Kako omogućiti i osigurati udaljenu radnu površinu na Windowsima
Iako postoji mnogo alternativa, Microsoftova Remote Desktop je savršena opcija za pristup drugim računalima, ali ona mora biti pravilno osigurana. Nakon preporučenih sigurnosnih mjera, udaljena radna površina moćan je alat za geekove koji će vam omogućiti da izbjegnete instaliranje aplikacija treće strane za tu vrstu funkcionalnosti.
Ovaj vodič i snimke zaslona koje prate napravljene su za Windows 8.1 ili Windows 10. Međutim, trebali biste moći pratiti ovaj vodič sve dok koristite neko od tih izdanja sustava Windows:
- Windows 10 Professional
- Windows 8.1 Pro
- Windows 8.1 Enterprise
- Windows 8 Enterprise
- Windows 8 Pro
- Windows 7 Professional
- Windows 7 Enterprise
- Windows 7 Ultimate
- Windows Vista Business
- Windows Vista Ultimate
- Windows Vista Enterprise
- Windows XP Professional
Omogućavanje udaljene radne površine
Prvo moramo omogućiti udaljenu radnu površinu i odabrati koji korisnici imaju udaljeni pristup računalu. Pritisnite tipku Windows + R da biste prikazali prompt za pokretanje i upišite "sysdm.cpl."
Drugi način da dođete do istog izbornika je da upišete “Ovo računalo” u izbornik Start, kliknete desnom tipkom “Ovo računalo” i idite na Svojstva:
U svakom slučaju pojavit će se ovaj izbornik, gdje trebate kliknuti na karticu Udaljeno:
Odaberite "Omogući udaljene veze s ovim računalom" i opciju ispod, "Dopusti veze samo s računalima na kojima se koristi udaljena radna površina s provjerom autentičnosti na razini mreže"
Nije nužno zahtijevati provjeru autentičnosti na razini mreže, ali to čini vaše računalo sigurnijim tako što vas štiti od napadača Man in the Middle. Sustavi koji su stari čak i Windows XP mogu se povezati s hostovima pomoću provjere autentičnosti na razini mreže, tako da nema razloga da se ne koristi.
Kada omogućite udaljenu radnu površinu, možete dobiti upozorenje o opcijama napajanja:
Ako je tako, provjerite jeste li kliknuli vezu na Mogućnosti napajanja i konfigurirali računalo tako da ne zaspi ili hibernira. Pogledajte naš članak o upravljanju postavkama napajanja ako vam je potrebna pomoć.
Zatim kliknite "Odaberi korisnike".
Svi računi u grupi Administratori već imaju pristup. Ako želite omogućiti pristup udaljenoj radnoj površini drugim korisnicima, samo kliknite "Dodaj" i upišite korisnička imena.
Kliknite "Provjeri imena" kako biste provjerili je li korisničko ime ispravno upisano, a zatim kliknite U redu. Kliknite U redu na prozoru Svojstva sustava.
Osiguravanje udaljene radne površine
Vaše se računalo trenutačno može povezati putem udaljene radne površine (samo na vašoj lokalnoj mreži ako se nalazite iza usmjerivača), ali postoji još nekoliko postavki koje moramo konfigurirati kako bismo postigli maksimalnu sigurnost.
Najprije se pozabavimo očiglednim. Svi korisnici kojima ste dodijelili pristup udaljenoj radnoj površini trebaju imati jake zaporke. Postoji mnogo robota koji stalno skeniraju internet za ranjiva računala s udaljenom radnom površinom, stoga nemojte podcjenjivati važnost jake lozinke. Koristite više od osam znakova (preporučuje se 12+) s brojevima, malim i velikim slovima i posebnim znakovima.
Idite na izbornik Start ili otvorite prompt za pokretanje (Windows tipka + R) i upišite "secpol.msc" da biste otvorili izbornik lokalne sigurnosne politike.
Kad ste tamo, proširite "Lokalne politike" i kliknite "Dodjela korisničkih prava".
Dvaput kliknite na politiku "Dopusti prijavu putem usluga udaljene radne površine" koja je navedena na desnoj strani.
Naša je preporuka da uklonite obje grupe koje su već navedene u ovom prozoru, administratori i korisnici udaljene radne površine. Nakon toga kliknite "Dodaj korisnika ili grupu" i ručno dodajte korisnike kojima želite dodijeliti pristup udaljenoj radnoj površini. Ovo nije bitan korak, ali vam daje veću moć nad računima za korištenje udaljene radne površine. Ako ubuduće iz nekog razloga napravite novi administratorski račun i zaboravite staviti na njega jaku zaporku, otvarate računalo do hakera širom svijeta ako se nikada niste potrudili ukloniti grupu "Administratori" s ovog zaslona..
