Как защитить компьютер от удаленного доступа
Перейти к содержимому

Как защитить компьютер от удаленного доступа

  • автор:

Использование удаленного рабочего стола

Используйте удаленный рабочий стол на устройстве с Windows, Android или iOS, чтобы дистанционно подключиться к компьютеру с Windows 10. Вот как настроить компьютер для разрешения удаленных подключений, а затем подключиться к настроенному компьютеру.

Примечание: В то время как сервер удаленного рабочего стола (например, компьютер, к которому вы подключаетесь) должен работать под управлением версии Windows Pro, клиентский компьютер (устройство, с которым вы подключаетесь) может работать под управлением любой версии Windows (Pro или Home). или даже другой операционной системы.

  1. Включите удаленные подключения на компьютере, к которому требуется подключиться.
    • Убедитесь, что у вас установлена Windows 11 Pro. Чтобы проверить это, выберитеПуск и откройте Параметры . Затем в разделе Система , выберите О системе и в разделе Характеристики Windows найдите Выпуск. Сведения о том, как получить Windows 11 Pro, см. в статьеОбновление Windows Home до Windows Pro.
    • Когда будете готовы, нажмитеПуск и откройтеПараметры . Затем в разделе Система выберите Удаленный рабочий стол, установите для параметра Удаленный рабочий стол значение Включить, затем выберитеПодтвердить.
    • Запишите имя этого компьютера в поле Имя компьютера. Оно понадобится позже.
  2. Используйте удаленный рабочий стол для подключения к настроенному компьютеру.
    • На локальном компьютере с Windows: В поле поиска на панели задач введите Подключение к удаленному рабочему столу и выберите Подключение к удаленному рабочему столу. В окне «Подключение к удаленному рабочему столу» введите имя компьютера, к которому необходимо подключиться (из шага 1), а затем нажмите кнопку Подключиться.
    • На устройстве с Windows, Android или iOS: Откройте приложение «Удаленный рабочий стол» (можно скачать бесплатно в Microsoft Store, Google Play и Mac App Store) и добавьте имя компьютера, к которому вы хотите подключиться (см. шаг 1). Выберите имя удаленного компьютера, которое вы добавили, и дождитесь завершения подключения.
  1. Включите удаленные подключения на компьютере, к которому требуется подключиться.
    • Убедитесь, что у вас установлена Windows 10 Pro. Чтобы это проверить, перейдите в Пуск >Параметры >Система >О системе и найдите Выпуск. Сведения о том, как получить Windows 10 Pro, см. в статье Обновление Windows 10 Домашняя до Windows 10 Pro.
    • Когда будете готовы, выберите Пуск >Параметры >Система >Удаленный рабочий стол, и выберите Включить удаленный рабочий стол.
    • Запомните имя компьютера в разделе Как подключиться к этому ПК. Оно понадобится позже.
  2. Используйте удаленный рабочий стол для подключения к настроенному компьютеру.
    • На локальном компьютере с Windows: В поле поиска на панели задач введите Подключение к удаленному рабочему столу и выберите Подключение к удаленному рабочему столу. В окне «Подключение к удаленному рабочему столу» введите имя компьютера, к которому необходимо подключиться (из шага 1), а затем нажмите кнопку Подключиться.
    • На устройстве с Windows, Android или iOS Откройте приложение «Удаленный рабочий стол» (можно скачать бесплатно в Microsoft Store, Google Play и Mac App Store) и добавьте имя компьютера, к которому вы хотите подключиться (см. шаг 1). Выберите имя удаленного компьютера, которое вы добавили, и дождитесь завершения подключения.

Включение удаленного рабочего стола на компьютере

Можно использовать Удаленный рабочий стол, чтобы подключиться к компьютеру с удаленного устройства и управлять им с помощью клиента удаленного рабочего стола (Майкрософт) (доступен для Windows, iOS, macOS и Android). Если разрешить удаленные подключения к своему компьютеру, то вы сможете подключиться к нему с помощью другого устройства и получить доступ ко всем своим приложениям, файлам и сетевым ресурсам, как если бы вы сидели за своим столом.

Вы можете использовать удаленный рабочий стол для подключения к профессиональным и корпоративным номерам SKU Windows. Вы не можете подключиться к компьютерам с выпуском Home, например Windows 10 Домашняя.

