Cách bật và bảo mật máy tính từ xa trên Windows

Mặc dù có nhiều lựa chọn thay thế, Remote Desktop của Microsoft là một lựa chọn hoàn toàn khả thi để truy cập các máy tính khác, nhưng nó phải được bảo mật đúng cách. Sau khi áp dụng các biện pháp bảo mật được đề xuất, Remote Desktop là một công cụ mạnh mẽ để các chuyên viên máy tính sử dụng và cho phép bạn tránh cài đặt ứng dụng của bên thứ ba cho loại chức năng này.

Hướng dẫn này và các ảnh chụp màn hình đi kèm được tạo cho Windows 8.1 hoặc Windows 10. Tuy nhiên, bạn sẽ có thể làm theo hướng dẫn này miễn là bạn đang sử dụng một trong những phiên bản Windows này:

• Windows 10 chuyên nghiệp
• Windows 8.1 Pro
• Doanh nghiệp Windows 8.1
• Doanh nghiệp Windows 8
• Windows 8 Pro
• Windows 7 chuyên nghiệp
• Doanh nghiệp Windows 7
• Windows 7 Ultimate
• Kinh doanh Windows Vista
• Windows Vista Cuối cùng
• Doanh nghiệp Windows Vista
• Windows XP chuyên nghiệp

Kích hoạt Remote Desktop

Trước tiên, chúng ta cần kích hoạt Remote Desktop và chọn người dùng nào có quyền truy cập từ xa vào máy tính. Nhấn phím Windows + R để hiển thị dấu nhắc Run và nhập vào sysdm.cpl.

Một cách khác để vào cùng một menu là nhập vào PC This PC trong menu Bắt đầu của bạn, nhấp chuột phải vào PC This PC và đi đến Thuộc tính:

Dù bằng cách nào cũng sẽ hiển thị menu này, nơi bạn cần nhấp vào tab Remote:

Chọn vùng Cho phép kết nối từ xa với máy tính này và tùy chọn bên dưới máy tính, Chỉ cho phép kết nối từ máy tính chạy Remote Desktop với Xác thực cấp độ mạng.

Không nhất thiết phải yêu cầu Xác thực Cấp độ Mạng, nhưng làm như vậy sẽ giúp máy tính của bạn an toàn hơn bằng cách bảo vệ bạn khỏi các cuộc tấn công của Người trung gian. Các hệ thống thậm chí cũ như Windows XP có thể kết nối với máy chủ với Xác thực cấp độ mạng, vì vậy không có lý do gì để không sử dụng nó.

Bạn có thể nhận được cảnh báo về các tùy chọn nguồn điện của mình khi bật Remote Desktop:

Nếu vậy, hãy đảm bảo bạn nhấp vào liên kết đến Tùy chọn nguồn và định cấu hình máy tính của bạn để nó không ngủ hoặc ngủ đông. Xem bài viết của chúng tôi về quản lý cài đặt nguồn điện nếu bạn cần trợ giúp.

Tiếp theo, nhấp vào Chọn người dùng.

Mọi tài khoản trong nhóm Quản trị viên sẽ có quyền truy cập. Nếu bạn cần cấp quyền truy cập Remote Desktop cho bất kỳ người dùng nào khác, chỉ cần nhấp vào Thêm Add Add và nhập tên người dùng.

Nhấp vào Kiểm tra tên Tên để xác minh tên người dùng được nhập chính xác và sau đó nhấp vào OK. Nhấn OK trên cửa sổ System Properties.

Bảo vệ máy tính từ xa

Máy tính của bạn hiện có thể kết nối qua Remote Desktop (chỉ trên mạng cục bộ của bạn nếu bạn đứng sau bộ định tuyến), nhưng có một số cài đặt khác chúng tôi cần định cấu hình để đạt được bảo mật tối đa.

Đầu tiên, hãy giải quyết vấn đề rõ ràng. Tất cả người dùng mà bạn đã cấp quyền truy cập Remote Desktop cần phải có mật khẩu mạnh. Có rất nhiều bot liên tục quét internet để tìm các PC dễ bị tổn thương khi chạy Remote Desktop, vì vậy đừng đánh giá thấp tầm quan trọng của mật khẩu mạnh. Sử dụng nhiều hơn tám ký tự (khuyến nghị 12+) với các số, chữ thường và chữ hoa và các ký tự đặc biệt.

Chuyển đến menu Bắt đầu hoặc mở dấu nhắc Chạy (Khóa Windows + R) và nhập vào Sec sec.m.msc, để mở menu Chính sách bảo mật cục bộ.

Khi đó, hãy mở rộng Chính sách địa phương của Chính phủ và nhấp vào Chuyển nhượng quyền người dùng.

Nhấp đúp chuột vào Đăng nhập Cho phép đăng nhập thông qua Chính sách Dịch vụ Máy tính Từ xa được liệt kê ở bên phải.

Chúng tôi khuyên bạn nên xóa cả hai nhóm đã được liệt kê trong cửa sổ này, Quản trị viên và Người dùng máy tính từ xa. Sau đó, nhấp vào Thêm Thêm người dùng hoặc Nhóm nhóm và thêm thủ công những người dùng bạn muốn cấp quyền truy cập Máy tính từ xa vào. Đây không phải là một bước thiết yếu, nhưng nó cung cấp cho bạn nhiều sức mạnh hơn đối với các tài khoản được sử dụng Remote Desktop. Nếu trong tương lai, bạn tạo một tài khoản Quản trị viên mới vì lý do nào đó và quên đặt mật khẩu mạnh cho tài khoản đó, bạn sẽ mở máy tính của mình cho các tin tặc trên khắp thế giới nếu bạn không bao giờ bận tâm xóa nhóm Quản trị viên trên mạng khỏi màn hình này.

