DaaS vysvětleno: Jak funguje Desktop jako služba a proč je to důležité
Pochopte, jak Desktop jako služba (DaaS) funguje v pozadí. Prozkoumejte infrastrukturu, model dodání a bezpečné alternativy s TSplus Remote Access.
Chtěli byste vidět stránku v jiném jazyce?
TSPLUS BLOG
Povolení protokolu vzdálené plochy (RDP) prostřednictvím vzdáleného registru je mocná technika pro IT administrátory, kteří potřebují spravovat počítače s Windows 10 v síti. Tato metoda je obzvlášť cenná v situacích, kdy není k dispozici přístup prostřednictvím GUI, nebo je vyžadována automatizace. V tomto technickém článku si ukážeme, jak nakonfigurovat RDP prostřednictvím registru Windows - jak lokálně, tak vzdáleně. Také se budeme zabývat alternativami PowerShell, konfigurací firewallu a bezpečnostními úvahami.
Před provedením jakýchkoli změn prostřednictvím registru je zásadní ověřit, že vaše prostředí podporuje vzdálenou správu a že všechny potřebné služby a oprávnění jsou nakonfigurovány.
Windows 10 Home Edition neobsahuje komponentu serveru RDP (TermService). Pokus o povolení RDP na zařízení s edicí Home nebude mít za následek funkční RDP relaci, i když jsou klíče registru správně nakonfigurovány.
Můžete ověřit edici vzdáleně pomocí PowerShellu:
Úpravy registru a správa služeb vyžadují místní administrátorské oprávnění. Pokud používáte doménové přihlašovací údaje, ujistěte se, že uživatelský účet je součástí skupiny Administrátoři na vzdáleném počítači.
Remote Registry a RDP se spoléhají na specifické porty:
Spusťte kontrolu portu:
Zkontrolujte stav služby vzdáleného registru
Služba vzdáleného registru musí být nastavena na Automaticky a spuštěna:
Služba vzdáleného registru je často ve výchozím nastavení zakázána z bezpečnostních důvodů. IT profesionálové ji musí povolit a spustit před pokusem o jakékoli operace se vzdáleným registrem.
Můžete nastavit službu, aby se spouštěla automaticky a spustila se okamžitě:
Tohoto se zajišťuje, že služba zůstane aktivní po restartu.
Pokud PowerShell vzdálené připojení není k dispozici:
Jakmile je služba spuštěna, úprava registru z vzdálené konzole se stává možnou.
Jádrem povolení RDP je jediná hodnota registru: fDenyTSConnections. Změna této hodnoty z 1 na 0 povolí službu RDP na stroji.
Toto je metoda založená na grafickém uživatelském rozhraní vhodná pro ad hoc úkoly:
Poznámka: Tato změna automaticky nekonfiguruje Windows Firewall. To musí být provedeno samostatně.
Pro automatizaci nebo skriptování se doporučuje PowerShell:
powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name 'fDenyTSConnections' -Value 0 ; }
Můžete také ověřit, že hodnota byla změněna:
powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' | Select-Object fDenyTSConnections ; }
Ve výchozím nastavení blokuje Windows Firewall příchozí RDP připojení. Musíte je výslovně povolit prostřednictvím příslušné skupiny pravidel.
Tímto se aktivují všechna předdefinovaná pravidla pod skupinou "Remote Desktop".
Pokud je PowerShell vzdálené připojení nedostupné, PsExec od Sysinternals může pomoci:
bash: psexec \\TargetPC -u AdminUser -p Heslo netsh advfirewall firewall set rule group="remote desktop" new enable=Yes
Tip na zabezpečení: Pokud používáte doménové GPO, můžete prostřednictvím centralizované politiky prosadit přístup RDP a pravidla firewallu.
Potvrďte svou konfiguraci:
Zkontrolujte, zda port 3389 poslouchá:
Měli byste vidět TcpTestSucceeded: True
Otevřete mstsc.exe, zadejte cílový název hostitele nebo IP adresu a připojte se pomocí administrátorských přihlašovacích údajů.
Pokud vidíte výzvu k zadání přihlašovacích údajů, vaše RDP relace byla úspěšně zahájena.
Zkontrolujte prohlížeč událostí na vzdáleném systému:
Hledejte chyby související s pokusy o připojení nebo selháním posluchače.
Povolení RDP otevírá významný útočný prostor. Je zásadní zabezpečit prostředí, zejména při vystavení RDP napříč sítěmi.
Klíč fDenyTSConnections je běžně modifikován malwarem a útočníky, aby umožnil laterální pohyb. Použijte monitorovací nástroje jako:
Zajistěte, aby všechny účty s přístupem RDP měly:
Pokud RDP stále nefunguje po nastavení registru a firewallu, existuje několik možných příčin, které je třeba prozkoumat:
Použijte následující příkaz k ověření, že systém naslouchá na RDP připojení:
Pokud není žádný posluchač, může služba Remote Desktop (TermService) nebýt spuštěna. Spusťte ji ručně nebo restartujte stroj. Také se ujistěte, že nastavení skupinové politiky službu omylem nevyřazují.
Ujistěte se, že zamýšlený uživatel je členem skupiny Uživatelé vzdálené plochy nebo má přístup povolený prostřednictvím zásady skupiny:
Pgsql: Konfigurace počítače > Politiky > Nastavení systému Windows > Nastavení zabezpečení > Místní politiky > Přiřazení uživatelských práv > Umožnit přihlášení prostřednictvím služeb vzdálené plochy
Můžete ověřit členství ve skupině pomocí:
Také potvrďte, že žádná konfliktní politika neodstraňuje uživatele z této skupiny.
Zkontrolujte, že:
Pro širší viditelnost použijte nástroje jako wbemtest nebo Get-WmiObject k ověření komunikace RPC.
Zatímco manuální konfigurace registru a firewallu je mocná, může být složitá a riskantní v rozsahu. TSplus Remote Access nabízí bezpečnou, centralizovanou a efektivní alternativu k tradičním nastavením RDP. S webovým přístupem, podporou více uživatelů a vestavěnými bezpečnostními funkcemi je TSplus ideálním řešením pro organizace, které chtějí zjednodušit doručování a správu vzdálených desktopů.
Povolení RDP prostřednictvím vzdáleného registru na Windows 10 nabízí IT administrátorům flexibilní, nízkoúrovňovou metodu pro zajištění vzdáleného přístupu. Ať už konfigurujete zařízení ve velkém měřítku nebo řešíte přístup k bezhlavým systémům, tato metoda poskytuje přesné a skriptovatelné řešení. Vždy ji kombinujte s silnými pravidly firewallu, oprávněními na úrovni uživatele a bezpečnostním monitorováním, abyste zajistili shodu a chránili se před zneužitím.
TSplus Bezplatná zkušební verze vzdáleného přístupu
Ultimativní alternativa Citrix/RDS pro přístup k desktopu/aplikacím. Bezpečné, nákladově efektivní, on-premises/cloud
Jednoduchý přístup na dálku
Ideální alternativa k Citrixu a Microsoft RDS pro vzdálený přístup k pracovní ploše a dodávku aplikací pro Windows.
Vyzkoušejte to zdarmaDŮVĚŘUJÍ 500 000+ SPOLEČNOSTÍ