Настройка удаленного рабочего стола Windows

Удаленный рабочий стол применяется для дистанционного администрирования системы. Для его настройки нужно сделать, буквально, несколько шагов.

Включение

1. Открываем сведения о системе. В Windows Server 2012 R2 / 2016 или 10 кликаем правой кнопкой мыши по Пуск и выбираем Система.

В Windows Server 2012 / 8 и ниже открываем проводник или меню Пуск. Кликаем правой кнопкой по Компьютер и выбираем Свойства.

2. Настраиваем удаленный рабочий стол. В меню слева кликаем по Настройка удаленного доступа.

В открывшемся окне ставим переключатель в положение Разрешить удаленные подключения к этому компьютеру.

* желательно, если будет установлен флажок Разрешить подключение только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети. Но если компьютер, с которого мы будем заходить с устаревшей операционной системой, это может вызвать проблемы.

Предоставление доступа

Очень важно, чтобы у пользователя был установлен пароль. Без него зайти в систему с использованием RDP будет невозможно — это программное ограничение. Поэтому всем учетным записям ставим пароли.

У пользователей с правами администратора права на использование удаленного стола есть по умолчанию. Чтобы обычная учетная запись могла использоваться для удаленного входа в систему, добавьте ее в группу Пользователи удаленного рабочего стола. Для этого открываем консоль управления компьютером (команда compmgmt.msc) — переходим по разделам Служебные программы — Локальные пользователи и группы — Группы и кликаем дважды по Пользователи удаленного рабочего стола:

В открывшемся окне добавляем необходимых пользователей.

Для проверки правильности настроек, используйте программу Подключение к удаленному рабочему столу (находится в меню Пуск или вызывается командой mstsc) на любом другом компьютере в сети.

Ограничение по количеству пользователей

По умолчанию, в серверных операционных системах Windows разрешено подключение для одновременно двух пользователей. Чтобы несколько пользователей (больше 2-х) могли использовать удаленный стол, необходима установка роли удаленных рабочих столов (терминального сервера) и активации терминальных лицензий — подробнее, читайте в инструкции Установка и настройка терминального сервера на Windows Server.

В пользовательских системах (Windows 10 / 8 / 7) разрешено подключение только одному пользователю. Это лицензионное ограничение. В сети Интернет можно найти патчи для его снятия и предоставления возможности подключаться удаленным рабочим столом для нескольких пользователей. Однако, это нарушение лицензионного соглашения.

Доступ через глобальную сеть (Интернет)

Для возможности подключения по RDP из вне необходим статический внешний IP-адрес. Его можно заказать у Интернет провайдера, стоимость услуги, примерно, 150 рублей в месяц (некоторые поставщики могут предоставлять бесплатно). Для подключения нужно использовать полученный внешний IP.

Если компьютер подключен к Интернету напрямую, никаких дополнительных действий не потребуется. Если мы подключены через NAT (роутер), необходима настройка проброса портов. Пример того, как это можно сделать на Mikrotik.

Разрешить вход в систему через службу удаленных рабочих столов Allow log on through Remote Desktop Services

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения, **** управление политиками и вопросы безопасности для параметра политики «Разрешить вход в систему» с помощью параметра политики безопасности служб удаленных рабочих мест. Describes the best practices, location, values, policy management, and security considerations for the Allow log on through Remote Desktop Services security policy setting.

Справочные материалы Reference

Этот параметр политики определяет, какие пользователи или группы могут получить доступ к экрану входов удаленного устройства через подключение к службам удаленных рабочих стола. This policy setting determines which users or groups can access the logon screen of a remote device through a Remote Desktop Services connection. Пользователь может установить подключение служб удаленных рабочих стола к определенному серверу, но не сможет войти в консоль того же сервера. It is possible for a user to establish a Remote Desktop Services connection to a particular server but not be able to log on to the console of that same server.

Константа: SeRemoteInteractiveLogonRight Constant: SeRemoteInteractiveLogonRight

Возможные значения Possible values

• Определяемый пользователей список учетных записей User-defined list of accounts
• Не определено Not Defined

Рекомендации Best practices

• Чтобы управлять тем, кто может открывать подключение к службам удаленных рабочих стола и входить в систему на устройстве, добавьте пользователей в группу «Пользователи удаленного рабочего стола» или удалите их из нее. To control who can open a Remote Desktop Services connection and log on to the device, add users to or remove users from the Remote Desktop Users group.

Location Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Значения по умолчанию Default values

По умолчанию члены группы «Администраторы» имеют это право на контроллерах домена, рабочих станциях и серверах. By default, members of the Administrators group have this right on domain controllers, workstations, and servers. Группа пользователей удаленных рабочих станций также имеет это право на рабочих станциях и серверах. The Remote Desktops Users group also has this right on workstations and servers. В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. The following table lists the actual and effective default policy values. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO	Значение по умолчанию Default value
Default Domain Policy Default Domain Policy	Не определено Not Defined
Политика контроллера домена по умолчанию Default Domain Controller Policy	Не определено Not Defined
Локализованная политика безопасности контроллера домена Domain Controller Local Security Policy	Администраторы Administrators
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings	Администраторы Administrators Пользователи удаленных рабочих стола Remote Desktop Users
Действующие параметры по умолчанию для контроллера домена Domain Controller Effective Default Settings	Администраторы Administrators
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings	Администраторы Administrators Пользователи удаленных рабочих стола Remote Desktop Users
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings	Администраторы Administrators Пользователи удаленных рабочих стола Remote Desktop Users

Управление политикой Policy management

В этом разделе описываются различные функции и средства, которые помогут вам управлять этой политикой. This section describes different features and tools available to help you manage this policy.

