آیا می‌خواهید سایت را به زبان دیگری ببینید؟

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
تغییر زبان
فهرست مطالب

پیش‌نیازهای فعال‌سازی RDP از طریق رجیستری از راه دور در ویندوز ۱۰ چیست؟

قبل از ایجاد هرگونه تغییر از طریق رجیستری، تأیید این موضوع ضروری است که محیط شما از مدیریت از راه دور پشتیبانی می‌کند و تمام خدمات و مجوزهای لازم پیکربندی شده‌اند.

اطمینان حاصل کنید که سیستم هدف در حال اجرای ویندوز ۱۰ پرو یا انتشارات است.

نسخه خانگی ویندوز ۱۰ شامل مؤلفه سرور RDP (TermService) نمی‌باشد. تلاش برای فعال‌سازی RDP بر روی یک دستگاه نسخه خانگی منجر به یک جلسه RDP عملی نخواهد شد، حتی اگر کلیدهای رجیستری به درستی پیکربندی شده باشند.

شما می‌توانید ویرایش را به‌طور از راه دور از طریق PowerShell تأیید کنید: 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
        (Get-WmiObject -Class Win32_OperatingSystem).Caption

دسترسی مدیریتی را تأیید کنید

تغییرات رجیستری و مدیریت خدمات به مجوزهای مدیر محلی نیاز دارند. اگر از اعتبارنامه‌های دامنه استفاده می‌کنید، اطمینان حاصل کنید که حساب کاربری کاربر بخشی از گروه مدیران در ماشین راه دور است.

تأیید اتصال شبکه و پورت‌های مورد نیاز

رژستری از راه دور و RDP به پورت‌های خاصی وابسته هستند:

  • TCP 445 (SMB) – مورد استفاده توسط رجیستری از راه دور و ارتباط RPC
  • TCP 135 (نقشه‌بردار نقطه پایانی RPC) – توسط WMI و خدمات از راه دور استفاده می‌شود
  • TCP ۳۳۸۹ – مورد نیاز برای اتصالات RDP

پورت را بررسی کنید: 

Test-NetConnection -ComputerName TargetPC -Port 445  
Test-NetConnection -ComputerName TargetPC -Port 3389

وضعیت سرویس رجیستری از راه دور را بررسی کنید

خدمات رجیستری از راه دور باید به حالت خودکار تنظیم شده و شروع شود: 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
    Get-Service -Name RemoteRegistry
}

چگونه می‌توانید سرویس رجیستری از راه دور را فعال و شروع کنید؟

خدمات رجیستری از راه دور معمولاً به دلایل امنیتی به‌طور پیش‌فرض غیرفعال است. متخصصان IT باید آن را فعال کرده و قبل از تلاش برای هرگونه عملیات رجیستری از راه دور، آن را راه‌اندازی کنند.

استفاده از PowerShell برای پیکربندی سرویس

شما می‌توانید سرویس را طوری تنظیم کنید که به‌طور خودکار شروع شود و بلافاصله آن را آغاز کنید: 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
    Set-Service -Name RemoteRegistry -StartupType Automatic
    Start-Service -Name RemoteRegistry
}

این اطمینان می‌دهد که سرویس پس از راه‌اندازی مجدد فعال باقی بماند.

استفاده از Services.msc در یک کامپیوتر از راه دور

اگر دسترسی از راه دور PowerShell در دسترس نیست:

  1. خدمات.msc را اجرا کنید
  2. عملیات کلیک > اتصال به کامپیوتر دیگر
  3. نام میزبان یا IP ماشین هدف را وارد کنید
  4. موقعیت‌یابی رجیستری از راه دور، کلیک راست > ویژگی‌ها
  5. نوع راه‌اندازی را به خودکار تنظیم کنید
  6. شروع را کلیک کنید، سپس تأیید کنید

پس از راه‌اندازی سرویس، ویرایش رجیستری از یک کنسول از راه دور ممکن می‌شود.

چگونه می‌توانید رجیستری را برای فعال‌سازی RDP تغییر دهید؟

در هسته فعال‌سازی RDP یک مقدار رجیستری واحد وجود دارد: fDenyTSConnections تغییر این از ۱ به ۰ سرویس RDP را بر روی دستگاه فعال می‌کند.

