Sådan aktiveres og sikres Remote Desktop på Windows
Selvom der er mange alternativer, er Microsofts fjernskrivebord en perfekt mulighed for at få adgang til andre computere, men det skal sikres ordentligt. Når anbefalede sikkerhedsforanstaltninger er på plads, er Remote Desktop et kraftfuldt værktøj til nørder, der skal bruges, og lader dig undgå at installere tredjeparts apps til denne type funktionalitet.
Denne vejledning og de skærmbilleder, der ledsager den, er lavet til Windows 8.1 eller Windows 10. Du bør dog kunne følge denne vejledning, så længe du bruger en af disse udgaver af Windows:
- Windows 10 Professional
- Windows 8.1 Pro
- Windows 8.1 Enterprise
- Windows 8 Enterprise
- Windows 8 Pro
- Windows 7 Professional
- Windows 7 Enterprise
- Windows 7 Ultimate
- Windows Vista Business
- Windows Vista Ultimate
- Windows Vista Enterprise
- Windows XP Professional
Aktivering af fjernskrivebord
For det første skal vi aktivere Remote Desktop og vælge, hvilke brugere der har fjernadgang til computeren. Tryk på Windows-tasten + R for at hente en Kør-prompt, og skriv "sysdm.cpl."
En anden måde at komme til den samme menu er at skrive "Denne pc" i din Start menu, højreklik på "Denne pc" og gå til Egenskaber:
På nogen måde vil du få vist denne menu, hvor du skal klikke på fanen Fjernbetjening:
Vælg "Tillad fjernforbindelser til denne computer" og valgmuligheden under den, "Tillad kun forbindelser fra computere, der kører fjernskrivebord med netværksniveauautentificering."
Det er ikke nødvendigt at kræve Network Level Authentication, men det gør computeren mere sikker ved at beskytte dig mod mennesket i mellemangrebene. Systemer, der er lige så gamle som Windows XP, kan oprette forbindelse til værter med Network Level Authentication, så der er ingen grund til ikke at bruge det.
Du kan få en advarsel om dine strømindstillinger, når du aktiverer Fjernskrivebord:
Hvis ja, skal du sørge for at klikke på linket til Power Options og konfigurere din computer, så den ikke falder i søvn eller dvale. Se vores artikel om styring af strømindstillinger, hvis du har brug for hjælp.
Klik derefter på "Vælg brugere".
Alle konti i gruppen Administratorer har allerede adgang. Hvis du skal give Remote Desktop adgang til andre brugere, skal du blot klikke på "Tilføj" og indtaste brugernavne.
Klik på "Kontroller navne" for at bekræfte, at brugernavnet er skrevet korrekt, og klik derefter på OK. Klik også på OK i vinduet Systemegenskaber.
Sikring af fjernskrivebord
Din computer kan i øjeblikket tilsluttes via Remote Desktop (kun på dit lokale netværk, hvis du er bag en router), men der er nogle flere indstillinger, vi skal konfigurere for at opnå maksimal sikkerhed.
Lad os først henvende os til den oplagte. Alle brugere, som du gav fjernadgang til skrivebordet, skal have stærke adgangskoder. Der er mange robotter, der konstant scanner internettet til sårbare pc'er, der kører Remote Desktop, så undervurder ikke betydningen af et stærkt kodeord. Brug mere end otte tegn (12 + anbefales) med tal, små bogstaver og store bogstaver og specialtegn.
Gå til startmenuen, eller åbn en Kør-prompt (Windows-tast + R) og skriv "secpol.msc" for at åbne menuen Lokal sikkerhedspolitik.
Når du er der, skal du udvide "Lokale politikker" og klikke på "Brugerrettighedsopgave".
Dobbeltklik på "Tillad log på via Remote Desktop Services" -politikken, der er angivet til højre.
Det er vores anbefaling at fjerne begge de grupper, der allerede er angivet i dette vindue, administratorer og brugere af fjernskrivebord. Klik derefter på "Tilføj bruger eller gruppe", og tilføj manuelt brugerne, som du gerne vil give adgang til Remote Desktop til. Dette er ikke et vigtigt skridt, men det giver dig mere magt over hvilke konti, der kommer til at bruge Remote Desktop. Hvis du i fremtiden laver en ny administratorkonto af en eller anden grund og glemmer at lægge et stærkt kodeord på det, åbner du din computer op til hackere over hele verden, hvis du aldrig har problemer med at fjerne gruppen "Administratorer" fra denne skærm.
