DaaS wyjaśnione: jak działa Desktop as a Service i dlaczego ma to znaczenie
Zrozum, jak działa Desktop jako usługa (DaaS) w tle. Zbadaj infrastrukturę, model dostarczania i bezpieczne alternatywy z TSplus Remote Access.
Czy chciałbyś zobaczyć stronę w innym języku?
TSPLUS BLOG
Włączenie protokołu zdalnego pulpitu (RDP) przez zdalny rejestr jest potężną techniką dla administratorów IT, którzy muszą zarządzać maszynami z systemem Windows 10 w sieci. Metoda ta jest szczególnie cenna w scenariuszach, w których dostęp przez interfejs graficzny jest niedostępny lub wymagana jest automatyzacja. W tym artykule technicznym przeprowadzimy przez konfigurację RDP za pomocą rejestru systemu Windows — zarówno lokalnie, jak i zdalnie. Omówimy również alternatywy PowerShell, konfigurację zapory oraz kwestie bezpieczeństwa.
Przed wprowadzeniem jakichkolwiek zmian za pośrednictwem rejestru, kluczowe jest zweryfikowanie, czy twoje środowisko obsługuje zdalną administrację oraz czy wszystkie niezbędne usługi i uprawnienia są skonfigurowane.
Windows 10 Home Edition nie zawiera komponentu serwera RDP (TermService). Próba włączenia RDP na urządzeniu z edycją Home nie spowoduje uruchomienia funkcjonalnej sesji RDP, nawet jeśli klucze rejestru są poprawnie skonfigurowane.
Możesz zdalnie zweryfikować edycję za pomocą PowerShell:
Modyfikacje rejestru i zarządzanie usługami wymagają lokalnych uprawnień administratora. Jeśli używasz poświadczeń domenowych, upewnij się, że konto użytkownika jest częścią grupy Administratorzy na zdalnej maszynie.
Rejestr zdalny i RDP opierają się na określonych portach:
Uruchom sprawdzenie portu:
Sprawdź status usługi rejestru zdalnego
Usługa zdalnego rejestru musi być ustawiona na Automatyczne i uruchomiona:
Usługa zdalnego rejestru jest często domyślnie wyłączona z powodów bezpieczeństwa. Specjaliści IT muszą ją włączyć i uruchomić przed podjęciem jakichkolwiek operacji na zdalnym rejestrze.
Możesz ustawić usługę, aby uruchamiała się automatycznie i uruchomić ją natychmiast:
To zapewnia, że usługa pozostaje aktywna po ponownym uruchomieniu.
Jeśli zdalne połączenie PowerShell nie jest dostępne:
Gdy usługa jest uruchomiona, edytowanie rejestru zdalnie z konsoli staje się możliwe.
W centrum umożliwienia RDP znajduje się pojedyncza wartość rejestru: fDenyTSConnections. Zmiana tej wartości z 1 na 0 włącza usługę RDP na maszynie.
To jest metoda oparta na interfejsie graficznym, odpowiednia do zadań ad hoc:
Uwaga: Ta zmiana nie konfiguruje automatycznie zapory systemu Windows. To musi być zrobione osobno.
Dla automatyzacji lub skryptów preferowany jest PowerShell:
powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name 'fDenyTSConnections' -Value 0 ; }
Możesz również zweryfikować, że wartość została zmieniona:
powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' | Select-Object fDenyTSConnections ; }
Domyślnie zapora systemu Windows blokuje przychodzące połączenia RDP. Musisz wyraźnie zezwolić na nie poprzez odpowiednią grupę reguł.
To umożliwia wszystkie zdefiniowane zasady w grupie "Remote Desktop".
Jeśli zdalne połączenie PowerShell jest niedostępne, PsExec z Sysinternals może pomóc:
bash: psexec \\TargetPC -u AdminUser -p Password netsh advfirewall firewall set rule group="remote desktop" new enable=Yes
Wskazówka dotycząca bezpieczeństwa: Jeśli używasz GPO domeny, możesz wdrożyć dostęp RDP i zasady zapory za pomocą scentralizowanej polityki.
