Kuinka ottaa RDP käyttöön etärekisterin kautta Windows 10:ssä

RDP:n mahdollistamisen edellytykset etärekisterin kautta Windows 10:ssä

Ennen rekisterin kautta tehtäviä muutoksia on tärkeää varmistaa, että ympäristösi tukee etähallintaa ja että kaikki tarvittavat palvelut ja käyttöoikeudet on määritetty.

Varmista, että kohdejärjestelmä käyttää Windows 10 Prota tai Enterprisea.

Windows 10 Home Edition ei sisällä RDP-palvelinosaamista (TermService). RDP:n mahdollistaminen Home-edition laitteessa ei johda toimivaan RDP-istuntoon, vaikka rekisterin avaimet olisivatkin oikein määritetty.

Voit tarkistaa version etänä PowerShellin kautta:

Vahvista hallintaoikeus

Rekisterimuutokset ja palvelun hallinta vaativat paikallisia järjestelmänvalvojan oikeuksia. Jos käytät verkkotunnustietoja, varmista, että käyttäjätili kuuluu etäkäytön koneen järjestelmänvalvojaryhmään.

Vahvista verkkoyhteys ja vaaditut portit

Etärekisteri ja RDP perustuvat tiettyihin portteihin:

• TCP 445 (SMB) – Käytetään etärekisterin ja RPC-viestinnän yhteydessä
• TCP 135 (RPC-päätepisteen kartoitus) – Käytetään etä-WMI:ssä ja palveluissa
• TCP 3389 – Vaaditaan RDP-yhteyksille

Suorita portin tarkistus:

Tarkista etärekisteripalvelun tila

Etärekisteripalvelun on oltava asetettuna automaattiseksi ja käynnistettävä:

Kuinka ottaa käyttöön ja käynnistää etärekisteripalvelu

Etärekisteripalvelu on usein oletusarvoisesti poistettu käytöstä turvallisuussyistä. IT-ammattilaisten on otettava se käyttöön ja käynnistettävä se ennen kuin he yrittävät mitään etärekisteritoimia.

PowerShellin käyttäminen palvelun konfiguroimiseen

Voit asettaa palvelun käynnistymään automaattisesti ja käynnistää sen heti:

Tämä varmistaa, että palvelu pysyy aktiivisena uudelleenkäynnistyksen jälkeen.

Käyttämällä Services.msc etäkäytössä olevalla tietokoneella

Jos PowerShell-etäyhteys ei ole saatavilla:

1. Suorita services.msc
2. Napsauta Toimintoa > Yhdistä toiseen tietokoneeseen
3. Syötä kohdekoneen isäntänimi tai IP-osoite
4. Etsi etärekisteri, napsauta hiiren oikealla > Ominaisuudet
5. Aseta "Käynnistystyyppi" automaattiseksi
6. Napsauta Käynnistä ja sitten OK

Kun palvelu on käynnissä, rekisterin muokkaaminen etäkonsoleista tulee mahdolliseksi.

Rekisterin muokkaaminen RDP:n mahdollistamiseksi

RDP:n mahdollistamisen ytimessä on yksi rekisteriarvo: fDenyTSConnections. Muuttamalla tämä arvosta 1 arvoon 0 otetaan RDP-palvelu käyttöön koneessa.

Menetelmä 1: Käyttämällä Regedit ja "Yhdistä verkkorekisteri"

Tämä on graafiseen käyttöliittymään perustuva menetelmä, joka sopii ad hoc -tehtäviin:

1. Suorita regedit.exe järjestelmänvalvojana paikallisella koneellasi
2. Napsauta Tiedosto > Yhdistä verkkorekisteri
3. Syötä kohdekoneen isäntänimi
4. Siirry osoitteeseen: pgsql: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
5. Kaksoisnapsauta fDenyTSConnections ja muuta sen arvo 0:ksi

Huomautus: Tämä muutos ei automaattisesti konfiguroi Windowsin palomuuria. Se on tehtävä erikseen.

Menetelmä 2: Käyttämällä PowerShellia rekisterin muokkaamiseen

Automaatioon tai skriptaukseen suositaan PowerShellia:

powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name 'fDenyTSConnections' -Value 0 ; }

Voit myös tarkistaa, että arvo on muutettu:

powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' | Select-Object fDenyTSConnections ; }

RDP:n palomuurisääntöjen mahdollistaminen

Oletusarvoisesti Windowsin palomuuri estää saapuvat RDP-yhteydet. Sinun on nimenomaisesti sallittava ne asianmukaisen sääntöryhmän kautta.

Ota käyttöön palomuurisääntö PowerShellin avulla

Tämä mahdollistaa kaikki ennalta määritellyt säännöt "Remote Desktop" -ryhmässä.

Ota käyttöön palomuurisääntö PsExecin ja Netshin avulla

Jos PowerShell-etäyhteys ei ole käytettävissä, Sysinternalsin PsExec voi auttaa:

bash: psexec \\TargetPC -u AdminUser -p Password netsh advfirewall firewall set rule group="etätyöpöytä" new enable=Yes

Turvavinkki: Jos käytät verkkotunnuksen GPO:ita, voit siirtää RDP-pääsyn ja palomuurisäännöt keskitetyn politiikan kautta.