Luk vinduet Lokal sikkerhedspolitik, og åbn editoren for lokal gruppepolitik ved at skrive "gpedit.msc" til enten en Kør-prompt eller Start-menuen.
Når lokal gruppepolitikredigering åbnes, skal du udvide Computer Policy> Administrative Skabeloner> Windows Components> Eksternt skrivebordstjenester> Remote Desktop Session Host og derefter klikke på Security.
Dobbeltklik på eventuelle indstillinger i denne menu for at ændre deres værdier. Dem, vi anbefaler at ændre, er:
Indstil klientadgangskrypteringsniveau - Indstil dette til højt niveau, så dine Remote Desktop-sessioner sikres med 128-bit kryptering.
Kræv sikker RPC kommunikation - Indstil dette til Aktiveret.
Kræver brug af specifikt sikkerhedslag for fjernbetjeninger (RDP) - Indstil dette til SSL (TLS 1.0).
Kræv brugergodkendelse til fjernforbindelser ved at bruge Network Level Authentication - Indstil dette til Aktiveret.
Når disse ændringer er foretaget, kan du lukke redaktionen for lokal gruppepolitik. Den sidste sikkerhedsanbefaling, vi har, er at ændre standardporten, som Remote Desktop lytter til. Dette er et valgfrit trin og betragtes som en sikkerhed gennem uklarhedspraksis, men faktum er, at ændring af standardportnummeret reducerer mængden af ondsindede forbindelsesforsøg, som din computer modtager. Din adgangskode og sikkerhedsindstillinger skal gøre Remote Desktop uskadelige, uanset hvilken port den lytter til, men vi kan lige så godt mindske mængden af forbindelsesforsøg, hvis vi kan.
Sikkerhed gennem uklarhed: Ændring af standard RDP-port
Som standard lytter fjernt skrivebord på port 3389. Vælg et femcifret tal mindre end 65535, som du gerne vil bruge til dit brugerdefinerede fjernbordsportnummer. Med dette nummer i tankerne skal du åbne registreringseditoren ved at skrive "regedit" til en Run prompt eller Start menuen.
Når registreringseditoren åbnes, skal du udvide HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Kontrol> Terminal Server> WinStations> RDP-Tcp> dobbeltklik derefter på "PortNumber" i vinduet til højre.
Med registernøglen PortNumber åben, vælg "Decimal" på højre side af vinduet og indtast derefter dit femcifrede nummer under "Værdidata" til venstre.
Klik på OK, og luk derefter Registerredigering.
Da vi har ændret standardporten, som Remote Desktop bruger, skal vi konfigurere Windows Firewall til at acceptere indgående forbindelser på den pågældende port. Gå til startskærmen, søg efter "Windows Firewall" og klik på den.
Når Windows Firewall åbnes, skal du klikke på "Avancerede indstillinger" i venstre side af vinduet. Højreklik derefter på "Indgående regler" og vælg "Ny regel".
Guiden "Ny indgående regel" vises, vælg Port og klik derefter på Næste. På den næste skærm skal du kontrollere, at TCP er valgt, og indtast derefter det portnummer, du valgte tidligere, og klik derefter på Næste. Klik på næste to gange, fordi standardværdierne på de næste par sider vil fungere fint. På den sidste side skal du vælge et navn til denne nye regel, f.eks. "Brugerdefineret RDP-port", og klik derefter på Afslut.
Sidste trin
Din computer skal nu være tilgængelig på dit lokale netværk, skal du blot angive maskinens IP-adresse eller navnet på den, efterfulgt af et kolon og portnummer i begge tilfælde som sådan:
For at få adgang til din computer uden for dit netværk, skal du sandsynligvis overføre porten på din router. Derefter skal din pc være tilgængelig eksternt fra enhver enhed, der har en fjernbords-klient.
Hvis du spekulerer på, hvordan du kan holde styr på, hvem der logger ind på din pc (og hvorfra), kan du åbne Event Viewer for at se.
Når du har åbnet Event Viewer, skal du udvide Programmer og Services Logs> Microsoft> Windows> TerminalServices-LocalSessionManger og derefter klikke på Operationelle.
Klik på en af begivenhederne i højre rude for at se loginoplysninger.