Πώς να ενεργοποιήσετε και να ασφαλίσετε την απομακρυσμένη επιφάνεια εργασίας στα Windows
Ενώ υπάρχουν πολλές εναλλακτικές λύσεις, η απομακρυσμένη επιφάνεια εργασίας της Microsoft είναι μια τέλεια βιώσιμη επιλογή για την πρόσβαση σε άλλους υπολογιστές, αλλά πρέπει να διασφαλιστεί σωστά. Αφού έχουν ληφθεί τα συνιστώμενα μέτρα ασφαλείας, η Απομακρυσμένη επιφάνεια εργασίας είναι ένα ισχυρό εργαλείο για χρήση από τους geeks και σας επιτρέπει να αποφύγετε την εγκατάσταση εφαρμογών τρίτων για αυτόν τον τύπο λειτουργιών.
Αυτός ο οδηγός και τα στιγμιότυπα οθόνης που τα συνοδεύουν γίνονται για τα Windows 8.1 ή τα Windows 10. Ωστόσο, θα πρέπει να μπορείτε να ακολουθήσετε αυτόν τον οδηγό για όσο διάστημα χρησιμοποιείτε μία από αυτές τις εκδόσεις των Windows:
- Windows 10 Professional
- Windows 8.1 Pro
- Windows 8.1 Επιχειρήσεις
- Windows 8 Enterprise
- Windows 8 Pro
- Windows 7 Professional
- Windows 7 Enterprise
- Windows 7 Ultimate
- Windows Vista Business
- Windows Vista Ultimate
- Windows Vista Enterprise
- Windows XP Professional
Ενεργοποίηση απομακρυσμένης επιφάνειας εργασίας
Πρώτον, πρέπει να ενεργοποιήσουμε την απομακρυσμένη επιφάνεια εργασίας και να επιλέξετε ποιοι χρήστες έχουν απομακρυσμένη πρόσβαση στον υπολογιστή. Πατήστε το πλήκτρο Windows + R για να εμφανιστεί μια εντολή "Εκτέλεση" και πληκτρολογήστε "sysdm.cpl".
Ένας άλλος τρόπος για να φτάσετε στο ίδιο μενού είναι να πληκτρολογήσετε "Αυτό το PC" στο μενού Start, κάντε δεξί κλικ στο "This PC" και πηγαίνετε στο Properties:
Είτε έτσι είτε αλλιώς θα εμφανιστεί αυτό το μενού, όπου πρέπει να κάνετε κλικ στην καρτέλα Απομακρυσμένη:
Επιλέξτε "Να επιτρέπονται απομακρυσμένες συνδέσεις σε αυτόν τον υπολογιστή" και την επιλογή κάτω από αυτήν, "Να επιτρέπονται συνδέσεις μόνο από υπολογιστές που εκτελούν απομακρυσμένη επιφάνεια εργασίας με έλεγχο ταυτότητας επιπέδου δικτύου".
Δεν είναι απαραίτητη η απαιτούμενη πιστοποίηση επιπέδου δικτύου, αλλά με αυτόν τον τρόπο ο υπολογιστής σας είναι πιο ασφαλής προστατεύοντάς σας από τον άνθρωπο στις μεσαίες επιθέσεις. Συστήματα, τόσο παλιά όσο και τα Windows XP, μπορούν να συνδεθούν με κεντρικούς υπολογιστές με έλεγχο ταυτότητας επιπέδου δικτύου, οπότε δεν υπάρχει κανένας λόγος να μην χρησιμοποιηθούν.
Ενδέχεται να λάβετε μια προειδοποίηση σχετικά με τις επιλογές παροχής ενέργειας όταν ενεργοποιείτε την Απομακρυσμένη επιφάνεια εργασίας:
Εάν ναι, βεβαιωθείτε ότι έχετε κάνει κλικ στον σύνδεσμο στις Επιλογές ενέργειας και ότι έχετε ρυθμίσει τον υπολογιστή σας έτσι ώστε να μην κοιμηθεί ή να αδρανοποιηθεί. Ανατρέξτε στο άρθρο μας σχετικά με τη διαχείριση ρυθμίσεων τροφοδοσίας εάν χρειάζεστε βοήθεια.
