چگونه دسترسی از راه دور را در ویندوز سرور (۲۰۰۸-۲۰۲۵) فعال کنیم

معرفی

دسترسی از راه دور یک نیاز روزانه در مدیریت ویندوز سرور است، چه بار کاری در محل اجرا شود، چه در یک ماشین مجازی ابری، یا در یک محیط ترکیبی. این راهنما نشان می‌دهد که چگونه پروتکل دسکتاپ از راه دور (RDP) را به‌طور ایمن در ویندوز سرور ۲۰۰۸-۲۰۲۵ فعال کنید، همچنین زمان استفاده از PowerShell، کدام قوانین فایروال را باید بررسی کنید و چگونه از در معرض خطر قرار دادن دسترسی RDP پرخطر جلوگیری کنید.

دسترسی از راه دور در ویندوز سرور چیست؟

دسترسی از راه دور به مدیران یا کاربران مجاز این امکان را می‌دهد که از یک کامپیوتر دیگر از طریق یک شبکه یا اینترنت به یک سرور ویندوز متصل شوند. این قابلیت برای مدیریت متمرکز، مدیریت زیرساخت‌های ابری و محیط‌های IT ترکیبی اساسی است.

فناوری‌های اصلی دسترسی از راه دور در ویندوز سرور

چندین فناوری دسترسی از راه دور را در اکوسیستم ویندوز امکان‌پذیر می‌سازد و هر یک هدف متفاوتی را دنبال می‌کند.

رایج‌ترین گزینه‌ها شامل:

• پروتکل دسکتاپ از راه دور (RDP): جلسات گرافیکی دسکتاپ برای مدیران یا کاربران
• خدمات دسکتاپ از راه دور (RDS): زیرساخت تحویل برنامه یا دسکتاپ چند کاربره
• خدمات مسیریابی و دسترسی از راه دور (RRAS): اتصال VPN به شبکه‌های داخلی
• مدیریت از راه دور PowerShell: مدیریت از راه دور خط فرمان با استفاده از WinRM

زمانی که RDP انتخاب درستی است

برای بیشتر وظایف مدیریتی، فعال‌سازی Remote Desktop (RDP) سریع‌ترین و عملی‌ترین راه‌حل است. RDP به مدیران اجازه می‌دهد تا با رابط گرافیکی کامل ویندوز به گونه‌ای تعامل داشته باشند که گویی در کنسول هستند.

RDP همچنین سطح مدیریت از راه دور است که بیشتر مورد حمله قرار می‌گیرد زمانی که به درستی در معرض قرار گیرد. بقیه این راهنما "فعال‌سازی RDP" و "فعال‌سازی ایمن RDP" را به عنوان یک کار یکسان در نظر می‌گیرد. راهنمایی‌های خود مایکروسافت بر فعال‌سازی Remote Desktop تنها در صورت نیاز و استفاده از روش‌های دسترسی ایمن‌تر در صورت امکان تأکید می‌کند.

قبل از فعال‌سازی دسترسی از راه دور چه پیش‌نیازهایی وجود دارد؟

قبل از فعال‌سازی دسترسی از راه دور بر روی یک سرور ویندوز، چند پیش‌نیاز را بررسی کنید. این کار تلاش‌های ناموفق برای اتصال را کاهش می‌دهد و از باز کردن مسیرهای دسترسی پرخطر به عنوان یک راه‌حل در آخرین لحظه جلوگیری می‌کند.

مجوزهای مدیریتی و حقوق کاربر

شما باید با یک حساب کاربری که دارای امتیازات مدیر محلی است وارد شوید. حساب‌های کاربری استاندارد نمی‌توانند Remote Desktop را فعال کنند یا تنظیمات فایروال را تغییر دهند.

همچنین برنامه‌ریزی کنید که چه کسانی باید اجازه ورود از طریق RDP را داشته باشند. به‌طور پیش‌فرض، مدیران محلی می‌توانند متصل شوند. سایرین باید به‌طور عمدی از طریق گروه کاربران دسکتاپ از راه دور دسترسی داشته باشند، که ایده‌آل است از یک گروه دامنه در محیط‌های Active Directory استفاده شود.

