Objavljeno: 30.3.2021 | Avtor: Dominik Cigala | Monitor April 2021

Pogled skozi oddaljena okna

Minilo je leto dni, odkar smo se vsi prvič res zavedeli, da nam ni treba v pisarno, da bi lahko delali. Delo, učenje in zabava od doma potekajo iz dneva v dan bolj tekoče. Levji delež zaslug za neboleče povezovanje z računalniki, ki so ostali na oddaljeni lokaciji, ima Microsoftov programski pripomoček »Remote Desktop Connection«.

Ciljni računalnik

Nastavitve oddaljenega namizja določimo pred povezovanjem s ciljnim računalnikom.

Oddaljeni dostop do računalnika je v operacijskem sistemu Windows 10 treba najprej nastaviti v nastavitvah Sistem / Oddaljeno namizje (System / Remote Desktop), kjer prestavimo drsnik na Omogoči oddaljeno namizje, potrdimo odločitev z gumbom Potrdi ter pod Uporabniški računi izberemo uporabnike, ki bodo imeli pravico do tovrstnega dela na daljavo. Privzeto je računalnik vedno na voljo za povezovanje, ko je priključen, obenem pa je v zasebnih omrežjih samodejno viden drugim napravam. Obe nastavitvi spreminjamo z možnostjo Pokaži nastavitve, ki nas odpelje do ustreznih področij znotraj sistemskega upravljanja operacijskega sistema Windows 10.

Prvi korak na poti varnejšega oddaljenega povezovanja je sprememba privzetih vrat, skozi katera zahteve prihajajo na ciljni računalnik. Spremenimo jih ob pomoči urejevalnika sistemskega registra »Registry Editor«.

Stalno pripravljenost na povezovanje ter vidnost znotraj zasebnih omrežij spočetka brez skrbi pustimo pri miru, medtem ko je obisk Dodatnih nastavitev zelo priporočljiv. V njih najprej poskrbimo, da je kljukica pred opcijo, ki od računalnikov zahteva, da za vzpostavljanje povezave uporabijo preverjanje pristnosti na ravni omrežja, nato preberemo še navodila, kako nastaviti dostop za uporabnike zunaj lokalnega omrežja in kako zamenjati privzeta vrata, katerih vrednost čivkajo že vrabci na strehi (3389). Kje računalnik čaka na povezave od zunaj, spremenimo ob pomoči registra Registry Editor, s katerim zamenjamo vrednost ključa:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Ključ zamenjamo tako, da se v urejevalniku registra prikopljemo čez celo zgoraj navedeno pot, med končnimi možnostmi izbrskamo Port Number, jo dvakrat kliknemo, v novoodprtem oknu spremenimo Base iz Hexadeximal v Decimal in pod Value vpišemo želeno svežo številko vrat. Za uveljavitev sprememb registra je potreben ponovni zagon računalnika. Delovanje preverimo s sistemskim pripomočkom Windows PowerShell. Vanj vpišemo:

Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber"

PowerShell nam med drugim lahko prihrani tudi telovadbo z urejevalnikom registra, saj z enim ukazom preskočimo vse zgoraj opisano. Če želimo privzeta vrata oddaljenega povezovanja z Windows 10 spremeniti iz 3389 na, recimo, 3390, v PowerShell vpišemo:

Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber" -Value 3390

New-NetFirewallRule -DisplayName 'RDPPORTLatest' -Profile 'Public' -Direction Inbound -Action Allow -Protocol TCP -LocalPort 3390

Takisto je potreben ponovni zagon računalnika, saj PowerShell ne naredi drugega, kot namesto nas v registru prehodi navedeno pot in na cilju spremeni želeno vrednost ključa.

Varnost

Microsoftova povezava z oddaljenim namizjem je tako zelo priročna, da jo pri delu od doma uporablja ogromno število ljudi. Ravno zato je nadvse privlačna za nepridiprave, ki redno izkoriščajo protokol RDP, da se polastijo nadzora nad ranljivim računalnikom. Delo jim otežimo z že omenjenim spreminjanjem privzetih vrat, skozi katera spuščamo oddaljene povezave, ter z vrsto drugih prijemov, ki bodo (pre)trd oreh za še tako vztrajnega zlikovca.

Najpreprostejša, a vseeno izredno zmogljiva zaščita pred nepridipravi je povezava VPN. Gre za neke vrste posrednika, ki naše omrežne zahteve posreduje naprej. Če se prek VPN oddaljeno povezujemo z računalnikom v službi, pokličemo najprej strežnik navidezne zasebne povezave, ki nas šele poveže z želeno ciljno napravo. Tako dobimo lokalno IP-številko, s katero se predstavimo računalniku v službi. Videti je, kot bi prihajali iz istega omrežja. Zunanjih priklopov v tej postavitvi oddaljeni računalnik ne omogoča. In zlikovci ostanejo praznih rok!

