Bagaimana untuk Membolehkan dan Mengamankan Desktop Jauh pada Windows
Walaupun terdapat banyak alternatif, Desktop Jauh Microsoft adalah pilihan sempurna untuk mengakses komputer lain, tetapi ia harus dijamin dengan betul. Selepas langkah-langkah keselamatan yang disyorkan tersedia, Remote Desktop adalah alat yang berkuasa untuk digunakan dan membolehkan anda mengelakkan memasang aplikasi pihak ketiga untuk fungsi jenis ini.
Panduan ini dan tangkapan skrin yang menemaninya dibuat untuk Windows 8.1 atau Windows 10. Walau bagaimanapun, anda sepatutnya dapat mengikuti panduan ini selagi anda menggunakan salah satu daripada edisi Windows ini:
- Windows 10 Professional
- Windows 8.1 Pro
- Windows 8.1 Enterprise
- Windows 8 Enterprise
- Windows 8 Pro
- Windows 7 Professional
- Windows 7 Enterprise
- Windows 7 Ultimate
- Perniagaan Windows Vista
- Windows Vista Ultimate
- Windows Vista Enterprise
- Windows XP Professional
Menghidupkan Desktop Jauh
Pertama, kita perlu mendayakan Remote Desktop dan memilih pengguna yang mempunyai akses jauh ke komputer. Tekan Windows key + R untuk memaparkan arahan Jalankan, dan ketik "sysdm.cpl."
Satu lagi cara untuk masuk ke menu yang sama adalah dengan menaip "PC ini" dalam menu Start anda, klik kanan "PC ini" dan pergi ke Properties:
Sama ada jalan akan membawa menu ini, di mana anda perlu klik pada tab Jauh:
Pilih "Benarkan sambungan jauh ke komputer ini" dan pilihan di bawahnya, "Benarkan sambungan hanya dari komputer yang menjalankan Desktop Jauh dengan Pengesahan Tahap Rangkaian."
Bukan satu keperluan untuk menghendaki Pengesahan Tahap Rangkaian, tetapi melakukannya menjadikan komputer anda lebih selamat dengan melindungi anda dari serangan Man dalam Middle. Sistem walaupun setakat Windows XP boleh disambungkan kepada tuan rumah dengan Pengesahan Tahap Rangkaian, jadi tidak ada alasan untuk tidak menggunakannya.
Anda mungkin mendapat amaran mengenai pilihan kuasa anda apabila anda mendayakan Remote Desktop:
Jika ya, pastikan anda mengklik pautan ke Power Options dan konfigurasikan komputer supaya tidak tidur atau hibernate. Lihat artikel kami mengenai pengurusan tetapan kuasa jika anda memerlukan bantuan.
Seterusnya, klik "Pilih Pengguna."
Apa-apa akaun dalam kumpulan Pentadbir akan mempunyai akses. Sekiranya anda perlu memberikan akses Remote Desktop kepada mana-mana pengguna lain, hanya klik "Tambah" dan taipkan nama pengguna.
Klik "Semak Nama" untuk mengesahkan nama pengguna diketik dengan betul dan kemudian klik OK. Klik OK pada tetingkap Sistem Properties juga.
Memastikan Desktop Jauh
Komputer anda saat ini boleh dihubungkan melalui Remote Desktop (hanya pada rangkaian tempatan anda jika anda berada di belakang router), tetapi ada beberapa tetapan yang perlu kita konfigurasi untuk mencapai keselamatan maksimum.
Mula-mula, mari alamat yang jelas. Semua pengguna yang anda berikan akses Desktop Jauh perlu mempunyai kata laluan yang kuat. Terdapat banyak bot yang sentiasa mengimbas internet untuk PC terdedah yang menjalankan Desktop Jauh, jadi jangan memandang rendah betapa pentingnya kata laluan yang kuat. Gunakan lebih daripada lapan aksara (12+ disyorkan) dengan nombor, huruf kecil dan huruf besar, dan aksara khas.
Pergi ke menu Start atau buka prompt Jalankan (Windows Key + R) dan ketik "secpol.msc" untuk membuka menu Dasar Keselamatan Tempatan.
Setelah itu, ekspansi "Kebijakan Lokal" dan klik pada "Pemberian Hak Pengguna."
Klik dua kali pada dasar "Izinkan log masuk melalui Perkhidmatan Desktop Jauh" yang disenaraikan di sebelah kanan.
Saranan kami untuk menghapus kedua-dua kumpulan yang telah disenaraikan dalam tetingkap ini, Pentadbir dan Pengguna Desktop Jauh. Selepas itu, klik "Tambah Pengguna atau Kumpulan" dan tambah secara manual pengguna yang ingin anda hantarkan akses Jauh Desktop. Ini bukan merupakan langkah penting, tetapi ia memberi anda lebih banyak kuasa di mana akaun dapat menggunakan Remote Desktop. Jika pada masa akan datang, anda membuat akaun Administrator baru atas sebab tertentu dan lupa memasukkan kata laluan yang kuat di atasnya, anda membuka komputer anda sehingga penggodam di seluruh dunia jika anda tidak pernah mengganggu menghapus kumpulan "Pentadbir" dari skrin ini.
