Jak włączyć i zabezpieczyć pulpit zdalny w systemie Windows
Chociaż istnieje wiele alternatyw, zdalny pulpit firmy Microsoft jest idealnym rozwiązaniem do uzyskiwania dostępu do innych komputerów, ale musi być odpowiednio zabezpieczony. Po zastosowaniu zalecanych środków bezpieczeństwa, Pulpit zdalny to potężne narzędzie, z którego mogą korzystać geekowie, i pozwala uniknąć instalowania aplikacji innych firm do tego typu funkcji.
Ten przewodnik i dołączone do niego zrzuty ekranu są przeznaczone dla systemu Windows 8.1 lub Windows 10. Mimo to, powinieneś być w stanie postępować zgodnie z tym przewodnikiem, o ile używasz jednej z następujących wersji systemu Windows:
- Windows 10 Professional
- Windows 8.1 Pro
- Windows 8.1 Enterprise
- Windows 8 Enterprise
- Windows 8 Pro
- Windows 7 Professional
- Windows 7 Enterprise
- Windows 7 Ultimate
- Windows Vista Business
- Windows Vista Ultimate
- Windows Vista Enterprise
- Windows XP Professional
Włączanie pulpitu zdalnego
Najpierw musimy włączyć Pulpit zdalny i wybrać, którzy użytkownicy mają zdalny dostęp do komputera. Naciśnij klawisz Windows + R, aby wywołać monit Run i wpisz "sysdm.cpl".
Innym sposobem na przejście do tego samego menu jest wpisanie "Ten komputer" w menu Start, kliknięcie prawym przyciskiem myszy "Ten komputer" i przejście do Właściwości:
W obu przypadkach pojawi się to menu, w którym należy kliknąć kartę Zdalny:
Wybierz "Zezwalaj na połączenia zdalne z tym komputerem" i opcję poniżej "Zezwalaj na połączenia tylko z komputerów z uruchomionym Pulpit zdalny z uwierzytelnianiem na poziomie sieci".
Nie trzeba wymagać uwierzytelniania na poziomie sieci, ale czyni to komputer bezpieczniejszym, chroniąc Cię przed atakami Man in the Middle. Systemy nawet starsze niż Windows XP mogą łączyć się z hostami za pomocą Network Level Authentication, więc nie ma powodu, aby ich nie używać.
Po włączeniu Pulpitu zdalnego możesz otrzymać ostrzeżenie o opcjach zasilania:
Jeśli tak, kliknij łącze do opcji zasilania i skonfiguruj komputer, aby nie zasypiał ani nie hibernował. Zobacz nasz artykuł na temat zarządzania ustawieniami mocy, jeśli potrzebujesz pomocy.
Następnie kliknij "Wybierz użytkowników".
Wszystkie konta w grupie Administratorzy będą już miały dostęp. Jeśli chcesz przyznać dostęp do pulpitu zdalnego innym użytkownikom, po prostu kliknij "Dodaj" i wpisz nazwy użytkowników.
Kliknij "Sprawdź nazwy", aby sprawdzić, czy nazwa użytkownika została wpisana poprawnie, a następnie kliknij przycisk OK. Kliknij OK również w oknie Właściwości systemu.
Zabezpieczanie pulpitu zdalnego
Twój komputer jest obecnie podłączony przez Pulpit zdalny (tylko w twojej sieci lokalnej, jeśli jesteś za routerem), ale jest jeszcze kilka ustawień, które musimy skonfigurować, aby osiągnąć maksymalne bezpieczeństwo.
Najpierw zajmijmy się oczywistym. Wszyscy użytkownicy, którym udzielono dostępu do Pulpitu zdalnego, muszą mieć silne hasła. Istnieje wiele botów nieustannie skanujących Internet w poszukiwaniu wrażliwych komputerów z uruchomionym Pulpitem zdalnym, więc nie należy lekceważyć znaczenia silnego hasła. Używaj więcej niż ośmiu znaków (zalecane jest ponad 12 znaków) z cyframi, małymi i dużymi literami oraz znakami specjalnymi.
Przejdź do menu Start lub otwórz okno dialogowe Uruchom (Klawisz Windows + R) i wpisz "secpol.msc", aby otworzyć menu Zasady zabezpieczeń lokalnych.
Tam rozwiń "Zasady lokalne" i kliknij "Przypisanie praw użytkownika".
Kliknij dwukrotnie zasadę "Zezwalaj na logowanie za pomocą usług pulpitu zdalnego" wyświetloną po prawej stronie.
Zalecamy usunięcie obu grup wymienionych już w tym oknie, Administratorzy i Użytkownicy pulpitu zdalnego. Następnie kliknij "Dodaj użytkownika lub grupę" i ręcznie dodaj użytkowników, którym chcesz przyznać dostęp do pulpitu zdalnego. Nie jest to niezbędny krok, ale daje większą kontrolę nad tym, które konta korzystają z Pulpitu zdalnego. Jeśli w przyszłości z jakiegoś powodu utworzysz nowe konto administratora i zapomnisz wpisać silne hasło, otwierasz komputer do hakerów na całym świecie, jeśli nigdy nie zechcesz usunąć grupy "Administratorzy" z tego ekranu.