Групповая политика Group Policy

Чтобы использовать службы удаленных рабочих стола для успешного входа на удаленное устройство, пользователь или группа должны входить в группу «Пользователи или администраторы удаленного рабочего стола» и иметь право на вход с помощью служб удаленных рабочих стола. To use Remote Desktop Services to successfully log on to a remote device, the user or group must be a member of the Remote Desktop Users or Administrators group and be granted the Allow log on through Remote Desktop Services right. Пользователь может установить сеанс служб удаленных рабочих стола на определенном сервере, но не сможет войти в консоль того же сервера. It is possible for a user to establish an Remote Desktop Services session to a particular server, but not be able to log on to the console of that same server.

Чтобы исключить пользователей или группы, можно назначить этим пользователям или группам право «Запретить вход» через службы удаленных рабочих столов. **** To exclude users or groups, you can assign the Deny log on through Remote Desktop Services user right to those users or groups. Однако будьте осторожны при использовании этого метода, так как это может привести к **** конфликтам для допустимых пользователей или групп, которые имеют доступ через разрешение входа в систему через права пользователя служб удаленных рабочих стола. However, be careful when you use this method because you could create conflicts for legitimate users or groups that have been allowed access through the Allow log on through Remote Desktop Services user right.

Перезапуск устройства не требуется для того, чтобы этот параметр политики был эффективным. A restart of the device is not required for this policy setting to be effective.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

Параметры групповой политики применяются с помощью групповой политики в следующем порядке, что перезапишет параметры на локальном компьютере при следующем обновлении групповой политики: Group Policy settings are applied through GPOs in the following order, which will overwrite settings on the local computer at the next Group Policy update:

1. Параметры локальной политики Local policy settings
2. Параметры политики сайта Site policy settings
3. Параметры политики домена Domain policy settings
4. Параметры политики подразделения OU policy settings

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Любая учетная запись с разрешением входа в систему через права пользователя служб удаленных рабочих стола может войти в удаленную консоль устройства. Any account with the Allow log on through Remote Desktop Services user right can log on to the remote console of the device. Если это право пользователя не ограничивается законными пользователями, которые должны войти в консоль компьютера, неавторизованные пользователи могут скачивать и запускать вредоносное ПО, чтобы повысить свои привилегии. If you do not restrict this user right to legitimate users who must log on to the console of the computer, unauthorized users could download and run malicious software to elevate their privileges.

Противодействие Countermeasure

Для контроллеров домена назначьте разрешение входа через пользователя служб удаленных рабочих столов только группе администраторов. For domain controllers, assign the Allow log on through Remote Desktop Services user right only to the Administrators group. Для других ролей сервера и устройств добавьте группу «Пользователи удаленного рабочего стола». For other server roles and devices, add the Remote Desktop Users group. Для серверов, на которых включена служба роли «Хост сеансов удаленного рабочего стола» (RD) и которые не работают в режиме сервера приложений, убедитесь, что к этим группам относятся только авторизованные ИТ-сотрудники, которые должны удаленно управлять компьютерами. For servers that have the Remote Desktop (RD) Session Host role service enabled and do not run in Application Server mode, ensure that only authorized IT personnel who must manage the computers remotely belong to these groups.

Внимание! Для серверов RD Session Host, которые работают в режиме сервера приложений, убедитесь, что только пользователи, которым требуется доступ к серверу, имеют учетные записи, принадлежащие группе пользователей удаленного рабочего стола, так как эта встроенная группа имеет право на вход по умолчанию. Caution: For RD Session Host servers that run in Application Server mode, ensure that only users who require access to the server have accounts that belong to the Remote Desktop Users group because this built-in group has this logon right by default.

Кроме того, вы **** можете назначить пользователю служб удаленных рабочих стола право «Запретить вход» группам, таким как «Операторы учетных записей», «Операторы сервера» и «Гости». Alternatively, you can assign the Deny log on through Remote Desktop Services user right to groups such as Account Operators, Server Operators, and Guests. Однако будьте осторожны при использовании этого метода, так как вы можете заблокировать доступ **** к законным администраторам, которые также принадлежат к группе с правом пользователя служб удаленных рабочих столов. However, be careful when you use this method because you could block access to legitimate administrators who also belong to a group that has the Deny log on through Remote Desktop Services user right.

Возможное влияние Potential impact

Удаление функции «Разрешить вход» через пользователя служб удаленных рабочих стола прямо из других групп (или изменений членства в этих группах по умолчанию) может ограничить возможности пользователей, которые выполняют определенные административные роли в вашей среде. **** Removal of the Allow log on through Remote Desktop Services user right from other groups (or membership changes in these default groups) could limit the abilities of users who perform specific administrative roles in your environment. Необходимо подтвердить, что делегирование действий не оказывает отрицательного влияния. You should confirm that delegated activities are not adversely affected.