Chtěli byste vidět stránku v jiném jazyce?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Změnit jazyk
Obsah

Jaké jsou předpoklady pro povolení RDP prostřednictvím vzdáleného registru na Windows 10?

Před provedením jakýchkoli změn prostřednictvím registru je zásadní ověřit, že vaše prostředí podporuje vzdálenou správu a že všechny potřebné služby a oprávnění jsou nakonfigurovány.

Zajistěte, aby cílový systém běžel na Windows 10 Pro nebo Enterprise

Windows 10 Home Edition neobsahuje komponentu serveru RDP (TermService). Pokus o povolení RDP na zařízení s edicí Home nebude mít za následek funkční RDP relaci, i když jsou klíče registru správně nakonfigurovány.

Můžete ověřit edici vzdáleně pomocí PowerShellu: 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
        (Get-WmiObject -Class Win32_OperatingSystem).Caption

Potvrdit administrativní přístup

Úpravy registru a správa služeb vyžadují místní administrátorské oprávnění. Pokud používáte doménové přihlašovací údaje, ujistěte se, že uživatelský účet je součástí skupiny Administrátoři na vzdáleném počítači.

Ověřte síťové připojení a požadované porty

Remote Registry a RDP se spoléhají na specifické porty:

  • TCP 445 (SMB) – Používá se pro komunikaci Remote Registry a RPC
  • TCP 135 (RPC endpoint mapper) – Používá se pro vzdálené WMI a služby
  • TCP 3389 – Požadováno pro RDP připojení

Spusťte kontrolu portu: 

Test-NetConnection -ComputerName TargetPC -Port 445  
Test-NetConnection -ComputerName TargetPC -Port 3389

Zkontrolujte stav služby vzdáleného registru

Služba vzdáleného registru musí být nastavena na Automaticky a spuštěna: 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
    Get-Service -Name RemoteRegistry
}

Jak můžete povolit a spustit službu vzdáleného registru?

Služba vzdáleného registru je často ve výchozím nastavení zakázána z bezpečnostních důvodů. IT profesionálové ji musí povolit a spustit před pokusem o jakékoli operace se vzdáleným registrem.

Použití PowerShellu k nastavení služby

Můžete nastavit službu, aby se spouštěla automaticky a spustila se okamžitě: 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
    Set-Service -Name RemoteRegistry -StartupType Automatic
    Start-Service -Name RemoteRegistry
}

Tohoto se zajišťuje, že služba zůstane aktivní po restartu.

Použití Services.msc na vzdáleném počítači

Pokud PowerShell vzdálené připojení není k dispozici:

  1. Spusťte services.msc
  2. Klikněte na akci > Připojit k jinému počítači
  3. Zadejte název hostitele nebo IP cílového počítače
  4. Najít vzdálený registr, klikněte pravým tlačítkem > Vlastnosti
  5. Nastavte "Typ spouštění" na Automaticky
  6. Klikněte na Start, poté na OK

Jakmile je služba spuštěna, úprava registru z vzdálené konzole se stává možnou.

Jak můžete upravit registr, abyste povolili RDP?

V jádru povolení RDP je jediná hodnota registru: fDenyTSConnections . Změna tohoto z 1 na 0 povolí službu RDP na stroji.

Metoda 1: Použití Regedit a "Připojit síťový registr"

Toto je metoda založená na grafickém uživatelském rozhraní vhodná pro ad hoc úkoly:

  1. Spustit regedit.exe jako správce na vašem místním počítači
  2. Klikněte na Soubor > Připojit síťový registr
  3. Zadejte název cílového počítače
  4. Navigovat na : 
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
  5. Dvojitý klik fDenyTSConnections a změňte jeho hodnotu na 0

Poznámka: Tato změna automaticky nekonfiguruje Windows Firewall. To musí být provedeno samostatně.

Metoda 2: Použití PowerShellu k úpravě registru

Pro automatizaci nebo skriptování se doporučuje PowerShell: 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
    Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name 'fDenyTSConnections' -Value 0
}

Můžete také ověřit, že hodnota byla změněna: 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
    Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' | Select-Object fDenyTSConnections
}

Jak můžete povolit pravidla firewallu pro RDP?

Ve výchozím nastavení blokuje Windows Firewall příchozí RDP připojení. Musíte je výslovně povolit prostřednictvím příslušné skupiny pravidel.

Povolit pravidlo brány firewall pomocí PowerShellu 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
    Enable-NetFirewallRule -DisplayGroup "Remote Desktop"
}

Tímto se aktivují všechna předdefinovaná pravidla pod skupinou "Remote Desktop".

Povolit pravidlo brány firewall pomocí PsExec a Netsh

Pokud je PowerShell vzdálené připojení nedostupné, PsExec z Sysinternals může pomoci: 

psexec \\TargetPC -u AdminUser -p Password netsh advfirewall firewall set rule group="remote desktop" new enable=Yes

Tip na zabezpečení: Pokud používáte doménové GPO, můžete prostřednictvím centralizované politiky prosadit přístup RDP a pravidla firewallu.

