วิธีเปิดใช้งาน RDP ผ่าน Remote Registry บน Windows 10
ในบทความทางเทคนิคนี้ เราจะอธิบายวิธีการกำหนดค่า RDP ผ่าน Windows Registry ทั้งในท้องถิ่นและระยะไกล นอกจากนี้เรายังจะพูดถึงทางเลือก PowerShell การกำหนดค่าไฟร์วอลล์ และข้อพิจารณาด้านความปลอดภัย
คุณต้องการดูเว็บไซต์ในภาษาอื่นหรือไม่?
บล็อก TSPLUS
การกำหนดค่า Remote Desktop Gateway (RD Gateway) เป็นหนึ่งในวิธีที่มีประสิทธิภาพที่สุดในการรักษาความปลอดภัยการเชื่อมต่อเดสก์ท็อประยะไกลโดยไม่ต้องพึ่งพา VPN คู่มือนี้อธิบายวิธีการตั้งค่า RDP Gateway บน Windows Server โดยมีขั้นตอนที่ชัดเจนสำหรับการติดตั้ง การกำหนดค่า การทดสอบ และการจัดการ พร้อมทั้งเน้นว่า TSplus Remote Access สามารถให้ทางเลือกที่ง่ายกว่าและคุ้มค่ากว่าได้อย่างไร
ผู้ดูแลระบบ IT จำเป็นต้องให้พนักงานเข้าถึงเดสก์ท็อปและแอปพลิเคชันภายในอย่างเชื่อถือได้และปลอดภัย โดยปกติแล้วจะทำได้โดยการเปิด RDP ผ่านพอร์ต 3389 หรือพึ่งพา VPN ทั้งสองวิธีนี้นำมาซึ่งความซับซ้อนและความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น เกตเวย์ Remote Desktop ของ Microsoft (RD Gateway) แก้ปัญหานี้โดยการสร้างอุโมงค์การเชื่อมต่อ Remote Desktop ผ่าน HTTPS บนพอร์ต 443 ในบทความนี้ เราจะพาไปดูขั้นตอนการตั้งค่า RD Gateway บน Windows Server และพูดคุยเกี่ยวกับวิธีที่ TSplus Remote Access เสนอทางเลือกที่ง่ายกว่าและสามารถปรับขนาดได้สำหรับองค์กรทุกขนาด
เกตเวย์เดสก์ท็อประยะไกล (RD Gateway) เป็นบทบาทของ Windows Server ที่อนุญาตการเชื่อมต่อระยะไกลที่ปลอดภัยไปยังทรัพยากรภายในผ่านทางอินเทอร์เน็ตโดยการส่งข้อมูล RDP ผ่าน HTTPS บนพอร์ต 443 มันป้องกันการโจมตีแบบ brute-force ด้วย SSL การเข้ารหัส TLS และใช้กฎการเข้าถึงที่เข้มงวดผ่านนโยบายการอนุญาตการเชื่อมต่อ (CAPs) และนโยบายการอนุญาตทรัพยากร (RAPs) ซึ่งให้ผู้ดูแลระบบควบคุมได้อย่างละเอียดว่าผู้ใดสามารถเชื่อมต่อและสิ่งใดที่พวกเขาสามารถเข้าถึงได้
หนึ่งในข้อได้เปรียบที่ใหญ่ที่สุดของ RD Gateway คือการพึ่งพา HTTPS ซึ่งช่วยให้ผู้ใช้สามารถเชื่อมต่อผ่านเครือข่ายที่ปกติจะบล็อกการรับส่งข้อมูล RDP การรวมเข้ากับใบรับรอง SSL ยังช่วยให้มั่นใจได้ถึงเซสชันที่เข้ารหัส และผู้ดูแลระบบสามารถกำหนดค่า CAPs และ RAPs เพื่อจำกัดการเข้าถึงตามบทบาทของผู้ใช้ ความสอดคล้องของอุปกรณ์ หรือเวลาของวัน
