Hjemmeside » hvordan » Hvordan aktivere og sikre eksternt skrivebord på Windows

    Hvordan aktivere og sikre eksternt skrivebord på Windows

    Mens det er mange alternativer, er Microsofts eksternt skrivebord et perfekt alternativ for å få tilgang til andre datamaskiner, men det må sikres riktig. Etter at anbefalte sikkerhetstiltak er på plass, er Remote Desktop et kraftig verktøy for nøkler å bruke, og lar deg unngå å installere tredjepartsapps for denne typen funksjonalitet.

    Denne veiledningen og skjermbildene som følger med, er laget for Windows 8.1 eller Windows 10. Du bør imidlertid kunne følge denne veiledningen så lenge du bruker en av disse utgavene av Windows:

    • Windows 10 Professional
    • Windows 8.1 Pro
    • Windows 8.1 Enterprise
    • Windows 8 Enterprise
    • Windows 8 Pro
    • Windows 7 Professional
    • Windows 7 Enterprise
    • Windows 7 Ultimate
    • Windows Vista Business
    • Windows Vista Ultimate
    • Windows Vista Enterprise
    • Windows XP Professional

    Aktiverer eksternt skrivebord

    Først må vi aktivere eksternt skrivebord og velge hvilke brukere som har ekstern tilgang til datamaskinen. Trykk Windows-tasten + R for å hente en Kjør-spørring, og skriv "sysdm.cpl."

    En annen måte å komme til samme meny er å skrive "Denne PC" i Start-menyen, høyreklikk "Denne PCen" og gå til Egenskaper:

    Uansett vil denne menyen komme fram, hvor du må klikke på fjernfanen:

    Velg "Tillat eksterne tilkoblinger til denne datamaskinen" og alternativet under det, "Tillat bare tilkoblinger fra datamaskiner som kjører eksternt skrivebord med nettverksnivåautentisering."

    Det er ikke nødvendig å kreve Network Level Authentication, men gjør det slik at datamaskinen din blir sikrere ved å beskytte deg mot mennesket i midtangrepene. Systemer som er like gammel som Windows XP kan koble til verter med Network Level Authentication, så det er ingen grunn til ikke å bruke den.

    Du kan få en advarsel om strømalternativer når du aktiverer eksternt skrivebord:

    I så fall må du kontrollere at du klikker koblingen til Strømalternativer og konfigurerer datamaskinen slik at den ikke sovner eller dvale. Se vår artikkel om styring av strøminnstillinger hvis du trenger hjelp.

    Deretter klikker du på "Velg brukere".

    Eventuelle kontoer i gruppen Administratorer har allerede tilgang. Hvis du trenger å gi tilgang til eksternt skrivebord til andre brukere, klikker du bare på «Legg til» og skriver inn brukernavnene.

    Klikk på "Kontroller navn" for å bekrefte at brukernavnet er skrevet riktig, og klikk deretter OK. Klikk også OK i vinduet Systemegenskaper.

    Sikre eksternt skrivebord

    Datamaskinen din kan nå kobles til via Eksternt skrivebord (bare på ditt lokale nettverk hvis du er bak en ruteren), men det er noen flere innstillinger vi må konfigurere for å oppnå maksimal sikkerhet.

    Først, la oss ta opp den åpenbare. Alle brukerne som du ga Remote Desktop-tilgang, må ha sterke passord. Det er mange bots som kontinuerlig søker på internett for sårbare PCer som kjører eksternt skrivebord, så undervurder ikke betydningen av et sterkt passord. Bruk mer enn åtte tegn (12+ anbefales) med tall, små og store bokstaver og spesialtegn.

    Gå til Start-menyen eller åpne en Kjør-melding (Windows-tast + R) og skriv "secpol.msc" for å åpne menyen for lokal sikkerhetspolicy.

    Når du er der, utvider du "Lokale retningslinjer" og klikker på "Brukerrettighetsoppdrag."

    Dobbeltklikk på "Tillat logg på gjennom eksternt skrivebordstjenester" -politikk oppført til høyre.

    Det er vår anbefaling å fjerne begge gruppene som allerede er oppført i dette vinduet, administratorer og brukere av eksternt skrivebord. Deretter klikker du på «Legg til bruker eller gruppe», og legg til manuelt brukerne du vil gi tilgang til eksternt skrivebord til. Dette er ikke et viktig skritt, men det gir deg mer kraft over hvilke kontoer som kommer til å bruke eksternt skrivebord. Hvis du i fremtiden lager en ny administratorkonto av en eller annen grunn, og glemmer å sette et sterkt passord på det, åpner du datamaskinen opp til hackere over hele verden hvis du aldri plaget å fjerne gruppen "Administratorer" fra denne skjermen.

