Подробный гайд: Настройка RDP на Windows 11 через локальные политики

Настройка RDP на Windows 11 через локальные политики: включение удалённого доступа, безопасность, брандмауэр, добавление пользователей.

2026.04.23                  

Подробный гайд: Настройка RDP на Windows 11 через локальные политикиПодробный гайд: Настройка RDP на Windows 11 через локальные политики

Важно:

  • Функция удалённого рабочего стола (хост) доступна только в редакциях Windows 11 Pro, Enterprise и Education. В редакции Home сервер RDP отсутствует по умолчанию (возможны обходные пути через RDP Wrapper, но это нарушает лицензионное соглашение).

Предварительные требования

  1. Учётная запись с правами Администратора
  2. У пользователя, подключающегося по RDP, должен быть установлен пароль (пустые пароли блокируются политиками безопасности)
  3. Редакция Windows 11: Pro, Enterprise или Education

Шаг 1: Включение RDP через локальные политики (gpedit.msc)

1.1. Запуск редактора локальной групповой политики

Win + R → gpedit.msc → Enter

1.2. Разрешение удалённых подключений

Перейдите по пути:

Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Службы удалённых рабочих столов → Узел сеансов удалённых рабочих столов → Подключения
Политика Значение Описание
Разрешить пользователям удалённо подключаться с помощью служб удалённых рабочих столов Включено Разрешает входящие RDP-подключения
Требовать использование проверки подлинности на уровне сети (NLA) Включено (рекомендуется) Дополнительный уровень безопасности перед установкой сессии

1.3. Настройка количества сессий (опционально)

Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Службы удалённых рабочих столов → Узел сеансов удалённых рабочих столов → Сеансы
Политика Рекомендация
Ограничить количество подключений Установите нужное число (по умолчанию — 2 для администраторов)
Ограничить количество одновременных подключений для одного пользователя Отключено (если нужно несколько сессий с одного аккаунта)

Шаг 2: Настройка локальных политик безопасности (secpol.msc)

2.1. Запуск оснастки

Win + R → secpol.msc → Enter

2.2. Назначение прав пользователя

Перейдите:

  • Локальные политики → Назначение прав пользователя
Политика Действие
Разрешить вход через службы удалённых рабочих столов Добавьте группу Пользователи удалённого рабочего стола и нужных пользователей. Удалите лишние учётные записи, если требуется ограничить доступ
Отклонить локальный вход Убедитесь, что нужные пользователи НЕ в этой группе

2.3. Политики блокировки учётных записей (защита от брутфорса)

Перейдите:

  • Политики учётных записей → Политики блокировки учётных записей
Параметр Рекомендуемое значение
Порог блокировки учётной записи 3–5 неудачных попыток
Длительность блокировки 15–30 минут
Сброс счётчика блокировки 15–30 минут

2.4. Политики паролей (рекомендуется)

  • Политики учётных записей → Политика паролей
  • Минимальная длина пароля: 12+ символов
  • Требовать сложность пароля: Включено
  • Максимальный срок действия пароля: 90 дней (по политике безопасности организации)

Шаг 3: Настройка брандмауэра

3.1. Через оснастку брандмауэра

Win + R → wf.msc → Enter
  1. Перейдите в Правила для входящих подключений
  2. Найдите группу правил: Удалённый рабочий стол (TCP/UDP-In)
  3. Убедитесь, что правила включены для нужных профилей (Домен, Частная, Публичная)

3.2. Через PowerShell (альтернатива)

# Разрешить RDP (TCP 3389)
New-NetFirewallRule -DisplayName "RDP_TCP" -Direction Inbound -LocalPort 3389 -Protocol TCP -Action Allow

# Разрешить RDP (UDP 3389 — для улучшения производительности)
New-NetFirewallRule -DisplayName "RDP_UDP" -Direction Inbound -LocalPort 3389 -Protocol UDP -Action Allow

Шаг 4: Дополнительные настройки (опционально)

4.1. Изменение порта RDP (повышение безопасности через «неизвестность»)

Не является полноценной защитой, но снижает количество автоматических атак.

regedit → HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
  • Параметр: PortNumber (тип: DWORD, десятичный)
  • Задайте новый порт, например: 3390
  • Не забудьте обновить правила брандмауэра и подключаться как 192.168.1.100:3390

4.2. Отключение UDP-транспорта (при проблемах с подключением)

Если возникают разрывы или «чёрный экран»:

gpedit.msc → Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Службы удалённых рабочих столов → Клиент подключения к удалённому рабочему столу

→ Включите политику: Отключение UDP на клиенте

4.3. Настройка через реестр (если gpedit недоступен)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"fDenyTSConnections"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"UserAuthentication"=dword:00000001

Шаг 5: Добавление пользователей для доступа

Через оснастку «Управление компьютером»

Win + R → compmgmt.msc → Локальные пользователи и группы → Группы
  1. Откройте группу Пользователи удалённого рабочего стола (Remote Desktop Users)
  2. Добавьте нужных пользователей или группы

Через командную строку (администратор)

net localgroup "Пользователи удалённого рабочего стола" username /add

Шаг 6: Проверка и тестирование

1. Проверьте службу:
   Win + R → services.msc → Службы удалённых рабочих столов (Remote Desktop Services)

→ Тип запуска: Вручную или Автоматически, статус: Выполняется

2. Протестируйте подключение:
   Win + R → mstsc.exe → введите IP-адрес или имя компьютера
3. Проверка нескольких сессий:
  • Подключитесь с двух разных устройств под разными учётными записями
  • Убедитесь, что сессии не завершают друг друга

Устранение частых проблем

Проблема Решение
«Неверный пароль» при подключении Убедитесь, что используется локальная учётная запись с паролем. Для учётных записей Microsoft используйте полный email и пароль от аккаунта
«Подключение не установлено» Проверьте брандмауэр, статус службы RDP, и что порт 3389 открыт
Чёрный экран после подключения Отключите UDP (см. Шаг 4.2), обновите драйверы видеокарты
Ошибка сертификата При подключении в локальной сети можно игнорировать предупреждение, либо настроить сертификат
Политика блокирует вход Проверьте secpol.msc → Назначение прав пользователя → Разрешить вход через службы удалённых рабочих столов

Рекомендации по безопасности

  1. Используйте NLA (аутентификация на уровне сети) — включено по умолчанию в Windows 11
  2. Применяйте сложные пароли и регулярно их меняйте
  3. Ограничьте доступ через брандмауэр только доверенным подсетям
  4. Включите аудит событий входа (secpol.msc → Политики аудита)
  5. Не открывайте порт 3389 напрямую в интернет без дополнительной защиты

Примечание:

  • Если вы используете Windows 11 Home, редакторы gpedit.msc и secpol.msc отсутствуют. Их можно добавить вручную, либо использовать сторонние решения (например, RDP Wrapper), однако это не поддерживается Microsoft и может нарушать лицензионное соглашение.
×

Полный размер Слайдшоу Предыдущий Следующий