Jak povolit RDP prostřednictvím vzdáleného registru ve Windows 10

Požadavky pro povolení RDP prostřednictvím vzdáleného registru na Windows 10

Před provedením jakýchkoli změn prostřednictvím registru je zásadní ověřit, že vaše prostředí podporuje vzdálenou správu a že všechny potřebné služby a oprávnění jsou nakonfigurovány.

Zajistěte, aby cílový systém běžel na Windows 10 Pro nebo Enterprise

Windows 10 Home Edition neobsahuje komponentu serveru RDP (TermService). Pokus o povolení RDP na zařízení s edicí Home nebude mít za následek funkční RDP relaci, i když jsou klíče registru správně nakonfigurovány.

Můžete ověřit edici vzdáleně pomocí PowerShellu:

Potvrdit administrativní přístup

Úpravy registru a správa služeb vyžadují místní administrátorské oprávnění. Pokud používáte doménové přihlašovací údaje, ujistěte se, že uživatelský účet je součástí skupiny Administrátoři na vzdáleném počítači.

Ověřte síťové připojení a požadované porty

Remote Registry a RDP se spoléhají na specifické porty:

• TCP 445 (SMB) – Používá se pro komunikaci Remote Registry a RPC
• TCP 135 (RPC endpoint mapper) – Používá se pro vzdálené WMI a služby
• TCP 3389 – Požadováno pro RDP připojení

Spusťte kontrolu portu:

Zkontrolujte stav služby vzdáleného registru

Služba vzdáleného registru musí být nastavena na Automaticky a spuštěna:

Jak povolit a spustit službu vzdáleného registru

Služba vzdáleného registru je často ve výchozím nastavení zakázána z bezpečnostních důvodů. IT profesionálové ji musí povolit a spustit před pokusem o jakékoli operace se vzdáleným registrem.

Použití PowerShellu k nastavení služby

Můžete nastavit službu, aby se spouštěla automaticky a spustila se okamžitě:

Tohoto se zajišťuje, že služba zůstane aktivní po restartu.

Použití Services.msc na vzdáleném počítači

Pokud PowerShell vzdálené připojení není k dispozici:

1. Spusťte services.msc
2. Klikněte na akci > Připojit k jinému počítači
3. Zadejte název hostitele nebo IP cílového počítače
4. Najít vzdálený registr, klikněte pravým tlačítkem > Vlastnosti
5. Nastavte "Typ spouštění" na Automaticky
6. Klikněte na Start, poté na OK

Jakmile je služba spuštěna, úprava registru z vzdálené konzole se stává možnou.

Úprava registru pro povolení RDP

Jádrem povolení RDP je jediná hodnota registru: fDenyTSConnections. Změna této hodnoty z 1 na 0 povolí službu RDP na stroji.

Metoda 1: Použití Regedit a "Připojit síťový registr"

Toto je metoda založená na grafickém uživatelském rozhraní vhodná pro ad hoc úkoly:

1. Spusťte regedit.exe jako správce na svém místním počítači
2. Klikněte na Soubor > Připojit síťový registr
3. Zadejte název cílového počítače
4. Navigovat na : pgsql: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
5. Dvojitým kliknutím na fDenyTSConnections změňte jeho hodnotu na 0

Poznámka: Tato změna automaticky nekonfiguruje Windows Firewall. To musí být provedeno samostatně.

Metoda 2: Použití PowerShellu k úpravě registru

Pro automatizaci nebo skriptování se doporučuje PowerShell:

powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name 'fDenyTSConnections' -Value 0 ; }

Můžete také ověřit, že hodnota byla změněna:

powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' | Select-Object fDenyTSConnections ; }

Povolení pravidel brány firewall pro RDP

Ve výchozím nastavení blokuje Windows Firewall příchozí RDP připojení. Musíte je výslovně povolit prostřednictvím příslušné skupiny pravidel.

Povolit pravidlo brány firewall pomocí PowerShellu

Tímto se aktivují všechna předdefinovaná pravidla pod skupinou "Remote Desktop".

Povolit pravidlo brány firewall pomocí PsExec a Netsh

Pokud je PowerShell vzdálené připojení nedostupné, PsExec od Sysinternals může pomoci:

bash: psexec \\TargetPC -u AdminUser -p Heslo netsh advfirewall firewall set rule group="remote desktop" new enable=Yes

Tip na zabezpečení: Pokud používáte doménové GPO, můžete prostřednictvím centralizované politiky prosadit přístup RDP a pravidla firewallu.