Aby potwierdzić swoją konfigurację:
Sprawdź, czy port 3389 słucha:
Powinieneś zobaczyć TcpTestSucceeded: True
Otwórz mstsc.exe, wprowadź docelową nazwę hosta lub adres IP, a następnie połącz się, używając danych logowania administratora.
Jeśli zobaczysz monit o dane uwierzytelniające, twoja sesja RDP została pomyślnie zainicjowana.
Sprawdź Podgląd zdarzeń na zdalnym systemie:
Szukaj błędów związanych z próbami połączenia lub awariami nasłuchiwacza.
Włączenie RDP otwiera znaczną powierzchnię ataku. Kluczowe jest wzmocnienie środowiska, szczególnie gdy RDP jest wystawione na sieci.
Klucz fDenyTSConnections jest często modyfikowany przez złośliwe oprogramowanie i atakujących w celu umożliwienia ruchu bocznego. Użyj narzędzi monitorujących, takich jak:
Upewnij się, że wszystkie konta z dostępem RDP mają:
Jeśli RDP nadal nie działa po skonfigurowaniu rejestru i zapory, istnieje kilka możliwych przyczyn do zbadania:
Użyj następującego polecenia, aby zweryfikować, że system nasłuchuje połączeń RDP:
Jeśli nie ma słuchacza, usługi pulpitu zdalnego (TermService) mogą nie działać. Uruchom je ręcznie lub zrestartuj maszynę. Upewnij się również, że ustawienia zasad grupy nie wyłączają usługi przypadkowo.
Upewnij się, że zamierzony użytkownik jest członkiem grupy Użytkownicy pulpitu zdalnego lub ma przyznany dostęp za pomocą zasad grupy:
Pgsql: Konfiguracja komputera > Polityki > Ustawienia systemu Windows > Ustawienia zabezpieczeń > Polityki lokalne > Przypisanie praw użytkowników > Zezwól na logowanie przez usługi pulpitu zdalnego
Możesz zweryfikować członkostwo w grupie, używając:
Również potwierdź, że żadna sprzeczna polityka nie usuwa użytkowników z tej grupy.
Sprawdź, czy:
Aby uzyskać szerszą widoczność, użyj narzędzi takich jak wbemtest lub Get-WmiObject, aby zweryfikować komunikację RPC.
Chociaż ręczna konfiguracja rejestru i zapory ogniowej jest potężna, może być skomplikowana i ryzykowna w dużej skali. TSplus Zdalny Dostęp oferuje bezpieczną, scentralizowaną i wydajną alternatywę dla tradycyjnych konfiguracji RDP. Dzięki dostępowi opartemu na sieci, wsparciu dla wielu użytkowników i wbudowanym funkcjom zabezpieczeń, TSplus jest idealnym rozwiązaniem dla organizacji, które chcą uprościć dostarczanie i zarządzanie pulpitem zdalnym.
Włączenie RDP za pomocą Zdalnego Rejestru w systemie Windows 10 oferuje administratorom IT elastyczną, niskopoziomową metodę udostępniania zdalnego dostępu. Niezależnie od tego, czy konfigurujesz urządzenia na dużą skalę, czy rozwiązujesz problemy z dostępem do systemów bez interfejsu graficznego, ta metoda zapewnia precyzyjne i skryptowalne rozwiązanie. Zawsze łącz ją z silnymi zasadami zapory, uprawnieniami na poziomie użytkownika i monitorowaniem bezpieczeństwa, aby zapewnić zgodność i chronić przed nadużyciami.
TSplus Darmowy okres próbny dostępu zdalnego
Ostateczna alternatywa dla Citrix/RDS w zakresie dostępu do pulpitu/aplikacji. Bezpieczne, opłacalne, lokalne/chmurowe
Jedno kliknięcie zdalnego dostępu
Idealna alternatywa dla Citrix i Microsoft RDS do zdalnego dostępu do pulpitu i dostarczania aplikacji Windows.
Wypróbuj za darmoZAUFANY PRZEZ 500 000+ FIRM