Техническая поддержка пользователей собственного программного продукта, администрирование и контроль корпоративной сети - всё это требует удалённого управления компьютером клиента. И поле программных продуктов для удалённого доступа не пустует: средства предоставляются как самой операционной системой Windows 7, так и многочисленными программами сторонних разработчиков. Встроенные инструменты хороши своей доступностью, сторонние - интуитивно простым интерфейсом, «заточенным» под простых пользователей. Разобрав принципы работы, плюсы и минусы каждого способа, вы будете во всеоружии, а сеть и пользователи - под контролем.
Настройка удалённого рабочего стола Windows 7
Удалённый рабочий стол доступен в Windows 7 редакции Premium и выше. Он понадобится, если у вас есть необходимость работать с ним на компьютерах, где установлена ОС Windows 7 Home Edition (самая дешёвая), обеспечить поддержку нескольких удалённых рабочих столов - чтобы подключиться одновременно к нескольким компьютерам, - или изменить адрес порта, используемый службой RDP. Для этого понадобятся нетривиальные настройки, которые можно внести в систему при помощи редактора системного реестра или программ сторонних производителей. Но лучше потратить немного своего времени, чем большую сумму денег на покупку новой операционной системы.
Порт для удалённого рабочего стола
Служба RDP, функциями которой обеспечивается работоспособность удалённого рабочего стола, стандартно использует порт №3389. Вероятность хакерских атак по этому порту очень высока, поэтому для повышения уровня сетевой безопасности номер порта можно изменить. Так как настроек в «Панели управления» для этого нет - придётся воспользоваться редактором системного реестра.
- Из командной строки запустите редактор реестра с правами системного администратора.
Запуск редактора реестра для изменения адреса порта RDP
- В окне редактора перейдите по адресу HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber. Список переменных ветви реестра будет отображаться в правой части окна.
Необходимая переменная спрятана глубоко в недрах системного реестра
- Из контекстного меню выберите «Изменить» и введите новый адрес порта, предварительно убедившись в том, что режим ввода значений - десятичный.
Переключите систему исчисления в десятичную и введите новое значения адреса порта
- Теперь, чтобы подключиться к компьютеру, нужно будет вводить не его имя в сети, а адрес с номером порта, например, 175.243.11.12:3421.
Изменение адреса порта со стандартного 3389 на пользовательский не позволит работать службе удалённого помощника на компьютерах под управлением Windows XP. Примите это во внимание, если таковые есть в вашей сети.
Удалённый рабочий стол в Windows 7 домашней расширенной с поддержкой нескольких удалённых рабочих столов
Чтобы простимулировать пользователей потратить больше денег, компания Microsoft серьёзно ограничила возможности службы удалённого рабочего стола в зависимости от версии ОС. К примеру, в «Домашней расширенной» и ниже возможность подключиться удалённо отсутствует вообще, а в любых других количество сеансов ограничено одним, то есть подключиться удалённо одновременно к двум или более компьютерам вы не сможете. Производитель считает, что для этого вам стоит приобрести серверную версию системы специальной редакции (Terminal Edition).
К счастью, неравнодушные энтузиасты поработали над разрешением этой непростой проблемы. Результатом их стараний является программный пакет RDP Wrapper Library. Будучи установленным, он внедряется как посредник между службой удалённых рабочих столов (RDP) и менеджером служб, после чего обманывает их, эмулируя присутствие в сети Windows Server Terminal Edition и включая службу RDP на компьютерах с Windows 7 «Домашняя».
Программа доступна для загрузки со страницы автора и является совершенно бесплатной. После скачивания и запуска инсталлятора все настройки производятся в автоматическом режиме, включая внесение изменений в правила брандмауэра.
RDP Wrapper Library - установка проходит в автоматическом режиме
Идущая в комплекте утилита RDPConf.exe позволит «на лету» включать или отключать возможность удалённого доступа, менять количество одновременных сеансов доступа и номер порта доступа к службе RDP.
При помощи Rdpwrapper можно настроить параметры удаленного доступа
Как разрешить или запретить удалённый доступ
Все опции для разрешения или запрета удалённого доступа к компьютеру находятся в разделе «Свойства компьютера» панели управления. Разрешить или запретить удалённое управление можно буквально в несколько шагов. Не забывайте, что для внесения этих изменений вы должный войти в систему из учётной записи с правами администратора.
- Сочетанием клавиш Win+Pause вызовите на экран окно свойств системы.
Клавиши Win+Pause помогут включить «Свойства системы»
- В левом столбце дополнительных действий перейдите по ссылке «Настройка удалённого доступа».
- В открывшемся диалоговом окне доступны следующие настройки управления:
- Следует отметить, что для возможности удалённого управления учётная запись пользователя, открывающего такой сеанс, должна иметь права администратора. Чтобы предоставить возможность удалённого управления обычному пользователю, следует добавить его имя в список разрешений, перейти к которому можно при помощи кнопки «Выбрать пользователей».
Если пользователь, которому нужно предоставить удаленный доступ не имеет прав администратора, добавить его можно в этом диалоговом окне
Видео: как разрешить удалённый доступ к компьютеру
Подключение к удалённому рабочему столу
Подключение к удалённому рабочему столу реализуется очень просто. Естественно, перед этим нужно включить все необходимые разрешения на клиентской машине и сформировать на ней список пользователей, которым будет разрешено удалённое управление.
- Вызовите стандартный диалог командной строки и запустите с его помощью утилиту mstsc.exe.
Вызов программы-клиента удаленного рабочего стола
- На вкладке «Общие» введите в верхней графе диалогового окна имя компьютера для подключения, а в нижней - имя пользователя (если необходимо имя, отличающееся от того, под которым входили в систему). Не забывайте, что учётная запись пользователя должна обладать правами администратора.
Ввод именя компьютера в сети для удаленного управления
- В закладке «Взаимодействие» выберите планируемую скорость соединения исходя из возможностей вашей сети. Если затрудняетесь в выборе настроек, оставьте автоматические. Система проведёт тестирование скорости канала и выберет оптимальные значения.
Выберите скорость канала, исходя из возможностей вашей сети
- Если всё проделано правильно, а на клиентской машине разрешён удалённый доступ, вы увидите окно ввода имени пользователя и пароля. Вводите логин и пароль клиентской машины.
- После нажатия кнопки «Подключить» появится окно с рабочим столом удалённого ПК. Его можно раскрыть в полный экран и создать полную иллюзию работы на клиентской машине.
Избегайте работы в видеорежимах с высоким разрешением: это создаст большую нагрузку на сеть, а интерфейс удалённого ПК будет отображаться рывками. Идеальный вариант - разрешение 1280х1024 точек и глубина цвета в 16 бит.
Что делать, если не работает удалённый рабочий стол
Проблемы с подключением к удалённому компьютеру могут быть вызваны множеством причин. Среди наиболее распространённых следует отметить следующие:
- на клиентской машине в настройках не включены разрешения на доступ к удалённому рабочему столу и удалённому помощнику;
Убедитесь, что в настройках разрешен удаленный доступ к ПК
- учётная запись, при помощи которой вы пробуете осуществить удалённый доступ, не обладает правами администратора;
Убедитесь, что у вашей учетной записи есть права администратора
- ваш компьютер и компьютер-клиент не входят в одну рабочую группу или домен в локальной сети;
Ведомый и ведущий компьютер должны быть членами одной рабочей группы
- маршрутизатор локальной сети, используемой обоими компьютерами, блокирует порт 3389, через который ведут обмен данными службы удалённого управления Windows 7;
Включение межсетевого экрана в роутере без дополнительной настройки блокирует большинство портов
- исходящие запросы служб удалённого рабочего стола блокируются антивирусным пакетом.
Служба удаленного рабочего стола может находиться в «черном списке» антивирусного пакета
Удалённое приложение remoteapp отключено
Сообщение об отключении удалённого доступа частенько ждёт пользователя при попытке подключиться к нему, также появляется диалоговое окно, которое может поставить неопытного пользователя в тупик.
Ошибка службы лицензирования не позволит запустить сеанс удаленного рабочего стола
Между тем всё очень просто: прав пользователя, который пытается «поднять» сеанс удалённого рабочего стола, не хватает для того, чтобы изменить раздел системного реестра, отвечающий за лицензирование. Ошибка исправляется в два этапа.
Почему тормозит удалённый рабочий стол
Бесперебойная работа сеанса удалённого доступа к рабочему столу требует высокоскоростного канала, львиную долю которого съедает передача самого изображения удалённого рабочего стола. В зависимости от рабочего разрешения на клиентской машине траффик может быть таким плотным, что «положит на лопатки» среднеофисную 100-мегабитную локальную сеть. А ведь в сети, помимо двух общающихся ПК, есть ещё клиенты. Чтобы не допустить коллапса сети, программа удалённого доступа начинает снижать количество передаваемых фреймов (кадров) в секунду.
