Искате ли да видите сайта на друг език?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Смяна на език
Съдържание

Предварителни условия за активиране на RDP чрез отдалечен регистър в Windows 10

Преди да направите каквито и да било промени чрез регистъра, е от съществено значение да проверите дали вашата среда поддържа дистанционно администриране и дали всички необходими услуги и разрешения са конфигурирани.

Уверете се, че целевата система работи с Windows 10 Pro или Enterprise

Windows 10 Home Edition не включва компонента на RDP сървъра (TermService). Опитът за активиране на RDP на устройство с Home edition няма да доведе до функционална RDP сесия, дори ако ключовете в регистъра са правилно конфигурирани.

Можете да проверите изданието дистанционно чрез PowerShell:

Потвърдете административен достъп

Промените в регистъра и управлението на услугите изискват локални администраторски права. Ако се използват домейн удостоверения, уверете се, че потребителският акаунт е част от групата Администратори на отдалечената машина.

Проверете свързаността на мрежата и необходимите портове

Отдалечен регистър и RDP разчитат на специфични портове:

  • TCP 445 (SMB) – Използва се от Remote Registry и RPC комуникация
  • TCP 135 (RPC крайна точка мапер) – Използва се от отдалечен WMI и услуги
  • TCP 3389 – Изисква се за RDP връзки

Проверете порта:

Проверете състоянието на услугата за отдалечен регистър

Услугата Remote Registry трябва да бъде настроена на Автоматично и стартирана:

Как да активирате и стартирате услугата за отдалечен регистър

Услугата за отдалечен регистър често е деактивирана по подразбиране поради съображения за сигурност. ИТ специалистите трябва да я активират и стартират, преди да опитат каквито и да било операции с отдалечен регистър.

Използване на PowerShell за конфигуриране на услугата

Можете да настроите услугата да стартира автоматично и да я стартирате незабавно:

Това гарантира, че услугата остава активна след рестартиране.

Използване на Services.msc на отдалечен компютър

Ако PowerShell отдалечен достъп не е наличен:

  1. Стартирайте services.msc
  2. Кликнете Действие > Свържете се с друг компютър
  3. Въведете името на хоста или IP адреса на целевата машина
  4. Намери отдалечен регистър, щракни с десния бутон > Свойства
  5. Задайте "Тип на стартиране" на Автоматичен
  6. Кликнете върху Старт, след това ОК

След като услугата работи, редактирането на регистъра от отдалечена конзола става възможно.

Модифициране на регистъра за активиране на RDP

В основата на активирането на RDP е единствена стойност в регистъра: fDenyTSConnections. Промяната на тази стойност от 1 на 0 активира RDP услугата на машината.

Метод 1: Използване на Regedit и "Свързване на мрежов регистър"

Това е метод с графичен интерфейс, подходящ за ad hoc задачи:

  1. Стартирайте regedit.exe като администратор на вашия локален компютър
  2. Кликнете върху Файл > Свържете се с мрежовия регистър
  3. Въведете името на хоста на целевата машина
  4. Навигирайте до: pgsql: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
  5. Двойно щракнете върху fDenyTSConnections и променете стойността му на 0

Забележка: Тази промяна не конфигурира автоматично Windows Firewall. Това трябва да бъде направено отделно.

Метод 2: Използване на PowerShell за редактиране на регистъра

За автоматизация или скриптиране, PowerShell е предпочитан:

powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name 'fDenyTSConnections' -Value 0 ; }

Можете също да проверите, че стойността е променена:

powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' | Select-Object fDenyTSConnections ; }

Активиране на правила за защитна стена за RDP

По подразбиране Windows Firewall блокира входящите RDP връзки. Трябва изрично да ги разрешите чрез подходящата група правила.

Активиране на правило за защитна стена с PowerShell

Това позволява всички предварително зададени правила в групата "Remote Desktop".

Активиране на правило на защитната стена с PsExec и Netsh

Ако PowerShell отдалечен достъп не е наличен, PsExec от Sysinternals може да помогне:

bash: psexec \\TargetPC -u AdminUser -p Password netsh advfirewall firewall set rule group="remote access" new enable=Yes

Съвет за сигурност: Ако използвате домейн GPO, можете да наложите RDP достъп и правила за защитна стена чрез централизирана политика.

Проверка и тестване на RDP достъп

За да потвърдите конфигурацията си:

Използвайте Test-NetConnection

Проверете дали порт 3389 слуша:

Трябва да видите TcpTestSucceeded: True

Опитайте RDP връзка

Отворете mstsc.exe, въведете целевото име на хост или IP адрес и се свържете, използвайки администраторски идентификационни данни.

Ако видите подканваща форма за удостоверяване, вашата RDP сесия е успешно инициирана.

Използвайте журналите на събитията за отстраняване на проблеми

Проверете Журнал на събитията на отдалечената система:

Проверете за грешки, свързани с опити за свързване или неуспехи на слушателя.

Сигурност при активиране на RDP отдалечено

Активирането на RDP отваря значителна повърхност за атаки. Критично е да се укрепи средата, особено когато се излага RDP през мрежи.

Минимизиране на излагането

  • Използвайте удостоверяване на ниво мрежа (NLA)
  • Ограничете входящия RDP достъп до известни IP диапазони, използвайки Windows Firewall или периметърни защитни стени.
  • Избягвайте да излагате RDP директно на интернет.

Наблюдавайте промените в регистъра

Ключът fDenyTSConnections обикновено се модифицира от злонамерен софтуер и нападатели, за да се позволи странично движение. Използвайте инструменти за мониторинг като:

  • Пренасочване на събития в Windows
  • Еластична сигурност или SIEM платформи
  • Логване на PowerShell и одит на регистъра

Използвайте хигиена на удостоверенията и MFA

Уверете се, че всички акаунти с RDP достъп имат:

  • Сложни пароли
  • Многофакторна автентикация
  • Най-малко привилегировани назначения

Отстраняване на общи проблеми

Ако RDP все още не работи след конфигуриране на регистъра и защитната стена, има няколко възможни основни причини за разследване:

Проблем: Порт 3389 не е отворен

Използвайте следната команда, за да проверите дали системата слуша за RDP връзки:

Ако няма слушател, услугите за отдалечен работен плот (TermService) може да не работят. Стартирайте го ръчно или рестартирайте машината. Също така, уверете се, че настройките на груповата политика не деактивират услугата неволно.

Проблем: Потребителят няма разрешение да влезе чрез RDP

Убедете се, че целевият потребител е член на групата на потребителите на Remote Desktop или е получил достъп чрез групова политика:

Pgsql: Конфигурация на компютъра > Политики > Настройки на Windows > Настройки за сигурност > Локални политики > Присвояване на права на потребителите > Позволи влизане чрез Услуги за отдалечен работен плот

Можете да проверите членството в групата, като използвате:

Също така потвърдете, че няма конфликтна политика, която да премахва потребители от тази група.

Проблем: Удален регистър или RPC не отговаря

Проверете, че:

  • Услугата Remote Registry работи
  • Windows Firewall или всяка трета страна AV не блокира TCP портове 135 или 445
  • Инфраструктурата на Windows Management Instrumentation (WMI) на целевата система е функционална

За по-широка видимост използвайте инструменти като wbemtest или Get-WmiObject, за да валидирате RPC комуникацията.

Оптимизирайте управлението на отдалечен работен плот с TSplus Remote Access

Докато ръчната конфигурация на регистъра и защитната стена е мощна, тя може да бъде сложна и рискована в голям мащаб. TSplus Remote Access предлага сигурна, централизирана и ефективна алтернатива на традиционните RDP настройки. С уеб базиран достъп, поддръжка на множество потребители и вградени функции за сигурност, TSplus е идеалното решение за организации, които искат да оптимизират доставката и управлението на отдалечен работен плот.

Заключение

Активирането на RDP чрез отдалечен регистър в Windows 10 предлага на ИТ администраторите гъвкав, ниско ниво метод за предоставяне на отдалечен достъп. Независимо дали конфигурирате устройства в мащаб или отстранявате проблеми с достъпа до бездушни системи, този метод предоставя прецизно и скриптируемо решение. Винаги го комбинирайте с силни правила за защитна стена, разрешения на ниво потребител и мониторинг на сигурността, за да осигурите съответствие и да се защитите от злоупотреби.

TSplus Remote Access Безплатен Пробен период

Краен алтернативен вариант на Citrix/RDS за достъп до десктоп/приложения. Сигурен, икономичен, локален/облачен.

Започнете безплатен пробен период

Споделяне:

Facebook Twitter LinkedIn

Вашият екип на TSplus

Допълнително четене

TSplus Remote Desktop Access - Advanced Security Software

Как да промените паролата за RDP

Тази статия предлага пълни и технически точни методи за промяна или нулиране на пароли чрез Протокол за отдалечен работен плот (RDP), осигурявайки съвместимост с домейн и локални среди, и адаптиране както за интерактивни, така и за административни работни потоци.

Прочетете статията →
back to top of the page icon