Как открыть порт 3389 windows 10 для rdp - Windowsa.top - ваш верный помощник с OS Windows

Remote Desktop Protocol (RDP) is a proprietary protocol developed by Microsoft to remotely connect to a Windows system using a graphical user interface. RDP is built into Windows by default. RDP listens on TCP port 3389 and udp port 3389. Previously, the RDP software was called Terminal Services client but now it’s called Remote Desktop Connection.

Windows comes with a remote desktop client that can be used to access the complete Windows Desktop environment remotely. It’s very useful for people who use multiple computers for work. One of our readers has asked about the RDP port and how to tweak it for security.

You can open the Remote Desktop Connection client by going to Run –> mstsc.

Simply put, the default port for using the Remote Desktop Protocol is 3389. This port should be open through Windows Firewall to make it RDP accessible within the local area network. If you want to make it accessible over the Internet (which is not safe), the RDP port should be forwarded through the main Internet router to work properly.

Let’s talk about how to open port 3389 in Windows Firewall and the router.

Table of Contents

Allow RDP port through Windows Firewall

Go to Windows Settings (Windows key + i)
Go to Update & Security –> Windows Security and click on Firewall & network protection from the right-hand listing. This will open a new window.

Картинка с сайта: www.itechtics.com

Windows Firewall and network protection
Click the link Allow an app through firewall

Картинка с сайта: www.itechtics.com

Allow an app through Firewall
Click on Change settings

Картинка с сайта: www.itechtics.com

Firewall change settings
Search for Remote Desktop from the list. It should be there by default. If it is not there, you should click on Allow another app button and navigate to the following:
C:\Windows\System32\mstsc.exe

Картинка с сайта: www.itechtics.com

Allow Remote Desktop through firewall private or public
If you want to allow Remote Desktop on the local network only, check the checkbox labeled Private. If you want it publicly available, you should check the Public checkbox too.
Press OK for the changes to take effect.

Allow RDP port through Router (using NAT Translation)

If you want to use Windows Remote Desktop over the Internet, you will need to do two steps:

Allow RDP port through public network from Windows Firewall (or any other firewall) as we did in the previous step.
Allow RDP port through the router which is giving you internet access and then translate the incoming port 3389 to the computer of our choice.

Please note that if you are connected to the Internet using a public IP, you don’t need the second step but normally people are connected to the Internet using routers, both home, and corporates.

The configuration for opening a port is different for each router. Since I’m using Kerio Control for my office network, I will walk you through the steps using Kerio Control. The terminology should be similar for most routers so it’ll be easy for you to follow the same steps for your specific router.

Open your router’s configuration page. Normally it should be the same as your default gateway. For me, it is http://192.168.1.1
After logging in, go to Traffic Rules –> Add a new rule

Картинка с сайта: www.itechtics.com

Kerio create a new traffic rule
Name your rules and keep them generic. Keep the action to Allow and press the Next button.
Keep the source to Any. That means users will be able to connect to this specific port from anywhere.

Картинка с сайта: www.itechtics.com

Kerio Control source rule
Add Firewall to the Destination. You can keep it unchanged if you want.
Under Services, select Port and specify 3389.

Картинка с сайта: www.itechtics.com

Kerio Control add port
Under NAT Translation, enable destination NAT, specify the IP address of your computer and also specify the port translation to 3389.

Картинка с сайта: www.itechtics.com

Kerio Control enable destination NAT

Change the default port of RDP

If you are opening RDP over the Internet, keeping the RDP port to 3389 is a security threat. It is recommended that you change the default port from 3389 to something above 10000. I, normally, keep it between 30000 and 40000 which is relatively safe as the port scanners will start scanning from port 1.

If you want to change the RDP port, follow the steps below:

Go to Run –> regedit to open the Registry Editor.
Locate the following key:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\
In the right-hand pane, double-click on PortNumber
Change the value to Decimal and specify the port number between 1001 to 254535.

Картинка с сайта: www.itechtics.com

Steps to change default RDP port number

Check if port 3389 is open and listening

There are times when you successfully open the RDP port but you’re unable to connect to the computer remotely. In that case, make sure that you are able to access port 3389 (or any other port if you have changed it) remotely. Follow the steps below to check if port 3389 is open and listening.

Open PowerShell by going to Run –> powershell
Run the following command
tnc 192.168.1.2 -port 3389

Replace the IP address 192.168.1.2 with your computer’s IP. Replace it with your router’s public IP if you have allowed public access to your computer through the router. The value of TcpTestSucceeded should be True.

Check if a port is open and listening

If you want to check the port using the command prompt, you can follow this guide.

I hope this guide is useful for you and now you can control your remote desktop the way you want. If you have any questions or if I have left any confusion in this article, let me know through the comments below. Your comments are highly appreciated!

Источник

Remote Desktop Protocol (RDP) is a way to remotely access a Windows system using a graphical user interface. It is useful for people who use multiple computers for work or want to access their PC from anywhere.

However, to use RDP, you need to open port 3389 on your firewall and router. This article will explain how to do that and what are the security risks involved.

Table of Contents

What is Port 3389 and Why Do You Need to Open It?
How to Open Port 3389 on Windows Firewall
How to Open Port 3389 on Router
How to Change the Default Port of RDP
How to Check if Port 3389 is Open and Listening
Conclusion

What is Port 3389 and Why Do You Need to Open It?