Jak můžete ověřit a testovat přístup RDP?

Potvrďte svou konfiguraci:

Použijte Test-NetConnection

Zkontrolujte, zda port 3389 poslouchá: 

Test-NetConnection -ComputerName TargetPC -Port 3389

Měli byste vidět TcpTestSucceeded: True

Pokuste se o připojení RDP

Otevřeno mstsc.exe zadejte cílové jméno hostitele nebo IP adresu a připojte se pomocí administrátorských přihlašovacích údajů.

Pokud vidíte výzvu k zadání přihlašovacích údajů, vaše RDP relace byla úspěšně zahájena.

Použijte protokoly událostí pro odstraňování problémů

Zkontrolujte prohlížeč událostí na vzdáleném systému: 

Aplikace a služby protokoly > Microsoft > Windows > TerminalServices-RemoteConnectionManager

Hledejte chyby související s pokusy o připojení nebo selháním posluchače.

Jaká jsou bezpečnostní opatření při povolení RDP na dálku?

Povolení RDP otevírá významný útočný prostor. Je zásadní zabezpečit prostředí, zejména při vystavení RDP napříč sítěmi.

Minimalizovat vystavení

  • Použijte autentizaci na úrovni sítě (NLA)
  • Omezte příchozí RDP přístup na známé IP rozsahy pomocí Windows Firewall nebo perimetrických firewallů.
  • Vyhněte se přímému vystavení RDP na internetu

Sledovat změny registru

The fDenyTSConnections klíč je běžně modifikován malwarem a útočníky, aby umožnil laterální pohyb. Použijte monitorovací nástroje jako:

  • Předávání událostí systému Windows
  • Elastic Security nebo SIEM platformy
  • Protokolování PowerShell a audit registru

Použijte hygienu přihlašovacích údajů a MFA

Zajistěte, aby všechny účty s přístupem RDP měly:

  • Složitá hesla
  • Vícefaktorová autentizace
  • Přiřazení minimálních oprávnění

Jaké jsou běžné problémy při odstraňování potíží?

Pokud RDP stále nefunguje po nastavení registru a firewallu, existuje několik možných příčin, které je třeba prozkoumat:

Problém: Port 3389 není otevřen

Použijte následující příkaz k ověření, že systém naslouchá na RDP připojení: 

netstat -an | findstr 3389

Pokud není žádný posluchač, může služba Remote Desktop (TermService) nebýt spuštěna. Spusťte ji ručně nebo restartujte stroj. Také se ujistěte, že nastavení skupinové politiky službu omylem nevyřazují.

Problém: Uživatel nemá povolení se přihlásit přes RDP

Ujistěte se, že zamýšlený uživatel je členem skupiny Uživatelé vzdálené plochy nebo má přístup povolený prostřednictvím zásady skupiny: 

Konfigurace počítače > Politiky > Nastavení systému Windows > Nastavení zabezpečení > Místní politiky > Přiřazení uživatelských práv > Umožnit přihlášení prostřednictvím služeb vzdálené plochy

Můžete ověřit členství ve skupině pomocí: 

net localgroup "Remote Desktop Users"

Také potvrďte, že žádná konfliktní politika neodstraňuje uživatele z této skupiny.

Problém: Remote Registry nebo RPC neodpovídá

Zkontrolujte, že:

  • Služba vzdáleného registru běží
  • Windows Firewall nebo jakýkoli třetí strany AV neblokuje TCP porty 135 nebo 445
  • Infrastruktura Windows Management Instrumentation (WMI) cílového systému je funkční

Pro širší viditelnost použijte nástroje jako wbemtest nebo Get-WmiObject k ověření komunikace RPC.

Zjednodušte správu vzdálené plochy s TSplus Remote Access

Zatímco manuální konfigurace registru a firewallu je mocná, může být složitá a riskantní v rozsahu. TSplus Remote Access nabízí bezpečnou, centralizovanou a efektivní alternativu k tradičním nastavením RDP. S webovým přístupem, podporou více uživatelů a vestavěnými bezpečnostními funkcemi je TSplus ideálním řešením pro organizace, které chtějí zjednodušit doručování a správu vzdálených desktopů.

Závěr

Povolení RDP prostřednictvím vzdáleného registru na Windows 10 nabízí IT administrátorům flexibilní, nízkoúrovňovou metodu pro zajištění vzdáleného přístupu. Ať už konfigurujete zařízení ve velkém měřítku nebo řešíte přístup k bezhlavým systémům, tato metoda poskytuje přesné a skriptovatelné řešení. Vždy ji kombinujte s silnými pravidly firewallu, oprávněními na úrovni uživatele a bezpečnostním monitorováním, abyste zajistili shodu a chránili se před zneužitím.

TSplus Bezplatná zkušební verze vzdáleného přístupu

Ultimativní alternativa Citrix/RDS pro přístup k desktopu/aplikacím. Bezpečné, nákladově efektivní, on-premises/cloud

Začněte bezplatnou zkušební verzi.

Sdílet:

Facebook Twitter LinkedIn

Váš tým TSplus

Další čtení

back to top of the page icon