Как включить и безопасно использовать Remote Desktop на Windows

В то время как существует масса различных альтернатив, Remote Desktop от Microsoft является идеальным вариантом доступа к другому компьютеру, однако программа должна использоваться правильно. В целом, Remote Desktop является мощным инструментом, который позволяет избежать установки сторонних приложений для данного типа функциональности.

Это руководство и скриншоты сделаны для Windows 8.1, но вы можете следовать этой инструкции и в том случае, если используете представленные ниже версии операционной системы:

Во-первых, нужно включить Remote Desktop и выбрать пользователей, которым будет открыт удаленный доступ к компьютеру. Нажмите сочетание клавиш Windows + R, чтобы открыть строку запуска, и введите «sysdm.cpl».

Еще один способ включения данного меню – перейти в «Мой компьютер» и нажать «Свойства»:

В любом из данных случаев вы попадете в указанное меню, где нужно нажать на вкладку Remote:

Выберите пункт «Разрешить удаленное соединение с этим компьютером», а также, «Разрешить подключение компьютеров с запущенным Remote Desktop с сетевым уровнем аутентификации».

Проверка подлинности уровня сети не обязательна, но она предоставляет пользователю дополнительные меры безопасности, защищая вас от атак. Даже старые системы, такие как Windows XP могут подключиться к узлам сетевого уровня аутентификации, поэтому, нет никаких причин, чтобы не использовать функцию на ней. 

Вероятно, вы сможете получить предупреждение о настройках питания при включении Remote Desktop:

Если вы получили такое сообщение, нажмите на ссылку параметров электропитания, и настройте компьютер таким образом, чтобы он не мог уйти в спящий режим. 

Далее, нажмите на кнопку «Выбрать пользователей».

Любые аккауны из группы Администраторов уже будут иметь доступ. Если вам нужно дать удаленный доступ другим пользователям, просто нажмите «Добавить» и введите имена нужных пользователей.

Нажмите на кнопку «Проверить имена», чтобы проверить, правильно ли введено имя пользователя и нажмите «Ок». В окне свойств также нажмите кнопку «Ок». 

 

Компьютер, на данный момент, будет подключен через удаленный доступ (только в вашей локальной сети, если вы используете роутер), однако есть еще несколько настроек, которые нужно установить для достижения максимальной безопасности.

 

Для начала, давайте установим очевидную настройку. Все пользователи, для которых вы открыли удаленный доступ, должны иметь надежные пароли.

 

Существует очень много различных ботов, которые сканируют Интернет для обнаружения уязвимых компьютеров с предоставленным удаленным доступом, поэтому, не стоит недооценивать важность установки надежного пароля. Используйте более 8 символов (рекомендуется создать пароль из 12 или более символов) с номерами, строчными и прописными буквами, и спецсимволами. 

 

Перейдите в меню «Пуск» или откройте строку запуска (кнопка Windows + R) и введите «secpol.msc», чтобы открыть меню локальной безопасности.

Перейдя в меню, раскройте «Локальные настройки», и нажмите на пункт «Назначение прав пользователей».

Дважды нажмите на пункт «Разрешить вход в систему с помощью служб удаленного доступа», расположенный справа.

Мы также советуем вам удалить обе группы, указанные в данном окне: Администраторов и пользователей с удаленным доступом. После этого, нажмите кнопку «Добавить пользователя или группу», и вручную добавьте пользователей, которым нужно предоставить удаленный доступ. Эти действия не являются обязательным шагом, но дают вам больше прав над профилями, для которых вы открываете доступ. Если в будущем вы создадите новую учетную запись администратора, и не поставите надежный пароль, доступ к вашему компьютеру будет практически открыт для хакеров со всего мира. 

 

Закройте окно локальных настроек безопасности и откройте редактор локальных настроек групп, набрав в строке «Пуска» или программе «Выполнить» строку «gpedit.msc».

