Hvordan man aktiverer RDP via fjernregistrering på Windows 10

Forudsætninger for at aktivere RDP via fjernregistrering på Windows 10

Før du foretager ændringer via registreringsdatabasen, er det vigtigt at bekræfte, at dit miljø understøtter fjernadministration, og at alle nødvendige tjenester og tilladelser er konfigureret.

Sørg for, at målsystemet kører Windows 10 Pro eller Enterprise

Windows 10 Home Edition inkluderer ikke RDP-serverkomponenten (TermService). Forsøg på at aktivere RDP på en Home edition-enhed vil ikke resultere i en funktionel RDP-session, selvom registreringsnøglerne er korrekt konfigureret.

Du kan verificere udgaven eksternt via PowerShell:

Bekræft administrativ adgang

Registreringsdatabasen ændringer og serviceadministration kræver lokale administratorrettigheder. Hvis der bruges domænelegitimationsoplysninger, skal du sikre dig, at brugerkontoen er en del af Administratorgruppen på den fjerne maskine.

Valider netværksforbindelse og nødvendige porte

Remote Registry og RDP afhænger af specifikke porte:

• TCP 445 (SMB) – Bruges af Remote Registry og RPC kommunikation
• TCP 135 (RPC endpoint mapper) – Bruges af fjern-WMI og tjenester
• TCP 3389 – Påkrævet for RDP-forbindelser

Kør en portkontrol:

Tjek status for Remote Registry Service

Remote Registry-tjenesten skal indstilles til Automatisk og startes:

Hvordan man aktiverer og starter Remote Registry-tjenesten

Remote Registry-tjenesten er ofte deaktiveret som standard af sikkerhedsmæssige årsager. IT-professionelle skal aktivere og starte den, før de forsøger nogen fjernregistreringsoperationer.

Brug af PowerShell til at konfigurere tjenesten

Du kan indstille tjenesten til at starte automatisk og starte den med det samme:

Dette sikrer, at tjenesten forbliver aktiv efter genstart.

Brug af Services.msc på en fjerncomputer

Hvis PowerShell-fjernadgang ikke er tilgængelig:

1. Kør services.msc
2. Klik handling > Opret forbindelse til en anden computer
3. Indtast værtsnavnet eller IP-adressen på målmaskinen
4. Find Remote Registry, højreklik > Egenskaber
5. Indstil "Starttype" til Automatisk
6. Klik på Start, og derefter OK

Når tjenesten kører, bliver registreringsredigering fra en fjernkonsol mulig.

Ændring af registreringsdatabasen for at aktivere RDP

Kernen i aktiveringen af RDP er en enkelt registreringsværdi: fDenyTSConnections. At ændre dette fra 1 til 0 aktiverer RDP-tjenesten på maskinen.

Metode 1: Brug af Regedit og "Opret forbindelse til netværksregister"

Dette er en GUI-baseret metode, der er velegnet til ad hoc-opgaver:

1. Kør regedit.exe som administrator på din lokale maskine
2. Klik på Fil > Opret forbindelse til netværksregisteret
3. Indtast værtsnavnet for den målmaskine
4. Naviger til : pgsql: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
5. Dobbeltklik på fDenyTSConnections og ændr dets værdi til 0

Bemærk: Denne ændring konfigurerer ikke automatisk Windows Firewall. Det skal gøres separat.

Metode 2: Brug af PowerShell til at redigere registreringsdatabasen

Til automatisering eller scripting foretrækkes PowerShell:

powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name 'fDenyTSConnections' -Value 0 ; }

Du kan også bekræfte, at værdien blev ændret:

powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' | Select-Object fDenyTSConnections ; }

Aktivering af firewallregler for RDP

Som standard blokerer Windows Firewall indgående RDP-forbindelser. Du skal eksplicit tillade dem gennem den relevante regelgruppe.

Aktiver firewallregel ved hjælp af PowerShell

Dette muliggør alle foruddefinerede regler under gruppen "Remote Desktop".

Aktiver firewallregel ved hjælp af PsExec og Netsh

Hvis PowerShell-fjernadgang ikke er tilgængelig, kan PsExec fra Sysinternals hjælpe:

bash: psexec \\TargetPC -u AdminUser -p Password netsh advfirewall firewall set rule group="remote desktop" new enable=Yes

Sikkerhedstip: Hvis du bruger domæne-GPO'er, kan du skubbe RDP-adgang og firewallregler via centraliseret politik.

