Haluaisitko nähdä sivuston eri kielellä?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Vaihda kieltä
Sisällysluettelo

Mitä vaatimuksia on RDP:n mahdollistamiseksi etärekisterin kautta Windows 10:ssä?

Ennen rekisterin kautta tehtäviä muutoksia on tärkeää varmistaa, että ympäristösi tukee etähallintaa ja että kaikki tarvittavat palvelut ja käyttöoikeudet on määritetty.

Varmista, että kohdejärjestelmä käyttää Windows 10 Prota tai Enterprisea.

Windows 10 Home Edition ei sisällä RDP-palvelinosaamista (TermService). RDP:n mahdollistaminen Home-edition laitteessa ei johda toimivaan RDP-istuntoon, vaikka rekisterin avaimet olisivatkin oikein määritetty.

Voit tarkistaa version etänä PowerShellin kautta: 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
        (Get-WmiObject -Class Win32_OperatingSystem).Caption

Vahvista hallintaoikeus

Rekisterimuutokset ja palvelun hallinta vaativat paikallisia järjestelmänvalvojan oikeuksia. Jos käytät verkkotunnustietoja, varmista, että käyttäjätili kuuluu etäkäytön koneen järjestelmänvalvojaryhmään.

Vahvista verkkoyhteys ja vaaditut portit

Etärekisteri ja RDP perustuvat tiettyihin portteihin:

  • TCP 445 (SMB) – Käytetään etärekisterin ja RPC-viestinnän yhteydessä
  • TCP 135 (RPC-päätepisteen kartoitus) – Käytetään etä-WMI:ssä ja palveluissa
  • TCP 3389 – Vaaditaan RDP-yhteyksille

Suorita portin tarkistus: 

Test-NetConnection -ComputerName TargetPC -Port 445  
Test-NetConnection -ComputerName TargetPC -Port 3389

Tarkista etärekisteripalvelun tila

Etärekisteripalvelun on oltava asetettuna automaattiseksi ja käynnistettävä: 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
    Get-Service -Name RemoteRegistry
}

Kuinka voit ottaa käyttöön ja käynnistää etärekisteripalvelun?

Etärekisteripalvelu on usein oletusarvoisesti poistettu käytöstä turvallisuussyistä. IT-ammattilaisten on otettava se käyttöön ja käynnistettävä se ennen kuin he yrittävät mitään etärekisteritoimia.

PowerShellin käyttäminen palvelun konfiguroimiseen

Voit asettaa palvelun käynnistymään automaattisesti ja käynnistää sen heti: 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
    Set-Service -Name RemoteRegistry -StartupType Automatic
    Start-Service -Name RemoteRegistry
}

Tämä varmistaa, että palvelu pysyy aktiivisena uudelleenkäynnistyksen jälkeen.

Käyttämällä Services.msc etäkäytössä olevalla tietokoneella

Jos PowerShell-etäyhteys ei ole saatavilla:

  1. Suorita services.msc
  2. Napsauta Toimintoa > Yhdistä toiseen tietokoneeseen
  3. Syötä kohdekoneen isäntänimi tai IP-osoite
  4. Etsi etärekisteri, napsauta hiiren oikealla > Ominaisuudet
  5. Aseta "Käynnistystyyppi" automaattiseksi
  6. Napsauta Käynnistä ja sitten OK

Kun palvelu on käynnissä, rekisterin muokkaaminen etäkonsoleista tulee mahdolliseksi.

Kuinka voit muokata rekisteriä RDP:n mahdollistamiseksi?

RDP:n mahdollistamisen ytimessä on yksi rekisteriarvo: fDenyTSConnections . Muuttamalla tämä 1:stä 0:aan otat RDP-palvelun käyttöön koneessa.

