Kako omogućiti RDP putem daljinske registracije na Windows 10

Preduvjeti za omogućavanje RDP-a putem daljinske registracije na Windows 10

Prije nego što izvršite bilo kakve promjene putem registra, ključno je provjeriti da vaše okruženje podržava daljinsku administraciju i da su sve potrebne usluge i dozvole konfigurirane.

Osigurajte da ciljni sustav radi na Windows 10 Pro ili Enterprise

Windows 10 Home Edition ne uključuje RDP poslužiteljski komponent (TermService). Pokušaj omogućavanja RDP-a na uređaju s Home edicijom neće rezultirati funkcionalnom RDP sesijom, čak i ako su registry ključevi ispravno konfigurirani.

Možete provjeriti izdanje daljinski putem PowerShell-a:

Potvrdi administrativni pristup

Modifikacije registra i upravljanje uslugama zahtijevaju lokalne administratorske privilegije. Ako koristite domenske vjerodajnice, osigurajte da je korisnički račun dio grupe Administratori na udaljenom računalu.

Provjerite mrežnu povezanost i potrebne portove

Remote Registry i RDP oslanjaju se na specifične portove:

• TCP 445 (SMB) – Koristi se za komunikaciju s udaljenim registrima i RPC komunikaciju
• TCP 135 (RPC endpoint mapper) – Koristi se za udaljeni WMI i usluge
• TCP 3389 – Potrebno za RDP veze

Pokrenite provjeru porta:

Provjerite status usluge daljinske registracije

Usluga daljinske registracije mora biti postavljena na Automatski i pokrenuta:

Kako omogućiti i pokrenuti uslugu daljinske registracije

Usluga daljinskog registra često je onemogućena prema zadanim postavkama iz sigurnosnih razloga. IT stručnjaci moraju je omogućiti i pokrenuti prije nego što pokušaju bilo kakve operacije daljinskog registra.

Korištenje PowerShell-a za konfiguraciju usluge

Možete postaviti uslugu da se automatski pokrene i odmah je pokrenuti:

Ovo osigurava da usluga ostane aktivna nakon ponovnog pokretanja.

Korištenje Services.msc na udaljenom računalu

Ako PowerShell daljinsko upravljanje nije dostupno:

1. Pokrenite services.msc
2. Kliknite Radnja > Poveži se s drugim računalom
3. Unesite naziv odredišnog računala ili IP adresu
4. Pronađite daljinski registar, desni klik > Svojstva
5. Postavite "Vrstu pokretanja" na Automatski
6. Kliknite Start, a zatim U redu

Jednom kada usluga počne raditi, uređivanje registra iz udaljene konzole postaje moguće.

Modificiranje registra za omogućavanje RDP-a

U središtu omogućavanja RDP-a je jedna vrijednost u registru: fDenyTSConnections. Promjena ove vrijednosti s 1 na 0 omogućava RDP uslugu na računalu.

Metoda 1: Korištenje Regedita i "Poveži mrežnu registraciju"

Ovo je metoda temeljena na GUI-u pogodna za ad hoc zadatke:

1. Pokrenite regedit.exe kao administrator na svom lokalnom računalu
2. Kliknite Datoteka > Poveži Mrežni Registar
3. Unesite naziv odredišnog računala
4. Navigirajte do: pgsql: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
5. Dvaput kliknite na fDenyTSConnections i promijenite njegovu vrijednost na 0

Napomena: Ova promjena ne konfigurira automatski Windows Firewall. To se mora učiniti odvojeno.

Metoda 2: Korištenje PowerShell-a za uređivanje registra

Za automatizaciju ili skriptiranje, PowerShell je preferiran:

powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name 'fDenyTSConnections' -Value 0 ; }

Također možete provjeriti je li vrijednost promijenjena:

powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' | Select-Object fDenyTSConnections ; }

Omogućavanje pravila vatrozida za RDP

Zadano, Windows Firewall blokira dolazne RDP veze. Morate ih izričito dopustiti kroz odgovarajuću grupu pravila.

Omogućite pravilo vatrozida pomoću PowerShell-a

Ovo omogućuje sve unaprijed definirane pravila unutar grupe "Remote Desktop".

Omogućite pravilo vatrozida koristeći PsExec i Netsh

Ako PowerShell daljinsko upravljanje nije dostupno, PsExec iz Sysinternals može pomoći:

bash: psexec \\TargetPC -u AdminUser -p Password netsh advfirewall firewall set rule group="remote desktop" new enable=Yes

Savjet za sigurnost: Ako koristite GPO-ove domene, možete primijeniti RDP pristup i pravila vatrozida putem centralizirane politike.