Для подключения к удаленному компьютеру он должен быть включен и подключен к сети, на нем должен быть включен удаленный рабочий стол, а у вас должен быть сетевой доступ к этому удаленному компьютеру (для этого может и использоваться Интернет) и разрешение на подключение. Чтобы иметь разрешение на подключение, необходимо находиться в списке пользователей. Прежде чем начать подключение, рекомендуется найти имя компьютера, к которому вы подключаетесь, и убедиться, что в его брандмауэре разрешены подключения к удаленному рабочему столу.

Как включить удаленный рабочий стол

Самый простой способ разрешить доступ к компьютеру с удаленного устройства — использовать параметры удаленного рабочего стола в разделе «Параметры». Так как эта функциональная возможность была добавлена в Windows 10 Fall Creators Update (1709), также доступно отдельное скачиваемое приложение для более ранних версий Windows, которое обеспечивает аналогичные функции. Можно также использовать старый способ включения удаленного рабочего стола, однако этот метод обеспечивает меньше функциональных возможностей и возможностей проверки.

Windows 10 Fall Creator Update (1709) или более поздняя версия

Можно настроить компьютер для удаленного доступа с помощью нескольких простых действий.

  1. На устройстве, с которого вы собираетесь подключиться, откройте меню Пуск и щелкните значок Параметры слева.
  2. Выберите группу Система возле элемента Удаленный рабочий стол.
  3. Включите удаленный рабочий стол с помощью ползунка.
  4. Также рекомендуется оставить компьютер в режиме бодрствования и доступным для обнаружения, чтобы упростить подключение. Щелкните Показать параметры для включения.
  5. При необходимости добавьте пользователей, которые могут удаленно подключиться, щелкнув Select users that can remotely access this PC (Выбрать пользователей, которые могут удаленно подключаться к этому компьютеру).
    1. Члены группы «Администраторы» получают доступ автоматически.

    Windows 7 и ранняя версия Windows 10

    Чтобы настроить компьютер для удаленного доступа, скачайте и запустите Microsoft Remote Desktop Assistant. Этот помощник обновляет параметры системы, чтобы включить удаленный доступ, обеспечивает бодрствование компьютера для подключения и проверяет, разрешает ли брандмауэр подключения к удаленному рабочему столу.

    Все версии Windows (устаревший метод)

    Чтобы включить удаленный рабочий стол с помощью устаревших свойств системы, следуйте инструкциям по подключению к другому компьютеру с помощью удаленного рабочего стола.

    Следует ли включать удаленный рабочий стол?

    Если вы будете использовать свой компьютер, только когда непосредственно сидите за ним, вам не нужно включать удаленный рабочий стол. Включение удаленного рабочего стола открывает порт на компьютере, видимый в локальной сети. Удаленный рабочий стол следует включать только в доверенных сетях, например, в домашней сети. Кроме того, не стоит включать удаленный рабочий стол на любом компьютере, доступ к которому строго контролируется.

    Имейте в виду, что включив доступ к удаленному рабочему столу, вы предоставляете остальным пользователям в группе «Администраторы» и другим выбранным вами пользователям возможность удаленного доступа к их учетным записям на компьютере.

    Следует убедиться, что для каждой учетной записи, которая имеет доступ к вашему компьютеру, настроен надежный пароль.

    Почему следует разрешать подключения только с проверкой подлинности на уровне сети?

    Если вы хотите ограничить доступ к компьютеру, разрешите доступ только с проверкой подлинности на уровне сети (NLA). При включении этого параметра пользователи должны пройти аутентификацию в сети, чтобы подключиться к компьютеру. Разрешение подключений только с компьютеров с удаленным рабочим столом с NLA является более безопасным методом проверки подлинности, который поможет защитить компьютер от злоумышленников и вредоносных программ. Чтобы узнать больше о NLA и удаленном рабочем столе, ознакомьтесь с разделом Configure Network Level Authentication for Remote Desktop Services Connections (Настройка NLA для подключения к удаленному рабочему столу).

    Если вы подключаетесь удаленно к компьютеру в своей домашней сети, не находясь в этой сети, не выбирайте этот параметр.

    Удаленный Credential Guard

    Remote Credential Guard помогает защитить учетные данные через подключение к удаленному рабочему столу (RDP), перенаправляя запросы Kerberos обратно на устройство, которое запрашивает подключение. Если целевое устройство скомпрометировано, учетные данные не предоставляются, так как учетные данные и производные учетные данные никогда не передаются по сети целевому устройству. Remote Credential Guard также предоставляет возможности единого входа для сеансов удаленного рабочего стола.

    В этой статье описывается настройка и использование Remote Credential Guard.

