DaaS обяснено: Как работи Desktop as a Service и защо е важно
Разберете как работи Desktop as a Service (DaaS) зад кулисите. Изследвайте инфраструктурата, модела на доставка и сигурните алтернативи с TSplus Remote Access.
Искате ли да видите сайта на друг език?
TSPLUS БЛОГ
Активирането на протокола за отдалечен работен плот (RDP) чрез отдалечен регистър е мощна техника за ИТ администратори, които трябва да управляват машини с Windows 10 в мрежа. Този метод е особено ценен в сценарии, където достъпът чрез графичен интерфейс не е наличен или е необходима автоматизация. В тази техническа статия ще разгледаме как да конфигурираме RDP чрез регистъра на Windows - както локално, така и отдалечено. Ще обсъдим и алтернативи на PowerShell, конфигурация на защитна стена и съображения за сигурност.
Преди да направите каквито и да било промени чрез регистъра, е от съществено значение да проверите дали вашата среда поддържа дистанционно администриране и дали всички необходими услуги и разрешения са конфигурирани.
Windows 10 Home Edition не включва компонента на RDP сървъра (TermService). Опитът за активиране на RDP на устройство с Home edition няма да доведе до функционална RDP сесия, дори ако ключовете в регистъра са правилно конфигурирани.
Можете да проверите изданието дистанционно чрез PowerShell:
Промените в регистъра и управлението на услугите изискват локални администраторски права. Ако се използват домейн удостоверения, уверете се, че потребителският акаунт е част от групата Администратори на отдалечената машина.
Отдалечен регистър и RDP разчитат на специфични портове:
Проверете порта:
Проверете състоянието на услугата за отдалечен регистър
Услугата Remote Registry трябва да бъде настроена на Автоматично и стартирана:
Услугата за отдалечен регистър често е деактивирана по подразбиране поради съображения за сигурност. ИТ специалистите трябва да я активират и стартират, преди да опитат каквито и да било операции с отдалечен регистър.
Можете да настроите услугата да стартира автоматично и да я стартирате незабавно:
Това гарантира, че услугата остава активна след рестартиране.
Ако PowerShell отдалечен достъп не е наличен:
След като услугата работи, редактирането на регистъра от отдалечена конзола става възможно.
В основата на активирането на RDP е единствена стойност в регистъра: fDenyTSConnections. Промяната на тази стойност от 1 на 0 активира RDP услугата на машината.
Това е метод с графичен интерфейс, подходящ за ad hoc задачи:
Забележка: Тази промяна не конфигурира автоматично Windows Firewall. Това трябва да бъде направено отделно.
За автоматизация или скриптиране, PowerShell е предпочитан:
powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name 'fDenyTSConnections' -Value 0 ; }
Можете също да проверите, че стойността е променена:
powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' | Select-Object fDenyTSConnections ; }
По подразбиране Windows Firewall блокира входящите RDP връзки. Трябва изрично да ги разрешите чрез подходящата група правила.
Това позволява всички предварително зададени правила в групата "Remote Desktop".
Ако PowerShell отдалечен достъп не е наличен, PsExec от Sysinternals може да помогне:
bash: psexec \\TargetPC -u AdminUser -p Password netsh advfirewall firewall set rule group="remote access" new enable=Yes
Съвет за сигурност: Ако използвате домейн GPO, можете да наложите RDP достъп и правила за защитна стена чрез централизирана политика.
За да потвърдите конфигурацията си:
Проверете дали порт 3389 слуша:
Трябва да видите TcpTestSucceeded: True
Отворете mstsc.exe, въведете целевото име на хост или IP адрес и се свържете, използвайки администраторски идентификационни данни.
Ако видите подканваща форма за удостоверяване, вашата RDP сесия е успешно инициирана.
Проверете Журнал на събитията на отдалечената система:
Проверете за грешки, свързани с опити за свързване или неуспехи на слушателя.
Активирането на RDP отваря значителна повърхност за атаки. Критично е да се укрепи средата, особено когато се излага RDP през мрежи.
Ключът fDenyTSConnections обикновено се модифицира от злонамерен софтуер и нападатели, за да се позволи странично движение. Използвайте инструменти за мониторинг като:
Уверете се, че всички акаунти с RDP достъп имат:
Ако RDP все още не работи след конфигуриране на регистъра и защитната стена, има няколко възможни основни причини за разследване:
Използвайте следната команда, за да проверите дали системата слуша за RDP връзки:
Ако няма слушател, услугите за отдалечен работен плот (TermService) може да не работят. Стартирайте го ръчно или рестартирайте машината. Също така, уверете се, че настройките на груповата политика не деактивират услугата неволно.
Убедете се, че целевият потребител е член на групата на потребителите на Remote Desktop или е получил достъп чрез групова политика:
Pgsql: Конфигурация на компютъра > Политики > Настройки на Windows > Настройки за сигурност > Локални политики > Присвояване на права на потребителите > Позволи влизане чрез Услуги за отдалечен работен плот
Можете да проверите членството в групата, като използвате:
Също така потвърдете, че няма конфликтна политика, която да премахва потребители от тази група.
Проверете, че:
За по-широка видимост използвайте инструменти като wbemtest или Get-WmiObject, за да валидирате RPC комуникацията.
Докато ръчната конфигурация на регистъра и защитната стена е мощна, тя може да бъде сложна и рискована в голям мащаб. TSplus Remote Access предлага сигурна, централизирана и ефективна алтернатива на традиционните RDP настройки. С уеб базиран достъп, поддръжка на множество потребители и вградени функции за сигурност, TSplus е идеалното решение за организации, които искат да оптимизират доставката и управлението на отдалечен работен плот.
Активирането на RDP чрез отдалечен регистър в Windows 10 предлага на ИТ администраторите гъвкав, ниско ниво метод за предоставяне на отдалечен достъп. Независимо дали конфигурирате устройства в мащаб или отстранявате проблеми с достъпа до бездушни системи, този метод предоставя прецизно и скриптируемо решение. Винаги го комбинирайте с силни правила за защитна стена, разрешения на ниво потребител и мониторинг на сигурността, за да осигурите съответствие и да се защитите от злоупотреби.
TSplus Remote Access Безплатен Пробен период
Краен алтернативен вариант на Citrix/RDS за достъп до десктоп/приложения. Сигурен, икономичен, локален/облачен.
Достъп до отдалечен компютър с едно кликване
Идеалната алтернатива на Citrix и Microsoft RDS за достъп до отдалечен работен плот и доставяне на Windows приложения.
Опитайте безплатноДОВЕРЕНО ОТ 500,000+ КОМПАНИИ