Ako povoliť a zabezpečiť vzdialenú pracovnú plochu v systéme Windows
Zatiaľ čo existuje veľa alternatív, vzdialená pracovná plocha spoločnosti Microsoft je perfektnou možnosťou prístupu k iným počítačom, ale musí byť riadne zabezpečená. Po zavedení odporúčaných bezpečnostných opatrení je Vzdialená plocha výkonným nástrojom pre používateľa a umožňuje vyhnúť sa inštalácii aplikácií tretích strán pre tento typ funkcií.
Táto príručka a screenshoty, ktoré ju sprevádzajú, sú vytvorené pre operačný systém Windows 8.1 alebo Windows 10. Pokiaľ však používate jedno z týchto verzií systému Windows, mali by ste túto príručku sledovať:
- Windows 10 Professional
- Windows 8.1 Pro
- Windows 8.1 Enterprise
- Windows 8 Enterprise
- Windows 8 Pro
- Windows 7 Professional
- Windows 7 Enterprise
- Windows 7 Ultimate
- Windows Vista Business
- Windows Vista Ultimate
- Windows Vista Enterprise
- Windows XP Professional
Povolenie vzdialenej pracovnej plochy
Po prvé, musíme povoliť funkciu Vzdialená pracovná plocha a vybrať, ktorí používatelia majú vzdialený prístup k počítaču. Stlačením klávesu Windows + R zobrazte výzvu na spustenie a zadajte príkaz "sysdm.cpl".
Ďalším spôsobom, ako sa dostať do rovnakej ponuky je zadanie "Tento počítač" v ponuke Štart, kliknite pravým tlačidlom myši na "Tento počítač" a prejdite na položku Vlastnosti:
V obidvoch prípadoch sa zobrazí toto menu, kde musíte kliknúť na kartu Vzdialené:
Vyberte možnosť Povoliť vzdialené pripojenia k tomuto počítaču a možnosť pod ním: Povoliť pripojenia iba z počítačov, na ktorých je spustená služba Vzdialená pracovná plocha s overovaním na úrovni siete.
Nie je potrebné vyžadovať overenie úrovne na úrovni siete, ale tým sa váš počítač stáva bezpečnejším tým, že vás ochráni pred Man Middle Attack. Systémy, ktoré sú už staré ako Windows XP, sa môžu pripojiť k hostiteľom s autentifikáciou na úrovni siete, takže nie je dôvod ho nepoužívať.
Keď povolíte funkciu Vzdialená pracovná plocha, môžete dostať varovanie o možnostiach napájania:
Ak áno, uistite sa, že kliknete na prepojenie na položku Možnosti napájania a nakonfigurujete svoj počítač tak, aby nespĺňal alebo nespánal. Ak potrebujete pomoc, prečítajte si náš článok o správe nastavení napájania.
Ďalej kliknite na "Vybrať používateľov".
Všetky účty v skupine Administrators už budú mať prístup. Ak potrebujete získať prístup k vzdialenej pracovnej ploche všetkým ostatným používateľom, stačí kliknúť na tlačidlo "Pridať" a zadať používateľské mená.
Kliknutím na položku Kontrola mien overte správne zadanie používateľského mena a potom kliknite na tlačidlo OK. Kliknite na OK v okne Vlastnosti systému.
Zabezpečenie vzdialenej pracovnej plochy
Počítač je v súčasnosti pripojiteľný prostredníctvom vzdialenej pracovnej plochy (iba v miestnej sieti, ak ste za routerom), ale existujú aj ďalšie nastavenia, ktoré potrebujeme nakonfigurovať, aby sme dosiahli maximálnu bezpečnosť.
Najskôr sa zamyslite sa nad očividným. Všetci používatelia, ktorým ste poskytli prístup k vzdialenej ploche, musia mať silné heslá. Existuje veľa robotov, ktorí neustále skenujú internet pre zraniteľné počítače so vzdialenou pracovnou plochou, takže nepodceňujte dôležitosť silného hesla. Použite viac ako osem znakov (odporúča sa 12 alebo viac) s číslami, malými a veľkými písmenami a špeciálnymi znakmi.
Prejdite do ponuky Štart alebo otvorte výzvu na spustenie (Windows Key + R) a zadajte "secpol.msc" a otvorte ponuku Local Security Policy.
Keď tam nájdete, rozbaľte položku "Miestne pravidlá" a kliknite na "Priradenie práv používateľov".
Dvakrát kliknite na položku "Povoliť prihlásenie prostredníctvom služieb vzdialenej pracovnej plochy" uvedené vpravo.
Odporúčame odstrániť obe skupiny už uvedené v tomto okne, administrátorov a používateľov vzdialenej pracovnej plochy. Potom kliknite na položku Pridať používateľ alebo skupinu a ručne pridajte používateľov, ktorým chcete prideliť prístup k vzdialenej ploche. To nie je zásadný krok, ale poskytuje väčšiu moc, cez ktorú účty sa môže použiť vzdialená pracovná plocha. Ak z nejakého dôvodu z nejakého dôvodu vytvoríte nový účet správcu a zabudnete naň vložiť silné heslo, otvoríte počítač hackerom po celom svete, ak ste sa obťažovali, že z tejto obrazovky odstránite skupinu "Administrators".