دسترس‌پذیری شبکه و حل نام

سرور باید از دستگاهی که اتصال را آغاز می‌کند قابل دسترسی باشد. سناریوهای رایج شامل:

• دسترسی به شبکه محلی (LAN)
• اتصال از طریق تونل VPN
• دسترسی به اینترنت عمومی از طریق یک آدرس IP عمومی

اگر قصد دارید با استفاده از یک نام میزبان متصل شوید، تأیید کنید که حل DNS انجام شده است. اگر با استفاده از یک آدرس IP متصل می‌شوید، تأیید کنید که پایدار و قابل مسیریابی از بخش شبکه مشتری است.

ملاحظات فایروال و NAT

دسکتاپ از راه دور استفاده می‌کند پورت TCP ۳۳۸۹ به طور پیش‌فرض. در بیشتر موارد، ویندوز به طور خودکار قوانین فایروال لازم را زمانی که RDP فعال است، فعال می‌کند، اما مدیران باید همچنان وضعیت قوانین را تأیید کنند.

اگر اتصال از یک فایروال محیطی، دستگاه NAT یا گروه امنیتی ابری عبور کند، آن لایه‌ها نیز باید ترافیک را مجاز کنند. یک قانون فایروال ویندوز به تنهایی نمی‌تواند یک مسدودیت بالادستی را برطرف کند.

آمادگی‌های امنیتی قبل از فعال‌سازی RDP

دسترسی از راه دور سطح حمله را معرفی می‌کند. قبل از فعال‌سازی RDP، این حفاظت‌های پایه را پیاده‌سازی کنید:

• فعال سازی احراز هویت سطح شبکه (NLA)
• دسترسی را با استفاده از قوانین دامنه فایروال یا فیلتر کردن IP محدود کنید
• از یک VPN یا دروازه دسکتاپ از راه دور برای دسترسی مبتنی بر اینترنت
• احراز هویت چندعاملی (MFA) را در مرز دسترسی در صورت امکان پیاده‌سازی کنید
• گزارش‌های احراز هویت را برای فعالیت‌های مشکوک نظارت کنید

با فعال بودن NLA، کاربران قبل از برقراری یک جلسه کامل احراز هویت می‌شوند که این امر در معرض خطر قرار گرفتن را کاهش می‌دهد و به محافظت از میزبان کمک می‌کند.

چگونه دسترسی از راه دور را در ویندوز سرور فعال کنیم؟

در بیشتر نسخه‌های ویندوز سرور، فعال‌سازی Remote Desktop تنها شامل چند مرحله است. رابط کاربری جریان کار از زمان ویندوز سرور ۲۰۱۲ به طور عمده ثابت مانده است.

مرحله ۱: مدیر سرور را باز کنید

با حساب کاربری مدیر به سرور ویندوز وارد شوید.

مدیر سرور را باز کنید، که کنسول مدیریت مرکزی برای محیط‌های ویندوز سرور است. این معمولاً در منوی شروع، در نوار وظیفه موجود است و اغلب پس از ورود به سیستم به‌طور خودکار راه‌اندازی می‌شود.

مرحله ۲: به تنظیمات سرور محلی بروید

داخل مدیر سرور:

• روی سرور محلی در پانل ناوبری سمت چپ کلیک کنید
• خصوصیات Remote Desktop را در فهرست خصوصیات سرور پیدا کنید

به طور پیش‌فرض، وضعیت اغلب به عنوان غیرفعال نمایش داده می‌شود، که به این معنی است که اتصالات Remote Desktop مجاز نیستند.

مرحله ۳: فعال‌سازی دسکتاپ از راه دور و نیاز به NLA

غیرفعال کردن را در کنار تنظیمات Remote Desktop کلیک کنید. این، ویژگی‌های سیستم را در برگه Remote باز می‌کند.

• اجازه دهید اتصالات از راه دور به این کامپیوتر برقرار شود
• احراز هویت سطح شبکه را فعال کنید (توصیه شده)

NLA یک پیش‌فرض قوی است زیرا احراز هویت قبل از شروع یک جلسه کامل دسکتاپ انجام می‌شود و خطر و در معرض قرار گرفتن منابع را کاهش می‌دهد.

مرحله ۴: قوانین فایروال ویندوز دیفندر را تأیید کنید

هنگامی که Remote Desktop فعال است، ویندوز معمولاً قوانین فایروال مورد نیاز را به طور خودکار فعال می‌کند. با این حال، آن را به صورت دستی بررسی کنید.

