چگونه RDP را از طریق رجیستری از راه دور در ویندوز ۱۰ فعال کنیم

پیش‌نیازها برای فعال‌سازی RDP از طریق رجیستری از راه دور در ویندوز ۱۰

قبل از ایجاد هرگونه تغییر از طریق رجیستری، تأیید این موضوع ضروری است که محیط شما از مدیریت از راه دور پشتیبانی می‌کند و تمام خدمات و مجوزهای لازم پیکربندی شده‌اند.

اطمینان حاصل کنید که سیستم هدف در حال اجرای ویندوز ۱۰ پرو یا انتشارات است.

نسخه خانگی ویندوز ۱۰ شامل مؤلفه سرور RDP (TermService) نمی‌باشد. تلاش برای فعال‌سازی RDP بر روی یک دستگاه نسخه خانگی منجر به یک جلسه RDP عملی نخواهد شد، حتی اگر کلیدهای رجیستری به درستی پیکربندی شده باشند.

شما می‌توانید ویرایش را به‌طور از راه دور از طریق PowerShell تأیید کنید:

دسترسی مدیریتی را تأیید کنید

تغییرات رجیستری و مدیریت خدمات به مجوزهای مدیر محلی نیاز دارند. اگر از اعتبارنامه‌های دامنه استفاده می‌کنید، اطمینان حاصل کنید که حساب کاربری کاربر بخشی از گروه مدیران در ماشین راه دور است.

تأیید اتصال شبکه و پورت‌های مورد نیاز

رژستری از راه دور و RDP به پورت‌های خاصی وابسته هستند:

• TCP 445 (SMB) – مورد استفاده توسط رجیستری از راه دور و ارتباط RPC
• TCP 135 (نقشه‌بردار نقطه پایانی RPC) – توسط WMI و خدمات از راه دور استفاده می‌شود
• TCP ۳۳۸۹ – مورد نیاز برای اتصالات RDP

پورت را بررسی کنید:

وضعیت سرویس رجیستری از راه دور را بررسی کنید

خدمات رجیستری از راه دور باید به حالت خودکار تنظیم شده و شروع شود:

چگونه سرویس رجیستری از راه دور را فعال و شروع کنیم

خدمات رجیستری از راه دور معمولاً به دلایل امنیتی به‌طور پیش‌فرض غیرفعال است. متخصصان IT باید آن را فعال کرده و قبل از تلاش برای هرگونه عملیات رجیستری از راه دور، آن را راه‌اندازی کنند.

استفاده از PowerShell برای پیکربندی سرویس

شما می‌توانید سرویس را طوری تنظیم کنید که به‌طور خودکار شروع شود و بلافاصله آن را آغاز کنید:

این اطمینان می‌دهد که سرویس پس از راه‌اندازی مجدد فعال باقی بماند.

استفاده از Services.msc در یک کامپیوتر از راه دور

اگر دسترسی از راه دور PowerShell در دسترس نیست:

1. خدمات.msc را اجرا کنید
2. عملیات کلیک > اتصال به کامپیوتر دیگر
3. نام میزبان یا IP ماشین هدف را وارد کنید
4. موقعیت‌یابی رجیستری از راه دور، کلیک راست > ویژگی‌ها
5. نوع راه‌اندازی را به خودکار تنظیم کنید
6. شروع را کلیک کنید، سپس تأیید کنید

پس از راه‌اندازی سرویس، ویرایش رجیستری از یک کنسول از راه دور ممکن می‌شود.

ویرایش رجیستری برای فعال‌سازی RDP

در هسته فعال‌سازی RDP یک مقدار رجیستری واحد وجود دارد: fDenyTSConnections. تغییر این مقدار از 1 به 0 سرویس RDP را بر روی ماشین فعال می‌کند.