RDP-yhteyden vahvistaminen ja testaaminen

Vahvista kokoonpanosi:

Käytä Test-NetConnection

Tarkista, onko portti 3389 kuuntelee:

Sinun pitäisi nähdä TcpTestSucceeded: True

Yritä RDP-yhteyttä

Avaa mstsc.exe, syötä kohde isäntänimi tai IP-osoite ja yhdistä ylläpitäjän tunnistetiedoilla.

Jos näet tunnistetietojen kehotteen, RDP-istuntosi on onnistuneesti aloitettu.

Käytä tapahtumalokeja vianetsintään

Tarkista tapahtumienvalvoja etäjärjestelmässä:

Etsi virheitä, jotka liittyvät yhteysyrityksiin tai kuuntelijan epäonnistumisiin.

RDP:n etäkäytön mahdollistamisen turvallisuuskysymykset

RDP:n mahdollistaminen avaa merkittävän hyökkäyspinnan. On kriittistä kovettaa ympäristö, erityisesti kun RDP:tä altistetaan verkkojen yli.

Vähennä altistumista

• Käytä verkon tason todennusta (NLA)
• Rajoita saapuva RDP-pääsy tunnetuille IP-alueille käyttämällä Windowsin palomuuria tai reuna-palomuuria.
• Vältä RDP:n suoraa altistamista internetille

Seuraa rekisterimuutoksia

fDenyTSConnections-avain muokataan yleisesti haittaohjelmien ja hyökkääjien toimesta sivuttaisen liikkumisen mahdollistamiseksi. Käytä valvontatyökaluja, kuten:

• Windowsin tapahtumien siirto
• Elastic Security tai SIEM-alustat
• PowerShell-lokitus ja rekisterin auditointi

Käytä tunnistetietojen hygieniaa ja MFA

Varmista, että kaikilla RDP-pääsyllä varustetuilla tileillä on:

• Monimutkaiset salasanat
• Monivaiheinen todennus
• Vähimmäisoikeusmääritykset

Yleisimpien ongelmien vianmääritys

Jos RDP ei vieläkään toimi rekisterin ja palomuurin konfiguroinnin jälkeen, on useita mahdollisia syitä tutkittavaksi:

Ongelma: Portti 3389 ei ole auki

Käytä seuraavaa komentoa varmistaaksesi, että järjestelmä kuuntelee RDP-yhteyksiä:

Jos kuuntelijaa ei ole, etätyöpöytäpalvelut (TermService) eivät välttämättä ole käynnissä. Käynnistä se manuaalisesti tai käynnistä kone uudelleen. Varmista myös, että ryhmäkäytäntöasetukset eivät vahingossa estä palvelua.

Ongelma: Käyttäjälle ei ole sallittu kirjautumista RDP:n kautta

Varmista, että tarkoitettu käyttäjä on etätyöpöytäkäyttäjien ryhmän jäsen tai hänelle on myönnetty pääsy ryhmäkäytännön kautta:

Pgsql: Tietokoneen kokoonpano > Käytännöt > Windows-asetukset > Turvallisuusasetukset > Paikalliset käytännöt > Käyttäjäoikeuksien määrittäminen > Salli kirjautuminen etätyöpöytäpalveluiden kautta

Voit tarkistaa ryhmän jäsenyyden käyttämällä:

Vahvista myös, että mikään ristiriitainen käytäntö ei poista käyttäjiä tästä ryhmästä.

Ongelma: Etärekisteri tai RPC ei vastaa

Tarkista, että:

• Etärekisteripalvelu on käynnissä
• Windowsin palomuuri tai mikään kolmannen osapuolen AV ei estä TCP-portteja 135 tai 445.
• Kohdejärjestelmän Windows Management Instrumentation (WMI) -infrastruktuuri on toiminnassa

Laajemman näkyvyyden saavuttamiseksi käytä työkaluja kuten wbemtest tai Get-WmiObject RPC-viestinnän validoimiseksi.

Yksinkertaista etätyöpöydän hallintaa TSplus Remote Accessilla

Vaikka manuaalinen rekisteri- ja palomuurin konfigurointi on tehokasta, se voi olla monimutkaista ja riskialtista suuressa mittakaavassa. TSplus Etäyhteys tarjoaa turvallisen, keskitetyn ja tehokkaan vaihtoehdon perinteisille RDP-asetuksille. Verkkopohjaisen pääsyn, monikäyttäjätuen ja sisäänrakennettujen turvallisuusominaisuuksien avulla TSplus on ihanteellinen ratkaisu organisaatioille, jotka haluavat tehostaa etätyöpöydän toimitusta ja hallintaa.

Päätelmä

RDP:n mahdollistaminen etärekisterin kautta Windows 10:ssä tarjoaa IT-hallinnoijille joustavan, matalan tason menetelmän etäyhteyden tarjoamiseen. Olitpa sitten määrittämässä laitteita suuressa mittakaavassa tai vianetsimässä päättömien järjestelmien pääsyä, tämä menetelmä tarjoaa tarkan ja skriptattavan ratkaisun. Yhdistä se aina vahvoihin palomuurisääntöihin, käyttäjätason oikeuksiin ja turvallisuuden seurantaan varmistaaksesi vaatimustenmukaisuuden ja suojellaksesi väärinkäytöksiltä.