Port 3389 is the default port used by RDP to communicate between the client and the server. It is a TCP port, which means it uses a reliable and ordered data transmission method. It also uses a UDP port, which is faster and more efficient, but less reliable and ordered. UDP port 3389 enables acceleration since RDP 8.0.

To use RDP, you need to open port 3389 on your Windows firewall and your router. This will allow incoming and outgoing traffic on that port and enable you to connect to your PC remotely. However, opening port 3389 also exposes your PC to potential attacks from hackers who can scan for open ports and try to break into your system.

How to Open Port 3389 on Windows Firewall

To open port 3389 on Windows firewall, follow these steps:

Go to Windows Settings and click on Update & Security.
Click on Windows Security and then Firewall & network protection.
Click on Allow an app through firewall.
Click on Change settings and search for Remote Desktop from the list.
Check the box for Private if you want to allow RDP on the local network only, or Public if you want to allow it over the Internet as well.
Click OK to save the changes.

How to Open Port 3389 on Windows Firewall

How to Open Port 3389 on Router

To open port 3389 on your router, you need to access its web interface and configure port forwarding. Port forwarding is a way to redirect incoming traffic from a specific port to a specific device on your network. The steps may vary depending on your router model, but here is a general guide:

Find out your router’s IP address and your PC’s local IP address. You can do this by opening Command Prompt and typing ipconfig. Your router’s IP address is usually the Default Gateway, and your PC’s IP address is the IPv4 Address.
Open your web browser and enter your router’s IP address in the address bar. You may need to enter a username and password to log in to your router. If you don’t know them, check your router’s manual or look for a sticker on the back of your router.
Look for a section called Port Forwarding, Port Triggering, Virtual Server, or something similar. You may need to navigate through different menus to find it.
Create a new port forwarding rule and enter the following information:
- Service Name: RDP or Remote Desktop
- Protocol: TCP and UDP
- External Port: 3389
- Internal Port: 3389
- Internal IP Address: Your PC’s local IP address
Save the rule and restart your router if needed.

How to Change the Default Port of RDP

If you want to increase the security of your RDP connection, you can change the default port of RDP from 3389 to something else. This will make it harder for hackers to find your open port and attempt to access your PC. However, you will also need to update your firewall and router settings accordingly, and specify the new port when connecting to your PC remotely. To change the default port of RDP, follow these steps:

Open Registry Editor by pressing Windows key + R and typing regedit.
Navigate to the following key: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
$Navigate to the following key: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp$

Картинка с сайта: pupuweb.com
Double-click on the PortNumber value and change the Base to Decimal.
Enter a new port number between 1024 and 65535 and click OK.

Картинка с сайта: pupuweb.com
Close Registry Editor and restart your PC.

How to Check if Port 3389 is Open and Listening

To check if port 3389 is open and listening on your PC, you can use a tool called netstat. Netstat is a command-line utility that displays network connections and statistics. To use netstat, follow these steps:

Open Command Prompt as administrator by pressing Windows key + X and selecting Command Prompt (Admin).
Type netstat -a -n -o and press Enter.
Look for a line that has 0.0.0.0:3389 or [::]:3389 in the Local Address column and LISTENING in the State column. This means that port 3389 is open and listening for incoming connections.
Note the PID (Process ID) of the process that is listening on port 3389. You can use this to identify the program that is using the port.
To find out the name of the program that is using the port, open Task Manager by pressing Ctrl + Shift + Esc and go to the Details tab.
Look for the process that has the same PID as the one you noted from netstat and check its Name and Description columns. It should be svchost.exe and Remote Desktop Services, respectively.

Conclusion

RDP is a convenient way to remotely access your PC, but it also requires opening port 3389 on your firewall and router. This can expose your PC to potential attacks, so you should take some precautions to secure your RDP connection.

You can change the default port of RDP, use a strong password, enable encryption, and limit the access to specific users and devices. You can also use a VPN or a third-party service to access your PC remotely without opening port 3389.

Источник

RDP (Remote Desktop Protocol – протокол удалённого рабочего стола) – пропри��тарный протокол прикладного уровня, позаимствованный Microsoft из купленной у PictureTel (ныне известной как Polycom) телекоммуникационной программы Liveshare Plus (названной впоследствии NetMeeting), использующийся для обеспечения удалённой работы пользователя с сервером. Клиенты существуют практически для всех версий Windows (включая Windows CE, Phone и Mobile), Linux, FreeBSD, MacOS, iOS, Android. По умолчанию для подключения используется порт TCP 3389.

Например, мне был нужен доступ к Windows-машине, когда я использовал MacOS как основную систему. Поскольку на этой операционной системе не было необходимых программ для выполнения лабораторных работ, а виртуальная машина не всегда корректно отображала их, было принято решение настроить RDP.

Конечно, можно использовать и сторонние программы для удалённого доступа, но они требуют подтверждения на стороне удалённого компьютера, что не всегда удобно. Поэтому такие программы больше подходят для удалённой помощи, но не для повседневной работы.

Один из важных моментов, связанных с настройкой и использованием удалённого рабочего стола — это необходимость в статическом IP-адресе на удалённом компьютере. Большинство провайдеров предоставляют динамические IP-адреса, которые могут меняться со временем. Статические IP-адреса, как правило, можно получить за дополнительную плату.

