Kako omogočiti in zaščititi oddaljeno namizje v operacijskem sistemu Windows
Čeprav obstaja veliko alternativ, je Microsoftovo oddaljeno namizje popolnoma uporabna možnost za dostop do drugih računalnikov, vendar mora biti ustrezno zaščitena. Po uvedbi priporočenih varnostnih ukrepov je oddaljeno namizje zmogljivo orodje za uporabo računalnikov in vam omogoča, da se izognete namestitvi aplikacij tretjih oseb za to vrsto funkcionalnosti..
Ta priročnik in posnetki zaslona, ki so priloženi, so izdelani za Windows 8.1 ali Windows 10. Vendar pa bi morali imeti možnost slediti tem navodilom, če uporabljate eno od teh izdaj sistema Windows:
- Windows 10 Professional
- Windows 8.1 Pro
- Windows 8.1 Enterprise
- Windows 8 Enterprise
- Windows 8 Pro
- Windows 7 Professional
- Windows 7 Enterprise
- Windows 7 Ultimate
- Windows Vista Business
- Windows Vista Ultimate
- Windows Vista Enterprise
- Windows XP Professional
Omogočanje oddaljenega namizja
Najprej moramo omogočiti oddaljeno namizje in izbrati, kateri uporabniki imajo oddaljen dostop do računalnika. Pritisnite tipko Windows + R, da odprete poziv Run, in vnesite »sysdm.cpl.«
Drug način, da pridete do istega menija, je, da v meniju Start vnesete »Ta računalnik«, z desno tipko kliknite »Ta računalnik« in pojdite v Lastnosti:
V vsakem primeru se prikaže ta meni, kjer morate klikniti na zavihek Oddaljeno:
Izberite »Dovoli oddaljene povezave do tega računalnika« in možnost pod njim »Dovoli povezave samo iz računalnikov z oddaljenim namizjem z overjanjem na ravni omrežja«.
Ni nujno, da potrebujete preverjanje pristnosti na ravni omrežja, vendar s tem računalnik postane bolj varen, saj vas varuje pred napadi človeka v srednjem. Sistemi, ki so že tako stari kot Windows XP, se lahko povežejo z gostitelji s preverjanjem pristnosti na ravni omrežja, tako da ni razloga, da ga ne uporabljate.
Ko omogočite oddaljeno namizje, se lahko prikaže opozorilo o možnostih porabe:
Če je tako, se prepričajte, da ste kliknili povezavo na možnosti porabe energije in konfigurirali računalnik, da ne zaspi ali preide v stanje mirovanja. Oglejte si naš članek o upravljanju nastavitev napajanja, če potrebujete pomoč.
Nato kliknite »Izberi uporabnike«.
Vsi računi v skupini skrbnikov bodo že imeli dostop. Če želite omogočiti dostop do oddaljenega namizja drugim uporabnikom, kliknite »Dodaj« in vnesite uporabniška imena.
Kliknite »Preveri imena«, da preverite, ali je uporabniško ime pravilno vneseno in kliknite V redu. V oknu Sistemske lastnosti kliknite V redu.
Zaščita oddaljenega namizja
Vaš računalnik je trenutno mogoče povezati prek oddaljenega namizja (samo v lokalnem omrežju, če stojite za usmerjevalnikom), vendar je treba nastaviti še nekaj nastavitev, da bi dosegli največjo varnost..
Najprej se posvetimo očitnemu. Vsi uporabniki, ki ste jim dali dostop do oddaljenega namizja, morajo imeti močna gesla. Obstaja veliko pošto, ki nenehno pregledujejo internet za ranljive računalnike, ki uporabljajo oddaljeno namizje, zato ne podcenjujte pomembnosti močnega gesla. Uporabite več kot osem znakov (priporočeno je 12+) s številkami, velikimi črkami in posebnimi znaki.
Pojdite v meni Start ali odprite poziv za zagon (tipka Windows + R) in vnesite »secpol.msc«, da odprete meni Lokalna varnostna politika.
Ko ste tam, razširite »Lokalna pravila« in kliknite »Dodelitev pravic uporabnikov«.
Dvokliknite na pravilnik »Dovoli prijavo prek storitev oddaljenega namizja«, ki je naveden na desni.
Naše priporočilo je, da odstranite obe skupini, ki sta že navedeni v tem oknu, skrbniki in uporabniki oddaljenega namizja. Po tem kliknite »Dodaj uporabnika ali skupino« in ročno dodajte uporabnikom, ki jim želite omogočiti dostop do oddaljenega namizja. To ni bistven korak, vendar vam daje več moči nad tem, za katere račune lahko uporabljate oddaljeno namizje. Če boste v prihodnosti iz nekega razloga ustvarili nov skrbniški račun in ga pozabili dati, boste računalnik odprli za hekerje po vsem svetu, če se nikoli ne ukvarjate z odstranitvijo skupine »Skrbniki« s tega zaslona..