Verificering og test af RDP-adgang

For at bekræfte din konfiguration:

Brug Test-NetConnection

Tjek om port 3389 lytter:

Du bør se TcpTestSucceeded: True

Forsøg RDP-forbindelse

Åbn mstsc.exe, indtast det ønskede værtsnavn eller IP-adresse, og opret forbindelse ved hjælp af administratoroplysninger.

Hvis du ser en legitimationsprompt, er din RDP-session blevet startet med succes.

Brug hændelseslogs til fejlfinding

Kontroller hændelsesfilerne på det fjerne system:

Se efter fejl relateret til forbindelsesforsøg eller lytterfejl.

Sikkerhedsovervejelser ved aktivering af RDP eksternt

At åbne RDP skaber en betydelig angrebsflade. Det er afgørende at styrke miljøet, især når RDP eksponeres på tværs af netværk.

Minimer eksponering

• Brug netværksniveauautentifikation (NLA)
• Begræns indgående RDP-adgang til kendte IP-områder ved hjælp af Windows Firewall eller perimeter-firewalls
• Undgå at udsætte RDP direkte for internettet

Overvåg registreringsændringer

fDenyTSConnections-nøglen ændres ofte af malware og angribere for at muliggøre lateral bevægelse. Brug overvågningsværktøjer som:

• Windows Event Forwarding
• Elastic Security eller SIEM-platforme
• PowerShell-logning og registreringsdatabaseauditering

Brug Credential Hygiene og MFA

Sørg for, at alle konti med RDP-adgang har:

• Komplekse adgangskoder
• Multi-faktor godkendelse
• Mindst privilegerede tildelinger

Fejlfinding af almindelige problemer

Hvis RDP stadig ikke fungerer efter konfiguration af registreringsdatabasen og firewall, er der flere mulige årsager at undersøge:

Problem: Port 3389 ikke åben

Brug følgende kommando til at verificere, at systemet lytter efter RDP-forbindelser:

Hvis der ikke er nogen lytter, kører Remote Desktop Services (TermService) muligvis ikke. Start det manuelt eller genstart maskinen. Sørg også for, at gruppepolitikken ikke utilsigtet deaktiverer tjenesten.

Problem: Bruger ikke tilladt at logge ind via RDP

Sørg for, at den tiltænkte bruger er medlem af gruppen for Remote Desktop-brugere eller får adgang gennem gruppepolitik:

Pgsql: Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment > Tillad logon via Remote Desktop Services

Du kan verificere gruppe medlemskab ved hjælp af:

Bekræft også, at ingen modstridende politik fjerner brugere fra denne gruppe.

Problem: Remote Registry eller RPC svarer ikke

Kontroller at:

• Remote Registry-tjenesten kører
• Windows Firewall eller enhver tredjeparts AV blokerer ikke TCP-porte 135 eller 445
• Målsystemets Windows Management Instrumentation (WMI) infrastruktur er funktionel

For bredere synlighed, brug værktøjer som wbemtest eller Get-WmiObject til at validere RPC-kommunikation.

Forenkle administrationen af Remote Desktop med TSplus Remote Access

Mens manuel registrerings- og firewallkonfiguration er kraftfuld, kan det være komplekst og risikabelt i stor skala. TSplus Remote Access tilbyder en sikker, centraliseret og effektiv alternativ til traditionelle RDP-opsætninger. Med webbaseret adgang, multi-bruger support og indbyggede sikkerhedsfunktioner er TSplus den ideelle løsning for organisationer, der ønsker at strømline levering og administration af fjernskrivebord.

Konklusion

Aktivering af RDP via Remote Registry på Windows 10 giver IT-administratorer en fleksibel, lavniveau metode til at tilvejebringe fjernadgang. Uanset om du konfigurerer enheder i stor skala eller fejlfinder adgang til hovedløse systemer, giver denne metode en præcis og scriptbar løsning. Kombiner altid med stærke firewall-regler, brugerrettigheder og sikkerhedsovervågning for at sikre overholdelse og beskytte mod misbrug.