Если при 60 кадрах в секунду вы наблюдаете гладкую плавную картинку, то уже при 30 интерфейс будет отображаться с заметными рывками. Дальнейшее снижение скорости обновления экрана сделает работу невыносимой: вы даже не сможете точно позиционировать курсор мыши на элементах интерфейса. Чтобы этого не происходило, следует оптимизировать как сетевые подключения ведомого и ведущего компьютеров, так и настройки экрана компьютера-клиента.
Удалённый доступ к компонентам Windows 7
Помимо управления удалённым рабочим столом, эмулируя работу клавиатуры и мыши клиентского компьютера, средства удалённого доступа ОС Windows 7 позволяют также удалённо запускать программы и системные команды из интерфейса командной строки, управлять системным реестром и сетевым экраном (брандмауэром), а также перезапускать или выключать ведомый ПК. Это требует меньше сетевых и системных ресурсов, чем управление удалённым рабочим столом, и может производиться незаметно для работающего за компьютером пользователя.
Удалённая командная строка
Для нужд системных администраторов компания Microsoft разработала специальную сервисную утилиту. Взаимодействуя со службами удалённого доступа операционной системы, она позволяет получить доступ к интерфейсу командной строки любого компьютера в локальной сети, запускать на нём программы и даже удалённо инсталлировать программы перед их запуском. Утилита называется PsExec и доступна к свободной загрузке с официального веб-сайта Microsoft в составе пакета PSTools.
Скачайте утилиту с сервера, запустите на компьютере, с которого будут осуществляться управление, исполняемый файл установщика и, согласившись с текстом лицензионного соглашения, проведите установку.
Установите утилиту PSExec
Теперь вы можете вызывать утилиту из командной строки и использовать весь спектр её широких возможностей.
Рассмотрим поподробнее синтаксис команды и дополнительные параметры её запуска: psexec [\\компьютер[,компьютер2[,…] | @файл][-u пользователь [-p пароль]][-n s][-l][-s|-e][-x][-i [сеанс]][-c [-f|-v]][-w каталог][-d][-<приоритет>][-a n,n,… ] программа [аргументы].
Таблица: параметры запуска команды psexec
| Параметр | Описание |
| компьютер | Указывает программе PsExec, что нужно запустить приложение на заданном компьютере или компьютерах. Имя компьютера не указано - программа PsExec запустит приложение в локальной системе. Если же вместо имени компьютера задан символ «звёздочка» (\\*), то программа PsExec запустит приложение на всех компьютерах текущего домена. |
| @файл | Указывает программе PsExec, что нужно запустить приложение на всех компьютерах, перечисленных в заданном текстовом файле. |
| -a | Процессоры, на которых можно запустить приложение, отделяются запятыми, при этом процессоры нумеруются начиная с 1. Например, чтобы запустить приложение на процессорах втором и четвёртом, введите «-a 2,4» |
| -c | Указанная программа копируется в удалённую систему для выполнения. Если этот параметр не задан, то приложение должно находиться в системной папке удалённой системы. |
| -d | Указывает, что не нужно ждать завершения приложения. Этот параметр следует использовать только при запуске неинтерактивных приложений. |
| -e | Указанный профиль учётной записи не загружается. |
| -f | Указанная программа копируется в удалённую систему, даже если такой файл в удалённой системе уже есть. |
| -i | Запускаемая программа получает доступ к рабочему столу указанного сеанса в удалённой системе. Если сеанс не задан, то процесс выполняется в консольном сеансе. |
| -l | При запуске процесса пользователю предоставляются ограниченные права (права группы администраторов отменяются, и пользователю предоставляются только права, назначенные группе «пользователи»). В ОС Windows Vista процесс запускается с низким уровнем благонадёжности. |
| -n | Позволяет задать задержку подключения к удалённым компьютерам (в секундах). |
| -p | Позволяет указать необязательный пароль для имени пользователя. Если этот параметр опущен, то будет выдан запрос на ввод пароля, при этом пароль не будет отображаться на экране. |
| -s | Удалённый процесс запускается из системной учётной записи. |
| -u | Позволяет указать необязательное имя пользователя для входа в удалённую систему. |
| -v | Указанный файл копируется в удалённую систему вместо уже имеющегося только при условии, что номер его версии выше или он более новый. |
| -w | Позволяет указать для процесса рабочий каталог (путь внутри удалённой системы). |
| -x | Отображает интерфейс пользователя на рабочем столе Winlogon (только в локальной системе). |
| -приоритет (приоритет) | Позволяет задавать для процесса различные приоритеты:
|
| программа | Имя запускаемой программы. |
| аргументы | Передаваемые аргументы (обратите внимание, что пути файлов должны указываться как локальные пути в целевой системе). |
Примеры работы утилиты PSEXEC
Порядок работы с утилитой PsExec следующий:
- Запустите командную строку другого компьютера с помощью команды psexec \\<сетевое имя компьютера> cmd.exe.
