כיצד לאפשר לאבטח שולחן עבודה מרוחק ב - Windows
אמנם יש חלופות רבות, שולחן העבודה המרוחק של מיקרוסופט הוא אפשרות מעשית לחלוטין עבור גישה למחשבים אחרים, אבל זה חייב להיות מאובטח כראוי. לאחר מומלץ אמצעי אבטחה נמצאים במקום, שולחן עבודה מרוחק הוא כלי רב עוצמה עבור Geeks להשתמש ומאפשר לך להימנע התקנת יישומים של צד שלישי עבור סוג זה של פונקציונליות.
מדריך זה וצילומי המסך המלווים אותו מיועדים ל- Windows 8.1 או ל- Windows 10. עם זאת, עליך להיות מסוגל לבצע את המדריך הזה כל עוד אתה משתמש באחת מהמהדורות הבאות של Windows:
- Windows 10 Professional
- Windows 8.1 Pro
- Windows 8.1 Enterprise
- Windows 8 Enterprise
- Windows 8 Pro
- חלונות 7
- חלונות 7
- Windows 7
- Windows Vista Business
- Windows 7
- Windows Vista Enterprise
- Windows XP Professional
הפעלת שולחן עבודה מרוחק
ראשית, עלינו להפעיל את 'שולחן עבודה מרוחק' ולבחור באילו משתמשים יש גישה מרחוק למחשב. לחץ על מקש Windows + R כדי להציג את הפקודה Run, והקלד "sysdm.cpl."
דרך נוספת להגיע לאותו תפריט היא להקליד "מחשב זה" בתפריט התחל שלך, לחץ לחיצה ימנית על "מחשב זה" וללכת מאפיינים:
כך או כך יביא את התפריט הזה, שבו אתה צריך ללחוץ על הכרטיסייה מרחוק:
בחר באפשרות "אפשר חיבורים מרוחקים למחשב זה" והאפשרות שמתחתיו, "אפשר חיבורים רק ממחשבים שבהם פועל שולחן עבודה מרוחק עם אימות ברמת הרשת".
זה לא הכרחי לדרוש אימות ברמת הרשת, אבל עושה את זה עושה את המחשב שלך מאובטח יותר על ידי הגנה עליך מפני אדם בהתקפות התיכון. מערכות אפילו ישן כמו Windows XP יכול להתחבר המארחים עם אימות ברמת הרשת, ולכן אין סיבה לא להשתמש בו.
ייתכן שתקבל אזהרה לגבי אפשרויות צריכת החשמל בעת הפעלת 'שולחן עבודה מרוחק':
אם כן, הקפד ללחוץ על הקישור לאפשרויות צריכת חשמל ולהגדיר את תצורת המחשב כך שהוא לא יירדם או שינה. עיין במאמר שלנו בנושא ניהול הגדרות צריכת חשמל אם אתה זקוק לעזרה.
לאחר מכן לחץ על 'בחר משתמשים'.
כל החשבונות בקבוצת Administrators כבר יקבלו גישה. אם עליך להעניק גישה לשולחן עבודה מרוחק לכל משתמש אחר, פשוט לחץ על "הוסף" והקלד את שמות המשתמשים.
לחץ על "בדוק שמות" כדי לוודא ששם המשתמש מוקלד כהלכה ולאחר מכן לחץ על אישור. לחץ על אישור בחלון מאפייני המערכת גם כן.
אבטחת שולחן עבודה מרוחק
המחשב שלך מחובר כעת דרך שולחן עבודה מרוחק (רק ברשת המקומית שלך אם אתה נמצא מאחורי נתב), אבל יש עוד כמה הגדרות שאנחנו צריכים להגדיר כדי להשיג אבטחה מקסימלית.
ראשית, בואו נדון אחד ברור. כל המשתמשים שנתת לגישה לשולחן עבודה מרוחק צריכים להיות בעלי סיסמאות חזקות. יש הרבה בוטים כל הזמן סורק את האינטרנט עבור מחשבים אישיים רגישים פועל שולחן עבודה מרוחק, אז לא לזלזל בחשיבות של סיסמה חזקה. השתמש ביותר משמונה תווים (מומלץ 12 +) עם מספרים, אותיות קטנות ואותיות גדולות ותווים מיוחדים.
עבור אל תפריט 'התחל' או פתח את הפקודה 'הפעלה' (Windows Key + R) והקלד secpol.msc כדי לפתוח את התפריט 'מדיניות אבטחה מקומית'.
לאחר מכן, הרחב את "מדיניות מקומית" ולחץ על "הקצאת משתמש".
לחץ לחיצה כפולה על המדיניות 'אפשר כניסה באמצעות שירותי שולחן עבודה מרוחק' המופיעה בצד שמאל.
המלצתנו היא להסיר את שתי הקבוצות שכבר מופיעות בחלון זה, מנהלי מערכת ומשתמשי שולחן עבודה מרוחק. לאחר מכן לחץ על 'הוסף משתמש או קבוצה' והוסף ידנית את המשתמשים שברצונך להעניק לגישה של שולחן עבודה מרוחק. זה לא צעד חיוני, אבל זה נותן לך יותר כוח על אילו חשבונות להגיע להשתמש שולחן עבודה מרוחק. אם בעתיד תיצור חשבון מנהל מערכת חדש מסיבה כלשהי ותשכח לשים עליו סיסמה חזקה, אתה פותח את המחשב שלך בפני האקרים ברחבי העולם אם לא טרח להסיר את קבוצת "מנהלי המערכת" ממסך זה.