Ověřování a testování přístupu RDP

Potvrďte svou konfiguraci:

Použijte Test-NetConnection

Zkontrolujte, zda port 3389 poslouchá:

Měli byste vidět TcpTestSucceeded: True

Pokuste se o připojení RDP

Otevřete mstsc.exe, zadejte cílový název hostitele nebo IP adresu a připojte se pomocí administrátorských přihlašovacích údajů.

Pokud vidíte výzvu k zadání přihlašovacích údajů, vaše RDP relace byla úspěšně zahájena.

Použijte protokoly událostí pro odstraňování problémů

Zkontrolujte prohlížeč událostí na vzdáleném systému:

Hledejte chyby související s pokusy o připojení nebo selháním posluchače.

Zabezpečení při povolování RDP na dálku

Povolení RDP otevírá významný útočný prostor. Je zásadní zabezpečit prostředí, zejména při vystavení RDP napříč sítěmi.

Minimalizovat vystavení

• Použijte autentizaci na úrovni sítě (NLA)
• Omezte příchozí RDP přístup na známé IP rozsahy pomocí Windows Firewall nebo perimetrických firewallů.
• Vyhněte se přímému vystavení RDP na internetu

Sledovat změny registru

Klíč fDenyTSConnections je běžně modifikován malwarem a útočníky, aby umožnil laterální pohyb. Použijte monitorovací nástroje jako:

• Předávání událostí systému Windows
• Elastic Security nebo SIEM platformy
• Protokolování PowerShell a audit registru

Použijte hygienu přihlašovacích údajů a MFA

Zajistěte, aby všechny účty s přístupem RDP měly:

• Složitá hesla
• Vícefaktorová autentizace
• Přiřazení minimálních oprávnění

Řešení běžných problémů

Pokud RDP stále nefunguje po nastavení registru a firewallu, existuje několik možných příčin, které je třeba prozkoumat:

Problém: Port 3389 není otevřen

Použijte následující příkaz k ověření, že systém naslouchá na RDP připojení:

Pokud není žádný posluchač, může služba Remote Desktop (TermService) nebýt spuštěna. Spusťte ji ručně nebo restartujte stroj. Také se ujistěte, že nastavení skupinové politiky službu omylem nevyřazují.

Problém: Uživatel nemá povolení se přihlásit přes RDP

Ujistěte se, že zamýšlený uživatel je členem skupiny Uživatelé vzdálené plochy nebo má přístup povolený prostřednictvím zásady skupiny:

Pgsql: Konfigurace počítače > Politiky > Nastavení systému Windows > Nastavení zabezpečení > Místní politiky > Přiřazení uživatelských práv > Umožnit přihlášení prostřednictvím služeb vzdálené plochy

Můžete ověřit členství ve skupině pomocí:

Také potvrďte, že žádná konfliktní politika neodstraňuje uživatele z této skupiny.

Problém: Remote Registry nebo RPC neodpovídá

Zkontrolujte, že:

• Služba vzdáleného registru běží
• Windows Firewall nebo jakýkoli třetí strany AV neblokuje TCP porty 135 nebo 445
• Infrastruktura Windows Management Instrumentation (WMI) cílového systému je funkční

Pro širší viditelnost použijte nástroje jako wbemtest nebo Get-WmiObject k ověření komunikace RPC.

Zjednodušte správu vzdálené plochy s TSplus Remote Access

Zatímco manuální konfigurace registru a firewallu je mocná, může být složitá a riskantní v rozsahu. TSplus Remote Access nabízí bezpečnou, centralizovanou a efektivní alternativu k tradičním nastavením RDP. S webovým přístupem, podporou více uživatelů a vestavěnými bezpečnostními funkcemi je TSplus ideálním řešením pro organizace, které chtějí zjednodušit doručování a správu vzdálených desktopů.

Závěr

Povolení RDP prostřednictvím vzdáleného registru na Windows 10 nabízí IT administrátorům flexibilní, nízkoúrovňovou metodu pro zajištění vzdáleného přístupu. Ať už konfigurujete zařízení ve velkém měřítku nebo řešíte přístup k bezhlavým systémům, tato metoda poskytuje přesné a skriptovatelné řešení. Vždy ji kombinujte s silnými pravidly firewallu, oprávněními na úrovni uživatele a bezpečnostním monitorováním, abyste zajistili shodu a chránili se před zneužitím.