Несмотря на то, что существует множество альтернатив, удаленный рабочий стол Microsoft является вполне приемлемым вариантом для доступа к другим компьютерам, но он должен быть надлежащим образом защищен. После того, как рекомендуемые меры безопасности будут приняты, Remote Desktop станет мощным инструментом для вундеркиндов и позволит вам избежать установки сторонних приложений для этого типа функций.
Это руководство и сопровождающие его снимки экрана сделаны для Windows 8.1 или Windows 10. Однако вы должны иметь возможность следовать этому руководству, если используете один из следующих выпусков Windows:
- Windows 10 Professional
- Окна 8.1 Pro
- Окна 8.1 Enterprise
- Windows 8 Enterprise
- Windows 8 Pro
- Windows 7 Профессиональная
- Windows 7 Enterprise
- Windows 7 Ultimate
- Windows Vista Business
- Windows Vista Ultimate
- Windows Vista Enterprise
- Windows XP Professional
Включение удаленного рабочего стола
Во-первых, нам нужно включить Remote Desktop и выбрать, какие пользователи имеют удаленный доступ к компьютеру. Нажмите клавишу Windows + R, чтобы открыть окно «Выполнить», и введите «sysdm.cpl».
Другой способ попасть в это же меню – ввести «Этот компьютер» в меню «Пуск», щелкнуть правой кнопкой мыши «Этот компьютер» и перейти в «Свойства»:
В любом случае откроется это меню, где вам нужно нажать на вкладку Remote:
Выберите «Разрешить удаленные подключения к этому компьютеру» и параметр под ним «Разрешить подключения только с компьютеров, на которых запущен удаленный рабочий стол с аутентификацией на уровне сети».
Нет необходимости требовать аутентификацию на сетевом уровне, но это делает ваш компьютер более безопасным, защищая вас от атак типа «человек посередине». Системы, даже такие старые, как Windows XP, могут подключаться к хостам с аутентификацией на уровне сети, поэтому нет причин не использовать ее.
При включении удаленного рабочего стола вы можете получить предупреждение о параметрах питания:
Если это так, убедитесь, что вы щелкнули ссылку на «Электропитание» и настроили свой компьютер таким образом, чтобы он не засыпал и не спал. Смотрите нашу статью об управлении настройками питания, если вам нужна помощь.
Далее нажмите «Выбрать пользователей».
Любые учетные записи в группе администраторов уже будут иметь доступ. Если вам нужно предоставить доступ к удаленному рабочему столу другим пользователям, просто нажмите «Добавить» и введите имена пользователей.
Нажмите «Проверить имена», чтобы убедиться, что имя пользователя введено правильно, а затем нажмите OK. Нажмите OK в окне «Свойства системы».
Защита удаленного рабочего стола
В настоящее время ваш компьютер подключается через удаленный рабочий стол (только в локальной сети, если вы находитесь за маршрутизатором), но для достижения максимальной безопасности нам необходимо настроить еще несколько параметров.
Во-первых, давайте обратимся к очевидному. Все пользователи, которым вы предоставили доступ к удаленному рабочему столу, должны иметь надежные пароли. Есть много ботов, постоянно сканирующих интернет на наличие уязвимых ПК с удаленным рабочим столом, поэтому не стоит недооценивать важность надежного пароля. Используйте более восьми символов (рекомендуется 12+) с цифрами, строчными и прописными буквами и специальными символами.
Перейдите в меню «Пуск» или откройте окно «Выполнить» (Windows Key + R) и введите «secpol.msc», чтобы открыть меню локальной политики безопасности.
Оказавшись там, разверните «Локальные политики» и нажмите «Назначение прав пользователя».
Дважды щелкните политику «Разрешить вход в систему через службы удаленных рабочих столов», указанную справа.
Мы рекомендуем удалить обе группы, уже перечисленные в этом окне, «Администраторы» и «Пользователи удаленного рабочего стола». После этого нажмите «Добавить пользователя или группу» и вручную добавьте пользователей, которым вы хотите предоставить доступ к удаленному рабочему столу. Это не важный шаг, но он дает вам больше власти над тем, какие учетные записи могут использовать удаленный рабочий стол. Если в будущем вы по какой-либо причине создадите новую учетную запись администратора и забудете установить надёжный пароль, вы открываете свой компьютер для хакеров по всему миру, если вы никогда не удосужились удалить группу «Администраторы» с этого экрана. ,
Закройте окно «Локальная политика безопасности» и откройте редактор локальной групповой политики, введя «gpedit.msc» либо в строке «Выполнить», либо в меню «Пуск».