روش ۱: استفاده از Regedit و "اتصال به رجیستری شبکه"

این یک روش مبتنی بر رابط کاربری گرافیکی است که برای وظایف موردی مناسب است:

  1. اجرا regedit.exe به عنوان مدیر در رایانه محلی خود
  2. روی فایل کلیک کنید > اتصال به رجیستری شبکه
  3. نام میزبان ماشین هدف را وارد کنید
  4. به این آدرس بروید : 
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
  5. دوبار کلیک fDenyTSConnections و مقدار آن را تغییر دهید 0

توجه: این تغییر به طور خودکار فایروال ویندوز را پیکربندی نمی‌کند. این کار باید به صورت جداگانه انجام شود.

روش ۲: استفاده از PowerShell برای ویرایش رجیستری

برای اتوماسیون یا اسکریپت‌نویسی، PowerShell ترجیح داده می‌شود: 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
    Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name 'fDenyTSConnections' -Value 0
}

شما همچنین می‌توانید تأیید کنید که مقدار تغییر کرده است: 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
    Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' | Select-Object fDenyTSConnections
}

چگونه می‌توانید قوانین فایروال را برای RDP فعال کنید؟

به‌طور پیش‌فرض، فایروال ویندوز اتصالات ورودی RDP را مسدود می‌کند. شما باید به‌طور صریح آن‌ها را از طریق گروه قوانین مناسب مجاز کنید.

قانون فایروال را با استفاده از PowerShell فعال کنید 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
    Enable-NetFirewallRule -DisplayGroup "Remote Desktop"
}

این امکان را برای تمام قوانین از پیش تعریف شده در گروه "Remote Desktop" فراهم می‌کند.

قانون فایروال را با استفاده از PsExec و Netsh فعال کنید

اگر دسترسی از راه دور PowerShell در دسترس نیست، PsExec از Sysinternals می‌تواند کمک کند: 

psexec \\TargetPC -u AdminUser -p Password netsh advfirewall firewall set rule group="remote desktop" new enable=Yes

نکته امنیتی: اگر از GPOهای دامنه استفاده می‌کنید، می‌توانید دسترسی RDP و قوانین فایروال را از طریق سیاست متمرکز اعمال کنید.

چگونه می‌توانید دسترسی RDP را تأیید و آزمایش کنید؟

برای تأیید پیکربندی شما:

از Test-NetConnection استفاده کنید

بررسی کنید اگر پورت 3389 در حال گوش دادن: 

تست-نت-اتصال -نام-کامپیوتر TargetPC -پورت ۳۳۸۹

شما باید ببینید TcpTestSucceeded: درست

تلاش برای اتصال RDP

باز mstsc.exe نام میزبان یا آدرس IP هدف را وارد کنید و با استفاده از اعتبارنامه‌های مدیر به آن متصل شوید.

اگر پیامی برای اعتبارسنجی مشاهده کردید، جلسه RDP شما با موفقیت آغاز شده است.

از گزارش‌های رویداد برای عیب‌یابی استفاده کنید

بررسی Event Viewer در سیستم از راه دور: 

گزارش‌های برنامه‌ها و خدمات > مایکروسافت > ویندوز > TerminalServices-RemoteConnectionManager

به دنبال خطاهای مربوط به تلاش‌های اتصال یا شکست‌های شنونده باشید.

هنگام فعال‌سازی RDP به‌طور از راه دور، ملاحظات امنیتی چیست؟

فعال‌سازی RDP سطح حمله قابل توجهی را باز می‌کند. سخت‌کردن محیط بسیار حیاتی است، به‌ویژه زمانی که RDP را در شبکه‌ها در معرض دید قرار می‌دهید.

کاهش قرارگیری

  • از احراز هویت در سطح شبکه (NLA) استفاده کنید
  • دسترسی ورودی RDP را به محدوده‌های IP شناخته شده با استفاده از فایروال ویندوز یا فایروال‌های محیطی محدود کنید
  • از قرار دادن RDP به طور مستقیم در معرض اینترنت خودداری کنید

تغییرات رجیستری را نظارت کنید

[The] [ترجمه] fDenyTSConnections کلید معمولاً توسط بدافزار و مهاجمان برای فعال‌سازی حرکت جانبی تغییر می‌کند. از ابزارهای نظارتی مانند:

  • انتقال رویدادهای ویندوز
  • پلتفرم‌های Elastic Security یا SIEM
  • گزارش‌گیری PowerShell و حسابرسی رجیستری

