Доступ к локальным файлам и папкам в сеансе удаленного рабочего стола

Функция «Подключение к удаленному рабочему столу» (RDC) Windows позволяет удаленно просматривать и управлять удаленными рабочими столами Windows. Совместное использование ресурсов между вашим локальным и удаленным ПК может быть сложным, но можно обмениваться локальными файлами и папками через сеанс удаленного рабочего стола, используя RDC или другие инструменты удаленного рабочего стола, такие как TightVNC.

Инструкция по защите RDP подключения

В этой инструкции описаны рекомендуемые действия по защите Вашего сервера.

Переименуйте стандартную учетную запись администратора

Нажмите Win + X и выберите «Управление компьютером»:

Затем выберите «Локальные пользователи» —→ «Пользователи» —→ кликните правой кнопкой мыши по имени пользователя «Администратор» и выберите «Переименовать»:

Переименуйте пользователя и используйте это имя для последующих подключений к удаленному рабочему столу.

Блокировка RDP-подключений для учетных записей с пустым паролем

Усилить безопасность можно запретив подключаться к учетным записям с пустым паролем. Для этого нужно включить политику безопасности «Учетные записи»: разрешить использование пустых паролей только при консольном входе»:

  1. Откройте локальную политику безопасности (нажмите Win + R и введите команду )

  2. Перейдите в раздел «Локальные политики» –-> «Параметры безопасности».

         3. Дважды щелкните на политике «Учетные записи: разрешить использование пустых паролей…» и убедитесь, что она включена:

Вещь полезная, поэтому не оставляйте этот параметр без внимания.

Смена стандартного порта Remote Desktop Protocol

Не лишним будет сменить стандартный порт на котором работает протокол RDP. Как это сделать уже описано в наших инструкциях: Windows Server 2012 и Windows Server 2016.

Защита от буртфорса

Чтобы блокировать множественные попытки подключения с неверными данными, можно отслеживать журнал событий и вручную блокировать атакующие IP адреса посредством брандмауэра Windows или воспользоваться готовым приложением. Последний случай мы рассмотрим подробнее. 

Для блокировки атакующих IP адресов будем использовать свободно распратраняющееся ПО — IPBan. Это приложение проверено и работает в Windows Server 2008 и всех последующие версях. Windows XP и Server 2003 — не роддерживаются.  Алгоритм его работы простой: программа мониторит журнал событий Windows, фиксирует неудачные попытки входа в систему и, после 5-ти попыток злоумышленника подобрать пароль, блокирует IP адрес на 24 часа.

Итак:

  1. Cкачайте архив с программой здесь;
  2. В нем находятся два архива  и ,  нам нужен последний. Распакуйте архив  в любое удобное место (в примере это корень диска C: );
  3. Так как файлы скачанные с интернета система автоматически блокирует в целях безопасности, для работы приложения необходимо разблокировать все файлы. Щелкните правой кнопкой мыши на все извлеченные файлы и выберите свойства. Обязательно выберите «разблокировать», если этот параметр доступен. Либо, откройте окно PowerShell (Win + R, введитеpowershell и «ОК»)  и воспользуйтесь командой следующего вида: 

    get-childitem “местоположение папки” | unblock-file -confirm

    Например:

Читайте также:  Ноутбук Lenovo G40-30 – как установить Windows 7

 

     4. Вам нужно внести следующие изменения в локальную политику безопасности, чтобы убедиться, что в логах системы отображаются IP-адреса. Октройте «Локальную политику безопасности» (Win + R, введите и «OK «). Перейдите  в «Локальные политики» —> «Политика аудита» и включить регистрацию сбоев для «Аудита входа в систему» и «Аудита событий входа в систему»:

     5. Для Windows Server 2008 или эквивалентного вам следует отключить логины NTLM и разрешить только NTLM2-вход в систему. В Windows Server 2008 нет другого способа получить IP-адрес для входа в систему NTLM. Октройте «Локальную политику безопасности» (Win + R, введите и «OK «). Перейдите  в «Локальные политики» —> «Параметры безопасности» —> «Сетевая безопасность: Ограничения NTLM: входящий трафик NTLM» и установите значение «Запретить все учетные записи»:

     6. Теперь необходимо создать службу IPBan, чтобы приложение запускалось при старте системы и работало в фоновом режиме. Запустите оснастку PowerShell (Win + R, введитеpowershell и «ОК») и выпоните команду типа:

create IPBAN type= own start= auto binPath= c:»Каталог с программой» DisplayName= IPBAN

Например:

 Перейдите в службы (Win + R, введите и «OK «) и з апустите службу IPBAN , в дальнейшем она будет запускаться автоматически:

В «Диспетчере задач» можно убедиться, что служба запущена и работает:

Таким образом, программа следит за неудачными попытками авторизации и добавляет неугодные IP адреса в созданное правило для входящих подключений брандмауэра Windows:

Заблокированные IP адреса можно разблокировать вручную. Перейдите на вкладку «Область» в свойствах правила «IPBan_0» и удалите из списка нужный Вам IP адрес:

Инструкция по защите RDP подключения
Инструкция по защите RDP подключения
Инструкция по защите RDP подключения
Инструкция по защите RDP подключения
Инструкция по защите RDP подключения
Инструкция по защите RDP подключения
Инструкция по защите RDP подключения
Инструкция по защите RDP подключения
Инструкция по защите RDP подключения
Инструкция по защите RDP подключения
Инструкция по защите RDP подключения
Инструкция по защите RDP подключения
Инструкция по защите RDP подключения

Совместное использование файлов и папок через VNC

Хотя Windows поставляется с инструментом RDC, вы можете использовать другое стороннее программное обеспечение для подключения к удаленному рабочему столу для подключения к Windows и другим операционным системам. VNC является одним из наиболее популярных альтернативных протоколов RDP, с различными клиентами для подключения, которые вы можете использовать.

Совместное использование файлов и папок через VNC

RealVNC — это одна из самых популярных программных комбинаций VNC-сервер-клиент, но она поддерживает передачу файлов только по подписке Professional или Enterprise. Хорошей, бесплатной альтернативой для пользователей Windows является TightVNC , который допускает передачу файлов.

Для этого вам понадобится VNC-сервер, установленный на вашем удаленном рабочем столе. При установке TightVNC обычно устанавливаются как сервер, так и компоненты средства просмотра, если вы не настроите это в процессе установки.

Совместное использование файлов и папок через VNC
  • Если ваш удаленный VNC-сервер настроен, загрузите и установите TightVNC на локальном ПК. После установки откройте TightVNC Viewer и подключитесь к удаленному рабочему столу, введя свой IP-адрес в поле «Удаленный хост», а затем нажмите «Подключиться».
  • После подключения щелкните значок «Передача файлов» в строке меню TightVNC.
  • В окне TightVNC File Transfer выберите файлы и папки, которые вы хотите переместить из A в B (с локального компьютера на удаленный компьютер или наоборот). Нажмите кнопку >> или <<, чтобы начать передачу. Нажмите Да, чтобы подтвердить, что вы хотите начать передачу.
Читайте также:  Как проверить версию SMB в Windows 10/8/7

Как только вы согласитесь начать передачу, выбранные вами файлы и папки начнут копироваться. Если вы хотите отменить передачу, нажмите кнопку « Отмена» в нижней части окна.

Совместное использование файлов и папок через VNC

Если вы предпочитаете использовать другой клиент, вы можете вместо этого использовать программное обеспечение для передачи файлов, например WinSCP, для перемещения файлов между локальным и удаленным ПК с Windows.

Привязка к роутеру динамического DNS

Нам повезло, наш роутер D-Link DIR-615 имеет встроенную поддержку динамического DNS. Идём на соответствующую страницу «Tools» -» DYNAMIC DNS».

Настраиваем привязку динамического DNS к роутеру D-link DIR-615

Enable dynamic DNS — ставим галочку

Привязка к роутеру динамического DNS

Server address — адрес сервера, предоставившего динамический ДНС (в нашем случае это «» )

Host Name — доменное имя, которое мы себе выбрали

Username or Key — имя пользователя, которое мы себе выбрали при регистрации на сайте

Password or Key — пароль, который мы себе выбрали при регистрации на сайте

Verify Password or Key — повторить пароль

Timeout — оставляем как есть (576)

Привязка к роутеру динамического DNS

Через 15-20 минут после регистрации Status изменится на Connected, что обозначает, что привязка прошла успешно!

Настраиваем привязку динамического DNS к роутеру TP-LINK: Выбираем из списка наш сервис-провайдер (No-IP), вводим имя пользователя, пароль и доменное имя, полученные при его регистрации

Как настроить удалённый доступ через RDP (удалённый рабочий стол, терминал)

Подключения по протоколу RDP осуществляются на порт целевого 3389 компьютера. Что нужно сделать:

Шаг 1 Разрешить входящие RDP подключения на компьютере

Внимание! Осуществлять ВХОДЯЩИЕ подключение через Удалённый рабочий стол возможно к следующим редакциям ОС Windows: Windows XP Professional; Windows 7/8.1 Professional; Windows 7/8.1 Ultimate; Windows 7/8.1 Corporate.

В Windows XP Starter, Home Edition, в Windows Vista/7/8/8.1 Starter, Home Basic, Home Premium возможность входящих подключений отсутствует.

Для этого открываем Свойства системы (WIN+Break), нажимаем на ссылку Дополнительные параметры системы:

Переходим на вкладку Удалённый доступ, ставим переключатель в положение Разрешать подключения к этому компьютеру, снимаем галку Разрешать подключения только с компьютеров, на которых работает удалённый рабочий стол с проверкой подлинности на уровне сети (рекомендуется) и нажимаем ОК для применения настройки:

Шаг 2 Создать на компьютере учётную запись, под которой будет подключаться пользователь удалённого рабочего стола.

Читайте нашу статью Добавление учётной записи пользователя в Windows 8.1

Требование №1. Эта учётная запись обязательно должна иметь пароль. Согласно настроек по умолчанию локальной политики безопасности, учётным записям без пароля подключение по RDP запрещено. Разрешать удалённый доступ незапароленным учётным записям в политиках безопасности не рекомендуется. Это создаст угрозу несанкционированного доступа со стороны злоумышленников.

Читайте также:  [Книга] Введение в Windows Server 2016 на русском языке

Требование №2. Если пользователь НЕ является администратором на локальном компьютере, его необходимо добавить в группу Пользователи удалённого рабочего стола. Это можно сделать двумя способами.

Как разрешить пользователю без административных привилегий подключаться к удалённому рабочему столу

Способ первый.

Нажмите правой кнопкой по системному ярлыку Этот компьютер и выберите Управление:

В окне Управление компьютером выберите Локальные пользователи и группы => Пользователи:

В списке найдите нужного пользователя и двойным щелчком вызовите его свойства:

Перейдите на вкладку Членство в группах и нажмите кнопку Добавить:

Нажмите кнопку Дополнительно:

Затем, кнопку Поиск:

Выделите в списке группу Пользователи удалённого рабочего стола и нажмите OK:

В окнах Выбор группы и Свойства: <пользователь> нажмите OK:

Способ второй.

Вызовите свойства системы (Win+Break) , нажмите Дополнительные параметры:

Зайдите на вкладку Удалённый доступ и нажимаем кнопку Выбрать пользователей:

Нажмите кнопку Добавить:

Нажмите Дополнительно:

и Поиск:

В списке выберите учётную запись пользователя, которому хотите предоставить права для удалённого доступа, и нажмите OK:

Теперь нажмите OK в двух следующих окнах:

Шаг 3 Создать на роутере правило проброса, согласно которому при запросе на заданный порт подключение будет перенаправляться на порт 3389 нужного компьютера.

В роутерах D-Link нужный раздел может называться Virtual Server, как в D-Link DIR-615:

Также, он может называться Port Forwarding, как, например, в DIR-300:

Суть одна и та же:

  1. Даём произвольное имя правилу;
  2. Открываем НЕстандартный порт на роутере, который не занят (поле Public Port);
  3. Указываем IP-адрес целевого компьютера в сети, куда должен попадать удалённый пользователь (поле IP-Address);
  4. Указываем номер порта, через который работает приложение или служба на компьютере. В нашем случае, для службы сервера удалённых рабочий столов это порт 3389 (поле Private Port).

Если ваш провайдер выдаёт вашему роутеру динамический адрес, вам удобно воспользоваться службой Dynamic DNS. У компании D-Link есть свой сервис, где можно бесплатно зарегистрировать Интернет-адрес (т.е. домен) и настроить доступ к вашему роутеру и локальной сети через него.

Для настройки Dynamic DNS зайдите в раздел MAINTENANCE, выберите подраздел DDNS Settings и нажмите на ссылку Sign up… для перехода на сайт и регистрации домена. Затем настройте синхронизацию домена с IP-адресом роутера в области DYNAMIC DNS SETTINGS и сохраните настройки кнопкой Save Settings:

После этого можно будет подключаться не по IP-адресу, а по адресу вида :port