Когда откроется редактор локальных настроек групп, разверните Настройки компьютера > Административные шаблоны > Компоненты Windows > Службы удаленного доступа > Хост сеансов удаленного доступа, и затем выберите пункт «Безопасность».

Дважды нажмите на любые настройки в данном меню, чтобы изменить их значения. Вот список настроек, которые мы рекомендуем изменить:

Установите уровень шифрования соединения клиента – Высокий уровень, чтобы ваши сеансы удаленного доступа были обеспечены 128-битным шифрованием.

Требование безопасности связи RPC  - установить на «Включено».

 

Требование использования специального уровня безопасности для удаленных (RDP) соединений – установить на SSL (TLS 1.0).

 

Требование проверки аутентификации пользователя для удаленных подключений с использованием уровня сетевой аутентификации – установить на «Включено».

 

После того, как эти изменения были сделаны, можно закрыть редактор локальных настроек групп. Последняя рекомендация безопасности, которой мы с вами поделимся – это изменение порта по умолчанию, на котором находится удаленное управление. Этот шаг также не считается обязательным и считается лишь улучшением безопасности исходя из практики. Однако дело в том, что изменение номера порта по умолчанию значительно уменьшает количество попыток несанкционированного подключения, которые будут попадать на ваш компьютер. Ваш пароль и настройки безопасности позволяют сделать удаленный доступ неуязвимым, вне зависимости от порта, на котором он находится, однако с помощью данного шага можно уменьшить количество попыток соединения.

 

По умолчанию к удаленному рабочему столу присвоен порт 3389. Выберите любой пятизначный номер (менее чем 65535), который вы бы хотели использовать для вашего порта удаленного доступа. Запомнив этот номер, откройте редактор реестра, набрав в меню «Пуск» или программе «Выполнить» строку «Regedit». 

Когда откроется редактор реестра, разверните HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Control > Terminal Server > WinStations > RDP-Tcp, и дважды кликните на «PortNumber» в окне справа.

С открытым «PortNumber» ключем реестра выберите «Decimal» в правой стороне окна и введите тот самый пятизначный код порта в «Value data» в левой части.

Нажмите кнопку «Ок», и закройте редактор реестра.

 

Так как мы изменили порт по умолчанию, который используется в удаленном доступе, следует настроить брандмауэр Windows для приема входящих соединений к новому порту. Перейдите на начальный экран настроек управления и найдите в нем брандмауэр Windows.

После открытия брандмауэра, нажмите на «Дополнительные параметры» в левой части окна. После этого, нажмите правой кнопкой мыши на «Входящие правила» и выберите «Новое правило».

Перед вами появится «Мастер создания новых входящих правил», в котором вам необходимо выбрать нужный порт и нажать клавишу «Далее». На следующем экране убедитесь, что TCP является выбранным, после чего введите номер порта, который вы выбрали ранее и вводили в редакторе реестра, после чего снова нажмите «Далее». Еще два раза нажмите «Далее», так как стандартные значения в этих меню будут подходящими. На последней странице вам необходимо назвать данное правило, например «Созданный RDP порт», после чего нажмите на «Готово».

 

Теперь ваш компьютер должен быть доступен в локальной сети. Просто укажите либо IP-адрес, либо название компьютера, и через двоеточие пропишите порт, как это показано на скриншоте:

Чтобы получить доступ к компьютеру из внешней сети, вам, скорее всего, нужно перенаправить порт на маршрутиризаторе. После этого, на ваш компьютер должен быть получен удаленный доступ с любого устройства, где установлен клиент Remote Desktop.

 

Если вам интересно отслеживание того, кто входит на ваш компьютер и откуда, следует просто открыть окно просмотра событий, чтобы увидеть всю информацию.

Когда вы откроете окно просмотра событий, раскройте Журналы приложений и служб > Microsoft > Windows > TerminalServices-LocalSessionManger, и кликните на Operational.

Нажмите на любое из событий в правой части окна, чтобы увидеть информацию о входе.