- Откройте любую программу на удалённом компьютере. Если программа отсутствует на ведомом ПК, она будет скопирована с машины администратора. Для этого введите psexec \\<сетевое имя компьютера> -c test.exe, где test.exe - программа, которую надо выполнить удалённо.
- Если программа, которую нужно удалённо выполнить, не находится в системной папке, укажите её полный путь при запуске команды psexec \\<сетевое имя компьютера> -c c:\program files\external_test.exe
Видео: PSTools - набор консольных утилит системного администратора
Удалённый реестр
Для того чтобы иметь возможность удалённо редактировать реестр, нужно вначале активировать на клиентском компьютере соответствующие службы. Сделать это несложно, если учётная запись обладает правами администратора. Для этого из окна командной строки запустите оснастку диспетчера служб и в главном окне выберите из списка службу «Удалённый реестр». Нажмите кнопку «Пуск» на верхней панели управления.
Служба «Удалённый реестр» должна быть запущена как на клиентских ПК, так и на компьютере администратора.
Теперь вы можете подключиться к реестру компьютера в вашей локальной сети удалённо.
Ветвь реестра удалённого ПК отобразится в окне редактора реестра и вы сможете редактировать его так же просто, как и свой локальный реестр.
Удалённое управление брандмауэром
К сожалению, удобного графического инструмента для удалённого управления брандмауэром не существует. Поэтому все манипуляции придётся выполнять при помощи командной строки. Вначале нужно подключиться к удалённому ПК при помощи службы Telnet. Если клиент Telnet не инсталлирован, его нужно добавить через «Установку/удаление компонентов Windows».
Теперь нужно установить через протокол telnet сеанс связи с удалённым компьютером.
Как только сеанс связи будет установлен, вы можете дистанционно управлять брандмауэром удалённого компьютера при помощи команды netsh. Вам будут доступны следующие команды:
запрос правил брандмауэра. Выяснить конфигурацию Windows Firewall на удалённом ПК можно с помощью команды netsh advfirewall firewall show rule name=all;
включение или выключение брандмауэра командами «netsh advfirewall set allprofiles state on» и «netsh advfirewall set allprofiles state off»;
возвращение к настройкам по умолчанию командой netsh advfirewall reset;
открытие порта - пожалуй, самая распространённая задача, которую нужно будет выполнить. К примеру, открыть порт 2117 для работы торрент-клиента можно так: netsh advfirewall firewall add rule name=»Utorrent rule» dir=in action=allow protocol=TCP localport=1433;
разрешение входящих и исходящих запросов произвольной программе при помощи netsh advfirewall firewall add rule name=»Allow Miner» dir=in action=allow program=»C:\Bitcoin\miner.exe»;
разрешение удалённого управления при помощи консоли Windows: netsh advfirewall firewall set rule group= «remote administration» new enable=yes.
Выполнив необходимые настройки, не забудьте закрыть сеанс Telnet командой quit.
Удалённая перезагрузка
Стандартная команда ОС shutdown позволяет выключить или перезагрузить любой компьютер локальной сети, если на нём настроены разрешения для работы удалённого помощника и удалённого рабочего стола. Из окна командной строки выполните команду в формате shutdown / /m \\имя_компьютера /c «комментарий» и нажмите Enter.
Таблица: параметры команды shutdown
| /s | Завершение сеанса работы удалённого ПК. |
| \\Имя_компьютера | Имя или сетевой адрес удалённого ПК. |
Удалённый рабочий стол – это функционал операционной системы, позволяющий производить администрирование удалённого компьютера в реальном времени, используя локальную сеть или Интернет в качестве среды передачи данных. Реализаций удалённого рабочего стола есть великое множество в зависимости от протокола или операционной системы. Наиболее распространённым решением в операционной системе семейства Windows является Remote Desktop Protocol (RDP), а в системах на ядре Linux – VNC и X11.