باز دیوار آتش‌نشان ویندوز با Advanced Security و تأیید کنید که این قوانین ورودی فعال هستند:

• رایانه از راه دور – حالت کاربر (TCP-In)
• رایانه از راه دور – حالت کاربر (UDP-In)

راهنمای عیب‌یابی مایکروسافت این قوانین دقیق را به عنوان بررسی‌های کلیدی زمانی که RDP شکست می‌خورد، ذکر می‌کند.

مرحله ۵: پیکربندی کاربران مجاز

به طور پیش‌فرض، اعضای گروه مدیران مجاز به اتصال از طریق Remote Desktop هستند. اگر کاربران دیگر به دسترسی نیاز دارند، آنها را به طور صریح اضافه کنید.

• کلیک کنید کاربران را انتخاب کنید
• افزودن را انتخاب کنید
• نام کاربر یا گروه را وارد کنید
• تغییرات را تأیید کنید

این هویت‌های انتخاب‌شده را به گروه کاربران دسکتاپ از راه دور اضافه می‌کند و وسوسه اعطای حقوق وسیع‌تر از آنچه لازم است را کاهش می‌دهد.

مرحله ۶: به سرور به صورت از راه دور متصل شوید

از دستگاه مشتری:

• اتصال به دسکتاپ از راه دور (mstsc.exe)
• نام میزبان سرور یا آدرس IP را وارد کنید
• اطلاعات ورود را ارائه دهید
• جلسه را شروع کنید

اگر تیم شما از برنامه "Remote Desktop" فروشگاه مایکروسافت برای خدمات ابری استفاده می‌کند، توجه داشته باشید که مایکروسافت کاربران را به سمت برنامه جدیدتر ویندوز برای ویندوز ۳۶۵، Azure Virtual Desktop و Dev Box هدایت کرده است، در حالی که اتصال Remote Desktop داخلی (mstsc) همچنان استاندارد برای جریان‌های کاری کلاسیک RDP باقی مانده است.

چگونه دسترسی از راه دور را با استفاده از PowerShell فعال کنیم؟

در محیط‌های بزرگتر، مدیران به ندرت سرورها را به صورت دستی پیکربندی می‌کنند. اسکریپت‌ها و اتوماسیون به استانداردسازی تنظیمات و کاهش انحراف پیکربندی کمک می‌کنند.

RDP و قوانین فایروال را با PowerShell فعال کنید

PowerShell را به عنوان Administrator اجرا کنید و دستور زیر را اجرا کنید:

Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name "fDenyTSConnections" -Value 0
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

این رویکرد با راهنمایی‌های رایج مایکروسافت مطابقت دارد: RDP را فعال کنید و اطمینان حاصل کنید که قوانین فایروال برای گروه Remote Desktop فعال شده‌اند.

یادداشت‌ها برای اتوماسیون و استانداردسازی (GPO، الگوها)

برای سرورهای متصل به دامنه، سیاست گروه معمولاً ایمن‌ترین راه برای مقیاس‌بندی دسترسی از راه دور است:

• اجرای NLA به طور مداوم
• کنترل عضویت کاربران Remote Desktop با استفاده از گروه‌های AD
• رفتار قوانین فایروال را استاندارد کنید
• سیاست‌های حسابرسی و قفل کردن را در سراسر ناوگان سرور همسو کنید

PowerShell هنوز برای تأمین خط لوله‌ها، راه‌اندازی شکستن شیشه در شبکه‌های کنترل‌شده و اسکریپت‌های اعتبارسنجی مفید است.

پیکربندی دسترسی از راه دور توسط نسخه سرور ویندوز چیست؟

پشته RDP یکسان است، اما رابط کاربری و تنظیمات پیش‌فرض متفاوت است. از این یادداشت‌ها استفاده کنید تا از هدر رفتن زمان در جستجوی تنظیمات جلوگیری کنید.

ویندوز سرور ۲۰۰۸ و ۲۰۰۸ R2

ویندوز سرور ۲۰۰۸ از رابط کاربری مدیریتی قدیمی‌تر استفاده می‌کند:

• پنل کنترل را باز کنید
• سیستم را انتخاب کنید
• روی تنظیمات از راه دور کلیک کنید
• اتصالات از راه دور را فعال کنید

این نسخه از Remote Desktop برای مدیریت پشتیبانی می‌کند و معمولاً اجازه می‌دهد دو جلسه مدیریتی به علاوه جلسه کنسول، بسته به پیکربندی و ویرایش، داشته باشید.