    Lukk vinduet Lokalt sikkerhetspolitikk, og åpne lokal gruppepolicyredigerer ved å skrive "gpedit.msc" i enten en kjøreprompt eller startmenyen.

    Når lokal gruppepolicyredigerer åpnes, utvider du Datamaskinpolitikk> Administrative maler> Windows-komponenter> Eksternt skrivebordstjenester> Eksternt skrivebordssesjon-vert, og deretter klikker du på Sikkerhet.

    Dobbeltklikk på noen innstillinger i denne menyen for å endre verdiene. De vi anbefaler å endre er:

    Angi klienttilkoblingskrypteringsnivå - Still inn dette på høyt nivå slik at eksternt skrivebordssesjon er sikret med 128-biters kryptering.

    Krever sikker RPC-kommunikasjon - Sett dette til Aktivert.

    Krev bruk av bestemt sikkerhetslag for eksterne (RDP) tilkoblinger - Sett dette til SSL (TLS 1.0).

    Krever brukerautentisering for eksterne tilkoblinger ved å bruke nettverksnivåautentisering - Angi dette til Aktivert.

    Når disse endringene er gjort, kan du lukke lokal gruppepolicyredigerer. Den siste sikkerhetsanbefaling vi har, er å endre standardporten som Remote Desktop lytter på. Dette er et valgfritt trinn og betraktes som en sikkerhet gjennom uklarhetstrening, men faktum er at endring av standardportnummer reduserer mengden ondsinnede tilkoblingsforsøk som datamaskinen vil motta. Ditt passord og sikkerhetsinnstillinger må gjøre Remote Desktop uskadelig uansett hvilken port den lytter på, men vi kan også redusere mengden tilkoblingsforsøk hvis vi kan.

    Sikkerhet gjennom Obscurity: Endring av standard RDP-port

    Som standard lytter Eksternt skrivebord på port 3389. Velg et femsifret tall mindre enn 65535 som du vil bruke til det egendefinerte portnummeret til fjernt skrivebord. Med det nummeret i tankene, åpner du Registerredigering ved å skrive "regedit" til en Run prompt eller Start-menyen.

    Når registerredigering åpnes, utvider du HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Kontroll> Terminal Server> WinStations> RDP-Tcp> dobbeltklikk deretter på "PortNumber" i vinduet til høyre.

    Med registernøkkelen PortNumber åpen, velg "Decimal" på høyre side av vinduet og skriv deretter inn ditt femsifrede nummer under "Verdidata" til venstre.

    Klikk på OK, og lukk deretter Registerredigering.

    Siden vi har endret standardporten som Remote Desktop bruker, må vi konfigurere Windows-brannmur for å godta innkommende tilkoblinger på den porten. Gå til startskjermen, søk etter "Windows-brannmur" og klikk på den.

    Når Windows-brannmur åpnes, klikker du på "Avanserte innstillinger" på venstre side av vinduet. Deretter høyreklikker du på "Innkommende regler" og velger "Ny regel".

    "Veiviseren for ny inngangsregel" vil dukke opp, velg Port og klikk på neste. På neste skjermbilde, kontroller at TCP er valgt, og skriv deretter inn portnummeret du valgte tidligere, og klikk deretter på neste. Klikk neste to ganger fordi standardverdiene på de neste parsidene vil være bra. På den siste siden velger du et navn for denne nye regelen, for eksempel "Egendefinert RDP-port", og deretter klikker du på Fullfør.

    Siste skritt

    Datamaskinen din bør nå være tilgjengelig på ditt lokale nettverk, bare angi maskinens IP-adresse eller navnet på den, etterfulgt av et kolon og portnummer i begge tilfeller, slik som:

    For å få tilgang til datamaskinen din utenfor nettverket ditt, trenger du mer enn sannsynlig å videresende porten på ruteren din. Deretter bør PCen være ekstern tilgjengelig fra alle enheter som har en ekstern stasjonær klient.

    Hvis du lurer på hvordan du kan holde styr på hvem som logger på PCen din (og hvorfra), kan du åpne Event Viewer for å se.

    Når du har åpnet Event Viewer, utvider du Programmer og tjenestelogger> Microsoft> Windows> TerminalServices-LocalSessionManger, og deretter klikker du Operational.

    Klikk på noen av hendelsene i høyre rute for å se påloggingsinformasjon.