Hoe RDP in te schakelen via de externe register op Windows 10

Vereisten om RDP via Remote Registry in te schakelen op Windows 10

Voordat u wijzigingen aanbrengt via het register, is het cruciaal om te verifiëren of uw omgeving externe administratie ondersteunt en of alle benodigde services en machtigingen zijn geconfigureerd.

Zorg ervoor dat het doelsysteem Windows 10 Pro of Enterprise draait

Windows 10 Home Edition bevat de RDP-servercomponent (TermService) niet. Pogingen om RDP in te schakelen op een apparaat met een Home-editie zullen niet resulteren in een functionele RDP-sessie, zelfs niet als de registerinstellingen correct zijn geconfigureerd.

U kunt de editie op afstand verifiëren via PowerShell:

Bevestig administratieve toegang

Registratiewijzigingen en servicemanagement vereisen lokale beheerdersrechten. Als u domeinreferenties gebruikt, zorg er dan voor dat het gebruikersaccount deel uitmaakt van de groep Beheerders op de externe machine.

Valideer netwerkaansluiting en vereiste poorten

Remote Registry en RDP zijn afhankelijk van specifieke poorten:

• TCP 445 (SMB) – Gebruikt door Remote Registry en RPC-communicatie
• TCP 135 (RPC-eindpuntmapper) – Gebruikt door externe WMI en services
• TCP 3389 – Vereist voor RDP-verbindingen

Voer een poortcontrole uit:

Controleer de status van de Remote Registry Service

De Remote Registry-service moet op Automatisch worden ingesteld en gestart:

Hoe de Remote Registry Service in te schakelen en te starten

De Remote Registry-service is om veiligheidsredenen vaak standaard uitgeschakeld. IT-professionals moeten deze inschakelen en starten voordat ze proberen om op afstand registerbewerkingen uit te voeren.

PowerShell gebruiken om de service te configureren

U kunt de service zo instellen dat deze automatisch wordt gestart en deze onmiddellijk starten:

Dit zorgt ervoor dat de service actief blijft na een herstart.

Services.msc gebruiken op een externe computer

Als PowerShell-remoting niet beschikbaar is:

1. Voer services.msc uit
2. Klik Actie > Verbinden met een andere computer
3. Voer de hostnaam of het IP-adres van de doelsysteem in
4. Locatie van de externe register, rechtsklik > Eigenschappen
5. Stel "Opstarttype" in op Automatisch
6. Klik op Start, vervolgens op OK

Zodra de service actief is, wordt het mogelijk om de registerbewerking vanuit een externe console uit te voeren.

De register aanpassen om RDP in te schakelen

In het hart van het inschakelen van RDP staat een enkele registerwaarde: fDenyTSConnections. Het wijzigen hiervan van 1 naar 0 schakelt de RDP-service op de machine in.

Methode 1: Regedit gebruiken en "Netwerkregister verbinden"

Dit is een op GUI gebaseerde methode die geschikt is voor ad-hoc taken:

1. Voer regedit.exe uit als administrator op uw lokale machine
2. Klik op Bestand > Verbind met Netwerkregister
3. Voer de hostnaam van de doelsysteem in
4. Navigeer naar : pgsql: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
5. Dubbelklik op fDenyTSConnections en wijzig de waarde naar 0

Opmerking: Deze wijziging configureert de Windows Firewall niet automatisch. Dat moet apart worden gedaan.

Methode 2: PowerShell gebruiken om het register te bewerken

Voor automatisering of scripting heeft PowerShell de voorkeur:

powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name 'fDenyTSConnections' -Value 0 ; }

U kunt ook verifiëren dat de waarde is gewijzigd:

powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' | Select-Object fDenyTSConnections ; }

Firewallregels inschakelen voor RDP

Standaard blokkeert de Windows Firewall inkomende RDP-verbindingen. U moet ze expliciet toestaan via de juiste regelgroep.

Firewallregel inschakelen met PowerShell

Dit stelt alle vooraf gedefinieerde regels onder de "Remote Desktop" groep in staat.

Firewallregel inschakelen met PsExec en Netsh

Als PowerShell-remoting niet beschikbaar is, kan PsExec van Sysinternals helpen:

bash: psexec \\TargetPC -u AdminUser -p Wachtwoord netsh advfirewall firewall set rule group="remote desktop" new enable=Ja

Beveiligingstip: Als je domein-GPO's gebruikt, kun je RDP-toegang en firewallregels via een gecentraliseerd beleid doorvoeren.