    Сведения о сценариях подключения к удаленному рабочему столу с поддержкой службы поддержки см. в разделе Подключения к удаленному рабочему столу и сценарии поддержки службы поддержки в этой статье.

    Сравнение remote Credential Guard с другими параметрами подключения

    Использование сеанса удаленного рабочего стола без Remote Credential Guard имеет следующие последствия для безопасности:

    • Учетные данные отправляются и сохраняются на удаленном узле
    • Учетные данные не защищены от злоумышленников на удаленном узле
    • Злоумышленник может использовать учетные данные после отключения

    Преимущества безопасности remote Credential Guard включают в себя:

    • Учетные данные не отправляются на удаленный узел
    • Во время удаленного сеанса вы можете подключаться к другим системам с помощью единого входа.
    • Злоумышленник может действовать от имени пользователя только в том случае, если сеанс продолжается.

    К преимуществам безопасности режима ограниченного Администратор относятся:

    • Учетные данные не отправляются на удаленный узел
    • Сеанс удаленного рабочего стола подключается к другим ресурсам в качестве удостоверения удаленного узла
    • Злоумышленник не может действовать от имени пользователя, и любая атака является локальной для сервера

    Используйте следующую таблицу для сравнения различных параметров безопасности подключения к удаленному рабочему столу:

    Функция Удаленный рабочий стол Удаленный Credential Guard Режим ограниченного Администратор
    Единый вход (SSO) в других системах при входе пользователя
    RDP с несколькими прыжками
    Запретить использование удостоверения пользователя во время подключения
    Запретить использование учетных данных после отключения
    Предотвращение передачи хэша (PtH)
    Поддерживаемая проверка подлинности Любой оборотный протокол Только Kerberos Любой оборотный протокол
    Учетные данные, поддерживаемые клиентским устройством удаленного рабочего стола — учетные данные для входа
    — предоставленные учетные данные
    — Сохраненные учетные данные
    — учетные данные для входа
    — предоставленные учетные данные
    — учетные данные для входа
    — предоставленные учетные данные
    — Сохраненные учетные данные
    Доступ по протоколу RDP предоставляется с помощью Членство в группе «Пользователи удаленного рабочего стола» на удаленном узле Членство в группе «Пользователи удаленного рабочего стола» на удаленном узле Членство в группе администраторов на удаленном узле

    Требования к remote Credential Guard

    Чтобы использовать Remote Credential Guard, удаленный узел и клиент должны соответствовать следующим требованиям.

    • Должен разрешать пользователю доступ через подключения к удаленному рабочему столу
    • Должен разрешать делегирование неисключимых учетных данных клиентскому устройству
    • Должно выполняться приложение Windows для удаленного рабочего стола. Приложение универсальная платформа Windows удаленного рабочего стола (UWP) не поддерживает Remote Credential Guard
    • Для подключения к удаленному узлу необходимо использовать проверку подлинности Kerberos. Если клиенту не удается подключиться к контроллеру домена, RDP пытается вернуться к NTLM. Remote Credential Guard не разрешает резервный вариант NTLM, так как он подвергает учетные данные риску

    Требования к выпуску и лицензированию Windows

    В следующей таблице перечислены выпуски Windows, поддерживающие Remote Credential Guard:

    Windows Pro Windows Корпоративная Windows Pro для образовательных учреждений/SE Windows для образовательных учреждений
    Да Да Да Да

    Права на лицензии Remote Credential Guard предоставляются следующими лицензиями:

    Windows Pro/Pro для образовательных учреждений/SE Windows Корпоративная E3 Windows Корпоративная E5 Windows для образовательных учреждений A3 Windows для образовательных учреждений A5
    Да Да Да Да Да

    Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

    Включение делегирования неисключимых учетных данных на удаленных узлах

    Эта политика требуется на удаленных узлах для поддержки режима remote Credential Guard и ограниченного Администратор. Это позволяет удаленному узлу делегировать неисключимые учетные данные клиентскому устройству.
    Если этот параметр отключен или не настроен, режим ограниченного Администратор и удаленного credential Guard не поддерживаются. Пользователи должны передать свои учетные данные на узел, подвергая их риску кражи учетных данных у злоумышленников на удаленном узле.

    Чтобы включить делегирование неисключимых учетных данных на удаленных узлах, можно использовать:

    • Microsoft Intune/MDM
    • Групповая политика
    • Реестр

    Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

    Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:

    Категория Имя параметра Значение
    Административные шаблоны > Делегирование учетных данных системы > Удаленный узел разрешает делегирование неисключимых учетных данных Enabled

    Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.

    Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика служб CSP политики.

    Параметр
    OMA-URI: ./Device/Vendor/MSFT/Policy/Config/CredentialsDelegation/RemoteHostAllowsDelegationOfNonExportableCredentials
    Тип данных: string
    Значение:

    Чтобы настроить устройство с помощью групповой политики, используйте локальный групповая политика Редактор. Чтобы настроить несколько устройств, присоединенных к Active Directory, создайте или измените объект групповой политики и используйте следующие параметры:

    Путь к групповой политике Параметр групповой политики Значение
    Конфигурация компьютера\Административные шаблоны\Система\Делегирование учетных данных Удаленный узел разрешает делегирование неисключимых учетных данных Enabled

    Чтобы настроить устройства с помощью реестра, используйте следующие параметры:

    Параметр
    Путь к ключу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    Имя ключа: DisableRestrictedAdmin
    Тип: REG_DWORD
    Значение: 0

    Это можно добавить, выполнив следующую команду в командной строке с повышенными привилегиями:

    reg.exe add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD 

    Настройка делегирования учетных данных на клиентах

    Чтобы включить Remote Credential Guard на клиентах, можно настроить политику, которая запрещает делегирование учетных данных удаленным узлам.

    Если вы не хотите настраивать клиенты для применения Remote Credential Guard, можно использовать следующую команду, чтобы использовать Remote Credential Guard для определенного сеанса RDP:

    mstsc.exe /remoteGuard 

    Если на сервере размещается роль узла RDS, команда работает только в том случае, если пользователь является администратором удаленного узла.

    Политика может иметь разные значения в зависимости от уровня безопасности, который требуется применить:

    • Отключено. Ограниченный режим Администратор и remote Credential Guard не применяются, и клиент удаленного рабочего стола может делегировать учетные данные удаленным устройствам.
    • Требовать ограниченный Администратор: клиент удаленного рабочего стола должен использовать ограниченные Администратор для подключения к удаленным узлам
    • Требовать remote Credential Guard: клиент удаленного рабочего стола должен использовать Remote Credential Guard для подключения к удаленным узлам
    • Ограничение делегирования учетных данных. Клиент удаленного рабочего стола должен использовать ограниченный Администратор или Remote Credential Guard для подключения к удаленным узлам. В этой конфигурации удаленный Credential Guard является предпочтительным, но он использует режим ограниченного Администратор (если поддерживается), когда remote Credential Guard не может использоваться

    Примечание. Если параметр Ограничить делегирование учетных /restrictedAdmin данных включен, параметр будет игнорироваться. Вместо этого Windows применяет конфигурацию политики и использует Remote Credential Guard.

    Для настройки клиентов можно использовать:

    • Microsoft Intune/MDM
    • Групповая политика

    Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

    Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:

    Категория Имя параметра Значение
    Административные шаблоны > Делегирование учетных данных системы > Ограничение делегирования учетных данных удаленным серверам Выберите Включено и в раскрывающемся списке выберите один из параметров:
    Ограничение делегирования учетных данных
    Требовать remote Credential Guard

    Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.

    Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика служб CSP политики.

    Чтобы настроить устройство с помощью групповой политики, используйте локальный групповая политика Редактор. Чтобы настроить несколько устройств, присоединенных к Active Directory, создайте или измените объект групповой политики и используйте следующие параметры:

    Путь к групповой политике Параметр групповой политики Значение
    Конфигурация компьютера\Административные шаблоны\Система\Делегирование учетных данных Ограничение делегирования учетных данных удаленным серверам Включено и в раскрывающемся списке выберите один из вариантов:
    Ограничение делегирования учетных данных
    Требовать remote Credential Guard

    Взаимодействие с пользователем

    После получения политики клиентом можно подключиться к удаленному узлу с помощью Remote Credential Guard, открыв клиент удаленного рабочего стола ( mstsc.exe ). Пользователь автоматически проходит проверку подлинности на удаленном узле:

    Пользователь должен быть авторизован для подключения к удаленному серверу по протоколу удаленного рабочего стола, например, будучи членом локальной группы «Пользователи удаленных рабочих столов» на удаленном узле.

