الصفحة الرئيسية » howto » كيفية تمكين وتأمين سطح المكتب البعيد على ويندوز

    كيفية تمكين وتأمين سطح المكتب البعيد على ويندوز

    في حين أن هناك العديد من البدائل ، يعد Remote Desktop من Microsoft خيارًا مثاليًا للوصول إلى أجهزة الكمبيوتر الأخرى ، ولكن يجب أن يكون مؤمَّنًا بشكل صحيح. بعد تطبيق الإجراءات الأمنية الموصى بها ، يعد Remote Desktop أداة قوية يستخدمها المهوسون ويتيح لك تجنب تثبيت تطبيقات الطرف الثالث لهذا النوع من الوظائف.

    تم إعداد هذا الدليل ولقطات الشاشة المصاحبة له في Windows 8.1 أو Windows 10. ومع ذلك ، يجب أن تكون قادرًا على اتباع هذا الدليل طالما أنك تستخدم أحد إصدارات Windows التالية:

    • ويندوز 10 من الفئة الفنية
    • ويندوز 8.1 برو
    • ويندوز 8.1 المؤسسة
    • ويندوز 8 المؤسسة
    • ويندوز 8 برو
    • ويندوز 7 الفنية
    • ويندوز 7 المؤسسة
    • ويندوز 7 في نهاية المطاف
    • ويندوز فيستا الأعمال
    • ويندوز فيستا في نهاية المطاف
    • ويندوز فيستا المؤسسة
    • ويندوز اكس بي من الفئة الفنية

    تمكين سطح المكتب البعيد

    أولاً ، نحتاج إلى تمكين سطح المكتب البعيد وتحديد المستخدمين الذين لديهم إمكانية الوصول عن بُعد إلى جهاز الكمبيوتر. اضغط على مفتاح Windows + R لإظهار موجه Run ، واكتب "sysdm.cpl".

    هناك طريقة أخرى للوصول إلى نفس القائمة وهي كتابة "هذا الكمبيوتر" في قائمة "ابدأ" ، ثم النقر بزر الماوس الأيمن فوق "هذا الكمبيوتر" والانتقال إلى الخصائص:

    في كلتا الحالتين سوف تظهر هذه القائمة ، حيث تحتاج إلى النقر فوق علامة التبويب "بعيد":

    حدد "السماح بالاتصالات عن بُعد لهذا الكمبيوتر" والخيار الوارد أدناه ، "السماح بالاتصالات فقط من أجهزة الكمبيوتر التي تعمل على سطح المكتب البعيد باستخدام مصادقة مستوى الشبكة".

    ليس من الضروري طلب مصادقة مستوى الشبكة ، ولكن القيام بذلك يجعل جهاز الكمبيوتر الخاص بك أكثر أمانًا من خلال حمايةك من Man في الهجمات المتوسطة. يمكن للأنظمة حتى لو كانت قديمة مثل Windows XP الاتصال بالمضيفين الذين لديهم مصادقة مستوى الشبكة ، لذلك لا يوجد سبب لعدم استخدامها.

    قد تحصل على تحذير حول خيارات الطاقة الخاصة بك عند تمكين سطح المكتب البعيد:

    إذا كان الأمر كذلك ، تأكد من النقر فوق الارتباط إلى خيارات الطاقة وتكوين جهاز الكمبيوتر الخاص بك حتى لا ينام أو يسب. راجع مقالتنا حول إدارة إعدادات الطاقة إذا كنت بحاجة إلى مساعدة.

    بعد ذلك ، انقر على "تحديد المستخدمين".

    سيكون لدى أي حسابات في مجموعة المسؤولين حق الوصول بالفعل. إذا كنت تريد منح الوصول إلى سطح المكتب البعيد لأي مستخدمين آخرين ، فقط انقر فوق "إضافة" واكتب أسماء المستخدمين.

    انقر فوق "التحقق من الأسماء" للتحقق من كتابة اسم المستخدم بشكل صحيح ، ثم انقر فوق موافق. انقر فوق موافق في إطار "خصائص النظام" أيضًا.

    تأمين سطح المكتب البعيد

    جهاز الكمبيوتر الخاص بك متصل حاليًا عبر سطح المكتب البعيد (فقط على شبكتك المحلية إذا كنت خلف جهاز توجيه) ، ولكن هناك بعض الإعدادات التي نحتاج إلى تكوينها لتحقيق أقصى درجات الأمان.

    أولاً ، دعنا نتناول الموضوع الواضح. يجب أن يكون لدى جميع المستخدمين الذين أعطتهم الوصول إلى "سطح المكتب البعيد" كلمات مرور قوية. هناك الكثير من برامج التتبع التي تفحص الإنترنت باستمرار لأجهزة الكمبيوتر الشخصية الضعيفة التي تعمل عن بعد ، لذا لا تقلل من أهمية كلمة المرور القوية. استخدم أكثر من ثمانية أحرف (أكثر من 12 حرفًا) مع أرقام وأحرف صغيرة وأحرف كبيرة وأحرف خاصة.

    اذهب إلى قائمة Start (ابدأ) أو افتح Run prompt (Windows Key + R) واكتب “secpol.msc” لفتح قائمة سياسة الأمن المحلية..

    بعد ذلك ، وسّع "السياسات المحلية" وانقر على "تعيين حقوق المستخدم".

    انقر نقرًا مزدوجًا فوق سياسة "السماح بتسجيل الدخول عبر خدمات سطح المكتب البعيد" المدرجة على اليمين.

    من المستحسن إزالة كل من المجموعات المدرجة بالفعل في هذه النافذة والمسؤولين ومستخدمي سطح المكتب البعيد. بعد ذلك ، انقر فوق "إضافة مستخدم أو مجموعة" وأضف المستخدمين الذين ترغب في منحهم الوصول إلى "سطح المكتب البعيد" يدويًا. هذه ليست خطوة أساسية ، ولكنها تمنحك المزيد من القوة على الحسابات التي تستخدم "سطح المكتب البعيد". إذا قمت في المستقبل بإنشاء حساب مسؤول جديد لسبب ما وننسى وضع كلمة مرور قوية عليه ، فأنت تقوم بفتح جهاز الكمبيوتر الخاص بك على المتسللين في جميع أنحاء العالم إذا لم تزعجك إزالة مجموعة "المسؤولين" من هذه الشاشة.

    إغلاق إطار "نهج الأمان المحلي" وفتح "محرر نهج المجموعة المحلي" بكتابة "gpedit.msc" إلى إما موجه تشغيل أو القائمة "ابدأ".

    عند فتح محرر نهج المجموعة المحلي ، قم بتوسيع نهج الكمبيوتر> قوالب الإدارة> مكونات Windows> خدمات سطح المكتب البعيد> استضافة جلسة سطح المكتب البعيد ، ثم انقر فوق الأمان.

    انقر نقرًا مزدوجًا فوق أي إعدادات في هذه القائمة لتغيير قيمها. تلك التي نوصي بتغييرها هي:

    تعيين مستوى تشفير اتصال العميل - قم بتعيين هذا إلى "مستوى عالي" بحيث يتم تأمين جلسات "سطح المكتب البعيد" مع تشفير 128 بت.

    يتطلب اتصال RPC آمن - قم بتعيين هذا إلى Enabled.

    يتطلب استخدام طبقة أمان محددة للاتصالات البعيدة (RDP) - قم بتعيين هذا إلى SSL (TLS 1.0).

    يتطلب مصادقة المستخدم للاتصالات عن بعد باستخدام "مصادقة مستوى الشبكة" - قم بتعيين هذا إلى ممكّن.

    بمجرد إجراء هذه التغييرات ، يمكنك إغلاق محرر نهج المجموعة المحلي. آخر توصية أمان لدينا هي تغيير المنفذ الافتراضي الذي يستمع عليه Remote Desktop. هذه خطوة اختيارية وتعتبر أمانًا من خلال الممارسة الغامضة ، ولكن الحقيقة هي أن تغيير رقم المنفذ الافتراضي يقلل بشكل كبير من مقدار محاولات الاتصال الخبيثة التي سيتلقاها جهاز الكمبيوتر الخاص بك. تحتاج كلمة المرور وإعدادات الأمان الخاصة بك إلى جعل سطح المكتب البعيد عرضة للخطر بغض النظر عن المنفذ الذي تستمع إليه ، ولكن قد نقوم أيضًا بتقليل عدد محاولات الاتصال إذا كان بإمكاننا.

    الأمن من خلال الغموض: تغيير منفذ RDP الافتراضي

    بشكل افتراضي ، يستمع سطح المكتب البعيد على المنفذ 3389. اختر رقمًا من خمسة أرقام أقل من 65535 ترغب في استخدامه لرقم منفذ سطح المكتب البعيد المخصص. مع وضع هذا الرقم في الاعتبار ، افتح محرر التسجيل عن طريق كتابة "regedit" في موجه Run أو القائمة Start.

    عند فتح محرر التسجيل ، قم بتوسيع HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Control> Terminal Server> WinStations> RDP-Tcp> ثم انقر نقرًا مزدوجًا فوق "PortNumber" في النافذة على اليمين.

    عند فتح مفتاح التسجيل PortNumber ، حدد "عشري" على الجانب الأيمن من النافذة ثم اكتب رقمك المكون من خمسة أرقام تحت "بيانات القيمة" على اليسار.

    انقر فوق موافق ثم أغلق محرر التسجيل.

    نظرًا لأننا قمنا بتغيير المنفذ الافتراضي الذي يستخدمه سطح المكتب البعيد ، فسنحتاج إلى تكوين جدار حماية Windows لقبول الاتصالات الواردة على هذا المنفذ. انتقل إلى شاشة البدء ، وابحث عن "جدار حماية Windows" ثم انقر فوقه.

    عند فتح جدار حماية Windows ، انقر فوق "إعدادات متقدمة" على الجانب الأيسر من النافذة. ثم انقر بزر الماوس الأيمن على "قواعد الوارد" واختر "قاعدة جديدة".

    سينبثق "معالج القاعدة الجديدة للداخل" ، حدد المنفذ وانقر فوق التالي. في الشاشة التالية ، تأكد من تحديد TCP ثم أدخل رقم المنفذ الذي اخترته سابقًا ، ثم انقر فوق التالي. انقر فوق التالي مرتين أخريين لأن القيم الافتراضية على الصفحات القليلة التالية ستكون جيدة. في الصفحة الأخيرة ، حدد اسمًا لهذه القاعدة الجديدة ، مثل "منفذ RDP مخصص" ، ثم انقر فوق "إنهاء".

    الخطوات الأخيرة

    يجب الآن الوصول إلى الكمبيوتر الخاص بك على الشبكة المحلية الخاصة بك ، فقط حدد إما عنوان IP الخاص بالجهاز أو اسمه ، متبوعًا بنقطتين ورقم المنفذ في كلتا الحالتين ، مثل:

    للوصول إلى جهاز الكمبيوتر الخاص بك من خارج شبكتك ، ستحتاج على الأرجح إلى إعادة توجيه المنفذ على جهاز التوجيه الخاص بك. بعد ذلك ، يجب أن يكون جهاز الكمبيوتر الخاص بك قابلاً للوصول عن بعد من أي جهاز يحتوي على عميل Remote Desktop.

    إذا كنت تتساءل كيف يمكنك تتبع من الذي يقوم بتسجيل الدخول إلى جهاز الكمبيوتر الخاص بك (ومن أين) ، يمكنك فتح "عارض الأحداث" لمشاهدة.

    بمجرد فتح Event Viewer ، قم بتوسيع Logs (التطبيقات والخدمات)> Microsoft> Windows> TerminalServices-LocalSessionManger ثم انقر فوق تشغيل.

    انقر على أي من الأحداث في الجزء الأيمن للاطلاع على معلومات تسجيل الدخول.