Например, в начале 2022 года у провайдера DOM.RU стоимость статического IP-адреса составляла 100 рублей. В моем случае такого IP-адреса нет, поэтому при каждом его изменении необходимо вручную вносить изменения в настройках подключения с клиента.

Теперь перейдём к настройке удалённого компьютера, к которому будем подключаться, с операционной системой Windows. Для этого нужно открыть «Панель управления» (можно воспользоваться поиском). В панели управления выберем вкладку «Система и безопасность», а затем во вкладке «Система» выберем «Настройка удаленного доступа».

После этого откроется окно, в котором нужно будет «Разрешить удаленные подключения к этому компьютеру».

Нажмём на кнопку «Выбрать пользователей..», перейдём в «Учетные записи пользователей».

Для удобства, создадим новую учётную запись, которая будет использоваться для удалённого подключения.

Для этого перейдём в раздел «Учетные записи пользователей», выберем «Управление другой учетной записью» и добавим нового пользователя. Далее необходимо будет указать имя пользователя и пароль, а также задать контрольные вопросы, для восстановления доступа.

Теперь в окне, где был выбор пользователей удалённого рабочего стола, нажмем кнопку «Добавить», и введем имя нового созданного пользователя.

После этого, необходимо нажать кнопку «Проверить имена». Если все правильно, то к имени пользователя добавится имя компьютера.

Теперь в группу «Пользователи удаленного рабочего стола» будет добавлен пользователь с обычной учётной записью RemoteAccount. Нажмем кнопку «ОК» для применения изменений.

Далее, в командной строке введем команду «ipconfig /all», чтобы узнать MAC-адрес и IP-адрес компьютера в локальной сети. Эта информация понадобится для настройки DHCP-сервера на маршрутизаторе с целью резервирования адреса.

На этом настройка удалённого компьютера с операционной системой Windows завершена.

Перейдём к настройке маршрутизатора. Для этого в браузере введём адрес «192.168.0.1» или «192.168.1.1». Откроется страница авторизации в панели управления.

По умолчанию на большинстве устройств используются стандартные сочетания для входа: «admin/admin» или «admin/password». Также данные для входа могут быть указаны на наклейке, расположенной на нижней части роутера.

В других моделях маршрутизаторов процедура настройки будет аналогичной, но интерфейс и расположение пунктов меню могут отличаться.

В первую очередь добавим постоянный локальный IP-адрес, привязав к нему MAC-адрес (физический адрес) компьютера, к которому будет осуществляться доступ. В нашем случае данная настройка находится во вкладке «Дополнительные настройки» -> «Сеть» -> «DHCP-сервер».

После этого, есть два пути – Настройка RDP с VPN или же Настройка RDP с пробросом порта (небезопасно).

Надёжный (рекомендуемый) способ.

Автор после прочтения комментариев

Перейдём во вкладку «Дополнительные настройки» -> «VPN-сервер» -> «OpenVPN». Создадим сертификат OpenVPN, который необходим для работы.

После этого, необходимо запустить сервер и настроить параметры сервиса (оставим всё по умолчанию).

Теперь нажмём кнопку «Экспорт», чтобы скачать полученную конфигурацию, которую будем использовать на клиенте для подключения.

После этого, необходимо установить клиент OpenVPN для своей системы. В моём случае это MacOS. После скачивания, будет предложен выбор версии (для Intel или ARM-процессор).

После установки, будет следующий интерфейс, в который нужно загрузить (перетащить) ранее сгенерированную конфигурацию для подключения.

После загрузки отобразится IP-адрес, к которому подключаемся. Нажмём кнопку «Connect» для подключения.

После успешного подключения, будет отображаться скорость подключения, продолжительность сеанса и количество отправляемых пакетов.

Теперь в RDP-клиенте (Microsoft Remote Desktop), после нажатия на кнопку «Add PC» появится окно, в котором необходимо ввести локальный IP-адрес удалённого компьютера.

После этого, необходимо ввести учётные данные пользователя, которого создавали ранее.

Внимание, проброс портов в сеть небезопасен! То что написано ниже — изначальный вариант настройки.

Автор после прочтения комментариев

Теперь, перейдём к пробросу портов. Во вкладке «NAT переадресация», выберем «Перенаправление порта». Чтобы открыть доступ к удалённому рабочему столу, нужно пробросить порт TCP 3389. Также, стоит учитывать, что, открывая стандартный порт службы всему миру, можно получить регулярные атаки с подбором пароля к учётной записи. Для минимума безопасности изменим внешний порт, по которому будем подключаться. Возьмем один из свободных, которые есть в списке портов, например 49049. Зададим имя сервиса и адрес устройства, которому будет перенаправлен порт.

Теперь при обращении к внешнему IP-адресу через порт 49049, пользователь будет попадать именно на указанный удалённый компьютер.

Перейдём к настройке подключения к удалённому рабочему столу. Рассмотрим две системы, MacOS и Windows, при необходимости можно будет подключаться и через другие, процесс настройки не особо отличается.

Для начала, из App Store скачаем приложение Microsoft Remote Desktop. Для MacOS компания Microsoft выпускает официальный RDP-клиент, который стабильно работает при подключении к любым версиям ОС Windows.

Предварительно, с помощью любого сервиса (будь то «Яндекс.Интернетометр» или 2ip.ru) узнаем внешний IP-адрес, к которому будем подключаться.

