojame keisti:
Nustatyti kliento ryšio šifravimo lygį - nustatykite šį aukšto lygio lygį, kad nuotolinio darbalaukio sesijos būtų apsaugotos 128 bitų šifravimo būdu.
Reikalauti saugaus RPC ryšio - nustatykite šią funkciją įjungta.
Reikalauti, kad nuotolinio (RDP) ryšio atveju būtų naudojamas konkretus saugos sluoksnis - nustatykite jį SSL (TLS 1.0).
Reikalauti nuotolinių ryšių naudotojų autentifikavimo naudojant tinklo lygio autentifikavimą - nustatykite šią funkciją įjungta.
Atlikus šiuos pakeitimus, galite uždaryti vietinės grupės politikos redaktorių. Paskutinė saugumo rekomendacija yra pakeisti numatytąjį prievadą, kurį klausosi nuotolinis darbalaukis. Tai yra neprivalomas žingsnis ir yra laikomas saugumu per neapibrėžtumo praktiką, tačiau faktas yra tai, kad keičiant numatytąjį prievado numerį labai sumažėja kenkėjiško ryšio bandymų, kuriuos gaus jūsų kompiuteris, kiekis. Jūsų slaptažodžio ir saugos nustatymai turi padaryti nuotolinį darbalaukį nepažeidžiamą, nesvarbu, kokiame prievade jis klausosi, bet galime taip pat sumažinti ryšio bandymų kiekį, jei galime.
Saugumas per „Obscurity“: numatytojo KPP uosto keitimas
Numatyta, kad nuotolinis darbalaukis klauso 3389 prievado. Pasirinkite penkių skaitmenų skaičių, mažesnį nei 65535, kurį norėtumėte naudoti pasirinktiniam nuotolinio darbalaukio prievado numeriui. Turint tai omenyje, atidarykite registro rengyklę įvesdami „regedit“ į „Run“ arba „Start“ meniu.
Kai atsidaro registro rengyklė, išplėsti HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Control> Terminal Server> WinStations> RDP-Tcp> tada dukart spustelėkite „PortNumber“ dešinėje esančiame lange.
Atidarius „PortNumber“ registro raktą, dešiniajame lango kampe pasirinkite „Decimal“ ir kairėje įveskite penkių skaitmenų skaičių „Value data“..
Spustelėkite Gerai ir uždarykite registro rengyklę.
Kadangi pakeitėme numatytąjį nuotolinio darbalaukio prievadą, turėsime konfigūruoti „Windows“ užkardą, kad priimtume įeinančius ryšius šiame prievade. Eikite į „Start“ ekraną, ieškokite „Windows Firewall“ ir spustelėkite jį.
Kai atsidaro „Windows“ užkarda, kairėje lango pusėje spustelėkite „Išplėstiniai nustatymai“. Tada dešiniuoju pelės mygtuku spustelėkite „Inbound Rules“ ir pasirinkite „New Rule“.
Atsivers „Naujas atvykstančių taisyklių vedlys“, pasirinkite „Port“ ir spustelėkite kitą. Kitame ekrane įsitikinkite, kad pasirinktas TCP, tada įveskite anksčiau pasirinktą prievado numerį, tada spustelėkite Kitas. Dar du kartus spustelėkite toliau, nes būsimųjų porų puslapių numatytosios vertės bus gerai. Paskutiniame puslapyje pasirinkite šios naujos taisyklės pavadinimą, pvz., „Priskirtas RDP prievadas“, tada spustelėkite Baigti.
Paskutiniai žingsniai
Dabar jūsų kompiuteris turėtų būti prieinamas jūsų vietiniame tinkle, tiesiog nurodykite įrenginio IP adresą arba jo pavadinimą, po to abiem atvejais - dvitaškis ir prievado numeris:
Jei norite pasiekti kompiuterį ne iš tinklo, greičiausiai turėsite persiųsti savo maršrutizatoriaus prievadą. Po to jūsų kompiuteris turi būti nuotoliniu būdu pasiekiamas iš bet kurio įrenginio, kuriame yra nuotolinio darbalaukio klientas.
Jei įdomu, kaip galite stebėti, kas prisijungia prie jūsų kompiuterio (ir iš kur), galite atidaryti „Event Viewer“, kad pamatytumėte.
Atidarę įvykių peržiūros programą, išplėskite Programos ir paslaugos žurnalai> „Microsoft“> „Windows“> „TerminalServices-LocalSessionManger“ ir spustelėkite „Operacinė“.
Jei norite peržiūrėti prisijungimo informaciją, spustelėkite bet kurį įvykį dešinėje srityje.