Menetelmä 1: Käyttämällä Regedit ja "Yhdistä verkkorekisteri"

Tämä on graafiseen käyttöliittymään perustuva menetelmä, joka sopii ad hoc -tehtäviin:

  1. Suorita regedit.exe järjestelmänvalvojana paikallisella koneellasi
  2. Napsauta Tiedosto > Yhdistä verkkorekisteri
  3. Syötä kohdekoneen isäntänimi
  4. Siirry osoitteeseen: 
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
  5. Kaksoisnapsautus fDenyTSConnections ja muuta sen arvoa 0

Huomautus: Tämä muutos ei automaattisesti konfiguroi Windowsin palomuuria. Se on tehtävä erikseen.

Menetelmä 2: Käyttämällä PowerShellia rekisterin muokkaamiseen

Automaatioon tai skriptaukseen suositaan PowerShellia: 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
    Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name 'fDenyTSConnections' -Value 0
}

Voit myös tarkistaa, että arvo on muutettu: 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
    Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' | Select-Object fDenyTSConnections
}

Kuinka voit ottaa käyttöön palomuurisäännöt RDP:lle?

Oletusarvoisesti Windowsin palomuuri estää saapuvat RDP-yhteydet. Sinun on nimenomaisesti sallittava ne asianmukaisen sääntöryhmän kautta.

Ota käyttöön palomuurisääntö PowerShellin avulla 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
    Enable-NetFirewallRule -DisplayGroup "Remote Desktop"
}

Tämä mahdollistaa kaikki ennalta määritellyt säännöt "Remote Desktop" -ryhmässä.

Ota käyttöön palomuurisääntö PsExecin ja Netshin avulla

Jos PowerShell-etäyhteys ei ole käytettävissä, PsExec Sysinternals voi auttaa: 

psexec \\TargetPC -u AdminUser -p Password netsh advfirewall firewall set rule group="etätyöpöytä" new enable=Yes

Turvavinkki: Jos käytät verkkotunnuksen GPO:ita, voit siirtää RDP-pääsyn ja palomuurisäännöt keskitetyn politiikan kautta.

Miten voit vahvistaa ja testata RDP-yhteyden?

Vahvista kokoonpanosi:

Käytä Test-NetConnection

Tarkista, onko portti 3389 kuuntelee: 

Test-NetConnection -ComputerName TargetPC -Port 3389

Sinun pitäisi nähdä TcpTestSucceeded: True

Yritä RDP-yhteyttä

Avaa mstsc.exe Syötä kohde isäntänimi tai IP-osoite ja yhdistä käyttämällä järjestelmänvalvojan tunnistetietoja.

Jos näet tunnistetietojen kehotteen, RDP-istuntosi on onnistuneesti aloitettu.

Käytä tapahtumalokeja vianetsintään

Tarkista tapahtumienvalvoja etäjärjestelmässä: 

Sovellukset ja palvelut lokit > Microsoft > Windows > TerminalServices-RemoteConnectionManager

Etsi virheitä, jotka liittyvät yhteysyrityksiin tai kuuntelijan epäonnistumisiin.

Mitä turvallisuusnäkökohtia on otettava huomioon, kun RDP:tä otetaan käyttöön etänä?

RDP:n mahdollistaminen avaa merkittävän hyökkäyspinnan. On kriittistä kovettaa ympäristö, erityisesti kun RDP:tä altistetaan verkkojen yli.

Vähennä altistumista

  • Käytä verkon tason todennusta (NLA)
  • Rajoita saapuva RDP-pääsy tunnetuille IP-alueille käyttämällä Windowsin palomuuria tai reuna-palomuuria.
  • Vältä RDP:n suoraa altistamista internetille

Seuraa rekisterimuutoksia

The fDenyTSConnections avain muokataan yleisesti haittaohjelmien ja hyökkääjien toimesta sivuttaisen liikkumisen mahdollistamiseksi. Käytä valvontatyökaluja, kuten:

  • Windowsin tapahtumien siirto
  • Elastic Security tai SIEM-alustat
  • PowerShell-lokitus ja rekisterin auditointi

Käytä tunnistetietojen hygieniaa ja MFA

Varmista, että kaikilla RDP-pääsyllä varustetuilla tileillä on:

  • Monimutkaiset salasanat
  • Monivaiheinen todennus
  • Vähimmäisoikeusmääritykset

Mitä ovat yleiset vianetsintäongelmat?