Как включить возможность удалённого рабочего стола
По умолчанию на рабочей станции под управлением Windows отключена возможность становиться сервером сеанса RDP.
На пиктограмме «Мой компьютер» кликаем правой кнопкой мыши, выбираем в контекстном меню пункт «Свойства».
Выбираем пункт «Настройка удалённого доступа» в левом меню. При этом потребуются привилегии администратора.
Откроется окно «Свойства системы», в котором на вкладке «Удалённый доступ» нужно выставить разрешение доступа к этому компьютеру как это сделано на скриншоте ниже.
При необходимости, можно выбрать пользователей, под которыми возможно выполнить вход в систему.
Кроме того, если у вас установлен сетевой фильтр (Firewall), потребуется создать разрешающее правило на подключение к данному компьютеру в свойствах сетевого адаптера или в апплете брандмауэра Windows в панели управления.
Как подключиться к удаленному рабочему столу
Подключение к удаленному рабочему столу можно выполнить несколькими способами. Проследовать в главное меню системы «Пуск – Все программы – Стандартные – Подключение к удаленному рабочему столу»
Или выполнить команду в командной строке Windows (или окне «Выполнить »)
Оба эти способа равнозначны и запускают одну и ту же программу – мастер подключения к удаленному рабочему столу.
В окне мастера можно указать имя или IP-адрес компьютера, к которому требуется выполнить подключение, а так же указать особые параметры, такие как разрешение экрана, передачу локальных (буфер обмена, локальные диски) или удаленных (звуки) ресурсов.
Вводим IP адрес удалённого узла и нажимаем кнопку «Подключить ».
Вероятнее всего мы увидим предупреждение о проблемах проверки подлинности удаленного компьютера. Если мы уверены, что не ошиблись в написании адреса или имени, то можно нажимать «Да», после чего подключение к узлу будет инициализировано.
Кроме того, потребуется ввести учётные данные удалённого пользователя.
Если мы нигде не ошиблись, то спустя какое-то время увидим рабочий стол удалённого компьютера, где мы можем производить определенные действия. Управлять указателем мыши, вводить символы с клавиатуры и так далее.
Как уже было сказано ранее, для удобства администрирования системы мы можем передавать локальные ресурсы, такие как принтеры, логические диски или буфер обмена на удалённой машине.
Для этого в окне мастера подключения к удалённому рабочему столу перейти на вкладку «Локальные ресурсы», нажать на кнопку «Подробнее…»
И в открывшемся окне выбрать, к примеру, Локальный диск (C:).
Теперь при подключении удалённого рабочего стола мы увидим наш локальный диск (C:) того компьютера, с которого осуществляется подключение.
Как увеличить безопасность удалённого рабочего стола
Не секрет, что оставлять компьютер с активированным удалённым рабочим столом и имеющий выход в Интернет небезопасно. Дело в том, что разного рода злоумышленниками постоянно производится сканирование диапазонов сетевых адресов в поисках запущенных сетевых сервисов (в том числе удалённого рабочего стола) с целью их дальнейшего взлома.
Одним из способов, способных осложнить задачу злоумышленника по поиску запущенного сервиса службы терминалов (RDP) является смена стандартного номера порта на другое значение. По умолчанию, служба RDP прослушивает сетевой порт 3389/TCP в ожидании входящего подключения. Именно к этому порту злоумышленники пытаются подключиться в первую очередь. Можно практически со 100% уверенностью сказать, что если на компьютере открыт порт с этим номером, то на нём запущена система Windows с разрешённым удалённым доступом.
Внимание! Дальнейшие действия с системным реестром нужно выполнять очень внимательно. Изменение определённых параметров может сделать операционную систему неработоспособной.
Для того чтобы сменить номер порта удалённого рабочего стола, нужно открыть редактор реестра и открыть раздел:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Затем найти REG_DWORD параметр PortNumber и поменять его значение в десятичной системе на произвольное число (от 1024 до 65535).