Računalnike, ki se oddaljeno povezujejo z računalnikom, nam pomaga krotiti požarni zid »Windows Defender Firewall«.

Poleg VPN varuje RDP tudi dežurni požarni zid. Uporabimo lahko Windows Defender Firewall (Nastavitve / Požarni zid in zaščita omrežja), ki ga nastavimo tako, da omejimo dostop do RDP-vrat na eno IP-številko ali več. V Inbound rules poiščemo pravilo za RDP (Oddaljeno namizje – uporabniški način TCP in UDP) in ga z dvojnim klikom izberemo. Nato gremo na zavihek Scope in pod Remote IP Address potrdimo seznam varnih IP-naslovov z These IP addresses ter gumbom V redu.

Če se na računalnik prijavlja več ljudi z upraviteljskimi pravicami, jim je dobro omejiti dovoljenja za oddaljeni dostop. Omogočimo le tiste uporabnike, ki tak dostop res potrebujejo, ali izbrišemo lokalnega administratorja iz oddaljenega dostopa in v Local Security Policy nastavimo posebno skupino v Local Policies / User Rights Assigment / Allow logon through Terminal Services ali Allows logon through Remote Desktop Services, ki bo nato imela možnost dela na daljavo. Uporabnike skupini pridružimo po ustaljenem postopku dodajanja oziroma spreminjanja uporabnika na Nadzorni plošči operacijskega sistema Windows 10.

Uporabnike, ki se oddaljeno prijavljajo na računalnik, nadziramo prek sistemskega pripomočka »Local Security Policy«.

Z Local Security Policy po želji nastavimo še eno oviro za nepridiprave, ki si želijo dostopa do našega službenega računalnika. Da ne bi mogli z ugibanjem prodreti vanj, nastavimo sistem tako, da uporabnika po določenem številu neuspelih prijav zaklene ven. V Local Security Policy najprej poiščemo skupino varnostnih nastavitev Account Policies / Account Lockout Policy in omogočimo vse tri možnosti: število neuspelih prijav, ki sprožijo zaklepanje, Account lockout threshold, čas, ko bo račun ostal zaklenjen, Account lockout duration, ter ponastavitev števca Reset account lockout counter after.

Povezava

Med povezovanjem je precej verjetno, da naletimo na opozorilo o težavah s preverjanjem pristnosti oddaljenega računalnika.

Z oddaljenim računalnikom se v operacijskem sistemu Windows 10 povežemo tako, da zaženemo Povezavo z oddaljenim namizjem in vanjo vpišemo IP-naslov cilja. Dodatne možnosti razkrijemo z ukazom Pokaži možnosti. Tu poleg naslova oddaljenega računalnika vnesemo še uporabniško ime in geslo, s katerima se bomo na cilju prijavili. Vnesene podatke po želji shranimo s kljukico pred Dovoli, da shranim poverilnice. Med povezovanjem je precej verjetno, da naletimo na opozorilo o težavah s preverjanjem pristnosti oddaljenega računalnika. Ker ne gre za kaj kritičnega, obkljukamo Tega me ne sprašuj več za povezave s tem računalnikom, da se vmesnega koraka ob naslednjih enakih povezovanjih znebimo. Svojo odločitev potrdimo z gumbom Da.

Na zaslonu se pojavi namizje oddaljenega računalnika in vse je na prvi pogled tako, kot bi sedeli za mizo v pisarni podjetja. Edino, kar nas opominja, da vse ni čisto enako, je modri trak na vrhu zaslona, ki se prikaže, če na tem mestu spočijemo kazalec miške. Na njem sta poleg naslova in gumbov za upravljanje okna še pripenjanje zaslona ter informacija o kakovosti povezave. Vse druge nastavitve povezave so nam na voljo zgolj pred samim povezovanjem, zato se vrnemo na pogovorno okno z vnosom poverilnic.

Poleg zavihka Splošno, ki med drugim omogoča, da vse nastavitve shranimo v datoteko in jo prenesemo na drug računalnik, so nam na voljo tudi skupine Zaslon, Lokalna sredstva, Izkušnja in Dodatno. Z nastavitvami Zaslon nastavimo velikost prikaza oddaljenega računalnika ter barvno globino, z Lokalnimi sredstvi upravljamo zvok, tiskalnike in tipkovnico na drugi strani, z Izkušnjo prilagajamo prikaz kakovosti povezave, z Dodatno pa privzete nastavitve preverjanja pristnosti.

Z Microsoftovim oddaljenim namizjem nas znajo povezati tudi programski pripomočki drugih avtorjev, kakršen je »Jump Desktop« za Applove računalnike Mac.