После нажатия на кнопку «Add PC» появится окно, в котором необходимо ввести IP-адрес удалённого компьютера. Также, через двоеточие, необходимо указать внешний порт, по которому будем подключаться (49049). Остальные настройки можно оставить без изменений.

Далее, в появившемся окне, необходимо ввести учётные данные, то есть логин и пароль пользователя на удалённом компьютере, через которого будем осуществлять подключение. Введем данные пользователя, который был создан ранее.

При подключении к серверу, появится информация о недоверенном сертификате безопасности. Причина этого заключается в том, что сервер шифрует передаваемые данные SSL-сертификатом, который он сгенерировал сам в автоматическом режиме. Данное уведомление не является свидетельством о проблеме с безопасностью, а только предупреждает о том, что соединение зашифровано с использованием сертификата, который не был выдан авторизованным центром. После этого, появится окно с удалённым рабочим стол, на котором можно работать. Стоит добавить, что перенос файлов можно делать прямо через буфер обмена, скопировав конкретный файл на своем рабочем столе с компьютера и вставив на удалённый.

Настроим подключение для Windows. Например, если нужно использовать ресурсы мощного компа, который стоит дома, через слабенький ноут. Сначала, через поиск откроем «Подключение к удаленному рабочему столу».

Далее, аналогично Mac OS, необходимо ввести адрес удалённого компьютера, к которому будем подключаться. В параметрах можно сразу добавить имя и пароль учётной записи, а можно задать непосредственно при подключении.

В итоге, мы настроили удалённый рабочий стол, который можно использовать для удалённой работы с Windows-машиной, в связи с чем, выполнение лабораторных работ стало удобнее и привычнее.
Если вы нашли неточности/ошибки или просто хотите дополнить статью своим мнением — то жду в комментариях.

P.S. Спасибо людям из комментариев, понял, что порт RDP нельзя в открытую выставлять в сеть, нужно настраивать VPN. Поэтому, статья была дополнена.

Источник

Время на прочтение10 мин

Количество просмотров151K

Как известно, протокол удаленного рабочего стола (Remote Desktop Protocol или RDP) позволяет удаленно подключаться к компьютерам под управлением Windows и доступен любому пользователю Windows, если у него не версия Home, где есть только клиент RDP, но не хост. Это удобное, эффективное и практичное средство для удаленного доступа для целей администрирования или повседневной работы. В последнее время оно приглянулось майнерам, которые используют RDP для удаленного доступа к своим фермам. Поддержка RDP включена в ОС Windows, начиная еще с NT 4.0 и XP, однако далеко не все знают, как ею пользоваться. Между тем можно открывать удаленный рабочий стол Microsoft с компьютеров под Windows, Mac OS X, а также с мобильных устройств с ОС Android или с iPhone и iPad.

Если должным образом разбираться в настройках, то RDP будет хорошим средством удаленного доступа. Он дает возможность не только видеть удаленный рабочий стол, но и пользоваться ресурсами удаленного компьютера, подключать к нему локальные диски или периферийные устройства. При этом компьютер должен иметь внешний IP, (статический или динамический), или должна быть возможность «пробросить» порт с маршрутизатора с внешним IP-адресом.

Серверы RDP нередко применяют для совместной работы в системе 1С, или на них разворачивают рабочие места пользователей, позволяя им подключаться к своему рабочему месту удаленно. Клиент RDP позволяет дает возможность работать с текстовыми и графическими приложениями, удаленно получать какие-то данные с домашнего ПК. Для этого на роутере нужно пробросить порт 3389, чтобы через NAT получить доступ к домашней сети. Тоже относится к настройке RDP-сервера в организации.

RDP многие считают небезопасным способом удаленного доступа по сравнению с использованием специальных программ, таких как RAdmin, TeamViewer, VNC и пр. Другой предрассудок – большой трафик RDP. Однако на сегодня RDP не менее безопасен, чем любое другое решение для удаленного доступа (к вопросу безопасности мы еще вернемся), а с помощью настроек можно добиться высокой скорости реакции и небольшой потребности в полосе пропускания.

Как защитить RDP и настроить его производительность

Шифрование и безопасность

Нужно открыть gpedit.msc, в «Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Безопасность» задать параметр «Требовать использования специального уровня безопасности для удаленных подключений по методу RDP» и в «Уровень безопасности» выбрать «SSL TLS». В «Установить уровень шифрования для клиентских подключений» выберите «Высокий». Чтобы включить использование FIPS 140-1, нужно зайти в «Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности» и выбрать «Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания». Параметр «Конфигурация компьютера — Параметры Windows — Параметры безопасности — Локальные политики — Параметры безопасности» параметр «Учетные записи: разрешать использование пустых паролей только при консольном входе» должен быть включен. Проверьте список пользователей, которые могут подключаться по RDP.

Оптимизация

Откройте «Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Среда удаленных сеансов». В «Наибольшая глубина цвета» выберите 16 бит, этого достаточно. Снимите флажок «Принудительная отмена фонового рисунка удаленного рабочего стола». В «Задание алгоритма сжатия RDP» установите «Оптимизация использования полосы пропускания. В «Оптимизировать визуальные эффекты для сеансов служб удаленных рабочих столов» установите значение «Текст». Отключите «Сглаживание шрифтов».

Базовая настройка выполнена. Как подключиться к удаленному рабочему столу?