Στη συνέχεια, κάντε κλικ στην επιλογή "Επιλογή χρηστών".
Οι λογαριασμοί στην ομάδα Administrators θα έχουν ήδη πρόσβαση. Εάν πρέπει να παραχωρήσετε πρόσβαση σε απομακρυσμένη επιφάνεια εργασίας σε άλλους χρήστες, απλώς κάντε κλικ στο "Προσθήκη" και πληκτρολογήστε τα ονόματα χρήστη.
Κάντε κλικ στην επιλογή "Έλεγχος ονομάτων" για να επαληθεύσετε ότι το όνομα χρήστη πληκτρολογήθηκε σωστά και, στη συνέχεια, κάντε κλικ στο κουμπί OK. Κάντε κλικ στο κουμπί OK στο παράθυρο Ιδιότητες συστήματος επίσης.
Εξασφάλιση απομακρυσμένης επιφάνειας εργασίας
Ο υπολογιστής σας μπορεί να συνδεθεί μέσω απομακρυσμένης επιφάνειας εργασίας (μόνο στο τοπικό σας δίκτυο, αν βρίσκεστε πίσω από ένα δρομολογητή), αλλά υπάρχουν κάποιες άλλες ρυθμίσεις που πρέπει να ρυθμίσετε ώστε να επιτευχθεί μέγιστη ασφάλεια.
Πρώτον, ας απευθυνθούμε στην προφανή. Όλοι οι χρήστες που δώσατε πρόσβαση στην Απομακρυσμένη επιφάνεια εργασίας πρέπει να έχουν ισχυρούς κωδικούς πρόσβασης. Υπάρχουν πολλά bots που σαρώνουν συνεχώς το διαδίκτυο για ευπαθείς υπολογιστές που εκτελούν απομακρυσμένη επιφάνεια εργασίας, οπότε μην υποτιμάτε τη σημασία ενός ισχυρού κωδικού πρόσβασης. Χρησιμοποιήστε περισσότερους από οκτώ χαρακτήρες (συνιστάται 12+) με αριθμούς, πεζά και κεφαλαία γράμματα και ειδικούς χαρακτήρες.
Μεταβείτε στο μενού Έναρξη ή ανοίξτε μια εντολή Εκτέλεσης (Windows Key + R) και πληκτρολογήστε "secpol.msc" για να ανοίξετε το μενού Local Security Policy.
Αφού βρεθείτε εκεί, επεκτείνετε τις "Τοπικές πολιτικές" και κάντε κλικ στην επιλογή "Εκχώρηση δικαιωμάτων χρήστη".
Κάντε διπλό κλικ στο "Επιτρέπεται η σύνδεση μέσω υπηρεσιών απομακρυσμένης επιφάνειας εργασίας" που παρατίθεται στα δεξιά.
Είναι σύσταση μας να αφαιρέσετε και τις δύο ομάδες που έχουν ήδη καταχωριστεί σε αυτό το παράθυρο, τους διαχειριστές και τους χρήστες της Απομακρυσμένης επιφάνειας εργασίας. Στη συνέχεια, κάντε κλικ στην επιλογή "Προσθήκη χρήστη ή ομάδας" και προσθέστε με μη αυτόματο τρόπο τους χρήστες στους οποίους θέλετε να παραχωρήσετε πρόσβαση στην Απομακρυσμένη επιφάνεια εργασίας. Αυτό δεν είναι ένα ουσιαστικό βήμα, αλλά σας δίνει περισσότερη δύναμη για την οποία οι λογαριασμοί χρησιμοποιούν την Απομακρυσμένη επιφάνεια εργασίας. Αν στο μέλλον δημιουργήσετε ένα νέο λογαριασμό διαχειριστή για κάποιο λόγο και ξεχάσετε να βάλετε έναν ισχυρό κωδικό πρόσβασης, ανοίγετε τον υπολογιστή σας σε hackers σε όλο τον κόσμο, αν δεν έχετε ενοχλήσει ποτέ την κατάργηση της ομάδας "Administrators" από αυτήν την οθόνη.
Κλείστε το παράθυρο "Τοπική πολιτική ασφαλείας" και ανοίξτε τον τοπικό επεξεργαστή πολιτικής ομάδας πληκτρολογώντας "gpedit.msc" είτε σε μια εντολή "Εκτέλεση" (Run) είτε στο μενού Έναρξη.
Όταν ανοίγει ο τοπικός επεξεργαστής πολιτικής ομάδας, αναπτύξτε την επιλογή Πολιτική υπολογιστή> Πρότυπα διαχείρισης> Στοιχεία των Windows> Υπηρεσίες απομακρυσμένης επιφάνειας εργασίας> Υποδοχή περιόδου λειτουργίας απομακρυσμένης επιφάνειας εργασίας και, στη συνέχεια, κάντε κλικ στην επιλογή Ασφάλεια.
Κάντε διπλό κλικ σε οποιεσδήποτε ρυθμίσεις σε αυτό το μενού για να αλλάξετε τις τιμές τους. Αυτά που προτείνουμε να αλλάξετε είναι:
Ορίστε επίπεδο κρυπτογράφησης σύνδεσης πελάτη - Ορίστε το σε υψηλό επίπεδο έτσι ώστε οι συνεδρίες απομακρυσμένης επιφάνειας εργασίας να είναι ασφαλείς με κρυπτογράφηση 128 bit.
Απαίτηση ασφαλούς επικοινωνίας RPC - Ρυθμίστε αυτήν την επιλογή σε Ενεργοποιημένη.
Απαίτηση χρήσης συγκεκριμένου επιπέδου ασφαλείας για συνδέσεις απομακρυσμένης σύνδεσης (RDP) - Ρυθμίστε αυτό το SSL (TLS 1.0).
Απαιτείται έλεγχος ταυτότητας χρήστη για απομακρυσμένες συνδέσεις χρησιμοποιώντας το Επίπεδο ελέγχου ταυτότητας δικτύου - Ρυθμίστε αυτό το σε Ενεργοποιημένο.
Μόλις πραγματοποιηθούν αυτές οι αλλαγές, μπορείτε να κλείσετε τον τοπικό επεξεργαστή πολιτικής ομάδας. Η τελευταία σύσταση ασφάλειας που διαθέτουμε είναι να αλλάξουμε την προεπιλεγμένη θύρα που ακούει η απομακρυσμένη επιφάνεια εργασίας. Αυτό είναι ένα προαιρετικό βήμα και θεωρείται ασφάλεια μέσω πρακτικής σκοτεινότητας, αλλά το γεγονός είναι ότι η αλλαγή του προεπιλεγμένου αριθμού θύρας μειώνει σημαντικά την ποσότητα κακόβουλων προσπαθειών σύνδεσης που θα λάβει ο υπολογιστής σας. Ο κωδικός πρόσβασης και οι ρυθμίσεις ασφάλειας πρέπει να κάνουν την Απομακρυσμένη επιφάνεια εργασίας άτρωτη ανεξάρτητα από το ποια θύρα ακούει, αλλά θα μπορούσαμε επίσης να μειώσουμε το μέγεθος των προσπαθειών σύνδεσης αν μπορούμε.
Ασφάλεια μέσω ανασκόπησης: Αλλαγή της προεπιλεγμένης θύρας RDP
Από προεπιλογή, η απομακρυσμένη επιφάνεια εργασίας ακούει στη θύρα 3389. Επιλέξτε έναν πενταψήφιο αριθμό μικρότερο από 65535 που θέλετε να χρησιμοποιήσετε για τον προσαρμοσμένο αριθμό θύρας απομακρυσμένης επιφάνειας εργασίας. Με αυτό το νούμερο, ανοίξτε τον Επεξεργαστή Μητρώου πληκτρολογώντας "regedit" σε μια εντολή Run ή στο μενού Έναρξη.
Όταν ανοίξει ο Επεξεργαστής μητρώου, αναπτύξτε το στοιχείο HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Control> Terminal Server> WinStations> RDP-Tcp>, στη συνέχεια κάντε διπλό κλικ στο "PortNumber".
Με το κλειδί μητρώου PortNumber ανοιχτό, επιλέξτε "Δεκαδικό" στη δεξιά πλευρά του παραθύρου και στη συνέχεια πληκτρολογήστε τον πενταψήφιο αριθμό σας κάτω από το "Δεδομένα τιμής" στα αριστερά.
Κάντε κλικ στο κουμπί OK και κατόπιν κλείστε τον Επεξεργαστή μητρώου.
Εφόσον αλλάξαμε την προεπιλεγμένη θύρα που χρησιμοποιεί η απομακρυσμένη επιφάνεια εργασίας, θα πρέπει να διαμορφώσουμε το τείχος προστασίας των Windows ώστε να δέχεται εισερχόμενες συνδέσεις σε αυτήν τη θύρα. Μεταβείτε στην οθόνη "Έναρξη", αναζητήστε "Τείχος προστασίας των Windows" και κάντε κλικ σε αυτήν.
Όταν ανοίγει το Τείχος προστασίας των Windows, κάντε κλικ στην επιλογή "Ρυθμίσεις για προχωρημένους" στην αριστερή πλευρά του παραθύρου. Στη συνέχεια, κάντε δεξί κλικ στο "Εισερχόμενα Κανόνες" και επιλέξτε "Νέος Κανόνας".
Θα εμφανιστεί ο "Οδηγός εισαγωγής νέων εισερχομένων", επιλέξτε Θύρα και κάντε κλικ στο κουμπί Next. Στην επόμενη οθόνη, βεβαιωθείτε ότι έχετε επιλέξει TCP και στη συνέχεια εισάγετε τον αριθμό θύρας που επιλέξατε νωρίτερα και στη συνέχεια κάντε κλικ στο κουμπί Next. Κάντε κλικ στις επόμενες δύο ακόμη φορές επειδή οι προεπιλεγμένες τιμές στις επόμενες ζευγαριές σελίδες θα είναι ωραία. Στην τελευταία σελίδα, επιλέξτε ένα όνομα για αυτόν τον νέο κανόνα, όπως "Προσαρμοσμένη θύρα RDP", και στη συνέχεια κάντε κλικ στο κουμπί Τέλος.
Τελευταία βήματα
Ο υπολογιστής σας θα πρέπει τώρα να είναι προσβάσιμος στο τοπικό σας δίκτυο, απλά ορίστε είτε τη διεύθυνση IP του μηχανήματος είτε το όνομα του, ακολουθούμενη από ένα τελεία και τον αριθμό θύρας και στις δύο περιπτώσεις, όπως π.χ.:
Για να αποκτήσετε πρόσβαση στον υπολογιστή σας εκτός δικτύου, θα χρειαστεί να προωθήσετε τη θύρα στο δρομολογητή σας. Μετά από αυτό, ο υπολογιστής σας πρέπει να είναι προσβάσιμος από απόσταση από οποιαδήποτε συσκευή που διαθέτει πελάτη απομακρυσμένης επιφάνειας εργασίας.
Εάν αναρωτιέστε πώς μπορείτε να παρακολουθείτε ποιος συνδέεται στον υπολογιστή σας (και από πού), μπορείτε να ανοίξετε το Event Viewer για να δείτε.
Μόλις ανοίξετε το Πρόγραμμα προβολής συμβάντων, αναπτύξτε τα Αρχεία εφαρμογών και υπηρεσιών> Microsoft> Windows> TerminalServices-LocalSessionManger και, στη συνέχεια, κάντε κλικ στην επιλογή Λειτουργική.
Κάντε κλικ σε οποιοδήποτε από τα συμβάντα στο δεξί τμήμα του παραθύρου για να δείτε πληροφορίες σύνδεσης.