วิธีเปิดใช้งานและรักษาความปลอดภัย Remote Desktop บน Windows
ในขณะที่มีทางเลือกมากมาย Remote Desktop ของ Microsoft เป็นตัวเลือกที่ทำงานได้อย่างสมบูรณ์แบบสำหรับการเข้าถึงคอมพิวเตอร์เครื่องอื่น แต่ต้องได้รับการรักษาความปลอดภัยอย่างเหมาะสม หลังจากใช้มาตรการรักษาความปลอดภัยที่แนะนำแล้ว Remote Desktop เป็นเครื่องมือที่ทรงพลังสำหรับผู้ที่ชื่นชอบการใช้งานและให้คุณหลีกเลี่ยงการติดตั้งแอพของบุคคลที่สามสำหรับฟังก์ชั่นประเภทนี้.
คำแนะนำนี้และภาพหน้าจอที่มาพร้อมกับ Windows 8.1 หรือ Windows 10 อย่างไรก็ตามคุณควรปฏิบัติตามคำแนะนำนี้ตราบเท่าที่คุณใช้ Windows รุ่นใดรุ่นหนึ่งต่อไปนี้:
- Windows 10 Professional
- ของ Windows 8.1 Pro
- ของ Windows 8.1 องค์กร
- Windows 8 องค์กร
- Windows 8 Pro
- Windows 7 Professional
- Windows 7 Enterprise
- Windows 7 Ultimate
- ธุรกิจ Windows Vista
- Windows Vista Ultimate
- Windows Vista Enterprise
- Windows XP Professional
เปิดใช้งาน Remote Desktop
อันดับแรกเราต้องเปิดใช้งาน Remote Desktop และเลือกผู้ใช้ที่มีสิทธิ์เข้าถึงคอมพิวเตอร์จากระยะไกล กดปุ่ม Windows + R เพื่อเรียกใช้พรอมต์ Run และพิมพ์“ sysdm.cpl”
อีกวิธีในการไปที่เมนูเดียวกันคือการพิมพ์“ พีซีนี้” ในเมนูเริ่มของคุณคลิกขวา“ พีซีนี้” และไปที่คุณสมบัติ:
ไม่ว่าจะด้วยวิธีใดจะทำให้เมนูนี้ปรากฏขึ้นซึ่งคุณต้องคลิกที่แท็บระยะไกล:
เลือก“ อนุญาตการเชื่อมต่อระยะไกลไปยังคอมพิวเตอร์เครื่องนี้” และตัวเลือกด้านล่าง“ อนุญาตการเชื่อมต่อจากคอมพิวเตอร์ที่ใช้เดสก์ท็อประยะไกลที่มีการรับรองความถูกต้องระดับเครือข่ายเท่านั้น”
ไม่จำเป็นต้องมีการรับรองความถูกต้องระดับเครือข่าย แต่การทำเช่นนั้นจะทำให้คอมพิวเตอร์ของคุณปลอดภัยมากขึ้นโดยปกป้องคุณจากการโจมตีของคนในระดับกลาง ระบบที่เก่าแก่ที่สุดเท่าที่ Windows XP สามารถเชื่อมต่อกับโฮสต์ด้วยการรับรองความถูกต้องระดับเครือข่ายดังนั้นจึงไม่มีเหตุผลที่จะไม่ใช้มัน.
คุณอาจได้รับคำเตือนเกี่ยวกับตัวเลือกการใช้พลังงานเมื่อเปิดใช้งาน Remote Desktop:
ถ้าเป็นเช่นนั้นตรวจสอบให้แน่ใจว่าคุณคลิกลิงก์ไปที่ตัวเลือกการใช้พลังงานและกำหนดค่าคอมพิวเตอร์ของคุณเพื่อไม่ให้มันหลับหรือไฮเบอร์เนต ดูบทความของเราเกี่ยวกับการจัดการการตั้งค่าพลังงานหากคุณต้องการความช่วยเหลือ.
จากนั้นคลิก“ เลือกผู้ใช้”
บัญชีใด ๆ ในกลุ่มผู้ดูแลระบบจะสามารถเข้าถึงได้ หากคุณต้องการให้สิทธิ์การเข้าถึงเดสก์ท็อประยะไกลแก่ผู้ใช้รายอื่นเพียงคลิก“ เพิ่ม” และพิมพ์ชื่อผู้ใช้.
คลิก“ ตรวจสอบชื่อ” เพื่อตรวจสอบว่าพิมพ์ชื่อผู้ใช้ถูกต้องแล้วคลิกตกลง คลิกตกลงในหน้าต่างคุณสมบัติระบบเช่นกัน.
การรักษาความปลอดภัย Remote Desktop
ขณะนี้คอมพิวเตอร์ของคุณสามารถเชื่อมต่อได้ผ่านเดสก์ท็อประยะไกล (เฉพาะในเครือข่ายท้องถิ่นของคุณหากคุณอยู่หลังเราเตอร์) แต่มีการตั้งค่าเพิ่มเติมบางอย่างที่เราต้องกำหนดค่าเพื่อให้ได้ความปลอดภัยสูงสุด.
