Etätyöpöydän ottaminen käyttöön ja suojaaminen Windowsissa
Vaikka on olemassa monia vaihtoehtoja, Microsoftin Etätyöpöytä on täysin toimiva vaihtoehto muiden tietokoneiden käyttämiseen, mutta se on suojattava asianmukaisesti. Kun suositellut turvatoimet ovat käytössä, etätyöpöytä on tehokas työkalu käytettäville geeksille ja voit välttää kolmansien osapuolten sovellusten asentamisen tämäntyyppisiin toimintoihin.
Tämä opas ja sen mukana tulevat kuvakaappaukset on tehty Windows 8.1- tai Windows 10 -käyttöjärjestelmää varten. Tämän oppaan on kuitenkin voitava seurata niin kauan kuin käytät jotakin näistä Windows-versioista:
- Windows 10 Professional
- Windows 8.1 Pro
- Windows 8.1 Enterprise
- Windows 8 Enterprise
- Windows 8 Pro
- Windows 7 Professional
- Windows 7 Enterprise
- Windows 7 Ultimate
- Windows Vista Business
- Windows Vista Ultimate
- Windows Vista Enterprise
- Windows XP Professional
Etätyöpöydän ottaminen käyttöön
Ensinnäkin meidän täytyy ottaa etätyöpöytä käyttöön ja valita, millä käyttäjillä on etäkäyttö tietokoneeseen. Napsauta Windows-näppäintä + R tuo esiin Suorita-kehote ja kirjoita sysdm.cpl.
Toinen tapa päästä samaan valikkoon on kirjoittaa "Tämä tietokone" Käynnistä-valikossa, napsauta hiiren kakkospainikkeella "Tämä tietokone" ja siirry kohtaan Ominaisuudet:
Joka tapauksessa tuodaan tämä valikko, jossa sinun täytyy napsauttaa Etäisyys-välilehteä:
Valitse "Salli etäyhteydet tälle tietokoneelle" ja sen alla oleva vaihtoehto: "Salli yhteydet vain tietokoneista, joissa on Etätyöpöytä, jossa on verkon tason todennus."
Ei ole välttämätöntä vaatia Network Level Authentication -ohjelmaa, mutta se tekee tietokoneestasi turvallisemman suojaamalla sinua Man-keskeltä hyökkäyksissä. Järjestelmät, jotka ovat yhtä vanhoja kuin Windows XP, voivat muodostaa yhteyden isäntiin, jossa on Network Level Authentication, joten ei ole syytä olla käyttämättä sitä.
Saat varoitus virranhallinta-asetuksista, kun otat etätyöpöydän käyttöön:
Jos näin on, varmista, että napsautat Power Options -vaihtoehtoa ja määrität tietokoneen niin, että se ei nukahtu tai ole lepotilassa. Jos tarvitset apua, katso artikkeli tehoasetusten hallinnasta.
Napsauta sitten Valitse käyttäjät.
Pääkäyttäjien ryhmän tilillä on jo pääsy. Jos sinun on annettava etätyöpöytäyhteys muille käyttäjille, napsauta Lisää ja kirjoita käyttäjätunnukset.
Vahvista, että käyttäjätunnus on kirjoitettu oikein, ja valitse sitten OK. Napsauta OK myös Ominaisuudet-ikkunassa.
Etätyöpöydän suojaaminen
Tietokoneesi on tällä hetkellä liitettävissä Etätyöpöydän kautta (vain paikallisverkossa, jos olet reitittimen takana), mutta on olemassa joitakin asetuksia, jotka meidän on määritettävä, jotta saavutamme maksimaalisen turvallisuuden.
Ensinnäkin, osoitetaan selvä. Kaikkien käyttäjien, joille annoit etätyöpöytäyhteyden, on oltava vahvoja salasanoja. Haavoittuvia tietokoneita, jotka käyttävät etätyöpöytää, skannataan Internetissä jatkuvasti paljon botteja, joten älä aliarvioi vahvan salasanan merkitystä. Käytä numeroita, pieniä ja isoja kirjaimia sekä erikoismerkkejä yli kahdeksan merkkiä (12+ suositellaan).
Siirry Käynnistä-valikkoon tai avaa Suorita-kehote (Windows-näppäin + R) ja kirjoita paikallinen tietoturvapolitiikka -valikko valitsemalla secpol.msc.
Laajenna "Local Policies" ja klikkaa "User Rights Assignment".
Kaksoisnapsauta oikeassa kohdassa olevaa "Salli kirjautua etätyöpöytäpalvelun kautta" -politiikan avulla.
Suosittelemme poistamaan molemmat ryhmät, jotka on jo lueteltu tässä ikkunassa, Järjestelmänvalvojat ja Etätyöpöytä-käyttäjät. Tämän jälkeen napsauta "Lisää käyttäjä tai ryhmä" ja lisää manuaalisesti käyttäjät, joille haluat myöntää etätyöpöydän. Tämä ei ole välttämätön askel, mutta se antaa sinulle enemmän valtaa, mitä tilejä käytetään etätyöpöydälle. Jos tulevaisuudessa teet uuden järjestelmänvalvojan tilin jostain syystä ja unohdat laittaa siihen vahvan salasanan, avaat tietokoneesi hakkereille ympäri maailmaa, jos et koskaan vaivautunut poistamaan järjestelmänvalvojat-ryhmää tästä näytöstä.
Sulje Local Security Policy -ikkuna ja avaa Local Group Policy Editor kirjoittamalla “gpedit.msc” joko Suorita-kehotteeseen tai Käynnistä-valikkoon.
Kun Local Group Policy Editor avautuu, laajenna Computer Policy> Administrative Templates> Windows Components> Remote Desktop Services> Etätyöpöytäistunnon isäntä ja valitse sitten Suojaus.
Voit muuttaa arvojaan kaksoisnapsauttamalla minkä tahansa tämän valikon asetuksia. Suosittelemme muuttamaan:
Aseta asiakasyhteyden salaustaso - Aseta tämä korkealle tasolle, jotta etätyöpöytäsi istunnot varmistetaan 128-bittisellä salauksella.
Vaadi suojattua RPC-yhteyttä - Aseta tämä asetukseksi Käytössä.
Edellyttää tietyn tietoturvakerroksen käyttöä etäyhteyksiin (RDP) - Aseta tämä SSL: ksi (TLS 1.0).
Edellyttää etäkäyttäjien käyttäjätunnistusta käyttämällä Network Level Authentication - Aseta tämä Enabled-tilaan.
Kun muutokset on tehty, voit sulkea paikallisen ryhmäkäytäntöeditorin. Viimeinen turvallisuussuositus on muuttaa etätyöpöydän oletusporttia. Tämä on valinnainen askel, ja sitä pidetään turvatekijänä epämääräisen käytännön kautta, mutta tosiasia on, että oletusportin numeron muuttaminen vähentää suuresti haitallisten yhteyksien määrää, jonka tietokoneesi vastaanottaa. Salasanasi ja tietoturva-asetuksesi täytyy tehdä etätyöpöydälle haavoittumattomaksi riippumatta siitä, mikä portti sitä kuuntelee, mutta voisimme myös vähentää yhteysyritysten määrää, jos voimme.
Turvallisuus Obscurity-toiminnon kautta: RDP-oletusportin muuttaminen
Oletusarvon mukaan Etätyöpöytä kuuntelee porttia 3389. Valitse viisi numeroa alle 65535, jota haluat käyttää mukautetun etätyöpöytäportin numeroon. Kun tämä numero on mielessä, avaa rekisterieditori kirjoittamalla “regedit” Suorita-komentoon tai Käynnistä-valikkoon.
Kun rekisterieditori avautuu, laajenna HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Control> Terminal Server> WinStations> RDP-Tcp> kaksoisnapsauta oikeanpuoleisessa ikkunassa olevaa "PortNumber" -painiketta..
Kun PortNumber-rekisteriavain on auki, valitse ikkunan oikealla puolella oleva ”Decimal” ja kirjoita sitten viiden numeroinen numero vasemmalle.
Valitse OK ja sulje sitten rekisterieditori.
Koska olemme muuttaneet etätyöpöydän käyttämää oletusporttia, sinun on määritettävä Windowsin palomuuri hyväksymään saapuvat yhteydet kyseisellä portilla. Siirry aloitusnäyttöön, etsi “Windowsin palomuuri” ja napsauta sitä.
Kun Windowsin palomuuri avautuu, napsauta ikkunan vasemmalla puolella olevaa Lisäasetukset-kohtaa. Napsauta hiiren kakkospainikkeella "Saapuvat säännöt" ja valitse "Uusi sääntö".
“Uusi saapuva sääntövelho” avautuu, valitse Portti ja napsauta seuraavaksi. Varmista seuraavalla näytöllä, että TCP on valittuna ja syötä sitten aiemmin valitsemaasi porttinumero ja valitse sitten Seuraava. Napsauta vielä kaksi kertaa, koska seuraavien parin sivun oletusarvot ovat hyvät. Valitse viimeisellä sivulla tämän uuden säännön nimi, kuten "Mukautettu RDP-portti", ja valitse sitten Valmis.
Viimeiset vaiheet
Tietokoneen pitäisi nyt olla käytettävissä paikallisessa verkossa, määritä joko laitteen IP-osoite tai sen nimi, kaksoispiste ja porttinumero molemmissa tapauksissa, kuten näin:
Jos haluat käyttää tietokonettasi verkon ulkopuolella, sinun täytyy todennäköisesti siirtää reitittimen portti. Tämän jälkeen tietokoneesi pitäisi olla etäkäyttöön missä tahansa laitteessa, jossa on etätyöpöytäasiakas.
Jos mietit, miten voit seurata, kuka kirjautuu tietokoneeseen (ja mistä), voit avata tapahtumien katseluohjelman, jotta voit nähdä.
Kun Event Viewer on avattu, laajenna Applications and Services Logs> Microsoft> Windows> TerminalServices-LocalSessionManger ja napsauta sitten Operational.
Napsauta mitä tahansa oikean ruudun tapahtumia nähdäksesi kirjautumistiedot.