Želite li vidjeti stranicu na drugom jeziku?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Promijeni jezik
Sadržaj

Koji su preduvjeti za omogućavanje RDP-a putem daljinske registracije na Windows 10?

Prije nego što izvršite bilo kakve promjene putem registra, ključno je provjeriti da vaše okruženje podržava daljinsku administraciju i da su sve potrebne usluge i dozvole konfigurirane.

Osigurajte da ciljni sustav radi na Windows 10 Pro ili Enterprise

Windows 10 Home Edition ne uključuje RDP poslužiteljski komponent (TermService). Pokušaj omogućavanja RDP-a na uređaju s Home edicijom neće rezultirati funkcionalnom RDP sesijom, čak i ako su registry ključevi ispravno konfigurirani.

Možete provjeriti izdanje daljinski putem PowerShell-a: 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
        (Get-WmiObject -Class Win32_OperatingSystem).Caption

Potvrdi administrativni pristup

Modifikacije registra i upravljanje uslugama zahtijevaju lokalne administratorske privilegije. Ako koristite domenske vjerodajnice, osigurajte da je korisnički račun dio grupe Administratori na udaljenom računalu.

Provjerite mrežnu povezanost i potrebne portove

Remote Registry i RDP oslanjaju se na specifične portove:

  • TCP 445 (SMB) – Koristi se za komunikaciju s udaljenim registrima i RPC komunikaciju
  • TCP 135 (RPC endpoint mapper) – Koristi se za udaljeni WMI i usluge
  • TCP 3389 – Potrebno za RDP veze

Pokrenite provjeru porta: 

Test-NetConnection -ComputerName TargetPC -Port 445  
Test-NetConnection -ComputerName TargetPC -Port 3389

Provjerite status usluge daljinske registracije

Usluga daljinske registracije mora biti postavljena na Automatski i pokrenuta: 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
    Get-Service -Name RemoteRegistry
}

Kako možete omogućiti i pokrenuti uslugu daljinske registracije?

Usluga daljinskog registra često je onemogućena prema zadanim postavkama iz sigurnosnih razloga. IT stručnjaci moraju je omogućiti i pokrenuti prije nego što pokušaju bilo kakve operacije daljinskog registra.

Korištenje PowerShell-a za konfiguraciju usluge

Možete postaviti uslugu da se automatski pokrene i odmah je pokrenuti: 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
    Set-Service -Name RemoteRegistry -StartupType Automatic
    Start-Service -Name RemoteRegistry
}

Ovo osigurava da usluga ostane aktivna nakon ponovnog pokretanja.

Korištenje Services.msc na udaljenom računalu

Ako PowerShell daljinsko upravljanje nije dostupno:

  1. Pokrenite services.msc
  2. Kliknite Radnja > Poveži se s drugim računalom
  3. Unesite naziv odredišnog računala ili IP adresu
  4. Pronađite daljinski registar, desni klik > Svojstva
  5. Postavite "Vrstu pokretanja" na Automatski
  6. Kliknite Start, a zatim U redu

Jednom kada usluga počne raditi, uređivanje registra iz udaljene konzole postaje moguće.

Kako možete modificirati registar za omogućavanje RDP-a?

U središtu omogućavanja RDP-a je jedna vrijednost u registru: fDenyTSConnections . Promjena ovog s 1 na 0 omogućuje RDP uslugu na računalu.

Metoda 1: Korištenje Regedita i "Poveži mrežnu registraciju"

Ovo je metoda temeljena na GUI-u pogodna za ad hoc zadatke:

  1. Pokreni regedit.exe kao administrator na vašem lokalnom računalu
  2. Kliknite Datoteka > Poveži Mrežni Registar
  3. Unesite naziv odredišnog računala
  4. Navigirajte do: 
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
  5. Dvoklik fDenyTSConnections i promijenite njegovu vrijednost na 0

Napomena: Ova promjena ne konfigurira automatski Windows Firewall. To se mora učiniti odvojeno.

Metoda 2: Korištenje PowerShell-a za uređivanje registra

Za automatizaciju ili skriptiranje, PowerShell je preferiran: 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
    Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name 'fDenyTSConnections' -Value 0
}

Također možete provjeriti je li vrijednost promijenjena: 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
    Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' | Select-Object fDenyTSConnections
}

Kako možete omogućiti pravila vatrozida za RDP?

Zadano, Windows Firewall blokira dolazne RDP veze. Morate ih izričito dopustiti kroz odgovarajuću grupu pravila.

Omogućite pravilo vatrozida pomoću PowerShell-a 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
    Enable-NetFirewallRule -DisplayGroup "Remote Desktop"
}

Ovo omogućuje sve unaprijed definirane pravila unutar grupe "Remote Desktop".

Omogućite pravilo vatrozida koristeći PsExec i Netsh

Ako PowerShell daljinsko upravljanje nije dostupno, PsExec iz Sysinternals može pomoći: 

psexec \\TargetPC -u AdminUser -p Password netsh advfirewall firewall set rule group="remote desktop" new enable=Yes

Savjet za sigurnost: Ako koristite GPO-ove domene, možete primijeniti RDP pristup i pravila vatrozida putem centralizirane politike.