Zamknij okno Zasady zabezpieczeń lokalnych i otwórz Edytor lokalnych zasad grupy, wpisując "gpedit.msc" w wierszu polecenia lub w menu Start.
Po otwarciu Edytora lokalnych zasad grupowych rozwiń pozycję Zasady komputera> Szablony administracyjne> Składniki systemu Windows> Usługi pulpitu zdalnego> Host sesji pulpitu zdalnego, a następnie kliknij opcję Zabezpieczenia.
Kliknij dwukrotnie dowolne ustawienia w tym menu, aby zmienić ich wartości. Te, które zalecamy zmienić, to:
Ustaw poziom szyfrowania połączenia klienta - ustaw ten poziom na wysoki, aby sesje pulpitu zdalnego były zabezpieczone 128-bitowym szyfrowaniem.
Wymagaj bezpiecznej komunikacji RPC - Ustaw tę opcję na Enabled.
Wymagaj użycia określonej warstwy bezpieczeństwa dla połączeń zdalnych (RDP) - Ustaw dla SSL (TLS 1.0).
Wymagaj autoryzacji użytkownika dla połączeń zdalnych za pomocą Network Level Authentication - Ustaw tę opcję na Enabled.
Po wprowadzeniu tych zmian można zamknąć Edytor lokalnych zasad grupy. Ostatnie zalecenia bezpieczeństwa, które mamy, to zmiana domyślnego portu, na którym nasłuchuje Remote Desktop. Jest to opcjonalny krok i jest uważany za zabezpieczenie przez ukrytą praktykę, ale faktem jest, że zmiana domyślnego numeru portu znacznie zmniejsza ilość złośliwych prób połączenia, które otrzyma twój komputer. Twoje hasło i ustawienia zabezpieczeń muszą sprawić, że Remote Desktop stanie się niewrażliwy, niezależnie od portu, na którym nasłuchuje, ale równie dobrze możemy zmniejszyć liczbę prób połączenia, jeśli możemy.
Bezpieczeństwo przez zapomnienie: zmiana domyślnego portu RDP
Domyślnie Remote Desktop nasłuchuje na porcie 3389. Wybierz pięciocyfrowy numer mniejszy niż 65535, którego chcesz użyć do niestandardowego numeru portu Pulpitu zdalnego. Mając to na uwadze, otwórz Edytor rejestru, wpisując polecenie "regedit" w wierszu polecenia Uruchom lub menu Start.
Kiedy Edytor rejestru otworzy się, rozwiń HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Sterowanie> Serwer terminali> WinStations> RDP-Tcp> a następnie kliknij dwukrotnie "PortNumber" w oknie po prawej stronie.
Przy otwartym kluczu PortNumber, wybierz "Dziesiętny" po prawej stronie okna, a następnie wpisz swój pięciocyfrowy numer pod "Dane wartości" po lewej stronie.
Kliknij OK, a następnie zamknij Edytor rejestru.
Ponieważ zmieniliśmy domyślny port używany przez Pulpit zdalny, musimy skonfigurować Zaporę systemu Windows, aby akceptował połączenia przychodzące na tym porcie. Przejdź do ekranu Start, wyszukaj "Zapora systemu Windows" i kliknij na nią.
Po otwarciu Zapory systemu Windows kliknij "Ustawienia zaawansowane" po lewej stronie okna. Następnie kliknij prawym przyciskiem myszy "Reguły przychodzące" i wybierz "Nowa reguła".
Pojawi się "Kreator nowej reguły poczty przychodzącej", wybierz Port i kliknij dalej. Na następnym ekranie upewnij się, że wybrano TCP, a następnie wprowadź numer portu wybrany wcześniej, a następnie kliknij przycisk Dalej. Kliknij dwa kolejne razy, ponieważ wartości domyślne na następnych stronach będą w porządku. Na ostatniej stronie wybierz nazwę dla nowej reguły, na przykład "Niestandardowy port RDP", a następnie kliknij Zakończ.
Ostatnie kroki
Komputer powinien być teraz dostępny w sieci lokalnej, wystarczy podać adres IP urządzenia lub jego nazwę, a następnie dwukropek i numer portu w obu przypadkach, na przykład:
Aby uzyskać dostęp do komputera spoza sieci, najprawdopodobniej będziesz musiał przekazać port na routerze. Następnie komputer powinien być zdalnie dostępny z dowolnego urządzenia, które ma klienta pulpitu zdalnego.
Jeśli zastanawiasz się, w jaki sposób możesz śledzić, kto loguje się na komputerze (i gdzie), możesz otworzyć Podgląd zdarzeń, aby zobaczyć.
Po otwarciu Podglądu zdarzeń rozwiń gałąź Dzienniki aplikacji i usług> Microsoft> Windows> TerminalServices-LocalSessionManger, a następnie kliknij opcję Operational.
Kliknij jedno z wydarzeń w prawym okienku, aby wyświetlić informacje logowania.