Tutup tetingkap Dasar Keselamatan Tempatan dan buka Editor Dasar Kumpulan Tempatan dengan menaip "gpedit.msc" ke dalam sama ada arahan Jalankan atau menu Mula.
Apabila Editor Dasar Kumpulan Tempatan dibuka, mengembangkan Dasar Komputer> Templat Pentadbiran> Komponen Windows> Perkhidmatan Desktop Jauh> Hos Sesi Desktop Jauh, dan kemudian klik pada Keselamatan.
Klik dua kali pada sebarang tetapan dalam menu ini untuk menukar nilai mereka. Orang yang kami cadangkan menukar adalah:
Tetapkan tahap penyulitan sambungan klien - Tetapkan ini ke Tahap Tinggi supaya sesi Desktop Jauh anda dijamin dengan penyulitan 128-bit.
Memerlukan komunikasi RPC yang selamat - Tetapkan ini kepada Diaktifkan.
Memerlukan penggunaan lapisan keselamatan tertentu untuk sambungan jauh (RDP) - Tetapkan ini kepada SSL (TLS 1.0).
Memerlukan pengesahan pengguna untuk sambungan jarak jauh dengan menggunakan Pengesahan Tahap Rangkaian - Tetapkan ini ke Diaktifkan.
Apabila perubahan tersebut telah dibuat, anda boleh menutup Editor Dasar Kumpulan Tempatan. Cadangan keselamatan terakhir yang kami miliki ialah menukar port lalai yang didengari oleh Remote Desktop. Ini adalah langkah pilihan dan dianggap sebagai keselamatan melalui amalan kekeliruan, tetapi hakikatnya bahawa menukar nombor port lalai sangat berkurangan jumlah cubaan sambungan berniat jahat yang komputer anda akan menerima. Kata laluan dan tetapan keselamatan anda perlu membuat Remote Desktop tidak dapat dirasakan walau apa pun pelabuhan yang didengarnya, tetapi kami mungkin juga mengurangkan jumlah percubaan sambungan jika kami boleh.
Keselamatan melalui Kegelapan: Menukar Port RDP Lalai
Secara lalai, Remote Desktop mendengar pada port 3389. Pilih nombor lima digit kurang daripada 65535 yang anda ingin gunakan untuk nombor port Jauh tersuai anda. Dengan itu, buka Registry Editor dengan menaip "regedit" ke dalam Run prompt atau menu Start.
Apabila Editor Registry dibuka, tambahkan HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Kawalan> Server Terminal> WinStations> RDP-Tcp> kemudian klik dua kali pada "PortNumber" dalam tetingkap di sebelah kanan.
Dengan kunci pendaftaran PortNumber terbuka, pilih "Decimal" di sebelah kanan tetingkap dan kemudian ketikkan nombor lima digit anda di bawah "Nilai data" di sebelah kiri.
Klik OK dan kemudian tutup Editor Registry.
Oleh kerana kita telah menukar port lalai yang menggunakan Desktop Jauh, kita perlu mengkonfigurasi Windows Firewall untuk menerima sambungan masuk pada port tersebut. Pergi ke skrin Mula, cari "Windows Firewall" dan klik padanya.
Apabila Windows Firewall dibuka, klik "Tetapan Lanjutan" di sebelah kiri tetingkap. Kemudian klik kanan pada "Peraturan Masuk" dan pilih "Peraturan Baru."
"Wizard Peraturan Inbound Baru" akan muncul, pilih Port dan klik seterusnya. Pada skrin seterusnya, pastikan TCP dipilih dan kemudian masukkan nombor port yang anda pilih lebih awal, dan kemudian klik seterusnya. Klik dua kali lagi kerana nilai lalai pada halaman pasangan akan datang dengan baik. Pada halaman terakhir, pilih nama untuk peraturan baru ini, seperti "Port RDP Custom," dan kemudian klik selesai.
Langkah terakhir
Komputer anda kini boleh diakses pada rangkaian tempatan anda, hanya nyatakan sama ada alamat IP mesin atau nama itu, diikuti dengan usus dan nombor port dalam kedua-dua kes, seperti:
Untuk mengakses komputer anda dari luar rangkaian anda, anda lebih mungkin perlu menghantar port pada penghala anda. Selepas itu, PC anda boleh diakses dari jauh dari mana-mana peranti yang mempunyai klien Desktop Jauh.
Jika anda tertanya-tanya bagaimana anda boleh menjejaki siapa yang sedang log masuk ke PC anda (dan dari mana), anda boleh membuka Pemerhati Acara untuk melihat.
Sebaik sahaja anda mempunyai Event Viewer dibuka, mengembangkan Log Aplikasi dan Perkhidmatan> Microsoft> Windows> TerminalServices-LocalSessionManger dan kemudian klik Operasi.
Klik pada mana-mana peristiwa di pane kanan untuk melihat maklumat log masuk.