ก่อนอื่นเรามาพูดถึงสิ่งที่ชัดเจน ผู้ใช้ทั้งหมดที่คุณให้สิทธิ์การเข้าถึงเดสก์ท็อประยะไกลจำเป็นต้องมีรหัสผ่านที่รัดกุม มีบ็อตจำนวนมากทำการสแกนอินเทอร์เน็ตอย่างต่อเนื่องสำหรับพีซีที่มีช่องโหว่ที่เรียกใช้ Remote Desktop ดังนั้นอย่าประมาทความสำคัญของรหัสผ่านที่คาดเดายาก ใช้อักขระมากกว่าแปดตัว (แนะนำให้ใช้ 12+ ตัว) พร้อมตัวเลขตัวพิมพ์เล็กและตัวพิมพ์ใหญ่และอักขระพิเศษ.
ไปที่เมนู Start หรือเปิดพรอมต์ Run (Windows Key + R) และพิมพ์“ secpol.msc” เพื่อเปิดเมนู Local Security Policy.
เมื่อนั้นให้ขยาย“ นโยบายท้องถิ่น” แล้วคลิกที่“ การกำหนดสิทธิ์ผู้ใช้”
คลิกสองครั้งที่นโยบาย“ อนุญาตการเข้าสู่ระบบผ่านบริการเดสก์ท็อประยะไกล” ที่ปรากฏทางด้านขวา.
เราขอแนะนำให้ลบทั้งสองกลุ่มที่มีอยู่ในรายการในหน้าต่างนี้ผู้ดูแลระบบและผู้ใช้เดสก์ท็อประยะไกล หลังจากนั้นคลิก“ เพิ่มผู้ใช้หรือกลุ่ม” และเพิ่มผู้ใช้ที่คุณต้องการให้สิทธิ์การเข้าถึงเดสก์ท็อประยะไกลด้วยตนเอง นี่ไม่ใช่ขั้นตอนที่สำคัญ แต่จะช่วยเพิ่มพลังให้คุณในการใช้บัญชี Remote Desktop หากในอนาคตคุณสร้างบัญชีผู้ดูแลระบบใหม่ด้วยเหตุผลบางอย่างและลืมใส่รหัสผ่านที่รัดกุมคุณจะเปิดคอมพิวเตอร์ของคุณเพื่อแฮกเกอร์ทั่วโลกหากคุณไม่เคยใส่ใจที่จะลบกลุ่ม "ผู้ดูแลระบบ" ออกจากหน้าจอนี้.
ปิดหน้าต่าง Local Security Policy และเปิด Local Group Policy Editor โดยพิมพ์“ gpedit.msc” ในพรอมต์เรียกใช้หรือเมนูเริ่ม.
เมื่อตัวแก้ไขนโยบายกลุ่มภายในเครื่องเปิดขึ้นให้ขยายนโยบายคอมพิวเตอร์> เทมเพลตการดูแล> ส่วนประกอบ Windows> บริการเดสก์ท็อประยะไกล> โฮสต์เซสชันเดสก์ท็อประยะไกลจากนั้นคลิกที่ความปลอดภัย.
ดับเบิลคลิกที่การตั้งค่าใด ๆ ในเมนูนี้เพื่อเปลี่ยนค่า สิ่งที่เราแนะนำให้เปลี่ยนคือ:
ตั้งค่าระดับการเข้ารหัสการเชื่อมต่อไคลเอนต์ - ตั้งค่านี้เป็นระดับสูงเพื่อให้เซสชันเดสก์ท็อประยะไกลของคุณปลอดภัยด้วยการเข้ารหัส 128 บิต.
ต้องการการสื่อสาร RPC ที่ปลอดภัย - ตั้งค่านี้เป็นเปิดใช้งาน.
ต้องการการใช้เลเยอร์ความปลอดภัยเฉพาะสำหรับการเชื่อมต่อระยะไกล (RDP) - ตั้งค่านี้เป็น SSL (TLS 1.0).
ต้องการการรับรองความถูกต้องของผู้ใช้สำหรับการเชื่อมต่อระยะไกลโดยใช้การรับรองความถูกต้องระดับเครือข่าย - ตั้งค่านี้เป็นเปิดใช้งาน.
