So aktivieren und sichern Sie Remote Desktop unter Windows
Obwohl es viele Alternativen gibt, ist der Remotedesktop von Microsoft eine durchaus praktikable Option für den Zugriff auf andere Computer. Er muss jedoch ordnungsgemäß gesichert sein. Nach der Einführung der empfohlenen Sicherheitsmaßnahmen ist Remote Desktop ein leistungsfähiges Werkzeug für Geeks, mit dem Sie die Installation von Drittanbieter-Apps für diese Art von Funktionalität vermeiden können.
Dieses Handbuch und die dazugehörigen Screenshots wurden für Windows 8.1 oder Windows 10 erstellt. Sie sollten diesem Handbuch jedoch folgen können, solange Sie eine dieser Editionen von Windows verwenden:
- Windows 10 Professional
- Windows 8.1 Pro
- Windows 8.1 Enterprise
- Windows 8 Enterprise
- Windows 8 Pro
- Windows 7 Professional
- Windows 7 Enterprise
- Windows 7 Ultimate
- Windows Vista Business
- Windows Vista Ultimate
- Windows Vista Enterprise
- Windows XP Professional
Aktivieren von Remote Desktop
Zunächst müssen Sie Remote Desktop aktivieren und auswählen, welche Benutzer über Fernzugriff auf den Computer verfügen. Drücken Sie die Windows-Taste + R, um eine Ausführungsaufforderung aufzurufen, und geben Sie "sysdm.cpl" ein.
Eine andere Möglichkeit, zum selben Menü zu gelangen, besteht darin, "This PC" im Startmenü einzugeben. Klicken Sie mit der rechten Maustaste auf "This PC" und gehen Sie zu Eigenschaften:
In beiden Fällen wird dieses Menü angezeigt, in dem Sie auf die Registerkarte Remote klicken müssen:
Wählen Sie "Remoteverbindungen zu diesem Computer zulassen" und die Option darunter: "Nur Verbindungen von Computern zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird."
Es ist keine Notwendigkeit, eine Authentifizierung auf Netzwerkebene zu verlangen, aber dadurch wird Ihr Computer sicherer, da er Sie vor Angriffen von "Man in the Middle" schützt. Systeme, die so alt wie Windows XP sind, können sich mit Hosts mit Authentifizierung auf Netzwerkebene verbinden. Es gibt also keinen Grund, sie nicht zu verwenden.
Wenn Sie Remote Desktop aktivieren, wird möglicherweise eine Warnung zu den Energieoptionen angezeigt:
Wenn dies der Fall ist, klicken Sie auf den Link zu Energieoptionen und konfigurieren Sie Ihren Computer so, dass er nicht einschlafen oder in den Ruhezustand gehen kann. Wenn Sie Hilfe benötigen, lesen Sie unseren Artikel zum Verwalten von Energieeinstellungen.
Klicken Sie anschließend auf "Benutzer auswählen".
Alle Konten in der Gruppe Administratoren haben bereits Zugriff. Wenn Sie anderen Benutzern Zugriff auf den Remotedesktop gewähren müssen, klicken Sie einfach auf „Hinzufügen“ und geben Sie die Benutzernamen ein.
Klicken Sie auf "Namen überprüfen", um zu überprüfen, ob der Benutzername korrekt eingegeben wurde, und klicken Sie dann auf OK. Klicken Sie auch im Fenster Systemeigenschaften auf OK.
Remote-Desktop sichern
Ihr Computer kann derzeit über Remotedesktop verbunden werden (nur in Ihrem lokalen Netzwerk, wenn Sie sich hinter einem Router befinden). Es sind jedoch einige weitere Einstellungen erforderlich, die Sie konfigurieren müssen, um maximale Sicherheit zu erreichen.
Lassen Sie uns zunächst das Offensichtliche ansprechen. Alle Benutzer, die Sie mit dem Remotedesktop-Zugriff versehen haben, benötigen sichere Kennwörter. Es gibt viele Bots, die das Internet ständig nach anfälligen PCs durchsuchen, auf denen Remote Desktop ausgeführt wird. Unterschätzen Sie also nicht die Wichtigkeit eines starken Passworts. Verwenden Sie mehr als acht Zeichen (12+ wird empfohlen) mit Zahlen, Klein- und Großbuchstaben sowie Sonderzeichen.
Gehen Sie zum Startmenü oder öffnen Sie eine Eingabeaufforderung (Windows-Taste + R) und geben Sie "secpol.msc" ein, um das Menü "Lokale Sicherheitsrichtlinie" zu öffnen.
Erweitern Sie dort "Lokale Richtlinien" und klicken Sie auf "Zuweisen von Benutzerrechten".
Doppelklicken Sie auf die rechts aufgeführte Richtlinie "Zulassen der Anmeldung über Remote Desktop Services".
Wir empfehlen, beide Gruppen, die bereits in diesem Fenster aufgeführt sind, Administratoren und Remotedesktopbenutzer zu entfernen. Klicken Sie anschließend auf "Benutzer oder Gruppe hinzufügen" und fügen Sie manuell die Benutzer hinzu, denen Sie Remotedesktop-Zugriff gewähren möchten. Dies ist kein wesentlicher Schritt, aber es gibt Ihnen mehr Möglichkeiten, welche Konten Remotedesktop verwenden können. Wenn Sie in Zukunft aus irgendeinem Grund ein neues Administratorkonto erstellen und vergessen, ein sicheres Kennwort einzugeben, öffnen Sie Ihren Computer für Hacker auf der ganzen Welt, wenn Sie sich nicht die Mühe gemacht haben, die Gruppe "Administratoren" von diesem Bildschirm zu entfernen.
