Távoli asztal engedélyezése és védelme a Windows rendszeren
Bár sok alternatíva létezik, a Microsoft Távoli asztala tökéletesen életképes megoldás más számítógépekhez való hozzáféréshez, de megfelelően kell biztosítani. Az ajánlott biztonsági intézkedések bevezetése után a Távoli asztal hatékony eszköz a használók számára, és lehetővé teszi, hogy ne telepítsen harmadik fél alkalmazásokat az ilyen típusú funkciókhoz.
Ez az útmutató és az azt kísérő képernyőképek a Windows 8.1 vagy a Windows 10 operációs rendszerre készültek. Azonban az alábbi útmutatót használja, ha a Windows egyik kiadását használja:
- Windows 10 Professional
- A Windows 8.1 Pro
- A Windows 8.1 Enterprise
- Windows 8 Enterprise
- Windows 8 Pro
- Windows 7 Professional
- Windows 7 Enterprise
- Windows 7 Ultimate
- Windows Vista Business
- Windows Vista Ultimate
- Windows Vista Enterprise
- Windows XP Professional
Távoli asztal engedélyezése
Először engedélyeznünk kell a Távoli asztalt, és kiválaszthatja, hogy mely felhasználók rendelkeznek távoli hozzáféréssel a számítógéphez. A Windows gomb + R gomb megnyomásával jelenítse meg a Futtatás parancsot, és írja be a „sysdm.cpl” parancsot.
Egy másik módja annak, hogy ugyanazt a menüt elérje, hogy a Start menübe írja be a „This PC” parancsot, kattintson jobb gombbal a „This PC” elemre, és menjen a Properties elemre:
Akárhogy is, ez a menü jelenik meg, ahol a Távoli lapra kell kattintania:
Válassza a „Távoli kapcsolatok engedélyezése ehhez a számítógéphez” lehetőséget és az alatta lévő opciót: „Csak a távoli asztali számítógépeket használó hálózatok engedélyezése hálózati szintű hitelesítéssel”.
Nem szükséges a hálózati szintű hitelesítés megkövetelése, de ennek köszönhetően a számítógép biztonságosabbá válik azáltal, hogy megvédi Önt az embertől a középső támadásokban. Olyan régi rendszerek, mint a Windows XP, csatlakozhatnak a Hálózati szintű hitelesítéssel rendelkező gépekhez, ezért nincs ok arra, hogy ne használja azt.
A távirányító bekapcsolásakor figyelmeztetést kaphat a tápellátás beállításairól:
Ha igen, győződjön meg róla, hogy rákattint a Power Options opcióra, és állítsa be a számítógépet, így nem alszik el vagy hibernál. Ha segítségre van szüksége, olvassa el cikkünket a teljesítménybeállítások kezeléséről.
Ezután kattintson a „Felhasználók kiválasztása” lehetőségre.
A Rendszergazdák csoport bármely fiókja már hozzáférhet. Ha a távoli asztali hozzáférést meg kell adnia más felhasználóknak, kattintson a „Hozzáadás” gombra, és írja be a felhasználóneveket.
A „Nevek ellenőrzése” gombra kattintva ellenőrizheti, hogy a felhasználónevet helyesen írta-e be, majd kattintson az OK gombra. Kattintson az OK gombra a Rendszer tulajdonságai ablakban is.
Távoli asztal védelme
A számítógép jelenleg távoli asztalon keresztül csatlakoztatható (csak a helyi hálózaton, ha egy útválasztó mögött van), de van még néhány beállítás, amelyet a maximális biztonság eléréséhez konfigurálnunk kell.
Először, nézzük meg a nyilvánvaló egyet. Azoknak a felhasználóknak, akiknek távoli asztali hozzáférést adtak, erős jelszavakat kell használnia. A távoli asztali számítógépet futtató sebezhető számítógépek számára sok olyan bot van, amely folyamatosan szkenneli az internetet, ezért ne becsülje alá az erős jelszó fontosságát. Használjon több mint nyolc karaktert (12+ ajánlott) számokkal, kis- és nagybetűkkel és speciális karakterekkel.
Lépjen a Start menübe, vagy nyissa meg a Futtatás parancsot (Windows Key + R), és írja be a „secpol.msc” parancsot a helyi biztonsági házirend megnyitásához.
Egyszer ott, bontsa ki a „Helyi házirendek” elemet, majd kattintson a „Felhasználói jogok hozzárendelése” gombra.
Kattintson duplán a „Jelentkezzen be a távoli asztali szolgáltatások szolgáltatásai” házirendre a jobb oldalon.
Javasoljuk, hogy távolítsa el mindkét csoportot, amelyek már szerepelnek az ablakban, a Rendszergazdák és a Távoli asztali felhasználók. Ezután kattintson a „Felhasználó vagy csoport hozzáadása” lehetőségre, és kézzel hozzáadja azokat a felhasználókat, akikhez távoli asztali hozzáférést szeretne megadni. Ez nem lényeges lépés, de több hatalmat ad arra, hogy mely fiókok használhatók a Távoli asztal használatára. Ha a jövőben valamilyen oknál fogva új adminisztrátori fiókot készít, és elfelejtette, hogy erős jelszót helyez el rajta, akkor megnyitja a számítógépet a hackerek számára a világ minden tájáról, ha soha nem zavarta, hogy eltávolítja a „Rendszergazdák” csoportot ebből a képernyőn.