แม้ว่า VPN จะเป็นวิธีที่พบบ่อยในการให้การเข้าถึงระยะไกล แต่บ่อยครั้งต้องการการกำหนดค่าที่ซับซ้อนมากขึ้นและอาจเปิดเผยส่วนที่กว้างขึ้นของเครือข่ายมากกว่าที่จำเป็น ในทางตรงกันข้าม RD Gateway มุ่งเน้นไปที่การรักษาความปลอดภัยของเซสชัน RDP โดยเฉพาะ มันไม่อนุญาตให้เข้าถึงเครือข่ายทั้งหมด แต่จะอนุญาตเฉพาะเดสก์ท็อปและแอปพลิเคชันที่ได้รับการอนุมัติ ขอบเขตที่แคบกว่านี้ช่วยลดพื้นผิวการโจมตีและทำให้การปฏิบัติตามกฎระเบียบในอุตสาหกรรมที่มีข้อกำหนดด้านการกำกับดูแลที่เข้มงวดง่ายขึ้น
ก่อนตั้งค่า RD Gateway ให้แน่ใจว่าเซิร์ฟเวอร์ของคุณได้เข้าร่วมโดเมน Active Directory และกำลังรัน Windows Server 2016 หรือเวอร์ชันที่ใหม่กว่าพร้อมติดตั้งบทบาท Remote Desktop Services สิทธิ์ของผู้ดูแลระบบจำเป็นต้องใช้ในการทำการกำหนดค่าให้เสร็จสมบูรณ์ คุณจะต้องมีการตรวจสอบสิทธิ์ที่ถูกต้องด้วย ใบรับรอง SSL จาก CA ที่เชื่อถือได้เพื่อรักษาความปลอดภัยในการเชื่อมต่อและบันทึก DNS ที่กำหนดค่าอย่างถูกต้องเพื่อให้ชื่อโฮสต์ภายนอกชี้ไปยัง IP สาธารณะของเซิร์ฟเวอร์ โดยไม่มีองค์ประกอบเหล่านี้ ระบบเกตเวย์จะไม่ทำงานอย่างถูกต้อง
การติดตั้งสามารถทำได้ทั้งผ่านทาง
ผู้จัดการเซิร์ฟเวอร์
GUI หรือ PowerShell โดยใช้ Server Manager ผู้ดูแลระบบจะเพิ่มบทบาท Remote Desktop Gateway ผ่านวิซาร์ด Add Roles and Features กระบวนการนี้จะติดตั้งส่วนประกอบที่จำเป็นโดยอัตโนมัติ เช่น IIS สำหรับการทำงานอัตโนมัติหรือการปรับใช้ที่รวดเร็ว PowerShell เป็นตัวเลือกที่เหมาะสม การรันคำสั่ง
ติดตั้ง-WindowsFeature RDS-Gateway -IncludeAllSubFeature -Restart
ติดตั้งบทบาทและรีบูตเซิร์ฟเวอร์ตามความจำเป็น
เมื่อเสร็จสิ้น ผู้ดูแลระบบสามารถยืนยันการติดตั้งด้วย
Get-WindowsFeature RDS-Gateway
ซึ่งแสดงสถานะการติดตั้งของฟีเจอร์
ต้องนำเข้าซึ่งใบรับรอง SSL และผูกเข้ากับเซิร์ฟเวอร์ RD Gateway เพื่อเข้ารหัสการรับส่งข้อมูล RDP ทั้งหมดผ่าน HTTPS ผู้ดูแลระบบเปิด RD Gateway Manager ไปที่แท็บใบรับรอง SSL และนำเข้าไฟล์ .pfx การใช้ใบรับรองจาก CA ที่เชื่อถือได้จะหลีกเลี่ยงปัญหาความเชื่อถือของลูกค้า
สำหรับองค์กรที่ดำเนินการในสภาพแวดล้อมการทดสอบ ใบรับรองที่ลงนามด้วยตนเองอาจเพียงพอ แต่ในสภาพแวดล้อมการผลิต แนะนำให้ใช้ใบรับรองสาธารณะ ซึ่งจะช่วยให้ผู้ใช้ที่เชื่อมต่อจากภายนอกองค์กรไม่ต้องเผชิญกับคำเตือนหรือการเชื่อมต่อที่ถูกบล็อก
ขั้นตอนถัดไปคือการกำหนดนโยบายที่ควบคุมการเข้าถึงของผู้ใช้ นโยบายการอนุญาตการเชื่อมต่อจะระบุว่าผู้ใช้หรือกลุ่มใดบ้างที่ได้รับอนุญาตให้เชื่อมต่อผ่านเกตเวย์ วิธีการตรวจสอบสิทธิ์ เช่น รหัสผ่าน บัตรอัจฉริยะ หรือทั้งสองอย่างสามารถบังคับใช้ได้ การเปลี่ยนเส้นทางอุปกรณ์ยังสามารถอนุญาตหรือจำกัดได้ขึ้นอยู่กับสถานะความปลอดภัย