روش ۱: استفاده از Regedit و "اتصال به رجیستری شبکه"

این یک روش مبتنی بر رابط کاربری گرافیکی است که برای وظایف موردی مناسب است:

1. regedit.exe را به عنوان مدیر در دستگاه محلی خود اجرا کنید
2. روی فایل کلیک کنید > اتصال به رجیستری شبکه
3. نام میزبان ماشین هدف را وارد کنید
4. به این آدرس بروید : pgsql: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
5. دو بار روی fDenyTSConnections کلیک کنید و مقدار آن را به 0 تغییر دهید

توجه: این تغییر به طور خودکار فایروال ویندوز را پیکربندی نمی‌کند. این کار باید به صورت جداگانه انجام شود.

روش ۲: استفاده از PowerShell برای ویرایش رجیستری

برای اتوماسیون یا اسکریپت‌نویسی، PowerShell ترجیح داده می‌شود:

powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name 'fDenyTSConnections' -Value 0 ; }

شما همچنین می‌توانید تأیید کنید که مقدار تغییر کرده است:

powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' | Select-Object fDenyTSConnections ; }

فعال‌سازی قوانین فایروال برای RDP

به‌طور پیش‌فرض، فایروال ویندوز اتصالات ورودی RDP را مسدود می‌کند. شما باید به‌طور صریح آن‌ها را از طریق گروه قوانین مناسب مجاز کنید.

قانون فایروال را با استفاده از PowerShell فعال کنید

این امکان را برای تمام قوانین از پیش تعریف شده در گروه "Remote Desktop" فراهم می‌کند.

قانون فایروال را با استفاده از PsExec و Netsh فعال کنید

اگر دسترسی از راه دور PowerShell در دسترس نیست، PsExec از Sysinternals می‌تواند کمک کند:

بش: psexec \\TargetPC -u AdminUser -p Password netsh advfirewall firewall set rule group="remote desktop" new enable=Yes

نکته امنیتی: اگر از GPOهای دامنه استفاده می‌کنید، می‌توانید دسترسی RDP و قوانین فایروال را از طریق سیاست متمرکز اعمال کنید.

تأیید و آزمایش دسترسی RDP

برای تأیید پیکربندی شما:

از Test-NetConnection استفاده کنید

بررسی کنید اگر پورت 3389 در حال گوش دادن:

شما باید TcpTestSucceeded: True را ببینید

تلاش برای اتصال RDP

mstsc.exe را باز کنید، نام میزبان یا آدرس IP هدف را وارد کنید و با استفاده از اعتبارنامه‌های مدیر به آن متصل شوید.

اگر پیامی برای اعتبارسنجی مشاهده کردید، جلسه RDP شما با موفقیت آغاز شده است.

از گزارش‌های رویداد برای عیب‌یابی استفاده کنید

بررسی Event Viewer در سیستم از راه دور:

به دنبال خطاهای مربوط به تلاش‌های اتصال یا شکست‌های شنونده باشید.

ملاحظات امنیتی هنگام فعال‌سازی RDP به‌صورت از راه دور

فعال‌سازی RDP سطح حمله قابل توجهی را باز می‌کند. سخت‌کردن محیط بسیار حیاتی است، به‌ویژه زمانی که RDP را در شبکه‌ها در معرض دید قرار می‌دهید.

کاهش قرارگیری

• از احراز هویت در سطح شبکه (NLA) استفاده کنید
• دسترسی ورودی RDP را به محدوده‌های IP شناخته شده با استفاده از فایروال ویندوز یا فایروال‌های محیطی محدود کنید
• از قرار دادن RDP به طور مستقیم در معرض اینترنت خودداری کنید

تغییرات رجیستری را نظارت کنید

کلید fDenyTSConnections معمولاً توسط بدافزارها و مهاجمان برای فعال‌سازی حرکت جانبی تغییر می‌کند. از ابزارهای نظارتی مانند:

• انتقال رویدادهای ویندوز
• پلتفرم‌های Elastic Security یا SIEM
• گزارش‌گیری PowerShell و حسابرسی رجیستری