После того как значение будет изменено, компьютер следует перезагрузить. Теперь для доступа к удалённому рабочему столу нужно указать дополнительно наш порт через двоеточие. В данной ситуации в качестве имени компьютера нужно указать 10.0.0.119:33321
Ну а злоумышленники, попробовав стандартный порт, вероятно, сделают вывод о том, что на данном компьютере не разрешён удалённый доступ по протоколу RDP. Конечно, такой способ не спасёт от целенаправленных атак, когда тщательнейшим образом проверяется каждый сетевой порт в поисках лазейки, но от массовых шаблонных атак это защитит.
Кроме того, нужно использовать достаточно сложный и длинный пароль для тех учётных записей, которым разрешён доступ по удалённому рабочему столу.
Remote Desktop Protocol (RDP) технология, позволяющая удаленно подключаться к рабочему столу компьютера. Изначально RDP – это серверная технология, однако Microsoft, стремясь угодить своим пользователям, начиная с Windows XP стала включать Remote Desktop и во все клиентские ОС. Не стала исключением и последняя версия клиентской ОС – Windows 8.
Remote Desktop доступен в следующих версиях Windows 8:
- Windows 8 Enterprise
- Windows 8 Professional
Для того, чтобы задействовать RDP в базовой (Core) версии Windows 8, придется проапгрейдить ОС до версии Pro.
По умолчанию в целях безопасности удаленный доступ к рабочему столу Windows 8 закрыт, в этой статье мы разберем несколько способов включения удаленного рабочего стола на клиентах с Windows 8.
Как включить удаленный рабочий стол в Windows 8 из графического интерфейса
Самый простой и привычный всем способ включить rdp — воспользоваться графическим интерфейсом Windows. Эту операцию необходимо выполнять под учетной записью с правами локального администратора. Запустите консоль управления System (найти ее можно в Панели Управления, или в проводнике щелкнув правой клавишей по значку Computer и выбрав меню Properties).
Откроем окно настройки удаленного подключения, щелкнув в левом столбце по ссылке Remote Settings (это же окно вызывается командой SystemPropertiesRemote.exe ).
Чтобы разрешить удаленный rdp доступ к данной машине, поставьте переключатель на пункт Allow remote connection to this computer (для более безопасного подключения можно разрешить подключение только с клиентов rdp с – Allow connections only from computers running Remote Desktop with Network Level Authentication) и нажмите ОК.
По умолчанию правами удаленного подключений к рабочему столу компьютера обладают члены группы локальных администраторов. Дополнительных пользователей можно указать с помощью кнопки Select Users .
Теперь к данному ПК с Windows 8 можно подключаться удаленно с помощью rdp-клиента (кстати )
В том случае, если на компьютере включен Windows Firewall (брандмауэр), необходимо проверить, что в нем разрешены входящие rdp подключения. Перейдите в панель управления и выберите элемент Windows Firewal
l. Откроем список предустановленных правил брандмауэра Windows, щелкнув в левом столбце по ссылке Allow an app or feature through Windows Firewall
. Проверьте, что правило Remote Desktop
включено для профиля Private (домашняя или рабочая сеть) и, если необходимо, для профиля Public (общедоступные сети). 
Включаем RDP доступ с помощью групповых политик
В том случае, если необходимо включить RDP сразу на большом количестве ПК, нам на помощь придут возможности групповых политик (подразумевается, что все компьютеры ).
Создайте новую (или отредактируйте уже существующую) групповую политику и привяжите ее к целевой OU.
Нас интересует параметр с именем Allow Users to connect remotely by using Remote Desktop Services , находящийся в разделе Computer Configuration -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Connections . Откройте данный параметр и измените его значение на Enable .
После применения данной политики, все целевые компьютеры станут доступным для подключения удаленным рабочим столом. Данная политика позволяет включить доступ по RDP как на клиентах с Windows 8, так и с Windows Server 2012. 
Если на компьютерах включен Windows Firewall, необходимо разрешить RDP-трафик в доменном профиле брандмауэра. Для этого нужно активировать правило Windows Firewall: Allow Remote Desktop Exception (находится в разделе Computer Configuration -> Administrative Templates -> Network -> Network Connections -> Windows Firewall -> Domain Profile ).
Удаленное включение RDP в Windows 8
Выше мы рассмотрели способы локального включения удаленного рабочего стола в Windows 8 и массовой активации его в домене с помощью групповой политике. Далее мы разберем специфические техники удаленного включения RDP по сети с помощью различных инструментов.