Когда откроется редактор локальной групповой политики, разверните «Политика компьютера»> «Административные шаблоны»> «Компоненты Windows»> «Службы удаленных рабочих столов»> «Узел сеансов удаленных рабочих столов» и нажмите «Безопасность».
Дважды щелкните по любым настройкам в этом меню, чтобы изменить их значения. Те, которые мы рекомендуем изменить:
Установить уровень шифрования клиентского соединения – установите для этого параметра значение Высокий уровень, чтобы сеансы удаленного рабочего стола были защищены 128-битным шифрованием.
Требовать защищенную связь RPC – установите для этого параметра значение «Включено».
Требовать использования определенного уровня безопасности для удаленных (RDP) соединений. Установите для этого параметра SSL (TLS 1.0).
Требовать аутентификацию пользователя для удаленных подключений с использованием аутентификации на уровне сети – установите для этого параметра значение Включено.
После внесения этих изменений вы можете закрыть редактор локальной групповой политики. Последняя рекомендация по безопасности – изменить порт по умолчанию, который прослушивает удаленный рабочий стол. Это необязательный шаг, который считается безопасным с точки зрения безопасности, но факт заключается в том, что изменение номера порта по умолчанию значительно уменьшает количество попыток злонамеренного подключения, которые получит ваш компьютер. Ваш пароль и параметры безопасности должны сделать удаленный рабочий стол неуязвимым независимо от того, к какому порту он прослушивается, но мы можем также уменьшить количество попыток подключения, если сможем.
Безопасность через Obscurity: изменение порта RDP по умолчанию
По умолчанию удаленный рабочий стол прослушивает порт 3389. Выберите пятизначное число, меньшее 65535, которое вы хотите использовать для своего настраиваемого номера порта удаленного рабочего стола. Помня это число, откройте редактор реестра, набрав «regedit» в строке «Выполнить» или в меню «Пуск».
Когда откроется редактор реестра, разверните HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Control> Terminal Server> WinStations> RDP-Tcp>, затем дважды щелкните «PortNumber» в окне справа.
Открыв ключ реестра PortNumber, выберите «Десятичное число» в правой части окна, а затем введите свое пятизначное число в разделе «Значение» слева.
Нажмите кнопку ОК, а затем закройте редактор реестра.
Поскольку мы изменили порт по умолчанию, который использует удаленный рабочий стол, нам нужно настроить брандмауэр Windows на прием входящих подключений через этот порт. Перейдите на начальный экран, найдите «Брандмауэр Windows» и нажмите на него.
Когда откроется брандмауэр Windows, нажмите «Расширенные настройки» в левой части окна. Затем щелкните правой кнопкой мыши «Входящие правила» и выберите «Новое правило».
Появится «Мастер новых правил входящих», выберите «Порт» и нажмите «Далее». На следующем экране убедитесь, что выбран протокол TCP, затем введите номер порта, который вы выбрали ранее, а затем нажмите «Далее». Нажмите следующие два раза еще раз, потому что значения по умолчанию на следующих нескольких страницах будут в порядке. На последней странице выберите имя для этого нового правила, например «Пользовательский порт RDP», и нажмите «Готово».
Последние шаги
Теперь ваш компьютер должен быть доступен в вашей локальной сети, просто укажите либо IP-адрес компьютера, либо его имя, а затем двоеточие и номер порта в обоих случаях, например так:
Чтобы получить доступ к вашему компьютеру за пределами вашей сети, вам, скорее всего, потребуется переадресовать порт на маршрутизаторе. После этого ваш компьютер должен быть доступен удаленно с любого устройства, на котором установлен клиент удаленного рабочего стола.
Если вам интересно, как вы можете отслеживать, кто входит в ваш компьютер (и откуда), вы можете открыть Event Viewer, чтобы увидеть.
Открыв средство просмотра событий, разверните Журналы приложений и служб> Microsoft> Windows> TerminalServices-LocalSessionManger, а затем нажмите «Операционный».
Нажмите на любое из событий в правой панели, чтобы увидеть информацию для входа.