از بهداشت اعتبار و MFA استفاده کنید

اطمینان حاصل کنید که تمام حساب‌های دارای دسترسی RDP دارای:

• رمزهای عبور پیچیده
• احراز هویت چندعاملی
• اختصاصات حداقل دسترسی

رفع مشکلات متداول

اگر RDP هنوز پس از پیکربندی رجیستری و فایروال کار نمی‌کند، چندین علت ممکن وجود دارد که باید بررسی شوند:

مسئله: پورت ۳۳۸۹ باز نیست

از دستور زیر برای تأیید اینکه سیستم در حال گوش دادن به اتصالات RDP است استفاده کنید:

اگر هیچ شنونده‌ای وجود ندارد، خدمات دسکتاپ از راه دور (TermService) ممکن است در حال اجرا نباشد. آن را به صورت دستی راه‌اندازی کنید یا دستگاه را دوباره راه‌اندازی کنید. همچنین، اطمینان حاصل کنید که تنظیمات گروهی سیاست‌ها به طور ناخواسته خدمات را غیرفعال نکرده‌اند.

مسئله: کاربر مجاز به ورود از طریق RDP نیست

اطمینان حاصل کنید که کاربر مورد نظر عضو گروه کاربران Remote Desktop است یا از طریق Group Policy دسترسی دارد:

Pgsql: پیکربندی کامپیوتر > سیاست‌ها > تنظیمات ویندوز > تنظیمات امنیتی > سیاست‌های محلی > تخصیص حقوق کاربر > اجازه ورود از طریق خدمات دسکتاپ از راه دور

شما می‌توانید عضویت گروه را با استفاده از:

همچنین تأیید کنید که هیچ سیاست متضادی کاربران را از این گروه حذف نمی‌کند.

مسئله: رجیستری از راه دور یا RPC پاسخ نمی‌دهد

بررسی کنید که:

• خدمات رجیستری از راه دور در حال اجرا است
• فایروال ویندوز یا هر نرم‌افزار آنتی‌ویروس شخص ثالثی در حال مسدود کردن پورت‌های TCP 135 یا 445 نیست.
• زیرساخت مدیریت ابزار ویندوز (WMI) سیستم هدف عملکردی است

برای دید گسترده‌تر، از ابزارهایی مانند wbemtest یا Get-WmiObject برای اعتبارسنجی ارتباط RPC استفاده کنید.

مدیریت دسکتاپ از راه دور را با TSplus Remote Access ساده کنید

در حالی که پیکربندی دستی رجیستری و فایروال قدرتمند است، اما می‌تواند در مقیاس پیچیده و پرخطر باشد. TSplus دسترسی از راه دور یک جایگزین امن، متمرکز و کارآمد برای تنظیمات سنتی RDP ارائه می‌دهد. با دسترسی مبتنی بر وب، پشتیبانی چند کاربره و ویژگی‌های امنیتی داخلی، TSplus راه‌حل ایده‌آلی برای سازمان‌هایی است که به دنبال ساده‌سازی تحویل و مدیریت دسکتاپ از راه دور هستند.

نتیجه

فعال‌سازی RDP از طریق رجیستری راه دور در ویندوز ۱۰ به مدیران IT یک روش انعطاف‌پذیر و سطح پایین برای فراهم کردن دسترسی از راه دور ارائه می‌دهد. چه در حال پیکربندی دستگاه‌ها به صورت مقیاس‌پذیر باشید و چه در حال عیب‌یابی دسترسی به سیستم‌های بدون سر، این روش یک راه‌حل دقیق و قابل اسکریپت را فراهم می‌کند. همیشه آن را با قوانین قوی فایروال، مجوزهای سطح کاربر و نظارت بر امنیت ترکیب کنید تا از انطباق اطمینان حاصل کرده و از سوءاستفاده جلوگیری کنید.