Подключение к удаленному рабочему столу

Для подключения по RDP необходимо, на удаленном компьютере была учетная запись с паролем, в системе должны быть разрешены удаленные подключения, а чтобы не менять данные доступа при постоянно меняющемся динамическом IP-адресе, в настройках сети можно присвоить статический IP-адрес. Удаленный доступ возможен только на компьютерах с Windows Pro, Enterprise или Ultimate.

Для удаленного подключения к компьютеру нужно разрешить подключение в «Свойствах Системы» и задать пароль для текущего пользователя, либо создать для RDP нового пользователя. Пользователи обычных аккаунтов не имеют права самостоятельно предоставлять компьютер для удаленного управления. Такое право им может дать администратор. Препятствием использования протокола RDP может стать его блокировка антивирусами. В таком случае RDP нужно разрешить в настройках антивирусных программ.

Стоит отметить особенность некоторых серверных ОС: если один и тот же пользователь попытается зайти на сервер локально и удаленно, то локальный сеанс закроется и на том же месте откроется удаленный. И наоборот, при локальном входе закроется удаленный сеанс. Если же зайти локально под одним пользователем, а удаленно — под другим, то система завершит локальный сеанс.

Подключение по протоколу RDP осуществляется между компьютерами, находящимися в одной локальной сети, или по интернету, но для этого потребуются дополнительные действия – проброс порта 3389 на роутере, либо соединение с удаленным компьютером по VPN.

Чтобы подключиться к удаленному рабочему столу в Windows 10, можно разрешить удаленное подключение в «Параметры — Система — Удаленный рабочий стол» и указать пользователей, которым нужно предоставить доступ, либо создать отдельного пользователя для подключения. По умолчанию доступ имеют текущий пользователь и администратор. На удаленной системе запустите утилиту для подключения.

Нажмите Win+R, введите MSTSC и нажмите Enter. В окне введите IP-адрес или имя компьютера, выберите «Подключить», введите имя пользователя и пароль. Появится экран удаленного компьютера.

При подключении к удаленному рабочему столу через командную строку (MSTSC) можно задать дополнительные параметры RDP:

Параметр	Значение
/v:<сервер[: порт]>	Удаленный компьютер, к которому выполняется подключение.
/admin	Подключение к сеансу для администрирования сервера.
/edit	Редактирование RDP-файла.
/f	Запуск удаленного рабочего стола на полном экране.
/w:<ширина>	Ширина окна удаленного рабочего стола.
/h:<высота>	Высота окна удаленного рабочего стола.
/public	Запуск удаленного рабочего стола в общем режиме.
/span	Сопоставление ширины и высоты удаленного рабочего стола с локальным виртуальным рабочим столом и развертывание на несколько мониторов.
/multimon	Настраивает размещение мониторов сеанса RDP в соответствии с текущей конфигурацией на стороне клиента.
/migrate	Миграция файлов подключения прежних версий в новые RDP-файлы.

Для Mac OS компания Microsoft выпустила официальный RDP-клиент, который стабильно работает при подключении к любым версиям ОС Windows. В Mac OS X для подключения к компьютеру Windows нужно скачать из App Store приложение Microsoft Remote Desktop. В нем кнопкой «Плюс» можно добавить удаленный компьютер: введите его IP-адрес, имя пользователя и пароль. Двойной щелчок на имени удаленного рабочего стола в списке для подключения откроет рабочий стол Windows.

На смартфонах и планшетах под Android и iOS нужно установить приложение Microsoft Remote Desktop («Удаленный рабочий стол Майкрософт») и запустить его. Выберите «Добавить» введите параметры подключения — IP-адрес компьютера, логин и пароль для входа в Windows. Еще один способ — проброс на роутере порта 3389 на IP-адрес компьютера и подключение к публичному адресу роутера с указанием данного порта. Это делается с помощью опции Port Forwarding роутера. Выберите Add и введите:

Name: RDP
Type: TCP & UDP
Start port: 3389
End port: 3389
Server IP: IP-адрес компьютера для подключения.

А что насчет Linux? RDP –закрытый протокол Microsoft, она не выпускает RDP-клиентов для ОС Linux, но можно воспользоваться клиентом Remmina. Для пользователей Ubuntu есть специальные репозитории с Remmina и RDP.

Протокол RDP также используется для подключения к виртуальным машинам Hyper-V. В отличие от окна подключения гипервизора, при подключении по RDP виртуальная машина видит различные устройства, подсоединенных к физическому компьютеру, поддерживает работу со звуком, дает более качественное изображение рабочего стола гостевой ОС и т.д.

У провайдеров виртуального хостинга серверы VPS под Windows по умолчанию обычно также доступны для подключения по стандартному протоколу RDP. При использовании стандартной операционной системы Windows для подключения к серверу достаточно выбрать: «Пуск — Программы — Стандартные — Подключение к удаленному рабочему столу» или нажать Win+R и в открывшемся окне набрать MSTSC. В окне вводится IP-адрес VPS-сервера.

Нажав кнопку «Подключить», вы увидите окно с полями авторизации.

Чтобы серверу были доступны подключенные к вашему ПК USB-устройства и сетевые принтеры, при первом подключении к серверу выберите «Показать параметры» в левом нижнем углу. В окне откройте вкладку «Локальные ресурсы» и выберите требуемые параметры.