از بهداشت اعتبار و MFA استفاده کنید

اطمینان حاصل کنید که تمام حساب‌های دارای دسترسی RDP دارای:

  • رمزهای عبور پیچیده
  • احراز هویت چندعاملی
  • اختصاصات حداقل دسترسی

مشکلات رایج عیب‌یابی چیست؟

اگر RDP هنوز پس از پیکربندی رجیستری و فایروال کار نمی‌کند، چندین علت ممکن وجود دارد که باید بررسی شوند:

مسئله: پورت ۳۳۸۹ باز نیست

از دستور زیر برای تأیید اینکه سیستم در حال گوش دادن به اتصالات RDP است استفاده کنید: 

نت‌استات -ان | فاینداستر ۳۳۸۹

اگر هیچ شنونده‌ای وجود ندارد، خدمات دسکتاپ از راه دور (TermService) ممکن است در حال اجرا نباشد. آن را به صورت دستی راه‌اندازی کنید یا دستگاه را دوباره راه‌اندازی کنید. همچنین، اطمینان حاصل کنید که تنظیمات گروهی سیاست‌ها به طور ناخواسته خدمات را غیرفعال نکرده‌اند.

مسئله: کاربر مجاز به ورود از طریق RDP نیست

اطمینان حاصل کنید که کاربر مورد نظر عضو گروه کاربران Remote Desktop است یا از طریق Group Policy دسترسی دارد: 

پیکربندی کامپیوتر > سیاست‌ها > تنظیمات ویندوز > تنظیمات امنیتی > سیاست‌های محلی > تخصیص حقوق کاربر > اجازه ورود از طریق خدمات دسکتاپ از راه دور

شما می‌توانید عضویت گروه را با استفاده از: 

گروه محلی نت "کاربران دسکتاپ از راه دور"

همچنین تأیید کنید که هیچ سیاست متضادی کاربران را از این گروه حذف نمی‌کند.

مسئله: رجیستری از راه دور یا RPC پاسخ نمی‌دهد

بررسی کنید که:

  • خدمات رجیستری از راه دور در حال اجرا است
  • فایروال ویندوز یا هر نرم‌افزار آنتی‌ویروس شخص ثالثی در حال مسدود کردن پورت‌های TCP 135 یا 445 نیست.
  • زیرساخت مدیریت ابزار ویندوز (WMI) سیستم هدف عملکردی است

برای دید گسترده‌تر، از ابزارهایی مانند wbemtest یا Get-WmiObject برای اعتبارسنجی ارتباط RPC استفاده کنید.

مدیریت دسکتاپ از راه دور را با TSplus Remote Access ساده کنید

در حالی که پیکربندی دستی رجیستری و فایروال قدرتمند است، اما می‌تواند در مقیاس پیچیده و پرخطر باشد. TSplus دسترسی از راه دور یک جایگزین امن، متمرکز و کارآمد برای تنظیمات سنتی RDP ارائه می‌دهد. با دسترسی مبتنی بر وب، پشتیبانی چند کاربره و ویژگی‌های امنیتی داخلی، TSplus راه‌حل ایده‌آلی برای سازمان‌هایی است که به دنبال ساده‌سازی تحویل و مدیریت دسکتاپ از راه دور هستند.

نتیجه

فعال‌سازی RDP از طریق رجیستری راه دور در ویندوز ۱۰ به مدیران IT یک روش انعطاف‌پذیر و سطح پایین برای فراهم کردن دسترسی از راه دور ارائه می‌دهد. چه در حال پیکربندی دستگاه‌ها به صورت مقیاس‌پذیر باشید و چه در حال عیب‌یابی دسترسی به سیستم‌های بدون سر، این روش یک راه‌حل دقیق و قابل اسکریپت را فراهم می‌کند. همیشه آن را با قوانین قوی فایروال، مجوزهای سطح کاربر و نظارت بر امنیت ترکیب کنید تا از انطباق اطمینان حاصل کرده و از سوءاستفاده جلوگیری کنید.

TSplus دسترسی از راه دور آزمایشی رایگان

جایگزین نهایی Citrix/RDS برای دسترسی به دسکتاپ/برنامه. ایمن، مقرون به صرفه، محلی/ابری

شروع یک آزمایش رایگان

اشتراک:

فیسبوک توییتر لینکداین

تیم TSplus شما

مطالعه بیشتر

back to top of the page icon