If-Koubou

Miten sallitaan ja suojataan etätyöpöytä Windowsissa

Miten sallitaan ja suojataan etätyöpöytä Windowsissa (Miten)

Vaikka monia vaihtoehtoja onkin, Microsoftin etätyöpöytä on täysin kannattava vaihtoehto muiden tietokoneiden käyttämiselle, mutta se on suojattava asianmukaisesti. Kun suositellut turvatoimet ovat käytössä, etätyöpöytä on tehokas työkalu, jota geeksit käyttävät, ja voit välttää kolmannen osapuolen sovellusten asentamista tällaisiin toimintoihin.

Tämä opas ja siihen liitetyt kuvakaappaukset on tehty Windows 8.1: n tai Windows 10: n kanssa. Voit kuitenkin seurata tätä oppaaa, kun käytät yhtä näistä Windows-versiosta:

  • Windows 10 Professional
  • Windows 8.1 Pro
  • Windows 8.1 Enterprise
  • Windows 8 Enterprise
  • Windows 8 Pro
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
  • Windows Vista Business
  • Windows Vista Ultimate
  • Windows Vista Enterprise
  • Windows XP Professional

Etätyöpöydän käyttöönotto

Ensinnäkin meidän on otettava käyttöön etätyöpöytä ja valittava käyttäjät, joilla on etäyhteys tietokoneeseen. Paina Windows-näppäin + R saadaksesi Run-kehotteen ja kirjoittamalla "sysdm.cpl".

Toinen tapa päästä samaan valikkoon on kirjoittaa "Tämä tietokone" Käynnistä-valikosta, napsauta hiiren kakkospainikkeella "Tämä tietokone" ja siirry Ominaisuudet:

Jokainen tapa tuo esiin tämän valikon, jossa sinun on klikattava Etä-välilehteä:

Valitse "Salli etäyhteydet tähän tietokoneeseen" ja sen alla oleva vaihtoehto "Salli yhteydet vain tietokoneista, joissa on etätyöpöytä ja verkkotason todennus".

Ei ole välttämätöntä vaatia verkkotason todentamista, mutta tekemällä näin tietokoneesi on turvallisempi suojaamalla sinua Lähi-iskujen mieheltä. Järjestelmät, jotka ovat yhtä vanhat kuin Windows XP, voivat muodostaa yhteyden isännöille, joilla on verkkotason tunnistus, joten ei ole mitään syytä olla käyttämättä sitä.

Saatat saada varoituksen tehovalikoistasi, kun ottaa käyttöön etätyöpöytä:

Jos näin on, varmista, että napsautat linkkiä Virranhallinta-asetuksiin ja määritä tietokoneesi niin, ettei se nukahdu tai nukahda. Katso artikkeli sähköisten asetusten hallinnasta, jos tarvitset apua.

Napsauta sitten Valitse käyttäjät.

Järjestelmänvalvojat-ryhmän tileillä on jo pääsy. Jos haluat antaa Remote Desktop -yhteyden muille käyttäjille, napsauta "Lisää" ja kirjoita käyttäjätunnukset.

Varmista, että käyttäjätunnus on kirjoitettu oikein ja valitse OK. Napsauta OK myös Järjestelmän ominaisuudet -ikkunassa.

Etätyöpöydän suojaaminen

Tietokoneesi on tällä hetkellä yhdistettävissä etätyöpöydän kautta (vain paikallisessa verkossa, jos olet reitittimen takana), mutta on olemassa joitakin asetuksia, jotka meidän on määritettävä, jotta voimme saavuttaa mahdollisimman suuren tietoturvan.

Ensin käsitellään selkeää. Kaikki käyttäjät, jotka annoit Etätyöpöytäyhteyden, tarvitsevat vahvoja salasanoja. On olemassa paljon robotteja, jotka jatkuvasti skannaavat Internetiä Haavoittuvassa asemassa oleville tietokoneille, jotka käyttävät Remote Desktopia, joten älä aliarvioi vahvan salasanan merkitystä. Käytä yli kahdeksan merkkiä (12+ suositellaan), joissa on numeroita, pieniä ja isoja kirjaimia sekä erikoismerkkejä.

Siirry Käynnistä-valikkoon tai avaa Suorita-kehote (Windows-näppäin + R) ja kirjoita "secpol.msc" avataksesi Paikallinen suojauspolitiikan valikko.

Kun olet siellä, laajenna "Paikalliset käytännöt" ja napsauta "Käyttäjien oikeuksien määrittäminen".

Kaksoisnapsauta oikealla näkyvää "Salli logi etätyöpöytäpalvelujen käytäntö" -linkkiä.

Suosittelemme poistamaan molemmat tässä ikkunassa jo mainitut ryhmät, järjestelmänvalvojat ja etätyöpöytätietokoneet. Sen jälkeen klikkaa "Lisää käyttäjä tai ryhmä" ja lisää manuaalisesti käyttäjät, jotka haluat avata etätyöpöytäyhteyden. Tämä ei ole tärkeä askel, mutta se antaa sinulle enemmän valtaa, mitä tilejä käytetään etätyöpöydän käyttöön. Jos tulevaisuudessa Järjestelmänvalvojan tili uusiin syihin ja unohdat antaa vahvan salasanan, avaat tietokoneesi hakkereille ympäri maailmaa, jos et koskaan häiritse poistamista "Järjestelmänvalvojat" -ryhmästä tästä näytöstä. .