นโยบายการอนุญาตทรัพยากรจะกำหนดว่าเซิร์ฟเวอร์หรือเดสก์ท็อปภายในใดที่ผู้ใช้เหล่านั้นสามารถเข้าถึงได้ ผู้ดูแลระบบสามารถจัดกลุ่มทรัพยากรตามที่อยู่ IP, ชื่อโฮสต์ หรือวัตถุ Active Directory การแยกนโยบายผู้ใช้และทรัพยากรนี้ช่วยให้ควบคุมได้อย่างแม่นยำและลดความเสี่ยงจากการเข้าถึงที่ไม่ได้รับอนุญาต
การทดสอบช่วยให้มั่นใจได้ว่าการกำหนดค่าทำงานตามที่คาดหวัง ในไคลเอนต์ Windows สามารถใช้ไคลเอนต์การเชื่อมต่อ Remote Desktop (mstsc) ได้ ในการตั้งค่าขั้นสูง ผู้ใช้จะต้องระบุชื่อโฮสต์ภายนอกของเซิร์ฟเวอร์ RD Gateway หลังจากให้ข้อมูลรับรองแล้ว การเชื่อมต่อควรจะถูกสร้างขึ้นอย่างราบรื่น
ผู้ดูแลระบบยังสามารถเรียกใช้การทดสอบผ่านบรรทัดคำสั่งด้วย
mstsc /v:
การตรวจสอบบันทึกภายใน RD Gateway Manager ช่วยยืนยันว่าการตรวจสอบสิทธิ์และการอนุญาตทรัพยากรกำลังทำงานตามที่กำหนดไว้หรือไม่
เนื่องจาก RD Gateway ใช้
พอร์ต 443
ผู้ดูแลระบบต้องอนุญาตให้มีการรับส่งข้อมูล HTTPS ขาเข้าบนไฟร์วอลล์ สำหรับองค์กรที่อยู่เบื้องหลังอุปกรณ์ NAT การส่งต่อพอร์ตต้องชี้ไปที่เซิร์ฟเวอร์ RD Gateway บันทึก DNS ที่ถูกต้องต้องมีอยู่เพื่อให้ชื่อโฮสต์ภายนอก (เช่น
rdgateway.company.com
) แก้ไขให้เป็น IP สาธารณะที่ถูกต้อง การตั้งค่าเหล่านี้ช่วยให้ผู้ใช้ภายนอกเครือข่ายของบริษัทสามารถเข้าถึง RD Gateway ได้โดยไม่มีปัญหา
การตรวจสอบอย่างต่อเนื่องเป็นสิ่งสำคัญในการรักษาสภาพแวดล้อมที่ปลอดภัย ผู้จัดการ RD Gateway มีเครื่องมือการตรวจสอบในตัวที่แสดงเซสชันที่ใช้งานอยู่ ระยะเวลาเซสชัน และความพยายามในการเข้าสู่ระบบที่ล้มเหลว การตรวจสอบบันทึกอย่างสม่ำเสมอช่วยในการระบุการโจมตีแบบ brute-force ที่อาจเกิดขึ้นหรือการกำหนดค่าที่ไม่ถูกต้อง การรวมการตรวจสอบกับแพลตฟอร์มการบันทึกแบบรวมศูนย์สามารถให้การมองเห็นและความสามารถในการแจ้งเตือนที่ลึกซึ้งยิ่งขึ้น
ในขณะที่ RD Gateway เป็นเครื่องมือที่ทรงพลัง แต่มีปัญหาทั่วไปหลายประการที่อาจเกิดขึ้นระหว่างการตั้งค่าและการใช้งาน ปัญหาใบรับรอง SSL เกิดขึ้นบ่อย โดยเฉพาะเมื่อใช้ใบรับรองที่เซ็นชื่อด้วยตนเองในสภาพแวดล้อมการผลิต การใช้ใบรับรองที่ได้รับความไว้วางใจจากสาธารณะช่วยลดปัญหาเหล่านี้ได้
อีกปัญหาหนึ่งที่พบบ่อยคือการกำหนดค่า DNS ผิดพลาด หากชื่อโฮสต์ภายนอกไม่สามารถแก้ไขได้อย่างถูกต้อง ผู้ใช้จะไม่สามารถเชื่อมต่อได้ การตรวจสอบบันทึก DNS ที่ถูกต้องทั้งภายในและภายนอกเป็นสิ่งสำคัญ การกำหนดค่าไฟร์วอลล์ผิดพลาดก็สามารถบล็อกการรับส่งข้อมูลได้เช่นกัน ดังนั้นผู้ดูแลระบบควรตรวจสอบการส่งต่อพอร์ตและกฎไฟร์วอลล์อีกครั้งเมื่อทำการแก้ไขปัญหา