Kako možete provjeriti i testirati RDP pristup?

Da potvrdite svoju konfiguraciju:

Koristite Test-NetConnection

Provjerite je li port 3389 sluša: 

Test-NetConnection -ComputerName TargetPC -Port 3389

Trebali biste vidjeti TcpTestSucceeded: Točno

Pokušaj RDP veze

Otvoreno mstsc.exe unesite ciljni naziv hosta ili IP adresu, i povežite se koristeći administratorske vjerodajnice.

Ako vidite upit za vjerodajnice, vaša RDP sesija je uspješno započeta.

Koristite zapisnike događaja za rješavanje problema

Provjerite Event Viewer na udaljenom sustavu: 

Aplikacije i usluge zapisi > Microsoft > Windows > TerminalServices-RemoteConnectionManager

Potražite pogreške povezane s pokušajima povezivanja ili neuspjesima slušatelja.

Koje su sigurnosne mjere prilikom omogućavanja RDP-a na daljinu?

Omogućavanje RDP-a otvara značajnu površinu napada. Ključno je ojačati okruženje, posebno kada se RDP izlaže preko mreža.

Minimizirajte izloženost

  • Koristite autentifikaciju na razini mreže (NLA)
  • Ograničite dolazni RDP pristup na poznate IP adrese koristeći Windows Firewall ili perimetralne vatrozide.
  • Izbjegavajte izlaganje RDP-a izravno internetu

Praćenje promjena u registru

The fDenyTSConnections ključ se obično mijenja od strane zlonamjernog softvera i napadača kako bi se omogućilo lateralno kretanje. Koristite alate za praćenje poput:

  • Prosljeđivanje Windows događaja
  • Elastic Security ili SIEM platforme
  • Evidentiranje PowerShell-a i revizija registra

Koristite higijenu vjerodajnica i MFA

Osigurajte da svi računi s RDP pristupom imaju:

  • Složene lozinke
  • Višefaktorska autentifikacija
  • Dodjela minimalnih privilegija

Koji su uobičajeni problemi s rješavanjem poteškoća?

Ako RDP još uvijek ne radi nakon konfiguriranja registra i vatrozida, postoji nekoliko mogućih osnovnih uzroka koje treba istražiti:

Problem: Port 3389 nije otvoren

Upotrijebite sljedeću naredbu za provjeru da li sustav sluša na RDP veze: 

netstat -an | findstr 3389

Ako nema slušatelja, Usluge daljinskog radnog površine (TermService) možda ne rade. Pokrenite ih ručno ili ponovno pokrenite stroj. Također, osigurajte da postavke grupne politike ne onemogućuju uslugu nenamjerno.

Problem: Korisniku nije dopušteno prijaviti se putem RDP-a

Pobrinite se da je namijenjeni korisnik član grupe Korisnici udaljenog radnog površine ili da mu je odobren pristup putem grupne politike: 

Konfiguracija računala > Politike > Postavke sustava Windows > Postavke sigurnosti > Lokalna politika > Dodjela korisničkih prava > Dozvoli prijavu putem usluga udaljenog radnog površine

Možete provjeriti članstvo u grupi koristeći: 

net localgroup "Remote Desktop Users"

Također potvrdite da nijedna sukobljena politika ne uklanja korisnike iz ove grupe.

Problem: Remote Registry ili RPC ne odgovara

Provjerite da:

  • Usluga daljinske registracije radi
  • Windows Firewall ili bilo koji antivirus treće strane ne blokira TCP portove 135 ili 445.
  • Infrastruktura Windows Management Instrumentation (WMI) ciljanog sustava je funkcionalna

Za širu vidljivost, koristite alate poput wbemtest ili Get-WmiObject za provjeru RPC komunikacije.

P pojednostavite upravljanje udaljenim radnim stolom s TSplus Remote Access

Iako je ručna konfiguracija registra i vatrozida moćna, može biti složena i rizična u velikim razmjerima. TSplus Remote Access nudi sigurnu, centraliziranu i učinkovitu alternativu tradicionalnim RDP postavkama. S web-pristupom, podrškom za više korisnika i ugrađenim sigurnosnim značajkama, TSplus je idealno rješenje za organizacije koje žele pojednostaviti isporuku i upravljanje udaljenim radnim stolom.

Zaključak

Omogućavanje RDP-a putem daljinske registracije na Windows 10 nudi IT administratorima fleksibilnu, niskonivojsku metodu za pružanje daljinskog pristupa. Bilo da konfigurirate uređaje u velikim razmjerima ili rješavate probleme s pristupom bezglavim sustavima, ova metoda pruža precizno i skriptabilno rješenje. Uvijek je kombinirajte s jakim pravilima vatrozida, dozvolama na razini korisnika i sigurnosnim nadzorom kako biste osigurali usklađenost i zaštitili se od zloupotrebe.

TSplus Besplatno probno razdoblje za daljinski pristup

Krajnja alternativa za Citrix/RDS za pristup radnoj površini/aplikacijama. Sigurno, isplativo, lokalno/u oblaku

Započnite besplatno probno razdoblje

Dijeli:

Facebook Twitter LinkedIn

Vaš TSplus tim

Daljnje čitanje

back to top of the page icon