Како омогућити и заштитити удаљену радну површину у Виндовсима

Иако постоји много алтернатива, Мицрософтова Ремоте Десктоп је савршено одржива опција за приступ другим рачунарима, али она мора бити правилно осигурана. После препоручених безбедносних мера, удаљена радна површина је моћна алатка за геекове који ће вам омогућити да избегнете инсталирање апликација треће стране за ову врсту функционалности.

Овај водич и снимци екрана који га прате направљени су за Виндовс 8.1 или Виндовс 10. Међутим, требало би да можете да пратите овај водич све док користите неко од ових издања оперативног система Виндовс:

• Виндовс 10 Профессионал
• Виндовс 8.1 Про
• Виндовс 8.1 Ентерприсе
• Виндовс 8 Ентерприсе
• Виндовс 8 Про
• Виндовс 7 Профессионал
• Виндовс 7 Ентерприсе
• Виндовс 7 Ултимате
• Виндовс Виста Бусинесс
• Виндовс Виста Ултимате
• Виндовс Виста Ентерприсе
• Виндовс КСП Профессионал

Омогућавање удаљене радне површине

Прво, потребно је да омогућимо Ремоте Десктоп и да изаберемо који корисници имају удаљени приступ рачунару. Притисните тастер Виндовс + Р да бисте приказали промпт за покретање и унесите "сисдм.цпл."

Други начин да дођете до истог менија је да укуцате “Тхис ПЦ” у вашем Старт менију, десним кликом на “Тхис ПЦ” и идите на Пропертиес: \ т

У сваком случају ће се појавити овај мени, где треба да кликнете на картицу Ремоте:

Изаберите „Дозволи удаљене везе на овај рачунар“ и опцију испод ње, „Дозволи везе само са рачунара на којима се покреће удаљена радна површина помоћу провере аутентичности на нивоу мреже“.

Није нужно захтијевати провјеру аутентичности на нивоу мреже, али то чини ваш компјутер сигурнијим тако што вас штити од напада човјека у средишту. Системи чак и стари као што је Виндовс КСП могу да се повежу са хостовима помоћу Аутентикације на нивоу мреже, тако да нема разлога да се не користи.

Када омогућите удаљену радну површину, можете добити упозорење о опцијама напајања:

Ако је тако, обавезно кликните на везу за опције напајања и конфигуришите рачунар тако да не заспи или хибернира. Погледајте наш чланак о управљању поставкама напајања ако вам је потребна помоћ.

Затим кликните на "Изабери кориснике".

Сви рачуни у групи Администратори већ имају приступ. Ако желите да омогућите приступ удаљеној радној површини другим корисницима, само кликните на "Додај" и откуцајте корисничка имена.

Кликните на „Провери имена“ да бисте потврдили да је корисничко име исправно унесено и затим кликните на дугме У реду. Кликните на ОК у прозору Својства система.

Сецуринг Ремоте Десктоп

Рачунар је тренутно повезан преко удаљене радне површине (само на вашој локалној мрежи ако се налазите иза рутера), али постоји још неколико поставки које морамо конфигурирати да бисмо постигли максималну сигурност.

Прво, хајде да се позабавимо очигледним. Сви корисници којима сте дали приступ удаљеној радној површини морају имати јаке лозинке. Постоји много ботова који константно скенирају интернет за рањиве рачунаре који користе Ремоте Десктоп, тако да не потцењујте значај јаке лозинке. Користите више од осам знакова (препоручује се 12+) са бројевима, малим и великим словима и посебним знаковима.

Идите на мени Старт или отворите промпт за покретање (Виндовс тастер + Р) и откуцајте "сецпол.мсц" да бисте отворили мени локалне безбедносне политике.

Када будете тамо, проширите “Локалне политике” и кликните на “Додјела корисничких права”.

Двапут кликните на политику „Дозволи пријаву преко услуга удаљене радне површине“ која је наведена на десној страни.

Наша је препорука да уклоните обе групе које су већ наведене у овом прозору, администратори и корисници удаљене радне површине. Након тога, кликните на "Додај корисника или групу" и ручно додајте кориснике којима желите да доделите приступ удаљеној радној површини. Ово није битан корак, али вам даје већу моћ над којим рачуни могу да користе Ремоте Десктоп. Ако убудуће направите нови администраторски налог из неког разлога и заборавите да му ставите јаку лозинку, отварате рачунар до хакера широм света ако се никада нисте потрудили да уклоните групу „Администратори“ са овог екрана..