สุดท้าย นโยบาย CAP และ RAP จะต้องสอดคล้องกันอย่างรอบคอบ หากผู้ใช้ได้รับอนุญาตจาก CAP แต่ไม่ได้รับการเข้าถึงจาก RAP การเชื่อมต่อจะถูกปฏิเสธ การตรวจสอบลำดับและขอบเขตของนโยบายสามารถแก้ไขปัญหาการเข้าถึงดังกล่าวได้อย่างรวดเร็ว
ในขณะที่ RD Gateway ให้วิธีการที่ปลอดภัยในการเผยแพร่ RDP ผ่าน HTTPS แต่การติดตั้งและจัดการอาจซับซ้อน โดยเฉพาะสำหรับธุรกิจขนาดเล็กและขนาดกลาง นี่คือที่ที่ TSplus Remote Access มาในรูปแบบที่เรียบง่ายและคุ้มค่า
TSplus Remote Access ช่วยขจัดความจำเป็นในการกำหนดค่า CAPs, RAPs และการผูก SSL ด้วยตนเอง แทนที่นั้น มันให้พอร์ทัลที่ใช้งานง่ายบนเว็บซึ่งอนุญาตให้ผู้ใช้เชื่อมต่อกับเดสก์ท็อปหรือแอปพลิเคชันของตนโดยตรงผ่านเบราว์เซอร์ ด้วยการสนับสนุน HTML5 ไม่ต้องการซอฟต์แวร์ไคลเอนต์เพิ่มเติม ทำให้การเข้าถึงระยะไกลสามารถใช้งานได้บนอุปกรณ์ใด ๆ รวมถึงแท็บเล็ตและสมาร์ทโฟน
นอกจากความสะดวกในการติดตั้งแล้ว TSplus Remote Access มีความคุ้มค่ามากกว่าการติดตั้งและบำรุงรักษาโครงสร้างพื้นฐาน Windows Server RDS องค์กรสามารถได้รับประโยชน์จากฟีเจอร์ต่างๆ เช่น การเผยแพร่แอปพลิเคชัน การเข้าถึงเว็บที่ปลอดภัย และการสนับสนุนผู้ใช้หลายคน ทั้งหมดในแพลตฟอร์มเดียว สำหรับทีม IT ที่มองหาสมดุลระหว่างความปลอดภัย ประสิทธิภาพ และความเรียบง่าย โซลูชันของเราเป็นทางเลือกที่ยอดเยี่ยมสำหรับการใช้งาน RDP Gateway แบบดั้งเดิม
การกำหนดค่า Remote Desktop Gateway ช่วยให้องค์กรต่างๆ ปกป้องการรับส่งข้อมูล RDP และให้การเข้าถึงที่เข้ารหัสโดยไม่ต้องเปิดเผยพอร์ต 3389 หรือพึ่งพา VPN อย่างไรก็ตาม ความซับซ้อนในการจัดการใบรับรอง, CAPs, RAPs และกฎไฟร์วอลล์อาจทำให้ RD Gateway เป็นเรื่องท้าทายสำหรับทีมขนาดเล็ก TSplus Remote Access มีวิธีการที่เรียบง่ายและราคาไม่แพงซึ่งมอบการเชื่อมต่อที่ปลอดภัยเช่นเดียวกันโดยมีอุปสรรคที่น้อยลง ไม่ว่าจะเป็นการติดตั้ง RD Gateway หรือเลือกใช้ TSplus เป้าหมายยังคงเหมือนเดิม: การเปิดใช้งานการเข้าถึงระยะไกลที่เชื่อถือได้ ปลอดภัย และมีประสิทธิภาพเพื่อสนับสนุนแรงงานสมัยใหม่
การเข้าถึงระยะไกลด้วยคลิกเดียว
ตัวเลือกที่เหมาะสมสำหรับ Citrix และ Microsoft RDS สำหรับการเข้าถึงเดสก์ท็อประยะไกลและการส่งมอบแอปพลิเคชัน Windows คือ TSplus vs RDS
ลองใช้งานฟรีเชื่อถือโดยบริษัทมากกว่า 500,000 แห่ง