Kā iespējot un aizsargāt attālo darbvirsmu sistēmā Windows
Lai gan ir daudzas alternatīvas, Microsoft Remote Desktop ir lieliska iespēja piekļūt citiem datoriem, taču tā ir pienācīgi jāaizsargā. Pēc ieteicamo drošības pasākumu ieviešanas attālā darbvirsma ir efektīvs rīks, lai izmantotu geeks, un ļauj izvairīties no trešo pušu lietotņu instalēšanas šāda veida funkcijām..
Šī rokasgrāmata un ekrānšāviņi, kas tam pievienoti, ir izgatavoti operētājsistēmai Windows 8.1 vai Windows 10. Tomēr jums vajadzētu būt iespējai sekot šai rokasgrāmatai, kamēr izmantojat kādu no šiem Windows izdevumiem:
- Windows 10 Professional
- Windows 8.1 Pro
- Windows 8.1 Enterprise
- Windows 8 Enterprise
- Windows 8 Pro
- Windows 7 Professional
- Windows 7 Enterprise
- Windows 7 Ultimate
- Windows Vista Business
- Windows Vista Ultimate
- Windows Vista Enterprise
- Windows XP Professional
Attālās darbvirsmas iespējošana
Pirmkārt, mums jāiespējo attālā darbvirsma un jāizvēlas, kuriem lietotājiem ir attāla piekļuve datoram. Noklikšķiniet uz Windows taustiņa + R, lai atvērtu palaišanas uzdevumu, un ierakstiet “sysdm.cpl”.
Vēl viens veids, kā nokļūt tajā pašā izvēlnē, ir ievadīt “Šis dators” izvēlnē Sākt, ar peles labo pogu noklikšķiniet uz “Šis dators” un dodieties uz Rekvizīti:
Katrā ziņā tas parādīs šo izvēlni, kur jums jānoklikšķina uz cilnes Attālā:
Atlasiet “Atļaut attālos savienojumus ar šo datoru” un zem tā esošo opciju: „Atļaut savienojumus tikai no datoriem, kuros darbojas attālā darbvirsma ar tīkla līmeņa autentifikāciju.”
Nav nepieciešams pieprasīt tīkla līmeņa autentifikāciju, bet tas padara jūsu datoru drošāku, aizsargājot jūs no cilvēka vidū uzbrukumos. Sistēmas, kas ir tikpat vecas kā Windows XP, var izveidot savienojumu ar saimniekiem ar tīkla līmeņa autentifikāciju, tāpēc nav iemesla to neizmantot.
Varat saņemt brīdinājumu par barošanas opcijām, kad iespējojat attālo darbvirsmu:
Ja tā, pārliecinieties, ka noklikšķināt uz saites uz enerģijas opcijām un konfigurējiet datoru tā, lai tas nepaliktu aizmigt vai pārziemot. Ja jums nepieciešama palīdzība, skatiet mūsu rakstu par jaudas iestatījumu pārvaldību.
Tālāk noklikšķiniet uz “Select Users”.
Jebkurš administratoru grupas konts jau būs pieejams. Ja jums ir nepieciešams piešķirt attālās darbvirsmas piekļuvi citiem lietotājiem, vienkārši noklikšķiniet uz “Pievienot” un ierakstiet lietotājvārdus.
Noklikšķiniet uz “Pārbaudīt vārdus”, lai pārbaudītu, vai lietotājvārds ir ievadīts pareizi, un pēc tam noklikšķiniet uz Labi. Sistēmas rekvizītu logā noklikšķiniet arī uz Labi.
Attālās darbvirsmas nodrošināšana
Jūsu dators pašlaik ir savienojams ar attālās darbvirsmas starpniecību (tikai vietējā tīklā, ja esat aiz maršrutētāja), bet ir vēl daži iestatījumi, kas jākonfigurē, lai sasniegtu maksimālu drošību.
Pirmkārt, pievērsīsimies acīmredzamajam. Visiem lietotājiem, kuriem piekļuvāt attālās darbvirsmas piekļuvei, ir jābūt spēcīgām parolēm. Ir daudz botu, kas pastāvīgi skenē internetu neaizsargātiem datoriem, kuros darbojas attālā darbvirsma, tāpēc nepietiekami novērtējiet spēcīgas paroles svarīgumu. Izmantojiet vairāk nekā astoņas rakstzīmes (ieteicams 12+) ar cipariem, mazajiem un lielajiem burtiem un speciālajām rakstzīmēm.
Atveriet izvēlni Sākt vai atveriet palaišanas uzvedni (Windows atslēga + R) un ierakstiet “secpol.msc”, lai atvērtu vietējās drošības politikas izvēlni.
Pēc tam izvērsiet “Vietējās politikas” un noklikšķiniet uz “Lietotāja tiesību piešķiršana”.
Veiciet dubultklikšķi uz labajā pusē esošās politikas „Atļaut pieteikties, izmantojot attālās darbvirsmas pakalpojumus”.
Tas ir mūsu ieteikums noņemt abas grupas, kas jau ir uzskaitītas šajā logā, administratori un attālās darbvirsmas lietotāji. Pēc tam noklikšķiniet uz “Pievienot lietotāju vai grupu” un manuāli pievienot lietotājus, kuriem vēlaties piešķirt attālās darbvirsmas piekļuvi. Tas nav būtisks solis, bet tas dod jums vairāk pilnvaru, kādos kontos var izmantot attālo darbvirsmu. Ja nākotnē kaut kādu iemeslu dēļ izveidosiet jaunu administratora kontu, un aizmirsīsiet, ka par to ir jāievieto spēcīga parole, jūs atverat savu datoru līdz hakeriem visā pasaulē, ja jūs nekad neuztraucaties no šīs administratora grupas noņemšanas no šī ekrāna.
Aizveriet lokālā drošības politikas logu un atveriet vietējo grupu politikas redaktoru, ierakstot “gpedit.msc” vai nu palaišanas uzvednē, vai izvēlnē Sākt.
Kad atveras vietējās grupas politikas redaktors, izvērsiet datora politiku> Administratīvās veidnes> Windows komponenti> Attālās darbvirsmas pakalpojumi> Attālās darbvirsmas sesijas resursdators un pēc tam noklikšķiniet uz Drošība.
Veiciet dubultklikšķi uz jebkuriem iestatījumiem šajā izvēlnē, lai mainītu savas vērtības. Tie, kurus mēs iesakām mainīt, ir šādi:
Iestatiet klienta savienojuma šifrēšanas līmeni - iestatiet to augstā līmenī, lai jūsu attālās darbvirsmas sesijas tiktu nodrošinātas ar 128 bitu šifrēšanu.
Nepieciešama droša RPC komunikācija - iestatiet to uz Enabled.
Nepieciešama īpaša drošības slāņa izmantošana attāliem (RDP) savienojumiem - iestatiet to SSL (TLS 1.0).
Pieprasīt attālo savienojumu lietotāja autentifikāciju, izmantojot tīkla līmeņa autentifikāciju - iestatiet to uz Ieslēgts.
Kad šīs izmaiņas ir veiktas, varat aizvērt vietējo grupu politikas redaktoru. Pēdējais drošības ieteikums, kas mums ir, ir mainīt noklusējuma portu, ko Remote Desktop klausās. Tas ir fakultatīvs solis, un to uzskata par drošību, izmantojot neskaidru praksi, bet fakts ir tāds, ka noklusējuma porta numura maiņa ievērojami samazina ļaunprātīgas savienojuma mēģinājumu skaitu, ko saņems jūsu dators. Jūsu paroles un drošības iestatījumiem ir jāpārveido attālā darbvirsma neiedomājama neatkarīgi no tā, kurā ostā tā klausās, bet mēs varam arī samazināt savienojuma mēģinājumu apjomu, ja mēs varam.
Drošība, izmantojot Obscurity: Mainot noklusēto RDP portu
Pēc noklusējuma Remote Desktop klausās portu 3389. Izvēlieties piecu ciparu skaitli, kas ir mazāks par 65535, kuru vēlaties izmantot jūsu pielāgotā attālās darbvirsmas porta numuram. Paturot prātā šo numuru, atveriet reģistra redaktoru, ierakstot “regedit” palaišanas uzvednē vai izvēlnē Sākt.
Kad tiek atvērts reģistra redaktors, paplašiniet HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Control> Terminal Server> WinStations> RDP-Tcp> un pēc tam divreiz noklikšķiniet uz “PortNumber” labajā logā.
Atverot PortNumber reģistra atslēgu, loga labajā pusē atlasiet “Decimal” un pēc tam kreisajā pusē ierakstiet savu piecciparu skaitli zem “Value data”..
Noklikšķiniet uz Labi un pēc tam aizveriet reģistra redaktoru.
Tā kā mēs esam mainījuši noklusējuma portu, ko izmanto attālā darbvirsma, mums būs jākonfigurē Windows ugunsmūris, lai pieņemtu ienākošos savienojumus šajā ostā. Dodieties uz sākuma ekrānu, meklējiet “Windows ugunsmūri” un noklikšķiniet uz tā.
Atverot Windows ugunsmūri, loga kreisajā pusē noklikšķiniet uz “Advanced Settings”. Pēc tam ar peles labo pogu noklikšķiniet uz “Ienākošie noteikumi” un izvēlieties “Jauns noteikums”.
Parādīsies uzraksts “New Inbound Rule Wizard”, atlasiet Port un noklikšķiniet uz nākamā. Nākamajā ekrānā pārliecinieties, vai ir izvēlēts TCP, un pēc tam ievadiet porta numuru, kuru izvēlējāties agrāk, un pēc tam noklikšķiniet uz Tālāk. Noklikšķiniet vēl divas reizes, jo nākamo pāris lapu noklusējuma vērtības būs labi. Pēdējā lapā atlasiet šī jaunā noteikuma nosaukumu, piemēram, “Pielāgots RDP ports” un pēc tam noklikšķiniet uz Pabeigt.
Pēdējie soļi
Tagad jūsu datoram jābūt pieejamam jūsu vietējā tīklā, vienkārši norādiet vai nu ierīces IP adresi, vai arī tā nosaukumu, pēc tam abos gadījumos - kols un porta numurs:
Lai piekļūtu datoram ārpus tīkla, jums vairāk nekā nepieciešams, lai pārsūtītu savu maršrutētāja portu. Pēc tam jūsu datoram jābūt attālināti pieejamam no jebkuras ierīces, kurai ir attālās darbvirsmas klients.
Ja domājat, kā jūs varat sekot līdzi, kas piesakās datorā (un no kurienes), varat atvērt notikumu skatītāju, lai redzētu.
Kad ir atvērts notikumu skatītājs, izvērsiet lietojumprogrammu un pakalpojumu žurnālus> Microsoft> Windows> TerminalServices-LocalSessionManger un pēc tam noklikšķiniet uz Darbības.
Lai redzētu pieteikšanās informāciju, noklikšķiniet uz jebkura no labajā rūtī redzamajiem notikumiem.