S službenim računalnikom z operacijskim sistemom Windows 10 se lahko povežemo prek številnih domačih naprav, najrazličnejših okusov, med njimi tudi z Applovim računalnikom Mac. Program Microsoft Remote Desktop dobimo brezplačno na tržnici Mac App Store. Ko ga prvič zaženemo in mu podelimo zahtevana dovoljenja, dodamo oddaljeni računalnik z gumbom Add PC. Uporaba programskega pripomočka je podobna okenskemu, kjer vpišemo IP-naslov ali domensko ime ciljne naprave ter prijavne podatke uporabnika, ki zahteva delo z razdalje. Povezovanje maca z oddaljenim PC je omogočeno tudi z aplikacijami drugih avtorjev. Med boljšimi tovrstnimi programi je Jump Desktop.

Oddaljena povezava s telefonom je mogoča, a seveda ni najudobnejša.

Podobna je zgodba z mobilnimi napravami. Ne glede na okus (Android, iOS) se lahko prek njih povežemo z oddaljenim računalnikom z omogočenim Microsoftovim protokolom. Na ustrezni tržnici poiščemo aplikacijo Microsoft Remote Desktop in z gumbom Add PC vanjo zapečemo povezavo. Vnesti moramo IP-naslov ciljnega računalnika ter uporabniške podatke (Add User Account), če jih ne želimo vedno znova vpisovati (Ask When Required). Ko se mobilna naprava poveže z računalnikom, ves njen zaslon zavzame zaslonska površina oddaljenega PC. Na vrhu je vrstica s tremi gumbi – za povečevanje, dostop do nastavitev in priklic tipkovnice. Delo z malo napravo seveda ni najudobnejše, a je za razne drobnarije na poti več kot zadovoljivo in nam prihrani marsikateri izlet do domače pisalne mize.

Oddaljene skrivnosti

Prva ovira, na katero naletimo pri oddaljenem delu, je tiskanje. Na oddaljenem računalniku sicer delujejo vsi nanj priključeni tiskalniki, a je fizični rezultat tiskanja takisto oddaljen od nas. Če želimo datoteko z oddaljenega računalnika natisniti lokalno, jo moramo prej prenesti k sebi. RDP takšno kopiranje podpira s preprostim Kopiraj / Prilepi prijemom. Na oddaljeni mašini z desnim klikom na izbrani predmet uporabimo akcijo Kopiraj, nato na lokalnem računalniku po istem postopku še Prilepi. Datoteka se bo z oddaljene naprave prenesla na lokalni računalnik, kjer jo lahko brez težav natisnemo z bližnjim tiskalnikom.

Pošiljanje znanih kombinacij tipk na oddaljeni računalnik nam olajša navidezna tipkovnica.

Drugo težavo predstavlja tipkovnica. Medtem ko lokalna vnosna naprava na oddaljenem računalniku večino časa povsem lepo deluje, situacijo zapletejo posebne uporabniške zahteva, kakršna je naveza tipk Ctrl + Alt + Del, ki omogoča preklop med uporabniki, izpis, zaklepanje namizja ali priklic Upravitelja opravil (Task Manager), s katerim se znebimo kakšnega obstalega procesa, ki muči procesor ali pomnilnik RAM. Če kombinacijo tipk uporabimo med oddaljeno seanso, bo zaslon sicer videti enako kot običajno, a bodo akcije izvedene na lokalnem računalniku in ne na oddaljenem PC. Zagato nam pomaga rešiti navidezna tipkovnica, ki jo na računalniku z razdalje vklopimo s Start / osk.exe. Ctrl + Alt držimo pritisnjena na lokalnem računalniku, nakar na oddaljeni navidezni tipkovnici z miško označimo še Del. Opisana telovadba bo na zaslon uspešno priklicala zgoraj omenjene izbire in nam olajšala upravljanje računalnika na daljavo.

Šibko povezavo lahko izboljšamo z varčno uporabo virov oddaljenega računalnika. Če določenih zavihkov nekaj časa ne bomo potrebovali, je priporočljivo, da jih zapremo. Izogibamo se predvajanju video posnetkov ali video konferencam z oddaljenega računalnika ter redno zapiramo aplikacije, ki jih ne potrebujemo pri trenutno aktivni nalogi. In za konec še najpomembnejše, po končanem delu se odjavimo. Če oddaljeno povezavo preprosto zgolj prekinemo, smo zapuščeni računalnik brez potrebe izpostavili morebitni nevarnosti, za nameček pa se kaj lahko zgodi, da nas naslednji dan po ponovni prijavi pričaka neskončen črn zaslon, posledica nepravilne ali pretekle zadnje seanse oddaljenega povezovanja.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji