Jak povolit a zabezpečit službu Vzdálená plocha v systému Windows
Přestože existuje mnoho alternativ, vzdálená plocha společnosti Microsoft je dokonale životaschopnou volbou pro přístup k jiným počítačům, ale musí být řádně zajištěna. Po provedení doporučených bezpečnostních opatření je služba Vzdálená plocha výkonným nástrojem pro uživatele geeků a umožňuje vyhnout se instalaci aplikací třetích stran pro tento typ funkčnosti.
Tato příručka a screenshoty, které je doprovázejí, jsou vytvořeny pro Windows 8.1 nebo Windows 10. Měli byste však mít možnost sledovat tuto příručku, pokud používáte jedno z těchto edic Windows:
- Windows 10 Professional
- Windows 8.1 Pro
- Windows 8.1 Enterprise
- Windows 8 Enterprise
- Windows 8 Pro
- Windows 7 Professional
- Windows 7 Enterprise
- Windows 7 Ultimate
- Windows Vista Business
- Windows Vista Ultimate
- Windows Vista Enterprise
- Windows XP Professional
Povolení vzdálené plochy
Nejprve musíme povolit službu Vzdálená plocha a vybrat, které uživatelé mají vzdálený přístup k počítači. Klepnutím na klávesu Windows + R vyvoláte příkaz Spustit a zadejte příkaz "sysdm.cpl".
Dalším způsobem, jak se dostat do stejné nabídky, je zadat v nabídce Start "Tento počítač", klikněte pravým tlačítkem myši na "Tento počítač" a přejděte na příkaz Vlastnosti:
V obou případech se zobrazí toto menu, kde musíte kliknout na kartu Vzdálená:
Zvolte možnost Povolit vzdálené připojení k tomuto počítači a možnost pod ním: Povolit připojení pouze z počítačů se vzdáleným pracovním stolem s ověřením na úrovni sítě.
Není nutné vyžadovat ověřování úrovní na úrovni sítě, ale díky tomu je váš počítač bezpečnější tím, že vás ochrání před útoky člověka v prostředí Middle. Systémy, které jsou staré jako Windows XP, se mohou připojit k hostitelům s ověřením na úrovni sítě, takže není důvod používat.
Pokud povolíte Vzdálená plocha, můžete dostat varování o možnostech napájení:
Pokud tomu tak je, ujistěte se, že klepnete na odkaz Možnosti napájení a nakonfigurujete počítač tak, aby nespíval nebo nespánal. Podívejte se na náš článek o správě nastavení napájení, pokud potřebujete pomoc.
Poté klikněte na tlačítko "Vybrat uživatele".
Všechny účty ve skupině Administrátoři již budou mít přístup. Pokud potřebujete povolit přístup ke vzdálené ploše ostatním uživatelům, stačí kliknout na tlačítko "Přidat" a zadat uživatelská jména.
Klepnutím na tlačítko "Kontrola jmen" ověřte správné zadání uživatelského jména a potom klepněte na tlačítko OK. Klepněte na tlačítko OK také v okně Vlastnosti systému.
Zabezpečení vzdálené plochy
Váš počítač je nyní možné připojit prostřednictvím vzdálené plochy (pouze v místní síti, pokud jste za směrovačem), ale existují ještě další nastavení, která musíme konfigurovat, abychom dosáhli maximální bezpečnosti.
Nejprve se zamyslíme nad očividným. Všichni uživatelé, kterým jste poskytli přístup ke vzdálené ploše, musí mít silná hesla. Existuje spousta robotů, kteří neustále skenují internet pro zranitelné počítače se vzdáleným pracovním stolem, takže nepodceňujte význam silného hesla. Používejte více než osm znaků (doporučuje se 12+) s čísly, malými a velkými písmeny a speciálními znaky.
Přejděte do nabídky Start nebo otevřete příkaz Spustit (Windows Key + R) a zadejte "secpol.msc" a otevřete nabídku Místní zásady zabezpečení.
Jakmile tam najdete, rozbalte "Místní zásady" a klikněte na "Přiřazení uživatelských práv".
Poklepejte na zásadu "Povolit přihlášení pomocí služby Vzdálená plocha" uvedené vpravo.
Doporučujeme odstranit oba skupiny, které jsou již uvedeny v tomto okně, administrátoři a uživatelé vzdálené plochy. Poté klikněte na tlačítko "Přidat uživatele nebo skupinu" a ručně přidejte uživatele, kterým chcete udělit přístup ke vzdálené ploše. Nejedná se o zásadní krok, ale dává vám větší sílu, na které účty lze použít Vzdálená plocha. Pokud v budoucnu vytvoříte nový účet správce z nějakého důvodu a zapomenete na něj zadat silné heslo, otevřete počítač hackerům po celém světě, pokud jste se obtěžovali odstranit skupinu "Administrátoři" z této obrazovky.
Zavřete okno Místní zásady zabezpečení a otevřete Editor místní politiky skupiny zadáním příkazu "gpedit.msc" do příkazu Spustit nebo do nabídky Start.
Při otevření Editoru místní skupiny zásad rozbalte položku Pravidla počítače> Šablony pro správu> Komponenty systému Windows> Služby vzdálené plochy> Host relace vzdálené plochy a potom klepněte na položku Zabezpečení.
Poklepáním na libovolná nastavení v této nabídce můžete změnit jejich hodnoty. Ty, které doporučujeme změnit, jsou:
Nastavení úrovně šifrování klientského připojení - Nastavte tuto úroveň na vysokou úroveň, aby byla relace vzdálené plochy zabezpečena 128bitovým šifrováním.
Vyžadovat zabezpečenou komunikaci RPC - Nastavte tuto volbu na Povoleno.
Vyžadovat použití specifické vrstvy zabezpečení pro vzdálené (RDP) připojení - Nastavte SSL (TLS 1.0).
Požadovat ověřování uživatelů pro vzdálené připojení pomocí ověřování úrovní na úrovni sítě - Nastavte toto nastavení na hodnotu Povoleno.
Po provedení těchto změn můžete zavřít Editor lokálních zásad skupiny. Posledním doporučením zabezpečení, které máme, je změnit výchozí port, na který je vzdálená plocha naslouchána. Jedná se o volitelný krok a považuje se za bezpečnost pomocí praxe obspustnosti, ale faktem je, že změna výchozího čísla portu výrazně snižuje množství pokusů o škodlivý přístup, které počítač obdrží. Nastavení hesla a zabezpečení musí učinit Remote Desktop nezranitelný bez ohledu na to, na jakém portu naslouchá, ale můžeme také snížit množství pokusů o připojení, pokud můžeme.
Zabezpečení skrze zabezpečení: Změna výchozího portu RDP
Ve výchozím nastavení služba Vzdálená plocha naslouchá portu 3389. Vyberte pětciferné číslo menší než 65535, které chcete použít pro vlastní číslo portu vzdálené plochy. S ohledem na toto číslo otevřete Editor registru zadáním příkazu "regedit" do příkazu Spustit nebo do nabídky Start.
Po otevření Editoru registru rozbalte položku HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Control> Terminal Server> WinStations> RDP-Tcp> a pak poklepejte na "PortNumber" v okně vpravo.
Při otevření klíče registru PortNumber vyberte v pravé části okna položku "Decimal" a zadejte vpravo od vašeho pětimístného čísla "Údaje o hodnotách".
Klepněte na tlačítko OK a potom zavřete Editor registru.
Vzhledem k tomu, že jsme změnili výchozí port, který využívá služba Vzdálená plocha, musíme nakonfigurovat bránu firewall systému Windows a přijmout příchozí připojení na daném portu. Přejděte na obrazovku Start, vyhledejte "Brána firewall systému Windows" a klikněte na ni.
Po otevření brány firewall systému Windows klikněte na "Rozšířené nastavení" na levé straně okna. Pak klikněte pravým tlačítkem myši na "Příchozí pravidla" a zvolte "Nové pravidlo".
Zobrazí se okno "Průvodce novým příchozím pravidlem", vyberte možnost Port a klikněte na další. Na další obrazovce se ujistěte, že je vybrána volba TCP a potom zadejte číslo portu, které jste si vybrali dříve, a potom klepněte na tlačítko Další. Další dvakrát klikněte, protože výchozí hodnoty na následujících pár stránkách budou v pořádku. Na poslední stránce vyberte název tohoto nového pravidla, například "Vlastní port RDP", a potom klepněte na tlačítko Dokončit.
Poslední kroky
Váš počítač by měl být nyní dostupný v místní síti, stačí zadat buď adresu IP zařízení nebo jeho název, za kterým bude v obou případech dvojbodka a číslo portu, například:
Chcete-li získat přístup k počítači mimo síť, budete pravděpodobně muset přesměrovat port na směrovači. Poté by měl být počítač vzdáleně dostupný z libovolného zařízení, které má klient vzdálené plochy.
Pokud vás zajímá, jak můžete sledovat, kdo se přihlašuje k vašemu počítači (a odkud), můžete otevřít prohlížeč událostí, který chcete vidět.
Po otevření Prohlížeče událostí rozbalte položku Protokoly aplikací a služeb> Microsoft> Windows> TerminalServices-LocalSessionManger a poté klepněte na příkaz Operační.
Kliknutím na některou z událostí v pravém podokně zobrazíte přihlašovací údaje.