Provjera i testiranje RDP pristupa

Da potvrdite svoju konfiguraciju:

Koristite Test-NetConnection

Provjerite je li port 3389 sluša:

Trebali biste vidjeti TcpTestSucceeded: True

Pokušaj RDP veze

Otvorite mstsc.exe, unesite ciljani naziv hosta ili IP adresu i povežite se koristeći administratorske vjerodajnice.

Ako vidite upit za vjerodajnice, vaša RDP sesija je uspješno započeta.

Koristite zapisnike događaja za rješavanje problema

Provjerite Event Viewer na udaljenom sustavu:

Potražite pogreške povezane s pokušajima povezivanja ili neuspjesima slušatelja.

Razmatranja sigurnosti prilikom omogućavanja RDP-a na daljinu

Omogućavanje RDP-a otvara značajnu površinu napada. Ključno je ojačati okruženje, posebno kada se RDP izlaže preko mreža.

Minimizirajte izloženost

• Koristite autentifikaciju na razini mreže (NLA)
• Ograničite dolazni RDP pristup na poznate IP adrese koristeći Windows Firewall ili perimetralne vatrozide.
• Izbjegavajte izlaganje RDP-a izravno internetu

Praćenje promjena u registru

Ključ fDenyTSConnections obično se modificira od strane zlonamjernog softvera i napadača kako bi se omogućilo lateralno kretanje. Koristite alate za praćenje poput:

• Prosljeđivanje Windows događaja
• Elastic Security ili SIEM platforme
• Evidentiranje PowerShell-a i revizija registra

Koristite higijenu vjerodajnica i MFA

Osigurajte da svi računi s RDP pristupom imaju:

• Složene lozinke
• Višefaktorska autentifikacija
• Dodjela minimalnih privilegija

Rješavanje uobičajenih problema

Ako RDP još uvijek ne radi nakon konfiguriranja registra i vatrozida, postoji nekoliko mogućih osnovnih uzroka koje treba istražiti:

Problem: Port 3389 nije otvoren

Upotrijebite sljedeću naredbu za provjeru da li sustav sluša na RDP veze:

Ako nema slušatelja, Usluge daljinskog radnog površine (TermService) možda ne rade. Pokrenite ih ručno ili ponovno pokrenite stroj. Također, osigurajte da postavke grupne politike ne onemogućuju uslugu nenamjerno.

Problem: Korisniku nije dopušteno prijaviti se putem RDP-a

Pobrinite se da je namijenjeni korisnik član grupe Korisnici udaljenog radnog površine ili da mu je odobren pristup putem grupne politike:

Pgsql: Konfiguracija računala > Politike > Postavke sustava Windows > Postavke sigurnosti > Lokalna politika > Dodjela korisničkih prava > Dozvoli prijavu putem usluga udaljenog radnog površine

Možete provjeriti članstvo u grupi koristeći:

Također potvrdite da nijedna sukobljena politika ne uklanja korisnike iz ove grupe.

Problem: Remote Registry ili RPC ne odgovara

Provjerite da:

• Usluga daljinske registracije radi
• Windows Firewall ili bilo koji antivirus treće strane ne blokira TCP portove 135 ili 445.
• Infrastruktura Windows Management Instrumentation (WMI) ciljanog sustava je funkcionalna

Za širu vidljivost, koristite alate poput wbemtest ili Get-WmiObject za provjeru RPC komunikacije.

P pojednostavite upravljanje udaljenim radnim stolom s TSplus Remote Access

Iako je ručna konfiguracija registra i vatrozida moćna, može biti složena i rizična u velikim razmjerima. TSplus Remote Access nudi sigurnu, centraliziranu i učinkovitu alternativu tradicionalnim RDP postavkama. S web-pristupom, podrškom za više korisnika i ugrađenim sigurnosnim značajkama, TSplus je idealno rješenje za organizacije koje žele pojednostaviti isporuku i upravljanje udaljenim radnim stolom.

Zaključak

Omogućavanje RDP-a putem daljinske registracije na Windows 10 nudi IT administratorima fleksibilnu, niskonivojsku metodu za pružanje daljinskog pristupa. Bilo da konfigurirate uređaje u velikim razmjerima ili rješavate probleme s pristupom bezglavim sustavima, ova metoda pruža precizno i skriptabilno rješenje. Uvijek je kombinirajte s jakim pravilima vatrozida, dozvolama na razini korisnika i sigurnosnim nadzorom kako biste osigurali usklađenost i zaštitili se od zloupotrebe.