С помощью опции сохранения данных авторизации на удаленном компьютере параметры подключения (IP-адрес, имя пользователя и пароль) можно сохранить в отдельном RDP-файлом и использовать его на другом компьютере.

RDP также можно использовать для подключения к виртуальным машинам Azure.

Настройка другой функциональности удаленного доступа

В окне подключения к удаленному компьютеру есть вкладки с настраиваемыми параметрами.

Вкладка	Назначение
«Экран»	Задает разрешение экрана удаленного компьютера, то есть окна утилиты после подключения. Можно установить низкое разрешение и пожертвовать глубиной цвета.
«Локальные ресурсы»	Для экономии системных ресурсов можно отключить воспроизведение звука на удаленном компьютере. В разделе локальных устройств и можно выбрать принтер и другие устройства основного компьютера, которые будут доступны на удаленном ПК, например, USB-устройства, карты памяти, внешние диски.

Подробности настройки удаленного рабочего стола в Windows 10 – в этом видео. А теперь вернемся к безопасности RDP.

Как «угнать» сеанс RDP?

Можно ли перехватывать сеансы RDS? И как от этого защищаться? Про возможность угона RDP-сессии в Microsoft Windows известно с 2011 года, а год назад исследователь Александр Корзников в своем блоге детально описал методики угона. Оказывается, существует возможность подключиться к любой запущенной сессии в Windows (с любыми правами), будучи залогиненным под какой-либо другой.

Некоторые приемы позволяют перехватить сеанс без логина-пароля. Нужен лишь доступ к командной строке NT AUTHORITY/SYSTEM. Если вы запустите tscon.exe в качестве пользователя SYSTEM, то сможете подключиться к любой сессии без пароля. RDP не запрашивает пароль, он просто подключает вас к рабочему столу пользователя. Вы можете, например, сделать дамп памяти сервера и получить пароли пользователей. Простым запуском tscon.exe с номером сеанса можно получить рабочий стол указанного пользователя — без внешних инструментов. Таким образом, с помощью одной команды имеем взломанный сеанс RDP. Можно также использовать утилиту psexec.exe, если она была предварительно установлена:

psexec -s \\localhost cmd

Или же можно создать службу, которая будет подключать атакуемую учетную запись, и запустить ее, после чего ваша сессия будет заменена целевой. Вот некоторые замечания о том, как далеко это позволяет зайти:

Вы можете подключиться к отключенным сеансам. Поэтому, если кто-то вышел из системы пару дней назад, вы можете просто подключиться прямо к его сеансу и начать использовать его.
Можно разблокировать заблокированные сеансы. Поэтому, пока пользователь находится вдали от своего рабочего места, вы входите в его сеанс, и он разблокируется без каких-либо учетных данных. Например, сотрудник входит в свою учетную запись, затем отлучается, заблокировав учетную запись (но не выйдя из нее). Сессия активна и все приложения останутся в прежнем состоянии. Если системный администратор входит в свою учетную запись на этом же компьютере, то получает доступ к учетной записи сотрудника, а значит, ко всем запущенным приложениям.
Имея права локального администратора, можно атаковать учетную запись с правами администратора домена, т.е. более высокими, чем права атакующего.
Можно подключиться к любой сессии. Если, например, это Helpdesk, вы можете подключиться к ней без какой-либо аутентификации. Если это администратор домена, вы станете админом. Благодаря возможности подключаться к отключенным сеансам вы получаете простой способ перемещения по сети. Таким образом, злоумышленники могут использовать эти методы как для проникновения, так и для дальнейшего продвижения внутри сети компании.
Вы можете использовать эксплойты win32k, чтобы получить разрешения SYSTEM, а затем задействовать эту функцию. Если патчи не применяются должным образом, это доступно даже обычному пользователю.
Если вы не знаете, что отслеживать, то вообще не будете знать, что происходит.
Метод работает удаленно. Вы можете выполнять сеансы на удаленных компьютерах, даже если не зашли на сервер.

Этой угрозе подвержены многие серверные ОС, а количество серверов, использующих RDP, постоянно увеличивается. Оказались уязвимы Windows 2012 R2, Windows 2008, Windows 10 и Windows 7. Чтобы не допустить угона RDP-сессий, рекомендуется использовать двухфакторную аутентификацию. Обновленные Sysmon Framework для ArcSight и Sysmon Integration Framework для Splunk предупреждают администратора о запуске вредоносных команд с целью угнать RDP-сессию. Также можно воспользоваться утилитой Windows Security Monitor для мониторинга событий безопасности.

Наконец, рассмотрим, как удалить подключение к удаленному рабочему столу. Это полезная мера нужна, если необходимость в удаленном доступе пропала, или требуется запретить подключение посторонних к удаленному рабочему столу. Откройте «Панель управления – Система и безопасность – Система». В левой колонке кликните «Настройка удаленного доступа». В разделе «Удаленный рабочий стол» выберите «Не разрешать подключения к этому компьютеру». Теперь никто не сможет подключиться к вам через удаленный рабочий стол.

В завершение – еще несколько лайфхаков, которые могут пригодиться при работе с удаленным рабочим столом Windows 10, да и просто при удаленном доступе.

Для доступа к файлам на удаленном компьютере можно использовать OneDrive:

Картинка с сайта: habr.com

Картинка с сайта: habr.com
Как перезагрузить удаленный ПК в Win10? Нажмите Alt+F4. Откроется окно:

Картинка с сайта: habr.com

Картинка с сайта: habr.com

Альтернативный вариант — командная строка и команда shutdown.