Zatvorte okno miestnych bezpečnostných pravidiel a otvorte Editor lokálnych zásad skupiny zadaním príkazu "gpedit.msc" do poľa Spustiť alebo do ponuky Štart.
Keď sa otvorí Editor lokálnych zásad skupiny, rozbaľte položku Pravidlá pre počítače> Šablóny na správu> Komponenty systému Windows> Služby vzdialenej plochy> Hostiteľ relácie vzdialenej pracovnej plochy a potom kliknite na položku Zabezpečenie.
Dvakrát kliknite na ľubovoľné nastavenia v tomto menu a zmeňte ich hodnoty. Odporúčame meniť:
Nastavenie úrovne šifrovania klientskeho pripojenia - Nastavte túto úroveň na vysokú úroveň, aby boli relácie vzdialenej pracovnej plochy zabezpečené 128-bitovým šifrovaním.
Vyžadovať bezpečnú komunikáciu RPC - nastavte túto možnosť na hodnotu Enabled (Povolené).
Vyžadovať použitie špecifickej bezpečnostnej vrstvy pre vzdialené (RDP) pripojenia - Nastavte SSL (TLS 1.0).
Vyžadovať autentifikáciu používateľa pre vzdialené pripojenia pomocou autentifikácie na úrovni siete - nastavte túto možnosť na hodnotu Enabled (Povolené).
Po vykonaní týchto zmien môžete zavrieť Editor lokálnych zásad skupiny. Posledným bezpečnostným odporúčaním, ktoré máme, je zmena predvoleného portu, na ktorý je vzdialená pracovná plocha počúvaná. Toto je voliteľný krok a považuje sa za bezpečnosť prostredníctvom praktík zanedbania, ale faktom je, že zmena predvoleného čísla portu značne znižuje počet pokusov o zlomyseľné pripojenie, ktoré váš počítač dostane. Vaše heslo a nastavenia zabezpečenia musia robiť vzdialenú pracovnú plochu nezraniteľnou bez ohľadu na to, na akom portu počúva, ale môžeme tiež znížiť množstvo pokusov o pripojenie, ak môžeme.
Zabezpečenie prostredníctvom neprístupnosti: Zmena predvoleného portu RDP
V predvolenom nastavení program Vzdialená plocha počúva na portu 3389. Vyberte si päťmiestne číslo menšie ako 65535, ktoré chcete použiť pre vlastné číslo portu vzdialenej pracovnej plochy. S týmto číslom na mysli otvorte Editor databázy Registry zadaním príkazu "regedit" do poľa Spustiť alebo v ponuke Štart.
Keď sa otvorí Editor databázy Registry, rozbaľte položku HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Control> Terminal Server> WinStations> RDP-Tcp> a potom dvakrát kliknite na "PortNumber" v okne vpravo.
S otvoreným kľúčom databázy PortNumber zvoľte v pravom okne okienko "Decimal" a potom napíšte päťmiestne číslo pod "Hodnota údajov" vľavo.
Kliknite na tlačidlo OK a potom zatvorte Editor databázy Registry.
Keďže sme zmenili predvolený port, ktorý používa Vzdialenú plochu, budeme musieť nakonfigurovať Bránu firewall systému Windows na prijímanie prichádzajúcich spojení na tomto portu. Prejdite na úvodnú obrazovku, vyhľadajte "Brána firewall systému Windows" a kliknite na ňu.
Keď sa otvorí brána Windows Firewall, kliknite na "Rozšírené nastavenia" na ľavej strane okna. Potom kliknite pravým tlačidlom na "Prichádzajúce pravidlá" a zvoľte "Nové pravidlo".
Zobrazí sa okno "Prvý vstupný sprievodca pravidlami", vyberte port a kliknite na tlačidlo Ďalej. Na ďalšej obrazovke skontrolujte, či je vybratá možnosť TCP a zadajte číslo portu, ktoré ste si vybrali skôr, a potom kliknite na tlačidlo Ďalej. Ďalšie dva ďalšie kliknutia, pretože predvolené hodnoty na ďalších pár stranách budú v poriadku. Na poslednej stránke vyberte názov pre toto nové pravidlo, napríklad "Vlastný port RDP", a potom kliknite na tlačidlo Dokončiť.
Posledné kroky
Váš počítač by mal byť teraz dostupný v lokálnej sieti, stačí zadať buď adresu IP zariadenia alebo názov zariadenia, za ktorým nasleduje dvojbodka a číslo portu v oboch prípadoch, napríklad:
Ak chcete pristupovať k počítaču mimo vašej siete, budete pravdepodobne musieť presmerovať port na smerovači. Potom by mal byť počítač vzdialene dostupný z akéhokoľvek zariadenia, ktoré má klienta vzdialenej pracovnej plochy.
Ak sa zaujímate o to, ako môžete sledovať, kto sa prihlasuje do vášho počítača (a odkiaľ), môžete otvoriť prehliadač udalostí, ktorý chcete vidieť.
Po otvorení aplikácie Zobrazovač udalostí rozbaľte položku Denníky aplikácií a služieb> Microsoft> Windows> TerminalServices-LocalSessionManger a potom kliknite na položku Operačné.
Kliknutím na ľubovoľnú udalosť v pravom paneli zobrazíte prihlasovacie informácie.