Sulje Paikallinen turvallisuuspolitiikka -ikkuna ja avaa paikallisen ryhmäkäytäntöeditori kirjoittamalla "gpedit.msc" joko Käynnistä-kehotteeseen tai Käynnistä-valikkoon.

Kun paikallisen ryhmäkäytäntöeditori avautuu, laajenna Tietokäytäntö> Hallintomallit> Windows-komponentit> Etäkäyttöpalvelut> Etäkäyttöliittymän isäntä ja valitse sitten Suojaus.

Muuta arvojasi kaksoisnapsauttamalla mitä tahansa tämän valikon asetuksia. Suosittelemme vaihtoa:

Aseta asiakkaan yhteyden salaustaso - Aseta tämä asetukseksi High Level (High Level) niin, että etätietokoneesi istunnot ovat suojattuja 128-bittisellä salauksella.

Vaadi suojattu RPC-viestintä - Aseta tämä asetukseksi Käytössä.

Vaaditaan tietyn tietoturvakerroksen käyttämistä etäyhteyksiin (RDP) - Aseta tämä SSL: ään (TLS 1.0).

Vaaditaan etäyhteyksien käyttäjätunnistus käyttämällä verkkotason todentamista - Aseta tämä asetukseksi Käytössä.

Kun muutokset on tehty, voit sulkea paikallisen ryhmäkäytännön muokkauksen. Viimeinen turvallisuussuositus on muuttaa oletusportti, jota Remote Desktop kuuntelee. Tämä on valinnainen vaihe ja sitä pidetään tietoturvana hämärtymismallin avulla, mutta tosiasia on, että oletussatamäärän muuttaminen vähentää merkittävästi tietokoneesi saamien haittaohjelmien yhteysyritysten määrää. Salasanasi ja suojausasetuksissasi pitää tehdä etätietokone haavoittumattomaksi riippumatta portista, jota se kuuntelee, mutta voimme myös pienentää yhteysyritysten määrää.

Tietoturva epävarmuuden kautta: oletusrpportin muuttaminen

Oletusarvoisesti Remote Desktop kuuntelee porttia 3389. Valitse viisimerkkinen numero, joka on pienempi kuin 65535, jota haluat käyttää mukautetulla etätyöpöytätietoportilla. Nähdäksesi tämän numeron, avaa Rekisterieditori kirjoittamalla "regedit" Suorita-kehotteeseen tai Käynnistä-valikkoon.

Kun Registry Editor avautuu, laajenna HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Ohjaus> Terminal Server> WinStations> RDP-Tcp> kaksoisnapsauta sitten "PortNumber" oikealla ikkunassa.

Kun PortNumber-rekisteriavain avautuu, valitse ikkunan oikeasta reunasta "Decimal" ja kirjoita sitten viisimerkkinumero vasemmalla olevasta Arvon tiedot -luettelosta.

Napsauta OK ja sulje sitten Rekisterieditori.

Koska olemme muuttaneet etätyöpöydän oletusporttia, meidän on määritettävä Windowsin palomuuri hyväksymällä saapuvat yhteydet kyseisellä portilla. Siirry aloitusnäyttöön, etsi "Windowsin palomuuri" ja napsauta sitä.

Kun Windowsin palomuuri avautuu, napsauta ikkunan vasemmalla puolella olevaa Lisäasetukset-painiketta. Napsauta hiiren kakkospainikkeella "Saapuvat säännöt" ja valitse "Uusi sääntö".

Näyttöön avautuu "New Inbound Rule Wizard", valitse Port ja napsauta seuraavaksi. Varmista seuraavalla näytöllä, että TCP on valittuna ja kirjoita sitten valitsemaasi porttinumero ja napsauta sitten seuraavaksi. Napsauta seuraavia kahta muuta kertaa, koska seuraavien sivujen oletusarvot ovat kunnossa. Valitse viimeisellä sivulla uusi sääntö, kuten "Mukautettu RDP-portti", ja valitse sitten viimeistely.

Viimeiset vaiheet

Tietokoneesi on nyt oltava käytettävissä lähiverkossa, määritä joko laitteen IP-osoite tai sen nimi, jonka jälkeen kaksoispiste ja portin numero molemmissa tapauksissa, kuten:

Jos haluat käyttää tietokonetta verkon ulkopuolelta, sinun on todennäköisesti välitettävä reitittimen portti. Tämän jälkeen tietokoneesi tulee olla etäyhteyden kautta mistä tahansa laitteesta, jolla on etätyöpöytäasiakasohjelma.

Jos mietit, kuinka voit seurata, kuka kirjautuu tietokoneeseen (ja mistä), voit avata tapahtumien katseluohjelman nähdäksesi.

Kun olet avannut tapahtumien tarkasteluohjelman, laajenna Sovellukset ja palvelut-lokit> Microsoft> Windows> TerminalServices-LocalSessionManger ja napsauta sitten Operational.

Napsauta mitä tahansa oikeanpuoleisesta ruudusta tapahtuvia tapahtumia nähdäksesi kirjautumistietosi.