Картинка с сайта: habr.com

Если в команде shutdown указать параметр /i, то появится окно:

Картинка с сайта: habr.com

Картинка с сайта: habr.com

Картинка с сайта: habr.com
В Windows 10 Creators Update раздел «Система» стал богаче на еще один подраздел, где реализована возможность активации удаленного доступа к компьютеру с других ОС, в частности, с мобильных посредством приложения Microsoft Remote Desktop:

Картинка с сайта: habr.com
По разным причинам может не работать подключение по RDP к виртуальной машине Windows Azure. Проблема может быть с сервисом удаленного рабочего стола на виртуальной машине, сетевым подключением или клиентом удаленного рабочего стола клиента на вашем компьютере. Некоторые из самых распространенных методов решения проблемы RDP-подключения приведены здесь.
Из обычной версии Windows 10 вполне возможно сделать терминальный сервер, и тогда к обычному компьютеру смогут подключаться несколько пользователей по RDP и одновременно работать с ним. Как уже отмечалось выше, сейчас популярна работа нескольких пользователей с файловой базой 1С. Превратить Windows 10 в сервер терминалов поможет средство, которое хорошо себя зарекомендовало в Windows 7 — RDP Wrapper Library by Stas’M.
В качестве «RDP с человеческим лицом» можно использовать Parallels Remote Application Server (RAS), но некоторые его особенности должны быть настроены на стороне Windows Server (либо в виртуальных машинах, которые вы используете).

Как видите, решений и возможностей, которые открывает удаленный доступ к компьютеру, множество. Не случайно им пользуется большинство предприятий, организаций, учреждений и офисов. Этот инструмент полезен не только системным администраторам, но и руководителям организаций, да и простым пользователям удаленный доступ тоже весьма полезен. Можно помочь починить или оптимизировать систему человеку, который в этом не разбирается, не вставая со стула, передавать данные или получить доступ к нужным файлам находясь в командировке или в отпуске в любой точке мира, работать за офисным компьютером из дома, управлять своим виртуальным сервером и т.д.

Удачи!

P.S. Мы ищем авторов для нашего блога на Хабрахабре.
Если у вас есть технические знания по работе с виртуальными серверами, вы умеете объяснить сложные вещи простыми словами, тогда команда RUVDS будет рада работать с вами, чтобы опубликовать ваш пост на Хабрахабре. Подробности по ссылке.

Источник

Zip File, мои маленькие любители сисадминства. В данном уроке мы поговорим о том, как быстро, а главное совершенно бесплатно организовать удалённый доступ через интернет к рабочим компьютерам для сотрудников вашей организации. Идею для записи ролика мне подал комментарий одного из подписчиков.

В нём он спрашивал, как настроить роутер, как делается проброс портов и что, вообще нужно предпринять, чтобы бухгалтер заходил удалённо из дома и беспроблемно выполнял свои непосредственные функции на рабочем компе. Учитывая нынешнюю ситуацию в стране, вопрос более чем актуальный.

Признаться, я даже не думал, что у моих зрителей могут возникать подобные проблемы. Однако, проведя небольшой опрос среди членов нашей закрытой академии, я ужаснулся. После появления всем известных проблем с TeamViewer’ом, часть админов по сей день так и не удосужилась решить вопрос с удалёнкой.

Некоторые, стыдясь продемонстрировать свою некомпетентность начальству, вообще встают в позу, заявляя, что это можно реализовать только посредством серьёзных вложений. Руководители в свою очередь тайком заставляют несчастных бухов таскаться на работу в эпоху тотального карантина.

В такой ситуации у меня возникает только один вопрос. Вы о**ели? Вам рили не стрёмно? Если не знаете, так спросите. Вы блин не на школьном уроке. Как там вещали великие умы, спросить – стыд минуту, а не знать – стыд всей жизни. Кажется так.

Не суть. Смысл в том, что по вашей вине могут реально пострадать люди. Поэтому, давайте не будем тупыми админами и научимся уже наконец в 2020 году пробрасывать порты и настраивать удалённый доступ по RDPшке.

Но перед тем, как приступить непосредственно к настройке компьютеров и оборудования, давайте пробежимся по основным условиям, необходимым для корректной реализации. Первое, что у вас обязательно должно быть – это внешний «белый» IP-адрес от провайдера.

Без вариантов. В 2020 году это то, что должно быть у вас в офисе, если вы планируете батрачить по удаленке. Забудьте уже про кастыли dyn-dns и no-ip. 150 рублей на айпишник, это не та сумма, которую стоит жидить на такое благое дело.

Если у вас ещё до сих пор на работе динамик, то прямо сегодня подойдите к начальнику и скажите, Ихтиандр Феодосьевич, *баный в рот, вот дальше просто никак без этого. Либо тряситесь, ожидая штрафа, либо звоните провайдеру и подключайте. А я ухожу из этого гадюшника.

Шутка. Далее обязательно проверьте, чтобы за компами, к которым будут пробрасываться порты были зарезервированы стабильные IP-адреса. Как вы это сделаете, грамотно настроите на сервере службу DHCP или тупо пропишите руками статику, решайте сами.

Ладненько, чёт я подзатянул со вступлением. Давайте уже переходить к настройке, а с остальными нюансами разберёмся по ходу дела. Погнали.