Затворите прозор Локална безбедносна политика и отворите локални уређивач смерница за групе тако што ћете откуцати „гпедит.мсц“ или у промпт за покретање или у мени Старт.

Када се отвори Едитор локалних смерница за групе, проширите ставку Правила рачунара> Административни предлошци> Компоненте оперативног система Виндовс> Услуге удаљене радне површине> Хост удаљене радне површине, а затим кликните на ставку Безбедност.

Двапут кликните на било које поставке у овом менију да бисте променили њихове вредности. Препоручујемо да промените:

Подешавање нивоа шифровања везе са клијентима - Поставите га на Високи ниво тако да су сесије удаљене радне површине осигуране 128-битном енкрипцијом.

Захтевајте безбедну РПЦ комуникацију - Поставите ово на Енаблед.

Захтевати употребу одређеног сигурносног слоја за удаљене (РДП) везе - Поставите то на ССЛ (ТЛС 1.0).

Захтевајте аутентификацију корисника за удаљене везе помоћу провере аутентичности на нивоу мреже - Подесите то на Омогућено.

Када се те промене направе, можете да затворите Едитор локалних смерница за групе. Последња сигурносна препорука коју имамо је да промијенимо подразумевани порт на којем Ремоте Десктоп слуша. Ово је опциони корак и сматра се сигурношћу кроз праксу нејасности, али чињеница је да промена подразумеваног броја порта увелико смањује количину злонамерних покушаја повезивања које ће ваш рачунар примити. Ваше лозинке и безбедносне поставке морају да учине удаљену радну површину нерањивом без обзира на то који порт слуша, али можемо и да смањимо количину покушаја повезивања ако можемо.

Безбедност кроз нејасност: Промена подразумеваног РДП порта

Према заданим поставкама, удаљена радна површина слуша порт 3389. Одаберите пет-знаменкасти број мањи од 65535 који желите користити за прилагођени број порта удаљене радне површине. Имајући на уму тај број, отворите уређивач регистратора тако што ћете уписати "регедит" у Рун промпт или у Старт мени.

Када се отвори Регистри Едитор, проширите ХКЕИ_ЛОЦАЛ_МАЦХИНЕ> СИСТЕМ> ЦуррентЦонтролСет> Контрола> Терминал Сервер> ВинСтатионс> РДП-Тцп> па двапут кликните на "ПортНумбер" у прозору на десној страни.

Када је кључ регистра ПортНумбер отворен, изаберите "Децимални" на десној страни прозора, а затим унесите пет цифара под "Подаци о вредности" на левој страни.

Кликните на дугме У реду, а затим затворите уређивач регистратора.

Пошто смо променили подразумевани порт који користи Ремоте Десктоп, мораћемо да конфигуришемо Виндовс заштитни зид да прихвати долазне везе на том порту. Идите на почетни екран, потражите “Виндовс Фиревалл” и кликните на њега.

Када се отвори Виндовс заштитни зид, кликните на „Напредне поставке“ на левој страни прозора. Затим десним кликом на “Инбоунд Рулес” и одаберите “Нев Руле”.

Појавиће се “Нев Инбоунд Руле Визард” (Чаробњак за ново улазно правило), изаберите Порт и кликните следећи. На следећем екрану проверите да ли је изабран ТЦП, а затим унесите број порта који сте изабрали раније, а затим кликните на дугме Следећи. Кликните на следећа два пута зато што ће подразумеване вредности на следећим пар страницама бити у реду. На последњој страни изаберите име за ово ново правило, као што је „Цустом РДП порт“, а затим кликните на дугме „заврши“.

Ласт Степс

Рачунар би сада требало да буде доступан на вашој локалној мрежи, само наведите или ИП адресу машине или њено име, након чега следи двоточка и број порта у оба случаја, на пример:

Да бисте приступили рачунару изван мреже, вероватно ћете морати да проследите порт на рутеру. Након тога, рачунар би требало да буде удаљено доступан са било ког уређаја који има клијента удаљене радне површине.

Ако се питате како можете да пратите ко се пријављује на ваш рачунар (и одакле), можете да отворите Прегледач догађаја да бисте видели.

Када се отвори прегледач догађаја, проширите ставку Апликације и услуге Записи> Мицрософт> Виндовс> ТерминалСервицес-ЛоцалСессионМангер, а затим кликните Оперативни.

Кликните на било који догађај у десном окну да бисте видели информације за пријављивање.