Schließen Sie das Fenster "Lokale Sicherheitsrichtlinie" und öffnen Sie den Editor für lokale Gruppenrichtlinien, indem Sie "gpedit.msc" entweder in eine Eingabeaufforderung oder in das Startmenü eingeben.
Erweitern Sie beim Öffnen des lokalen Gruppenrichtlinien-Editors Computerrichtlinie> Administrative Vorlagen> Windows-Komponenten> Remotedesktopdienste> Remotedesktop-Sitzungshost, und klicken Sie dann auf Sicherheit.
Doppelklicken Sie in diesem Menü auf die Einstellungen, um deren Werte zu ändern. Wir empfehlen zu ändern:
Festlegen der Verschlüsselungsebene für die Clientverbindung - Setzen Sie diese Option auf High Level, damit Ihre Remote Desktop-Sitzungen mit einer 128-Bit-Verschlüsselung gesichert werden.
Sichere RPC-Kommunikation erforderlich - Setzen Sie diese Option auf Aktiviert.
Verwendung bestimmter Sicherheitsschichten für Remote-Verbindungen (RDP-Verbindungen) erforderlich - Legen Sie SSL fest (TLS 1.0)..
Benutzerauthentifizierung für Remoteverbindungen mithilfe der Authentifizierung auf Netzwerkebene erforderlich - Setzen Sie diese Option auf Aktiviert.
Sobald diese Änderungen vorgenommen wurden, können Sie den Editor für lokale Gruppenrichtlinien schließen. Die letzte Sicherheitsempfehlung besteht darin, den Standard-Port zu ändern, auf den Remote Desktop zugreift. Dies ist ein optionaler Schritt und wird als Sicherheitsmaßnahme durch Unbekanntheit angesehen. Die Änderung der Standard-Portnummer verringert jedoch die Anzahl böswilliger Verbindungsversuche, die Ihr Computer erhält. Ihre Kennwort- und Sicherheitseinstellungen müssen Remotedesktop unverletzlich machen, unabhängig davon, an welchem Port er gerade abhört, aber wir können auch die Anzahl der Verbindungsversuche reduzieren, wenn wir können.
Sicherheit durch Unbekanntheit: Ändern des Standard-RDP-Ports
Standardmäßig wartet Remote Desktop auf Port 3389. Wählen Sie eine fünfstellige Nummer unter 65535 aus, die Sie für Ihre benutzerdefinierte Remote Desktop-Portnummer verwenden möchten. Öffnen Sie unter Berücksichtigung dieser Nummer den Registrierungseditor, indem Sie in einer Eingabeaufforderung oder im Startmenü "regedit" eingeben.
Erweitern Sie nach dem Öffnen des Registrierungs-Editors HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Control> Terminal Server> WinStations> RDP-Tcp> und doppelklicken Sie dann im rechten Fenster auf "PortNumber".
Wählen Sie bei geöffnetem Registrierungsschlüssel PortNumber auf der rechten Seite des Fensters „Dezimal“ aus und geben Sie dann Ihre fünfstellige Zahl unter „Wertdaten“ auf der linken Seite ein.
Klicken Sie auf OK und schließen Sie den Registrierungseditor.
Da wir den von Remote Desktop verwendeten Standardport geändert haben, müssen wir die Windows-Firewall so konfigurieren, dass eingehende Verbindungen an diesem Port akzeptiert werden. Gehen Sie zum Startbildschirm, suchen Sie nach „Windows Firewall“ und klicken Sie darauf.
Wenn die Windows-Firewall geöffnet wird, klicken Sie links im Fenster auf "Erweiterte Einstellungen". Klicken Sie dann mit der rechten Maustaste auf "Eingehende Regeln" und wählen Sie "Neue Regel".
Der Assistent für neue eingehende Regeln wird angezeigt. Wählen Sie Port und klicken Sie auf Weiter. Vergewissern Sie sich im nächsten Bildschirm, dass TCP ausgewählt ist, und geben Sie die zuvor gewählte Portnummer ein. Klicken Sie anschließend auf Weiter. Klicken Sie zwei weitere Male auf next, da die Standardwerte auf den nächsten paar Seiten in Ordnung sind. Wählen Sie auf der letzten Seite einen Namen für diese neue Regel aus, z. B. „Benutzerdefinierter RDP-Port“, und klicken Sie dann auf Fertig stellen.
Letzte Schritte
Ihr Computer sollte jetzt in Ihrem lokalen Netzwerk erreichbar sein. Geben Sie einfach entweder die IP-Adresse des Computers oder den Namen des Computers an, gefolgt von einem Doppelpunkt und der Portnummer, und zwar in beiden Fällen:
Um auf Ihren Computer von außerhalb Ihres Netzwerks zuzugreifen, müssen Sie höchstwahrscheinlich den Port Ihres Routers weiterleiten. Danach sollte auf Ihren PC von jedem Gerät aus, auf dem ein Remote Desktop-Client installiert ist, ein Fernzugriff möglich sein.
Wenn Sie sich fragen, wie Sie nachverfolgen können, wer sich an Ihrem PC anmeldet (von wo aus), können Sie die Ereignisanzeige öffnen.
Erweitern Sie nach dem Öffnen der Ereignisanzeige Anwendungen und Dienstprotokolle> Microsoft> Windows> TerminalServices-LocalSessionManger, und klicken Sie dann auf Betrieb.
Klicken Sie auf ein Ereignis im rechten Fensterbereich, um die Anmeldeinformationen anzuzeigen.