Zárja be a Helyi biztonsági házirend ablakot, és nyissa meg a Helyi csoportházirend-szerkesztőt a "gpedit.msc" beírásával a Futtatás vagy a Start menübe..
Amikor megnyílik a Helyi csoportházirend-szerkesztő, bontsa ki a Számítógép-házirend> Felügyeleti sablonok> Windows-összetevők> Távoli asztali szolgáltatások> Távoli asztali munkamenet-kiszolgáló parancsot, majd kattintson a Biztonság elemre..
Az értékek módosításához kattintson duplán a menü bármely beállítására. Azok, amelyeket javasoljuk megváltoztatni, a következők:
Állítsa be a kliens kapcsolat titkosítási szintjét - állítsa ezt magas szintre, így a távoli asztali munkamenetet 128 bites titkosítással biztosítják.
Biztonságos RPC kommunikáció igénylése - Állítsa be ezt az Engedélyezve értékre.
A távoli (RDP) kapcsolatokhoz speciális biztonsági réteg használata szükséges - Állítsa ezt SSL-re (TLS 1.0).
A hálózati szintű hitelesítés használatával a távoli kapcsolatok felhasználói hitelesítése szükséges - Állítsa be ezt az Engedélyezett értékre.
Miután ezek a módosítások megtörtént, bezárhatja a Helyi csoportházirend-szerkesztőt. Az utolsó biztonsági ajánlásunk az, hogy megváltoztassuk az alapértelmezett portot, amelyet a Távoli asztal hallgat. Ez egy opcionális lépés, és a bizonytalansági gyakorlat által védettnek tekinthető, de az az alap, hogy az alapértelmezett portszám megváltoztatása nagymértékben csökkenti a számítógép által megkapott rosszindulatú kapcsolódási kísérletek mennyiségét. A jelszavának és a biztonsági beállításoknak meg kell tenniük a Távoli asztalt sebezhetetlenné, függetlenül attól, hogy milyen portot hallgat, de csökkenthetjük a csatlakozási kísérletek mennyiségét is, ha tudjuk.
Biztonság az Obscurity-n keresztül: az alapértelmezett RDP-port módosítása
Alapértelmezés szerint a Távoli asztal figyeli a 3389-es portot. Válasszon ki egy ötjegyű számot, amely kevesebb, mint 65535, amelyet használni szeretne az egyéni Távoli asztali portszámhoz. Ezt a számot szem előtt tartva nyissa meg a regiszter-szerkesztőt a „regedit” beírásával a Futtatás parancssorba vagy a Start menübe.
A Rendszerleíróadatbázis-szerkesztő megnyitásakor bontsa ki a HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Control> Terminálkiszolgáló> WinStations> RDP-Tcp> elemet, majd kattintson a jobb oldali ablakban a „PortNumber” ikonra..
Nyissa meg a PortNumber rendszerleíró kulcsot, válassza ki az ablak jobb oldalán a „Decimal” lehetőséget, majd írja be az ötjegyű számot a bal oldalon lévő „Value data” értékre..
Kattintson az OK gombra, majd zárja be a rendszerleíróadatbázis-szerkesztőt.
Mivel megváltoztattuk az alapértelmezett portot, amelyet a Távoli asztal használ, konfigurálnunk kell a Windows tűzfalat, hogy elfogadja a beérkező kapcsolatokat az adott porton. Menjen a Start képernyőre, keresse meg a „Windows tűzfalat” és kattintson rá.
Amikor megnyílik a Windows tűzfal, kattintson az „Advanced Settings” (Speciális beállítások) elemre az ablak bal oldalán. Ezután kattintson jobb gombbal a „Bejövő szabályok” gombra, és válassza az „Új szabály” lehetőséget.
Az „Új bejövő szabály varázsló” felugrik, majd válassza a Port lehetőséget, majd kattintson a következőre. A következő képernyőn győződjön meg róla, hogy a TCP van kiválasztva, majd adja meg a korábban kiválasztott portszámot, majd kattintson a Tovább gombra. A következő két alkalommal kattintson a következőre, mert a következő pár oldalon az alapértelmezett értékek rendben lesznek. Az utolsó oldalon válassza ki az új szabály nevét, például az „Egyéni RDP-portot”, majd kattintson a Befejezés gombra.
Utolsó lépések
A számítógépnek mostantól hozzáférhetőnek kell lennie a helyi hálózaton, csak adja meg a készülék IP-címét vagy annak nevét, majd kettőspontot és a port számát mindkét esetben, így:
Ahhoz, hogy hozzáférjen a számítógépéhez a hálózatán kívül, valószínűleg többet kell továbbítania az útválasztó portját. Ezután a számítógép távolról hozzáférhető bármely távoli asztali ügyféllel rendelkező eszközről.
Ha kíváncsi, hogyan lehet nyomon követni, hogy ki jelentkezik be a számítógépére (és ahonnan), megnyithatja az Eseménynaplót, hogy megtekinthesse.
Miután megnyitotta az Eseménynaplót, bontsa ki az Alkalmazások és szolgáltatások naplók> Microsoft> Windows> Terminálszolgáltatások-LocalSessionManger elemet, majd kattintson az Operációs.
A bejelentkezési adatok megtekintéséhez kattintson a jobb oldali ablaktábla bármelyik eseményére.