Проброс портов на роутере Ростелеком

Шаг 1. Первым делом вызываем таксу, едем в офис и усевшись за свой компик топаем в Яндекс. Пишем мой IP и выясняем, какой внейшний адрес закрепил за вами провайдер. Фиксируем в заметках.

Шаг 2. Затем пишем в адресной строке адрес роутера и введя учётные данные ломимся на него.

Шаг 3. Сейчас внимательно. Вам нужно отыскать пункт «Виртуальные серверы» или «перенаправление/переадресация портов». В англоязычных прошивках это обычно «Forwarding Port». Обычно проброс засовывают либо в настройки LANки, либо в NAT.

В моём случае это вкладочка «Дополнительно» — «NAT» — «Виртуальный сервер». Тут мы сначала указываем имя для правила проброса. Например, buh-ivanova. Протокол – TCP. Порт WAN – т.е. тот, что будет указывать пользователь подключаясь извне. Можете выбрать любое значение в диапазоне от 1024 до 65535.

Они по факту свободны для админов и разработчиков. Все что до — зарезервированы за различными службами. В строчке Порт LANпрописываем 3389. Это стандартный порт, который по умолчанию закреплён за RDP. IP-адрес указываем тот, что зарезервирован за тачкой буха. Применить.

Настройка клиента Windows 10 для RDP

Шаг 4. Крутяк. Теперь неспеша пересаживаемся за комп юзверя и открыв свойства заходим в «Дополнительные параметры системы».

Шаг 5. На вкладке «Удаленный доступ» ставим чекпоинт «Разрешить удаленные подключения к этому компьютеру». Если есть спячка, то вылетит предупреждение о том, что это может вызвать проблемы при подключении по удаленке. Надо пофиксить. Идём в «Электропитание».

Шаг 6. Настройка перехода в спящий режим.

Шаг 7. Ставим в обоих пунктах «Никогда» и сохраняем эти изменения в системе. Теперь тачка не будет спать и выключать монитор придётся вручную.

Шаг 8. Вернувшись в оснастку с доступом кликаем «Выбрать пользователей» и добавляем сотрудника, которому собираемся предоставить возможность подключения. «Ок» — «ОК».

Шаг 9. Тут есть нюанс. У пользователя обязательно должен быть установлен пароль. Иначе подключение не заведётся. Если в вашей сети поднят домен, то тут проблем нет. Ну а там, где господствует одноранг, лучше убедиться, что пароль есть. Открываем управление компьютером и открыв вкладку с локальными пользователями задаёт пассворд.

Настройка домашнего ПК для работы по RDP

Шаг 10. С этим компом всё. Переходим к настройке домашней машинки нашего пользователя. Берём ноут и вызываем на нём «Подключение к удаленному рабочему столу».

Шаг 11. Вводим «белый» IP-адрес. Тот, что мы узнали в начале урока и через двоеточие указываем уникальный внешний порт нашего буха. Жмём «Подключить».

Шаг 12. Вводим учётные данные пользователя. Логин/пароль. Если бы комп был в домене, я бы указал перед именем его название. Например, domain/Бухгалтер. Но т.к. у нас одноранг, тут всё проще. Жму «ОК».

Шаг 13. Жму «ДА» в появившемся окошке проверки подлинности сертификата.

Шаг 14. И подождав некоторое время вижу экран удалённой машины.

Шаг 15. Можно спокойно работать. В заключении, расскажу вам один маленький лайфках. Т.к. к концу дня, машинку нужно будет выключить на ночь, пользователь вероятно захочет это сделать привычным способом через «Пуск». Тут его ждёт фиаско, т.к. в RDP по дефолту пункт «Завершение работы отсутствует». Это реализовано для того, чтобы при работе на серваке юзвери на загасили его почём зря.

Шаг 16. Нам же нужно, чтобы они всё-таки смогли выключать свои машинки. Для этого им необходимо сообщить о волшебной комбинации ALT+F4. Нажав таковую на рабочем столе, произойдёт вызов оснастки с полным выбором всех возможных действий после завершения рабочего сеанса. В том числе «Завершение работы».

Главное, не забудьте напомнить руководству или ответственному сменщику, чтобы утром заблаговременно включали компы. А то ведь люди проснутся, а зайти не смогут. Глупо, как-то получится.

На этом сегодня всё. Для тех, кому необходимо настроить не просто удалённый рабочий стол, а полноценное VPN соединение с возможностью сделать домашний компьютер частью рабочей сети, тут будет ссылка на соответствующий ролик по теме.

Если желаете научиться грамотно администрировать полноценную доменную сеть на базе Windows Server 2016, то обязательно ознакомьтесь с моим обучающим курсом. В нём я рассматриваю базовые сетевые службы вдоль и поперёк.

Обучающий курс «Администрирование Windows Server 2016»

Не забывайте писать свои комментарии с вопросами и предложениями новых тем. Если впервые оказались на канале, то кликните колокольчик. Нажмёте и в вашей ленте будут регулярно появляться полезные ролики по теме администрирования ЛВС, информационной безопасности и пентестингу.

Друзья, благодарю за просмотр. Всем удачи, успехов, отличного настроения. Берегите себя. Работайте удалённо и не нарушайте условий самоизоляции. Лучше останьтесь дома и посмотрите ютубчик. Всяко полезней, чем рисковать жизнью. До новых встреч.

Источник