Zatvorite prozor Lokalna sigurnosna politika i otvorite Uređivač lokalnih grupnih pravila tako da upišete "gpedit.msc" u prompt za pokretanje ili izbornik Start.
Kada se otvori Uređivač lokalnih grupnih pravila, proširite Pravila računala> Administrativni predlošci> Komponente sustava Windows> Usluge udaljene radne površine> Domaćin sesije udaljene radne površine, a zatim kliknite Sigurnost.
Dvaput kliknite na bilo koju postavku u ovom izborniku da biste promijenili njihove vrijednosti. Preporučujemo da promijenite:
Postavljanje razine šifriranja veze klijenta - postavite je na visoku razinu tako da su sesije udaljene radne površine osigurane 128-bitnom enkripcijom.
Zahtijeva sigurnu RPC komunikaciju - Postavite ovo na Omogućeno.
Zahtijevati upotrebu određenog sigurnosnog sloja za udaljene (RDP) veze - postavite to na SSL (TLS 1.0).
Zahtijevanje provjere autentičnosti korisnika za udaljene veze pomoću provjere autentičnosti na razini mreže - postavite ovo na Omogućeno.
Nakon što su te izmjene izvršene, možete zatvoriti uređivač pravila lokalnih grupa. Posljednja sigurnosna preporuka koju imamo je promjena zadanog porta na kojem Remote Desktop sluša. Ovo je neobavezan korak i smatra se sigurnošću kroz praksu nejasnosti, ali činjenica je da promjena zadanog broja porta uvelike smanjuje količinu zlonamjernih pokušaja povezivanja koje će vaše računalo primiti. Vaša zaporka i sigurnosne postavke moraju omogućiti udaljenu radnu površinu da postane neranjiv bez obzira na to koji priključak služi, ali možemo i smanjiti količinu pokušaja povezivanja ako možemo.
Sigurnost kroz nejasnoće: promjena zadanog RDP porta
Udaljena radna površina prema zadanim postavkama sluša na priključku 3389. Odaberite pet-znamenkasti broj manji od 65535 koji želite koristiti za svoj prilagođeni broj udaljenog radnog mjesta. S tim brojem na umu, otvorite Registry Editor tako da upišete "regedit" u Run prompt ili izbornik Start.
Kada se otvori Registry Editor, proširite HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Kontrola> Terminal Server> WinStations> RDP-Tcp>, a zatim dvaput kliknite na "PortNumber" u prozoru s desne strane.
Otvorite ključ registra PortNumber, odaberite "Decimalno" na desnoj strani prozora, a zatim upišite svoj pet-znamenkasti broj pod "Podaci o vrijednosti" na lijevoj strani.
Kliknite U redu, a zatim zatvorite Registry Editor.
Budući da smo promijenili zadani port koji koristi udaljena radna površina, morat ćemo konfigurirati Vatrozid za Windows da prihvaća dolazne veze na tom portu. Idite na početni zaslon, potražite "Vatrozid za Windows" i kliknite na njega.
Kada se Windows Firewall otvori, kliknite "Advanced Settings" (Napredne postavke) na lijevoj strani prozora. Zatim desnom tipkom miša kliknite na "Ulazna pravila" i odaberite "Novo pravilo".
Pojavit će se “New Inbound Rule Wizard” (Čarobnjak za novo ulazno pravilo), odaberite Port i kliknite sljedeći. Na sljedećem zaslonu provjerite je li odabran TCP, a zatim unesite broj priključka koji ste ranije odabrali, a zatim kliknite sljedeći. Kliknite sljedeća još dva puta jer će zadane vrijednosti na sljedećim par stranicama biti u redu. Na posljednjoj stranici odaberite naziv za ovo novo pravilo, kao što je "Prilagođeni RDP port", a zatim kliknite Završi.
Posljednji koraci
Računalo bi sada trebalo biti dostupno na vašoj lokalnoj mreži, samo navedite ili IP adresu stroja ili naziv, a nakon toga dvotočku i broj priključka u oba slučaja, na primjer:
Da biste pristupili računalu izvan vaše mreže, vjerojatno ćete morati proslijediti priključak na usmjerivaču. Nakon toga, računalo bi trebalo biti daljinski dostupno s bilo kojeg uređaja koji ima klijent udaljene radne površine.
Ako se pitate kako možete pratiti tko se prijavljuje na vaše računalo (i odakle), možete otvoriti preglednik događaja da biste vidjeli.
Kada otvorite Event Viewer, proširite stavku Aplikacije i usluge Zapisi> Microsoft> Windows> TerminalServices-LocalSessionManger, a zatim kliknite Operacijski.
Kliknite na bilo koji događaj u desnom oknu da biste vidjeli podatke za prijavu.