Естественно, мы подразумеваем, что удаленный ПК доступен по сети (доступ не блокируется файерволом) и Вы обладаете на нем правами локального администратора.
Включаем Remote Desktop удаленно через реестр
RDP в Windows 8 можно активировать удаленно с помощью возможности модификации реестра через службу удаленного реестра – RemoteRegistry. По умолчанию служба RemoteRegistry в Windows 8 отключена из соображений безопасности. Чтобы включить ее, подключитесь к ПК с Win 8 с помощью консоли Computer Management , перейдите в раздел Services and Applications -> Services , найдите службу Remote Registry , измените тип запуска на Manual (ручной) и затем запустите службу – Start .
Тоже самое можно выполнить удаленно с помощью команд sc (позволяющая создавать, управлять или ):
Sc \\Win8_RDP_PC..сайт start RemoteRegistry
Затем на своей машине запустите редактор реестра regedit.exe, выберите в меню Файл пункт (Подключить сетевой реестр), укажите имя или IP адрес компьютера с Windows 8 на котором необходимо включить RDP.
Перейдите в раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server . Найдите параметр fDenyTSConnection (тип REG_DWORD). Если данный ключ отсутствует – создайте его.
Ключ fDenyTSConnection может принимать следующие значения:
- fDenyTSConnection=0 — Удаленный рабочий стол включен
- fDenyTSConnection=1 — Удаленный рабочий стол отключен
Т.е. чтобы включить RDP доступ к данному компьютеру, задайте данному параметру значение 0 . Сразу после этого без перезагрузки удаленный компьютер с Windows 8 должен стать доступным по RDP.
Включаем удаленный рабочий стол по сети из командной строки
Указанный выше трюк с удаленной модификацией реестра можно выполнить еще проще и элегантнее с помощью всего одной команды. Нам на помощь придет команда REG ADD, позволяющая добавлять и изменять данные в реестре Windows. Не все знают, что она умеет работать с реестром удаленного компьютера (как и в предыдущем случае на целевом компьютере должна быть включена служба Remote Registry).
Команда, удаленно включающая RDP на клиентском компьютере с именем Win8_RDP_PC, может выглядеть так:
REG ADD "\\Win8_RDP_PC\HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 1 /f
Включаем RDP с помощью PowerShell
И, напоследок, разберемся с еще один методом удаленного включения PowerShell. Воспользуемся возможностями подключения из PowerShell к WMI.
Откройте консоль Powershell и выполните последовательно следующие команды PoSh:
$ts=get-WMIObject Win32_TerminalServiceSetting -computername Win8_RDP_PC $ts.SetAllowTSConnections(1)
Где Win8_RDP_PC – имя компьютера с Windows 8, на котором необходимо включить RDP.
Если удаленный рабочий стол нужно отключить, второй командой должна быть.
В то время как существует масса различных альтернатив, Remote Desktop от Microsoft является идеальным вариантом доступа к другому компьютеру, однако программа должна использоваться правильно. В целом, Remote Desktop является мощным инструментом, который позволяет избежать установки сторонних приложений для данного типа функциональности.
- Windows 8.1 Pro
- Windows 8.1 Enterprise
- Windows 8 Enterprise
- Windows 8 Pro
- Windows 7 Professional
- Windows 7 Enterprise
- Windows 7 Ultimate
- Windows Vista Business
- Windows Vista Ultimate
- Windows Vista Enterprise
- Windows XP Professional
Включение Remote Desktop
Во-первых, нужно включить Remote Desktop и выбрать пользователей, которым будет открыт удаленный доступ к компьютеру. Нажмите сочетание клавиш Windows + R, чтобы открыть строку запуска, и введите «sysdm.cpl».
Еще один способ включения данного меню – перейти в «Мой компьютер» и нажать «Свойства»:
В любом из данных случаев вы попадете в указанное меню, где нужно нажать на вкладку Remote:
Выберите пункт «Разрешить удаленное соединение с этим компьютером», а также, «Разрешить подключение компьютеров с запущенным Remote Desktop с сетевым уровнем аутентификации».
Проверка подлинности уровня сети не обязательна, но она предоставляет пользователю дополнительные меры безопасности, защищая вас от атак. Даже старые системы, такие как Windows XP могут подключиться к узлам сетевого уровня аутентификации, поэтому, нет никаких причин, чтобы не использовать функцию на ней.
Вероятно, вы сможете получить предупреждение о настройках питания при включении Remote Desktop:
Если вы получили такое сообщение, нажмите на ссылку параметров электропитания, и настройте компьютер таким образом, чтобы он не мог уйти в спящий режим.
Любые аккауны из группы Администраторов уже будут иметь доступ. Если вам нужно дать удаленный доступ другим пользователям, просто нажмите «Добавить» и введите имена нужных пользователей.
Нажмите на кнопку «Проверить имена», чтобы проверить, правильно ли введено имя пользователя и нажмите «Ок». В окне свойств также нажмите кнопку «Ок».
Защита удаленного доступа
Компьютер, на данный момент, будет подключен через удаленный доступ (только в вашей локальной сети, если вы используете роутер), однако есть еще несколько настроек, которые нужно установить для достижения максимальной безопасности.
Для начала, давайте установим очевидную настройку. Все пользователи, для которых вы открыли удаленный доступ, должны иметь надежные пароли.
Существует очень много различных ботов, которые сканируют Интернет для обнаружения уязвимых компьютеров с предоставленным удаленным доступом, поэтому, не стоит недооценивать важность установки надежного пароля. Используйте более 8 символов (рекомендуется создать пароль из 12 или более символов) с номерами, строчными и прописными буквами, и спецсимволами.
Перейдите в меню «Пуск» или откройте строку запуска (кнопка Windows + R) и введите «secpol.msc», чтобы открыть меню локальной безопасности.
Перейдя в меню, раскройте «Локальные настройки», и нажмите на пункт «Назначение прав пользователей».
Дважды нажмите на пункт «Разрешить вход в систему с помощью служб удаленного доступа», расположенный справа.
Мы также советуем вам удалить обе группы, указанные в данном окне: Администраторов и пользователей с удаленным доступом. После этого, нажмите кнопку «Добавить пользователя или группу», и вручную добавьте пользователей, которым нужно предоставить удаленный доступ. Эти действия не являются обязательным шагом, но дают вам больше прав над профилями, для которых вы открываете доступ. Если в будущем вы создадите новую учетную запись администратора, и не поставите надежный пароль, доступ к вашему компьютеру будет практически открыт для хакеров со всего мира.
Закройте окно локальных настроек безопасности и откройте редактор локальных настроек групп, набрав в строке «Пуска» или программе «Выполнить» строку «gpedit.msc».
Когда откроется редактор локальных настроек групп, разверните Настройки компьютера > Административные шаблоны > Компоненты Windows > Службы удаленного доступа > Хост сеансов удаленного доступа, и затем выберите пункт «Безопасность».
Установите уровень шифрования соединения клиента – Высокий уровень, чтобы ваши сеансы удаленного доступа были обеспечены 128-битным шифрованием.
Требование безопасности связи RPC - установить на «Включено».
Требование использования специального уровня безопасности для удаленных (RDP) соединений – установить на SSL (TLS 1.0).
Требование проверки аутентификации пользователя для удаленных подключений с использованием уровня сетевой аутентификации – установить на «Включено».
После того, как эти изменения были сделаны, можно закрыть редактор локальных настроек групп. Последняя рекомендация безопасности, которой мы с вами поделимся – это изменение порта по умолчанию, на котором находится удаленное управление. Этот шаг также не считается обязательным и считается лишь улучшением безопасности исходя из практики. Однако дело в том, что изменение номера порта по умолчанию значительно уменьшает количество попыток несанкционированного подключения, которые будут попадать на ваш компьютер. Ваш пароль и настройки безопасности позволяют сделать удаленный доступ неуязвимым, вне зависимости от порта, на котором он находится, однако с помощью данного шага можно уменьшить количество попыток соединения.
Безопасность через скрытие: Изменение порта RDP по умолчанию
По умолчанию к удаленному рабочему столу присвоен порт 3389. Выберите любой пятизначный номер (менее чем 65535), который вы бы хотели использовать для вашего порта удаленного доступа. Запомнив этот номер, откройте редактор реестра, набрав в меню «Пуск» или программе «Выполнить» строку «Regedit».
Когда откроется редактор реестра, разверните HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Control > Terminal Server > WinStations > RDP-Tcp, и дважды кликните на «PortNumber» в окне справа.
С открытым «PortNumber» ключем реестра выберите «Decimal» в правой стороне окна и введите тот самый пятизначный код порта в «Value data» в левой части.
Нажмите кнопку «Ок», и закройте редактор реестра.