    Сценарии поддержки подключений к удаленному рабочему столу и службы технической поддержки

    Для сценариев поддержки службы поддержки, в которых персоналу требуется административный доступ через сеансы удаленного рабочего стола, не рекомендуется использовать Remote Credential Guard. Если сеанс RDP инициируется для уже скомпрометированного клиента, злоумышленник может использовать этот открытый канал для создания сеансов от имени пользователя. Злоумышленник может получить доступ к любым ресурсам пользователя в течение ограниченного времени после отключения сеанса.

    Вместо этого рекомендуется использовать параметр Режим ограниченного Администратор. В сценариях поддержки службы поддержки подключения по протоколу RDP следует инициировать только с помощью /RestrictedAdmin параметра . Это помогает гарантировать, что учетные данные и другие ресурсы пользователей не будут предоставляться скомпрометируемым удаленным узлам. Дополнительные сведения см. в разделе Устранение проблем с передачей хэша и других кражи учетных данных версии 2.

    Чтобы еще больше обеспечить безопасность, мы также рекомендуем реализовать решение windows Local Administrator Password Solution (LAPS), которое автоматизирует управление паролями локального администратора. LAPS снижает риск боковой эскалации и других кибератак, облегчаемых, когда клиенты используют одну и ту же локальную учетную запись администратора и сочетание паролей на всех своих компьютерах.

    Дополнительные сведения о LAPS см. в статье Что такое Windows LAPS.

    Соображения

    Ниже приведены некоторые рекомендации по удаленной проверке учетных данных.

    • Remote Credential Guard не поддерживает составную проверку подлинности. Например, если вы пытаетесь получить доступ к файловму серверу с удаленного узла, которому требуется утверждение устройства, доступ будет запрещен.
    • Remote Credential Guard можно использовать только при подключении к устройству, присоединенное к домену Active Directory. Его нельзя использовать при подключении к удаленным устройствам, присоединенным к Microsoft Entra ID
    • Remote Credential Guard можно использовать из клиента, присоединенного к Microsoft Entra, для подключения к удаленному узлу, присоединенного к Active Directory, при условии, что клиент может пройти проверку подлинности с помощью Kerberos.
    • Remote Credential Guard работает только с протоколом RDP
    • Учетные данные не отправляются на целевое устройство, но целевое устройство по-прежнему получает билеты службы Kerberos самостоятельно.
    • Сервер и клиент должны пройти проверку подлинности с помощью Kerberos.
    • Remote Credential Guard поддерживается только для прямых подключений к целевым компьютерам. Он не поддерживает подключения через брокер подключений к удаленному рабочему столу и шлюз удаленных рабочих столов.

    Обратная связь

    Были ли сведения на этой странице полезными?

    Как защитить подключение к удаленному рабочему столу

    wikiHow работает по принципу вики, а это значит, что многие наши статьи написаны несколькими авторами. При создании этой статьи над ее редактированием и улучшением работали авторы-волонтеры.

    Количество просмотров этой статьи: 9673.

    В этой статье:

    Удаленный рабочий стол – это служба Windows, позволяющая пользователям подключаться к компьютеру с другого компьютера при помощи клиента подключения к удаленному рабочему столу. Это полезный сервис, но его применение связано с угрозами безопасности. Эта статья расскажет вам, как защитить подключение к удаленному рабочему столу.

    Step 1 Ограничьте число пользователей.

    • В большинстве версий Windows пользователи из административной группы все равно имеют доступ к удаленному компьютеру. Если вы хотите изменить это, нажмите «Пуск» — «Выполнить» и введите

    Step 2 %SystemRoot%\system32\secpol.msc /s

    %SystemRoot%\system32\secpol.msc /s

    Step 3 Откройте папку «Локальные.

    Откройте папку «Локальные политики», а затем откройте папку «Назначение прав пользователя». Откройте запись «Разрешить вход в систему через службу удаленных рабочих столов» и удалите «Администраторы» (на вкладке «Параметр локальной безопасности»). Если вы хотите предоставить доступ к удаленному компьютеру конкретному администратору, вы можете это сделать, воспользовавшись методом, описанным выше.

    Step 4 Установите максимальное количество.

    • Если вы хотите вручную разблокировать заблокированного пользователя, нажмите «Пуск» — «Администрирование» — «Управление компьютером». Нажмите «Локальные пользователи и группы», откройте заблокированного пользователя и уберите флажок у «Учетная запись заблокирована».

    Step 5 Откройте доступ к.

    • Здесь вы можете ограничить доступ к локальной сети или создать собственный список IP-адресов, которым разрешен доступ. Введите IP-адреса и нажмите ОК. Теперь ваше подключение к удаленному рабочему столу защищено.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *