Hoe Remote Desktop op Windows In te schakelen en te beveiligen
Hoewel er veel alternatieven zijn, is Microsoft Remote Desktop een perfect haalbare optie voor toegang tot andere computers, maar het moet goed worden beveiligd. Nadat aanbevolen beveiligingsmaatregelen zijn getroffen, is Remote Desktop een krachtig hulpmiddel voor geeks om te gebruiken en kunt u voorkomen dat apps van derden voor dit type functionaliteit worden geïnstalleerd.
Deze handleiding en de bijbehorende schermafbeeldingen zijn gemaakt voor Windows 8.1 of Windows 10. U moet echter deze handleiding kunnen volgen zolang u een van deze edities van Windows gebruikt:
- Windows 10 Professional
- Windows 8.1 Pro
- Windows 8.1 Enterprise
- Windows 8 Enterprise
- Windows 8 Pro
- Windows 7 Professional
- Windows 7 Enterprise
- Windows 7 Ultimate
- Windows Vista Business
- Windows Vista Ultimate
- Windows Vista Enterprise
- Windows XP Professional
Extern bureaublad inschakelen
Allereerst moeten we Remote Desktop inschakelen en selecteren welke gebruikers externe toegang tot de computer hebben. Druk op de Windows-toets + R om een Run-prompt weer te geven en typ "sysdm.cpl."
Een andere manier om naar hetzelfde menu te gaan, is door "Deze pc" in het startmenu te typen, klik met de rechtermuisknop op "Deze pc" en ga naar Eigenschappen:
In beide gevallen wordt dit menu weergegeven, waarbij u op het tabblad Extern moet klikken:
Selecteer 'Externe verbindingen met deze computer toestaan' en de onderstaande optie 'Alleen verbindingen toestaan vanaf computers waarop extern bureaublad wordt uitgevoerd met netwerkniveauverificatie'.
Het is niet noodzakelijk om Network Level Authentication te vereisen, maar dit maakt uw computer veiliger door u te beschermen tegen Man in the Middle-aanvallen. Systemen die al zo oud zijn als Windows XP kunnen verbinding maken met hosts met netwerkniveauverificatie, dus er is geen reden om het niet te gebruiken.
U kunt een waarschuwing krijgen over uw energiebeheeropties wanneer u Extern bureaublad inschakelt:
Als dit het geval is, klikt u op de koppeling naar Energiebeheer en configureert u uw computer zodat deze niet in slaap of in de slaapstand valt. Raadpleeg ons artikel over het beheren van energie-instellingen als u hulp nodig hebt.
Klik vervolgens op 'Gebruikers selecteren'.
Alle accounts in de groep Administrators hebben al toegang. Als u Extern bureaublad-toegang moet verlenen aan andere gebruikers, klikt u op "Toevoegen" en typt u de gebruikersnamen in.
Klik op "Namen controleren" om te controleren of de gebruikersnaam correct is ingevoerd en klik vervolgens op OK. Klik ook op OK in het venster Systeemeigenschappen.
Remote Desktop beveiligen
Je computer is op dit moment te verbinden via Remote Desktop (alleen op je lokale netwerk als je achter een router zit), maar er zijn nog meer instellingen die we moeten configureren om maximale veiligheid te bereiken.
Laten we eerst de voor de hand liggende oplossing bespreken. Alle gebruikers die u Extern bureaublad-toegang gaf, moeten over sterke wachtwoorden beschikken. Er zijn veel bots die voortdurend het internet scannen op kwetsbare pc's waarop Remote Desktop wordt uitgevoerd, dus onderschat het belang van een sterk wachtwoord niet. Gebruik meer dan acht tekens (12+ wordt aanbevolen) met cijfers, kleine letters en hoofdletters en speciale tekens.
Ga naar het menu Start of open een prompt Uitvoeren (Windows-toets + R) en typ "secpol.msc" om het menu Lokaal beveiligingsbeleid te openen.
Eenmaal daar, vouwt u 'Lokaal beleid' uit en klikt u op 'Toewijzing van gebruikersrechten'.
Dubbelklik op het "Toestaan aanloggen via Extern bureaublad-services" -beleid aan de rechterkant.
Het is onze aanbeveling om beide groepen die al in dit venster zijn vermeld, beheerders en Extern bureaublad-gebruikers te verwijderen. Klik daarna op "Gebruiker of groep toevoegen" en voeg handmatig de gebruikers toe aan wie u Extern bureaublad-toegang wilt verlenen. Dit is geen essentiële stap, maar het geeft u meer macht over welke accounts Remote Desktop kunnen gebruiken. Als u in de toekomst om een of andere reden een nieuw Administrator-account maakt en vergeet een sterk wachtwoord in te voeren, opent u uw computer voor hackers over de hele wereld als u de moeite niet neemt om de groep "Administrators" uit dit scherm te verwijderen.
Sluit het venster Lokaal beveiligingsbeleid en open de Editor voor lokaal groepsbeleid door 'gpedit.msc' in een prompt uitvoeren of het startmenu te typen..
Wanneer de Editor voor lokaal groepsbeleid wordt geopend, vouwt u Computerbeleid> Beheersjablonen> Windows-onderdelen> Extern bureaublad-services> Extern bureaublad-sessiehost uit en klikt u vervolgens op Beveiliging.
Dubbelklik op de instellingen in dit menu om hun waarden te wijzigen. Degenen die we aanbevelen aan te passen zijn:
Coderingsniveau voor clientverbindingen instellen: stel dit in op hoog niveau, zodat uw Remote Desktop-sessies beveiligd zijn met 128-bits codering.
Veilige RPC-communicatie vereisen - Stel dit in op Ingeschakeld.
Vereist het gebruik van specifieke beveiligingslaag voor externe (RDP) verbindingen - Stel dit in op SSL (TLS 1.0).
Vereist gebruikersverificatie voor externe verbindingen met behulp van netwerkniveauverificatie: stel dit in op Ingeschakeld.
Nadat deze wijzigingen zijn doorgevoerd, kunt u de Editor voor lokaal groepsbeleid sluiten. De laatste beveiligingsaanbeveling die we hebben is om de standaardpoort waarop Extern bureaublad luistert aan te passen. Dit is een optionele stap en wordt beschouwd als een beveiliging door onduidelijkheid, maar het feit is dat het wijzigen van het standaardpoortnummer de hoeveelheid schadelijke verbindingspogingen die uw computer ontvangt aanzienlijk vermindert. Uw wachtwoord en beveiligingsinstellingen moeten Remote Desktop onkwetsbaar maken, ongeacht de poort waarop wordt geluisterd, maar we kunnen net zo goed het aantal verbindingspogingen verminderen als we dit kunnen.
Beveiliging door obscuriteit: de standaard RDP-poort wijzigen
Extern bureaublad luistert standaard op poort 3389. Kies een vijfcijferig nummer van minder dan 65535 dat u wilt gebruiken voor uw aangepaste poortnummer voor Extern bureaublad. Met dat nummer in gedachten opent u de Register-editor door "regedit" in een Run-prompt of het Start-menu te typen.
Wanneer de Register-editor opent, vouw HKEY_LOCAL_MACHINE> SYSTEEM> CurrentControlSet> Besturing> Terminal Server> WinStations> RDP-Tcp> uit en dubbelklik vervolgens op "PortNumber" in het rechter venster..
Met de registersleutel PortNumber geopend, selecteert u "Decimaal" aan de rechterkant van het venster en typt u uw vijfcijferig nummer onder "Waardegegevens" aan de linkerkant.
Klik op OK en sluit vervolgens de Register-editor.
Omdat we de standaardpoort die Remote Desktop gebruikt, hebben gewijzigd, moeten we Windows Firewall configureren om inkomende verbindingen op die poort te accepteren. Ga naar het startscherm, zoek naar "Windows Firewall" en klik erop.
Wanneer Windows Firewall wordt geopend, klikt u op 'Geavanceerde instellingen' aan de linkerkant van het venster. Klik vervolgens met de rechtermuisknop op 'Inkomende regels' en kies 'Nieuwe regel'.
De "Wizard Nieuwe Inkomende Regel" verschijnt, selecteer Poort en klik op Volgende. Controleer op het volgende scherm of TCP is geselecteerd en voer vervolgens het poortnummer in dat u eerder hebt gekozen en klik op Volgende. Klik nog twee keer op de volgende omdat de standaardwaarden op de volgende paar pagina's goed zijn. Selecteer op de laatste pagina een naam voor deze nieuwe regel, zoals 'Aangepaste RDP-poort' en klik vervolgens op Voltooien.
Laatste stappen
Uw computer zou nu toegankelijk moeten zijn op uw lokale netwerk, specificeer of het IP-adres van de machine of de naam ervan, gevolgd door een dubbele punt en het poortnummer in beide gevallen, zoals:
Om toegang te krijgen tot uw computer van buiten uw netwerk, zult u hoogstwaarschijnlijk de poort op uw router moeten doorsturen. Daarna moet uw pc op afstand toegankelijk zijn vanaf elk apparaat met een Remote Desktop-client.
Als u zich afvraagt hoe u kunt bijhouden wie zich op uw pc aanmeldt (en waar vandaan), opent u Logboeken om te zien.
Nadat u Logboeken hebt geopend, vouwt u Toepassingen- en servicelogboeken> Microsoft> Windows> TerminalServices-LocalSessionManger uit en klikt u vervolgens op Operationeel.
Klik op een van de gebeurtenissen in het rechterdeelvenster om aanmeldingsgegevens te bekijken.