ویندوز سرور ۲۰۱۲ و ۲۰۱۲ R2

ویندوز سرور ۲۰۱۲ مدل متمرکز بر مدیر سرور را معرفی کرد:

• مدیر سرور → سرور محلی → دسکتاپ از راه دور

این روند کاری است که در نسخه‌های بعدی همچنان آشنا باقی می‌ماند.

ویندوز سرور ۲۰۱۶

سرور ویندوز ۲۰۱۶ همان جریان پیکربندی را حفظ می‌کند:

• مدیر سرور → سرور محلی
• فعال سازی دسکتاپ از راه دور
• تأیید قوانین فایروال

این نسخه به دلیل ثبات بلندمدت به یک پایه مشترک برای شرکت‌ها تبدیل شد.

ویندوز سرور ۲۰۱۹

ویندوز سرور ۲۰۱۹ قابلیت‌های هیبریدی و ویژگی‌های امنیتی بهبود یافته‌ای را ارائه می‌دهد، اما فعال‌سازی Remote Desktop همان روند کار Server Manager باقی مانده است.

ویندوز سرور 2022

ویندوز سرور ۲۰۲۲ بر امنیت و زیرساخت‌های سخت‌افزاری تأکید دارد، اما پیکربندی Remote Desktop هنوز همان الگو را در Server Manager دنبال می‌کند.

سرور ویندوز ۲۰۲۵

سرور ویندوز ۲۰۲۵ همان مدل مدیریتی را ادامه می‌دهد. مستندات مایکروسافت برای مدیریت فایروال ویندوز به‌طور صریح سرور ویندوز ۲۰۲۵ را پوشش می‌دهد، از جمله فعال‌سازی قوانین فایروال از طریق پاورشل، که برای فعال‌سازی استاندارد RDP اهمیت دارد.

چگونه مشکلات اتصالات دسکتاپ از راه دور را عیب‌یابی کنیم؟

حتی زمانی که Remote Desktop به درستی پیکربندی شده باشد، مشکلات اتصال هنوز هم رخ می‌دهند. بیشتر مسائل در چند دسته تکراری قرار می‌گیرند.

بررسی فایروال و پورت

با قابلیت دسترسی به پورت شروع کنید.

• تأیید کنید که قوانین ورودی برای Remote Desktop فعال شده‌اند
• تأیید کنید که فایروال‌های بالادستی، NAT و گروه‌های امنیتی ابری اجازه اتصال را می‌دهند
• سرور را تأیید کنید که در پورت مورد انتظار در حال گوش دادن است

راهنمای عیب‌یابی RDP مایکروسافت، وضعیت فایروال و قوانین را به عنوان یک علت اصلی شکست برجسته می‌کند.

وضعیت خدمات و تضادهای سیاست

تأیید کنید که Remote Desktop در ویژگی‌های سیستم در برگه Remote فعال است. اگر Group Policy RDP را غیرفعال کند یا حقوق ورود را محدود کند، تغییرات محلی ممکن است به حالت قبلی برگردند یا مسدود شوند.

اگر یک سرور به دامنه متصل است، بررسی کنید که آیا سیاست در حال اجرا است:

• تنظیمات امنیتی RDP
• کاربران و گروه‌های مجاز
• وضعیت قانون فایروال

آزمایش مسیر شبکه

از تست‌های پایه‌ای برای شناسایی محل وقوع خطا استفاده کنید:

• پینگ سرور-آی‌پی (غیرقطعی اگر ICMP مسدود شده باشد)
• آزمایش-اتصال شبکه server-ip -Port 3389 (PowerShell در کلاینت)
• telnet سرور-آی‌پی ۳۳۸۹ (اگر کلاینت تلنت نصب شده باشد)

اگر پورت قابل دسترسی نیست، مشکل احتمالاً مربوط به مسیریابی یا فایروال است، نه پیکربندی RDP.

مسائل مربوط به احراز هویت و NLA

اگر می‌توانید به پورت دسترسی پیدا کنید اما نمی‌توانید احراز هویت کنید، بررسی کنید:

• چه کاربر در گروه مدیران باشد یا کاربران دسکتاپ از راه دور
• آیا حساب قفل شده است یا بر اساس سیاست محدود شده است
• آیا NLA به دلیل وابستگی‌های هویتی، مانند مشکل اتصال دامنه در برخی سناریوهای VM در حال شکست است؟

بهترین شیوه‌های امنیتی برای دسترسی از راه دور چیست؟

دسکتاپ از راه دور به شدت در اینترنت عمومی اسکن می‌شود و پورت‌های RDP باز هدف‌های رایجی برای حملات مبتنی بر اعتبارنامه هستند. دسترسی ایمن از راه دور یک مشکل طراحی چند لایه است، نه یک گزینه ساده.

3389 را به طور مستقیم به اینترنت نمایش ندهید

از انتشار TCP 3389 به اینترنت عمومی در هر زمان ممکن خودداری کنید. اگر دسترسی خارجی لازم است، از یک سرویس مرزی استفاده کنید که قرارگیری را کاهش دهد و نقاط کنترل قوی‌تری به شما بدهد.

برای دسترسی خارجی RD Gateway یا VPN را ترجیح دهید

گیت‌وی دسکتاپ از راه دور برای ارائه دسترسی امن از راه دور طراحی شده است بدون اینکه نقاط انتهایی RDP داخلی به طور مستقیم در معرض قرار گیرند، معمولاً با استفاده از HTTPS به عنوان حمل و نقل.

یک VPN زمانی مناسب است که مدیران به دسترسی شبکه وسیع‌تری فراتر از RDP نیاز داشته باشند. در هر دو مورد، دروازه را به عنوان یک مرز امنیتی در نظر بگیرید و آن را به طور مناسب تقویت کنید.

خطر اعتبارنامه را با MFA و بهداشت حساب کاهش دهید

در نقطه ورود، مانند VPN، دروازه یا ارائه‌دهنده هویت، احراز هویت چندعاملی (MFA) را اضافه کنید. دسترسی RDP را به گروه‌های مدیریتی محدود کنید، از استفاده از حساب‌های مشترک خودداری کنید و حساب‌های محلی مدیریتی غیرقابل استفاده را در صورت امکان غیرفعال کنید.

نظارت و پاسخ به فعالیت‌های مشکوک ورود

حداقل، نظارت کنید:

• حملات ورود ناموفق
• ورودها از جغرافیای غیرمعمول یا دامنه‌های IP
• تلاش‌های مکرر علیه حساب‌های غیرفعال

اگر محیط قبلاً یک SIEM دارد، لاگ‌های امنیتی را به جلو ارسال کنید و بر روی الگوها به جای رویدادهای تکی هشدار دهید.

چگونه TSplus یک گزینه ساده‌تر و ایمن‌تر برای دسترسی از راه دور ارائه می‌دهد؟

RDP بومی برای مدیریت پایه به خوبی کار می‌کند، اما بسیاری از سازمان‌ها همچنین به دسترسی مبتنی بر مرورگر، انتشار برنامه و فرآیند ساده‌تری برای ورود کاربران نیاز دارند بدون اینکه RDP را به طور گسترده‌ای در معرض قرار دهند. TSplus دسترسی از راه دور رویکرد متمرکزی را برای ارائه برنامه‌ها و دسکتاپ‌های ویندوز فراهم می‌کند که به تیم‌ها کمک می‌کند تا قرارگیری مستقیم سرور را کاهش دهند و نقاط ورود از راه دور را استاندارد کنند در حالی که از چندین کاربر به طور مؤثر پشتیبانی می‌کند.

نتیجه

فعال‌سازی دسترسی از راه دور در ویندوز سرور ۲۰۰۸ تا ۲۰۲۵ ساده است: Remote Desktop را فعال کنید، قوانین فایروال را تأیید کنید و دسترسی را فقط به کاربران مناسب بدهید. تفاوت واقعی بین یک استقرار ایمن و یک استقرار پرخطر در نحوه‌ی قرارگیری RDP است. الگوهای RD Gateway یا VPN را برای دسترسی خارجی ترجیح دهید، NLA را الزامی کنید، در صورت امکان MFA را اضافه کنید و رویدادهای احراز هویت را به‌طور مداوم نظارت کنید.