Verifiëren en testen van RDP-toegang

Om uw configuratie te bevestigen:

Gebruik Test-NetConnection

Controleer of poort 3389 luistert:

U zou TcpTestSucceeded: True moeten zien

Probeer RDP-verbinding

Open mstsc.exe, voer de doeldomeinnaam of IP-adres in en maak verbinding met beheerdersreferenties.

Als u een inlogprompt ziet, is uw RDP-sessie succesvol gestart.

Gebruik gebeurtenislogs voor probleemoplossing

Controleer de Event Viewer op het externe systeem:

Zoek naar fouten met betrekking tot verbindingspogingen of luisterfouten.

Beveiligingsoverwegingen bij het op afstand inschakelen van RDP

Het inschakelen van RDP opent een aanzienlijk aanvalsvlak. Het is cruciaal om de omgeving te versterken, vooral wanneer RDP over netwerken wordt blootgesteld.

Minimaliseer blootstelling

• Gebruik netwerkniveau-authenticatie (NLA)
• Beperk inkomende RDP-toegang tot bekende IP-bereiken met behulp van Windows Firewall of perimeterfirewalls
• Voorkom dat RDP direct aan het internet wordt blootgesteld

Monitor Registratiewijzigingen

De fDenyTSConnections-sleutel wordt vaak gewijzigd door malware en aanvallers om laterale beweging mogelijk te maken. Gebruik monitoringtools zoals:

• Windows Event Forwarding
• Elastic Security of SIEM-platforms
• PowerShell-logging en registerauditing

Gebruik Credential Hygiene en MFA

Zorg ervoor dat alle accounts met RDP-toegang hebben:

• Complexe wachtwoorden
• Multi-factor authenticatie
• Minimale privilege-toewijzingen

Problemen oplossen bij veelvoorkomende problemen

Als RDP nog steeds niet werkt na het configureren van het register en de firewall, zijn er verschillende mogelijke oorzaken om te onderzoeken:

Probleem: Poort 3389 Niet Open

Gebruik de volgende opdracht om te verifiëren dat het systeem luistert naar RDP-verbindingen:

Als er geen luisteraar is, zijn de Remote Desktop Services (TermService) mogelijk niet actief. Start het handmatig of herstart de machine. Zorg er ook voor dat de Groepsbeleidsinstellingen de service niet per ongeluk uitschakelen.

Probleem: Gebruiker niet toegestaan om in te loggen via RDP

Zorg ervoor dat de beoogde gebruiker lid is van de groep Remote Desktop Users of toegang heeft gekregen via Groepsbeleid:

Pgsql: Computerconfiguratie > Beleidsinstellingen > Windows-instellingen > Beveiligingsinstellingen > Lokale beleidsinstellingen > Toewijzing van gebruikersrechten > Toestaan inloggen via Remote Desktop Services

U kunt de groepslidmaatschapscontrole gebruiken met:

Bevestig ook dat er geen conflicterend beleid is dat gebruikers uit deze groep verwijdert.

Probleem: Remote Registry of RPC reageert niet

Controleer of:

• De Remote Registry-service is actief
• De Windows Firewall of een andere AV van derden blokkeert de TCP-poorten 135 of 445 niet.
• De Windows Management Instrumentation (WMI) infrastructuur van het doelsysteem is functioneel

Voor bredere zichtbaarheid, gebruik tools zoals wbemtest of Get-WmiObject om RPC-communicatie te valideren.

Vereenvoudig het beheer van Remote Desktop met TSplus Remote Access

Hoewel handmatige configuratie van het register en de firewall krachtig is, kan het complex en riskant zijn op grote schaal. TSplus Remote Access biedt een veilige, gecentraliseerde en efficiënte alternatieve oplossing voor traditionele RDP-configuraties. Met webgebaseerde toegang, ondersteuning voor meerdere gebruikers en ingebouwde beveiligingsfuncties is TSplus de ideale oplossing voor organisaties die de levering en het beheer van externe desktops willen stroomlijnen.

Conclusie

RDP inschakelen via de Remote Registry op Windows 10 biedt IT-beheerders een flexibele, laagdrempelige methode voor het verlenen van externe toegang. Of je nu apparaten op grote schaal configureert of problemen oplost met toegang tot headless systemen, deze methode biedt een nauwkeurige en scriptbare oplossing. Combineer het altijd met sterke firewallregels, gebruikersniveau machtigingen en beveiligingsmonitoring om naleving te waarborgen en misbruik te voorkomen.