סגור את חלון מדיניות האבטחה המקומית ופתח את עורך המדיניות הקבוצתית המקומית על-ידי הקלדת "gpedit.msc" לתוך שורת הפקודה או בתפריט התחלה.
כאשר עורך המדיניות הקבוצתית המקומי נפתח, הרחב את מדיניות המחשב> תבניות מנהליות> רכיבי Windows> שירותי שולחן עבודה מרוחק> מארח שולחן עבודה מרוחק ולאחר מכן לחץ על אבטחה.
לחץ פעמיים על כל ההגדרות בתפריט זה כדי לשנות את הערכים שלהם. אלה שאנו ממליצים לשנות הם:
הגדרת רמת הצפנה של חיבור לקוח - הגדר זאת לרמה גבוהה כך שהפעולות של שולחן העבודה המרוחק מאובטחות באמצעות הצפנה של 128 סיביות.
דרוש תקשורת מאובטחת של RPC - הגדר אפשרות זו ל - Enabled (מאופשר).
דרוש שימוש בשכבת אבטחה ספציפית עבור חיבורים מרוחקים (RDP) - הגדר זאת ל- SSL (TLS 1.0).
דרוש אימות משתמש עבור חיבורים מרוחקים באמצעות אימות רמת רשת - הגדר אפשרות זו ל - Enabled (מאופשר).
לאחר ביצוע שינויים אלה, באפשרותך לסגור את עורך המדיניות הקבוצתית המקומית. המלצת האבטחה האחרונה שיש לנו היא לשנות את יציאת ברירת המחדל ש- Remote Desktop מקשיב. זהו צעד אופציונלי ונחשב לאבטחה באמצעות תרגול של ערפול, אך העובדה היא ששינוי מספר היציאה המוגדר כברירת מחדל מקטין באופן משמעותי את כמות ניסיונות החיבור הזדוניים שהמחשב יקבל. סיסמתך והגדרות האבטחה שלך צריכות להפוך את שולחן העבודה המרוחק לפגיע, לא משנה באיזו יציאה הוא מקשיב, אך אנו עשויים גם להקטין את כמות ניסיונות החיבור אם נוכל.
אבטחה באמצעות ערפול: שינוי ברירת המחדל של יציאת RDP
כברירת מחדל, 'שולחן עבודה מרוחק' מקשיב ביציאה 3389. בחר מספר בן 5 ספרות פחות מ -65535 שברצונך להשתמש בו עבור מספר היציאה המותאם אישית של 'שולחן עבודה מרוחק'. עם מספר זה בחשבון, לפתוח את עורך הרישום על ידי הקלדת "regedit" להפעלה או תפריט התחל.
כאשר עורך הרישום נפתח, הרחב את HKEY_LOCAL_MACHINE> System> CurrentControlSet> Control> Terminal Server> WinStations> RDP-Tcp> ולאחר מכן לחץ לחיצה כפולה על "PortNumber" בחלון מימין.
כאשר מפתח הרישום PortNumber פתוח, בחר "עשרוני" בצד ימין של החלון ולאחר מכן הקלד את מספר חמש ספרות תחת "נתוני ערך" בצד שמאל.
לחץ על אישור ולאחר מכן סגור את עורך הרישום.
מאחר ששינינו את יציאת ברירת המחדל ש- Remote Desktop משתמש בה, אנו צריכים להגדיר את חומת האש של Windows כדי לקבל חיבורים נכנסים ביציאה זו. עבור למסך התחל, חפש את "חומת האש של Windows" ולחץ עליה.
כאשר חומת האש של Windows נפתחת, לחץ על "הגדרות מתקדמות" בצד שמאל של החלון. לאחר מכן לחץ לחיצה ימנית על "כללים נכנסים" ובחר "כלל חדש".
"אשף כללי נכנס חדש" יופיע, בחר Port ולחץ על הבא. במסך הבא, ודא ש- TCP נבחר ולאחר מכן הזן את מספר היציאה שבחרת קודם לכן ולאחר מכן לחץ על הבא. לחץ על הבא שתי פעמים נוספות כי ערכי ברירת המחדל בדפים הבאים יהיו בסדר. בעמוד האחרון, בחר שם עבור כלל חדש זה, כגון "יציאה מותאמת אישית של RDP" ולאחר מכן לחץ על סיום.
צעדים אחרונים
המחשב שלך אמור להיות זמין כעת ברשת המקומית שלך, פשוט ציין את כתובת ה- IP של ההתקן או את שמו, ולאחר מכן את המעי הגס ואת מספר היציאה בשני המקרים, כך:
כדי לגשת למחשב שלך מחוץ לרשת שלך, סביר להניח שתצטרך להעביר את היציאה בנתב שלך. לאחר מכן, המחשב שלך צריך להיות נגיש מרחוק מכל מכשיר בעל לקוח Remote Desktop.
אם אתה תוהה איך אתה יכול לעקוב אחר מי נכנס למחשב (ומאיפה), אתה יכול לפתוח את מציג האירועים כדי לראות.
לאחר פתיחת 'מציג האירועים', הרחב את יומני היישומים והשירותים> Microsoft> Windows> TerminalServices-LocalSessionManger ולאחר מכן לחץ על תפעולי.
לחץ על כל האירועים בחלונית השמאלית כדי לראות פרטי התחברות.