Đóng cửa sổ Chính sách bảo mật cục bộ và mở Trình chỉnh sửa chính sách nhóm cục bộ bằng cách nhập vào nút gpedit.msc 'vào một dấu nhắc Run hoặc menu Bắt đầu.

Khi Trình chỉnh sửa chính sách nhóm cục bộ mở, mở rộng Chính sách máy tính> Mẫu quản trị> Cấu phần Windows> Dịch vụ máy tính từ xa> Máy chủ phiên máy tính từ xa, sau đó bấm vào Bảo mật.

Nhấp đúp vào bất kỳ cài đặt nào trong menu này để thay đổi giá trị của chúng. Những cái chúng tôi khuyên bạn nên thay đổi là:

Đặt mức mã hóa kết nối máy khách - Đặt mức này thành Cấp cao để các phiên Remote Desktop của bạn được bảo mật bằng mã hóa 128 bit.

Yêu cầu giao tiếp RPC an toàn - Đặt tùy chọn này thành Đã bật.

Yêu cầu sử dụng lớp bảo mật cụ thể cho các kết nối từ xa (RDP) - Đặt lớp này thành SSL (TLS 1.0).

Yêu cầu xác thực người dùng cho các kết nối từ xa bằng cách sử dụng Xác thực cấp mạng - Đặt tùy chọn này thành Đã bật.

Khi những thay đổi đó đã được thực hiện, bạn có thể đóng Trình chỉnh sửa chính sách nhóm cục bộ. Đề xuất bảo mật cuối cùng mà chúng tôi có là thay đổi cổng mặc định mà Remote Desktop lắng nghe. Đây là một bước tùy chọn và được coi là bảo mật thông qua thực tiễn che khuất, nhưng thực tế là việc thay đổi số cổng mặc định sẽ giảm đáng kể số lần thử kết nối độc hại mà máy tính của bạn sẽ nhận được. Mật khẩu và cài đặt bảo mật của bạn cần làm cho Remote Desktop trở nên bất khả xâm phạm cho dù nó đang nghe cổng nào, nhưng chúng tôi cũng có thể giảm số lần thử kết nối nếu có thể.

Bảo mật thông qua che khuất: Thay đổi cổng RDP mặc định

Theo mặc định, Remote Desktop lắng nghe trên cổng 3389. Chọn một số có năm chữ số nhỏ hơn 65535 mà bạn muốn sử dụng cho số cổng Remote Desktop tùy chỉnh của mình. Với số đó, hãy mở Trình chỉnh sửa sổ đăng ký bằng cách nhập vào reg reg regi vào một dấu nhắc chạy hoặc menu Bắt đầu.

Khi Trình chỉnh sửa sổ đăng ký mở ra, hãy mở rộng HKEY_LOCAL_MACHINE> HỆ THỐNG> CurrentControlset> Điều khiển> Máy chủ đầu cuối> WinStations> RDP-Tcp> sau đó nhấp đúp vào trên PortNumber tựa trong cửa sổ bên phải.

Khi mở khóa sổ đăng ký PortNumber, hãy chọn Nhóm thập phân số thập phân ở phía bên phải của cửa sổ và sau đó nhập số năm chữ số của bạn dưới dữ liệu Giá trị dữ liệu ở bên trái.

Bấm OK và sau đó đóng Registry Editor.

Vì chúng tôi đã thay đổi cổng mặc định mà Remote Desktop sử dụng, chúng tôi sẽ cần định cấu hình Tường lửa Windows để chấp nhận các kết nối đến trên cổng đó. Đi đến màn hình Bắt đầu, tìm kiếm Tường lửa Windows Windows và nhấp vào nó.

Khi Tường lửa Windows mở, hãy nhấp vào Cài đặt nâng cao của mối quan hệ ở phía bên trái của cửa sổ. Sau đó nhấp chuột phải vào Quy tắc trong nước của Hồi giáo và chọn Quy tắc mới.

Trình hướng dẫn quy tắc trong nước mới của New York sẽ bật lên, chọn Cổng và nhấp vào tiếp theo. Trên màn hình tiếp theo, đảm bảo TCP được chọn và sau đó nhập số cổng bạn đã chọn trước đó, rồi bấm tiếp theo. Nhấp vào hai lần tiếp theo vì các giá trị mặc định trên các trang tiếp theo sẽ ổn. Trên trang cuối cùng, chọn tên cho quy tắc mới này, chẳng hạn như cổng RDP tùy chỉnh của Vương quốc, sau đó nhấp vào kết thúc.

Bước cuối cùng

Bây giờ máy tính của bạn có thể truy cập được trên mạng cục bộ của bạn, chỉ cần chỉ định địa chỉ IP của máy hoặc tên của nó, theo sau là dấu hai chấm và số cổng trong cả hai trường hợp, như vậy:

Để truy cập máy tính của bạn từ bên ngoài mạng của bạn, nhiều khả năng bạn sẽ cần chuyển tiếp cổng trên bộ định tuyến của mình. Sau đó, PC của bạn sẽ có thể truy cập từ xa từ bất kỳ thiết bị nào có máy khách Remote Desktop.

Nếu bạn đang tự hỏi làm thế nào bạn có thể theo dõi ai đang đăng nhập vào PC của bạn (và từ đâu), bạn có thể mở Trình xem sự kiện để xem.

Khi bạn đã mở Trình xem sự kiện, hãy mở rộng Nhật ký ứng dụng và dịch vụ> Microsoft> Windows> TerminalService-LocalSessionManger, sau đó bấm vào hoạt động.

Nhấp vào bất kỳ sự kiện nào trong khung bên phải để xem thông tin đăng nhập.