DaaS vysvetlené: Ako funguje Desktop ako služba a prečo je to dôležité
Pochopte, ako funguje Desktop ako služba (DaaS) v pozadí. Preskúmajte infraštruktúru, model dodávky a bezpečné alternatívy s TSplus Remote Access.
Chceli by ste vidieť stránku v inom jazyku?
TSPLUS BLOG
Povolenie protokolu vzdialenej plochy (RDP) prostredníctvom vzdialeného registra je mocná technika pre IT administrátorov, ktorí potrebujú spravovať počítače so systémom Windows 10 v sieti. Táto metóda je obzvlášť cenná v scenároch, kde prístup prostredníctvom GUI nie je k dispozícii, alebo je potrebná automatizácia. V tomto technickom článku si prejdeme, ako nakonfigurovať RDP prostredníctvom registra systému Windows - lokálne aj vzdialene. Taktiež sa budeme zaoberať alternatívami PowerShell, konfiguráciou firewallu a bezpečnostnými úvahami.
Pred vykonaním akýchkoľvek zmien prostredníctvom registra je nevyhnutné overiť, či vaše prostredie podporuje vzdialenú správu a či sú všetky potrebné služby a povolenia nakonfigurované.
Windows 10 Home Edition neobsahuje komponentu servera RDP (TermService). Pokus o povolenie RDP na zariadení s edíciou Home nebude mať za následok funkčnú reláciu RDP, aj keď sú kľúče registru správne nakonfigurované.
Môžete overiť edíciu na diaľku pomocou PowerShellu:
Zmeny v registri a správa služieb vyžadujú miestne administrátorské oprávnenia. Ak používate doménové poverenia, zabezpečte, aby bol používateľský účet súčasťou skupiny Administrátori na vzdialenom počítači.
Remote Registry a RDP sa spoliehajú na konkrétne porty:
Spustiť kontrolu portu:
Skontrolujte stav služby vzdialeného registra
Služba vzdialeného registra musí byť nastavená na Automaticky a spustená:
Služba vzdialeného registra je často predvolene zakázaná z bezpečnostných dôvodov. IT odborníci ju musia povoliť a spustiť pred pokusom o akékoľvek operácie so vzdialeným registrom.
Môžete nastaviť službu, aby sa spustila automaticky a spustiť ju okamžite:
Týmto sa zabezpečí, že služba zostane aktívna po reštarte.
Ak PowerShell vzdialené pripojenie nie je k dispozícii:
Akonáhle je služba spustená, úprava registru z diaľkového konzoly sa stáva možnou.
Jadrom povolenia RDP je jediná hodnota v registri: fDenyTSConnections. Zmena tejto hodnoty z 1 na 0 povoľuje službu RDP na zariadení.
Toto je metóda založená na GUI vhodná pre ad hoc úlohy:
Poznámka: Táto zmena automaticky nekonfiguruje Windows Firewall. To sa musí urobiť samostatne.
Pre automatizáciu alebo skriptovanie sa uprednostňuje PowerShell:
powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name 'fDenyTSConnections' -Value 0 ; }
Môžete tiež overiť, že hodnota bola zmenená:
powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' | Select-Object fDenyTSConnections ; }
Predvolene, Windows Firewall blokuje prichádzajúce RDP pripojenia. Musíte ich výslovne povoliť prostredníctvom príslušnej skupiny pravidiel.
Toto umožňuje všetky preddefinované pravidlá v rámci skupiny "Remote Desktop".
Ak je PowerShell vzdialené ovládanie nedostupné, PsExec od Sysinternals môže pomôcť:
bash: psexec \\TargetPC -u AdminUser -p Password netsh advfirewall firewall set rule group="remote desktop" new enable=Áno
Tip na zabezpečenie: Ak používate doménové GPO, môžete tlačiť prístup RDP a pravidlá firewallu prostredníctvom centralizovanej politiky.
Aby ste potvrdili svoju konfiguráciu:
Skontrolujte, či port 3389 počúva:
Mali by ste vidieť TcpTestSucceeded: True
Otvor mstsc.exe, zadaj cieľový názov hostiteľa alebo IP adresu a pripoj sa pomocou administrátorských poverení.
Ak vidíte výzvu na overenie, vaša RDP relácia bola úspešne spustená.
Skontrolujte Zobrazenie udalostí na vzdialenom systéme:
Hľadajte chyby súvisiace s pokusmi o pripojenie alebo zlyhaniami poslucháča.
Povolenie RDP otvára významný povrch útoku. Je kritické zabezpečiť prostredie, najmä pri vystavení RDP naprieč sieťami.
Kľúč fDenyTSConnections je bežne modifikovaný malvérom a útočníkmi na povolenie laterálneho pohybu. Použite monitorovacie nástroje ako:
Zabezpečte, aby všetky účty s prístupom RDP mali:
Ak RDP stále nefunguje po nakonfigurovaní registra a firewallu, existuje niekoľko možných základných príčin, ktoré je potrebné preskúmať:
Použite nasledujúci príkaz na overenie, že systém počúva na pripojenia RDP:
Ak nie je žiadny poslucháč, Služby vzdialenej plochy (TermService) nemusia bežať. Spustite ich manuálne alebo reštartujte stroj. Taktiež sa uistite, že nastavenia skupinovej politiky náhodne nevyhadzujú službu.
Uistite sa, že zamýšľaný používateľ je členom skupiny používateľov vzdialenej plochy alebo má prístup povolený prostredníctvom skupinovej politiky:
Pgsql: Konfigurácia počítača > Politiky > Nastavenia systému Windows > Nastavenia zabezpečenia > Miestne politiky > Priradenie používateľských práv > Povoliť prihlásenie cez služby vzdialenej plochy
Môžete overiť členstvo v skupine pomocou:
Tiež potvrďte, že žiadna konfliktujúca politika neodstraňuje používateľov z tejto skupiny.
Skontrolujte, či:
Pre širšiu viditeľnosť použite nástroje ako wbemtest alebo Get-WmiObject na overenie komunikácie RPC.
Aj keď je manuálna konfigurácia registru a firewallu mocná, môže byť zložitá a riskantná v rozsahu. TSplus Remote Access ponúka bezpečnú, centralizovanú a efektívnu alternatívu k tradičným nastaveniam RDP. S webovým prístupom, podporou viacerých používateľov a zabudovanými bezpečnostnými funkciami je TSplus ideálnym riešením pre organizácie, ktoré sa snažia zjednodušiť dodávku a správu vzdialených desktopov.
Povolenie RDP prostredníctvom vzdialeného registra na Windows 10 ponúka IT administrátorom flexibilnú, nízkoúrovňovú metódu poskytovania vzdialeného prístupu. Či už konfiguruje zariadenia vo veľkom alebo rieši prístup k bezhlavým systémom, táto metóda poskytuje presné a skriptovateľné riešenie. Vždy ju kombinujte s prísnymi pravidlami firewallu, oprávneniami na úrovni používateľa a monitorovaním bezpečnosti, aby ste zabezpečili súlad a chránili sa pred zneužitím.
TSplus Bezplatná skúšobná verzia vzdialeného prístupu
Konečná alternatíva Citrix/RDS pre prístup k desktopu/aplikáciám. Bezpečné, nákladovo efektívne, na mieste/cloud
Jednoduchý prístup na diaľku
Ideálna alternatíva k Citrixu a Microsoft RDS pre vzdialený prístup k pracovnej ploche a doručovanie aplikácií pre systém Windows.
Vyskúšajte to zadarmoDÔVERUJÚ MU VIAC NEŽ 500 000 SPOLOČNOSTÍ