Jos RDP ei vieläkään toimi rekisterin ja palomuurin konfiguroinnin jälkeen, on useita mahdollisia syitä tutkittavaksi:

Ongelma: Portti 3389 ei ole auki

Käytä seuraavaa komentoa varmistaaksesi, että järjestelmä kuuntelee RDP-yhteyksiä: 

netstat -an | findstr 3389

Jos kuuntelijaa ei ole, etätyöpöytäpalvelut (TermService) eivät välttämättä ole käynnissä. Käynnistä se manuaalisesti tai käynnistä kone uudelleen. Varmista myös, että ryhmäkäytäntöasetukset eivät vahingossa estä palvelua.

Ongelma: Käyttäjälle ei ole sallittu kirjautumista RDP:n kautta

Varmista, että tarkoitettu käyttäjä on etätyöpöytäkäyttäjien ryhmän jäsen tai hänelle on myönnetty pääsy ryhmäkäytännön kautta: 

Tietokoneen kokoonpano > Käytännöt > Windows-asetukset > Turvallisuusasetukset > Paikalliset käytännöt > Käyttäjäoikeuksien määrittäminen > Salli kirjautuminen Remote Desktop -palveluiden kautta

Voit tarkistaa ryhmän jäsenyyden käyttämällä: 

net localgroup "Remote Desktop Users"

Vahvista myös, että mikään ristiriitainen käytäntö ei poista käyttäjiä tästä ryhmästä.

Ongelma: Etärekisteri tai RPC ei vastaa

Tarkista, että:

  • Etärekisteripalvelu on käynnissä
  • Windowsin palomuuri tai mikään kolmannen osapuolen AV ei estä TCP-portteja 135 tai 445.
  • Kohdejärjestelmän Windows Management Instrumentation (WMI) -infrastruktuuri on toiminnassa

Laajemman näkyvyyden saavuttamiseksi käytä työkaluja kuten wbemtest tai Get-WmiObject RPC-viestinnän validoimiseksi.

Yksinkertaista etätyöpöydän hallintaa TSplus Remote Accessilla

Vaikka manuaalinen rekisteri- ja palomuurin konfigurointi on tehokasta, se voi olla monimutkaista ja riskialtista suuressa mittakaavassa. TSplus Etäyhteys tarjoaa turvallisen, keskitetyn ja tehokkaan vaihtoehdon perinteisille RDP-asetuksille. Verkkopohjaisen pääsyn, monikäyttäjätuen ja sisäänrakennettujen turvallisuusominaisuuksien avulla TSplus on ihanteellinen ratkaisu organisaatioille, jotka haluavat tehostaa etätyöpöydän toimitusta ja hallintaa.

Päätelmä

RDP:n mahdollistaminen etärekisterin kautta Windows 10:ssä tarjoaa IT-hallinnoijille joustavan, matalan tason menetelmän etäyhteyden tarjoamiseen. Olitpa sitten määrittämässä laitteita suuressa mittakaavassa tai vianetsimässä päättömien järjestelmien pääsyä, tämä menetelmä tarjoaa tarkan ja skriptattavan ratkaisun. Yhdistä se aina vahvoihin palomuurisääntöihin, käyttäjätason oikeuksiin ja turvallisuuden seurantaan varmistaaksesi vaatimustenmukaisuuden ja suojellaksesi väärinkäytöksiltä.

TSplus Etäkäyttö Ilmainen Kokeilu

Viimeisin Citrix/RDS-vaihtoehto työpöytä/sovelluskäyttöön. Turvallinen, kustannustehokas, paikallinen/pilvi

Aloita ilmainen kokeilu

Jaa:

Facebook Twitter LinkedIn

Sinun TSplus tiimisi

Lisätietoja

back to top of the page icon