Zaprite okno Lokalna varnostna politika in odprite urejevalnik pravilnikov lokalnih skupin, tako da vnesete »gpedit.msc« v poziv »Zaženi« ali v meni »Start«.
Ko se odpre urejevalnik pravilnikov lokalnih skupin, razširite možnost Pravilnik o računalniku> Skrbniške predloge> Komponente Windows> Storitve oddaljenega namizja> Gostitelj seje oddaljenega namizja in nato kliknite Varnost.
Dvokliknite vse nastavitve v tem meniju, da spremenite njihove vrednosti. Priporočamo, da jih spremenite:
Nastavitev ravni šifriranja povezave odjemalca - nastavite to na visoko raven, tako da so seje oddaljenega namizja zaščitene s 128-bitnim šifriranjem.
Zahtevaj varno komunikacijo RPC - to možnost nastavite na Omogočeno.
Zahtevajte uporabo določenega varnostnega sloja za oddaljene povezave (RDP) - nastavite to na SSL (TLS 1.0).
Zahteva preverjanje pristnosti uporabnika za oddaljene povezave z uporabo overjanja na ravni omrežja - to nastavite na Omogočeno.
Ko so te spremembe opravljene, lahko zaprete urejevalnik pravilnikov lokalnih skupin. Zadnje varnostno priporočilo je, da spremenite privzeta vrata, ki jih oddaljeno namizje posluša. To je neobvezen korak in velja za varnost skozi prakso nejasnosti, toda dejstvo je, da spreminjanje privzete številke vrat močno zmanjša količino zlonamernih poskusov povezave, ki jih bo prejel vaš računalnik. Nastavitve gesla in varnosti morajo omogočiti, da je oddaljeno namizje neranljiv ne glede na to, na kakšnem vhodu je prisoten, vendar lahko zmanjšamo tudi število poskusov povezave, če lahko.
Varnost z nepreglednostjo: spreminjanje privzetega RDP porta
Oddaljeno namizje privzeto posluša vrata 3389. Izberite petmestno številko, ki je manjša od 65535 in jo želite uporabiti za številko vrat oddaljenega namizja. Ob upoštevanju tega števila odprite urejevalnik registra tako, da vnesite »regedit« v poziv »Run« ali v meni »Start«.
Ko se odpre urejevalnik registra, razširite HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Nadzor> Terminal Server> WinStations> RDP-Tcp> in dvakrat kliknite na “PortNumber” v oknu na desni..
Ko je ključ registrskega ključa odprt, izberite »Decimalno« na desni strani okna in vnesite petmestno številko pod »Podatki o vrednosti« na levi.
Kliknite V redu in zaprite urejevalnik registra.
Ker smo spremenili privzeta vrata, ki jih uporablja oddaljeno namizje, bomo morali konfigurirati požarni zid sistema Windows, da bo sprejemal dohodne povezave na tem vratu. Pojdite na začetni zaslon, poiščite »Požarni zid Windows« in kliknite nanj.
Ko se požarni zid Windows odpre, kliknite »Napredne nastavitve« na levi strani okna. Nato z desno miškino tipko kliknite »Vhodna pravila« in izberite »Novo pravilo«.
Pojavilo se bo “New Inbound Rule Wizard” (Čarovnik za nov vhodni pravilnik), izberite Port in kliknite Next. Na naslednjem zaslonu se prepričajte, da je izbran TCP, nato pa vnesite številko vrat, ki ste jo izbrali prej, in kliknite Naprej. Kliknite naslednja še dva krat, ker bodo privzete vrednosti na naslednjih parih straneh v redu. Na zadnji strani izberite ime za to novo pravilo, kot je »Prilagojena vrata RDP«, in kliknite Dokončaj.
Zadnji koraki
Vaš računalnik bi moral biti zdaj dostopen v vašem lokalnem omrežju, samo navedite naslov IP naprave ali njegovo ime, ki mu sledita dvopičje in številka vrat v obeh primerih:
Če želite dostopati do računalnika zunaj omrežja, boste verjetno morali posredovati vrata na usmerjevalniku. Po tem naj bo vaš računalnik oddaljeno dostopen iz katere koli naprave z odjemalcem oddaljenega namizja.
Če se sprašujete, kako lahko spremljate, kdo se prijavlja v računalnik (in od koder), lahko odprete pregledovalnik dogodkov, da si ogledate.
Ko se odpre pregledovalnik dogodkov, razširite Dnevniki aplikacije in storitve> Microsoft> Windows> TerminalServices-LocalSessionManger in nato kliknite Operational.
Kliknite na kateri koli dogodek v desnem podoknu, da si ogledate podatke za prijavo.