เมื่อทำการเปลี่ยนแปลงเหล่านั้นแล้วคุณสามารถปิดตัวแก้ไขนโยบายกลุ่มภายใน คำแนะนำด้านความปลอดภัยล่าสุดที่เรามีคือการเปลี่ยนพอร์ตเริ่มต้นที่ Remote Desktop รับฟัง นี่เป็นขั้นตอนที่เป็นทางเลือกและถือเป็นการรักษาความปลอดภัยผ่านการปฏิบัติที่คลุมเครือ แต่ความจริงก็คือการเปลี่ยนหมายเลขพอร์ตเริ่มต้นจะลดจำนวนการพยายามเชื่อมต่อที่เป็นอันตรายซึ่งคอมพิวเตอร์ของคุณจะได้รับ รหัสผ่านและการตั้งค่าความปลอดภัยของคุณต้องทำให้เดสก์ท็อประยะไกลปลอดภัยไม่ว่าจะใช้พอร์ตใด แต่เราอาจลดจำนวนการเชื่อมต่อที่พยายามได้ถ้าเราสามารถ.
ความปลอดภัยผ่านความสับสน: การเปลี่ยนพอร์ต RDP เริ่มต้น
ตามค่าเริ่มต้นเดสก์ท็อประยะไกลจะฟังพอร์ต 3389 เลือกหมายเลขห้าหลักที่น้อยกว่า 65535 ที่คุณต้องการใช้สำหรับหมายเลขพอร์ตเดสก์ท็อประยะไกลที่กำหนดเอง เมื่อคำนึงถึงตัวเลขดังกล่าวแล้วให้เปิดตัวแก้ไขรีจิสทรีโดยพิมพ์“ regedit” ลงในพรอมต์เรียกใช้หรือเมนูเริ่ม.
เมื่อ Registry Editor เปิดขึ้นให้ขยาย HKEY_LOCAL_MACHINE> ระบบ> CurrentControlSet> การควบคุม> เซิร์ฟเวอร์เทอร์มินัล> WinStations> RDP-Tcp> จากนั้นดับเบิลคลิกที่“ PortNumber” ในหน้าต่างด้านขวา.
เมื่อคีย์รีจิสทรีของ PortNumber เปิดขึ้นให้เลือก“ ทศนิยม” ทางด้านขวาของหน้าต่างจากนั้นพิมพ์หมายเลขห้าหลักของคุณภายใต้“ ข้อมูลค่า” ทางด้านซ้าย.
คลิกตกลงแล้วปิดตัวแก้ไขรีจิสทรี.
เนื่องจากเราได้เปลี่ยนพอร์ตเริ่มต้นที่เดสก์ท็อประยะไกลใช้เราจะต้องกำหนดค่า Windows Firewall ให้ยอมรับการเชื่อมต่อขาเข้าบนพอร์ตนั้น ไปที่หน้าจอเริ่มค้นหา“ Windows Firewall” แล้วคลิก.
เมื่อไฟร์วอลล์ Windows เปิดขึ้นให้คลิก“ การตั้งค่าขั้นสูง” ทางด้านซ้ายของหน้าต่าง จากนั้นคลิกขวาที่“ กฎขาเข้า” และเลือก“ กฎใหม่”
ตัวช่วยสร้างกฎขาเข้าใหม่จะปรากฏขึ้นเลือกพอร์ตและคลิกถัดไป ในหน้าจอถัดไปตรวจสอบให้แน่ใจว่าได้เลือก TCP แล้วป้อนหมายเลขพอร์ตที่คุณเลือกไว้ก่อนหน้านี้แล้วคลิกถัดไป คลิกสองครั้งถัดไปเนื่องจากค่าเริ่มต้นในหน้าคู่ถัดไปจะถูกปรับ ในหน้าสุดท้ายให้เลือกชื่อสำหรับกฎใหม่นี้เช่น "พอร์ต RDP แบบกำหนดเอง" จากนั้นคลิกเสร็จสิ้น.
ขั้นตอนสุดท้าย
ตอนนี้คอมพิวเตอร์ของคุณควรสามารถเข้าถึงได้บนเครือข่ายท้องถิ่นของคุณเพียงระบุที่อยู่ IP ของเครื่องหรือชื่อของมันตามด้วยเครื่องหมายโคลอนและหมายเลขพอร์ตในทั้งสองกรณีเช่น:
หากต้องการเข้าถึงคอมพิวเตอร์ของคุณจากนอกเครือข่ายคุณจะต้องส่งต่อพอร์ตบนเราเตอร์ของคุณ หลังจากนั้นพีซีของคุณควรเข้าถึงได้จากระยะไกลจากอุปกรณ์ใด ๆ ที่มีไคลเอ็นต์เดสก์ท็อประยะไกล.
หากคุณสงสัยว่าคุณสามารถติดตามว่าใครกำลังเข้าสู่พีซีของคุณ (และจากที่ใด) คุณสามารถเปิดตัวแสดงเหตุการณ์เพื่อดู.
เมื่อคุณเปิด Event Viewer แล้วให้ขยายแอปพลิเคชันและบริการบันทึก> Microsoft> Windows> TerminalServices-LocalSessionManger จากนั้นคลิก Operational.
คลิกที่เหตุการณ์ใด ๆ ในบานหน้าต่างด้านขวาเพื่อดูข้อมูลการเข้าสู่ระบบ.