เพิ่มความปลอดภัย Remote Desktop บน Windows 10 โดยคอนฟิก Scope ใน Windows Firewall

บทความนี้ผมมีเทคนิคที่ช่วยเพิ่มความปลอดภัยให้การใช้งานเดสก์ท็อประยะไกล (Remote Desktop) บน Windows 10 มาฝาก เทคนิคที่ว่าคือ การกำหนด Scope ใน Windows Firewall ครับ

โดยปกติ เมื่อคุณทำการ เปิด Remote Desktop บน Windows 10 จะทำให้ Windows Firewall อนุญาตให้ทราฟิกขาเข้า (Inbound) จากทุกๆ หมายเลขไอพี (Any IP address) สามารถเชื่อมต่อไปยังบริการเดสก์ท็อประยะไกลได้ แต่พฤติกรรมดังกล่าวนี้อาจทำให้ระบบมีความเสี่ยงได้ ซึ่งคุณสามารถปิดจุดอ่อนหรือช่องโหว่นี้ได้โดยการจำกัดหมายเลขไอพีที่สามารถเชื่อมต่อผ่านเดสก์ท็อประยะไกลได้ ซึ่งทำได้โดยการคอนฟิก Scope ใน Windows Firewall

Scope เป็นคุณสมบัติของ Windows Firewall ที่ใช้อนุญาตทราฟิกขาเข้าหรือขาออกเฉพาะเครื่องพีซีที่มีหมายเลขไอพีที่กำหนด หรืออยู่ในซับเน็ต (Subnet) ที่กำหนด หรืออยู่ในช่วงหมายเลขไอพีที่กำหนดเท่านั้น ซึ่งคุณสามารถประยุกต์คุณสมบัติเพื่อเพิ่มความปลอดภัยในการให้บริการต่าง ๆ บน Windows รวมถึงการเชื่อมต่อเดสก์ท็อประยะไกล

ข้อควรทราบ: บทความนี้ใช้ Windows 10 Version 1607 (Anniversary Update) เป็นระบบอ้างอิง

การคอนฟิก Scope ใน Windows Firewall

วิธีการคอนฟิก Scope ใน Windows Firewall บน Windows 10 มีขั้นตอนดังนี้

1. เปิด Windows Firewall with Advanced Security โดยกดแป้นพิมพ์ Windows + R จากนั้นพิมพ์ wf.msc (ต้องป้อนนามสกุล .msc ด้วยนะครับ) ในช่อง Open เสร็จแล้วคลิก OK หรือกดปุ่ม Enter

ทิป: สามารถเปิด Windows Firewall with Advanced Security ได้โดยการค้นหา firewall ด้วย Cortana

2. บนหน้าต่าง Windows Firewall with Advanced Security ให้คลิก Inbound Rules จากนั้นดับเบิลคลิก Remote Desktop – User Mode (TCP-In)

รูปที่ 1

รูปที่ 2

3. บนหน้า Remote Desktop – User Mode (TCP-In) Properties คลิกแท็บ Scope จากนั้นในหัวข้อ Remote IP Address ให้คลิกเลือก These IP Address แล้วคลิก Add

รูปที่ 3

4. ทำการคอนฟิกหมายเลขไอพีของเครื่องพีซีที่มีหมายเลขไอพีที่กำหนดเท่านั้นที่สามารถทำการเชื่อมต่อเดสก์ท็อประยะไกลได้ตามตัวอย่างด้านล่าง

4.1: อนุญาตเฉพาะเครื่องพีซีที่มีหมายเลขไอพีที่กำหนด ให้คลิก This IP address or subnet แล้วป้อนหมายเลขไอพี เสร็จแล้วคลิก OK

รูปที่ 4 เป็นตัวอย่างการอนุญาตให้เครื่องพีซีที่มีหมายเลขไอพี 192.168.32.8 สามารถเชื่อมต่อแบบเดสก์ท็อประยะไกลได้

รูปที่ 4

4.2: อนุญาตเฉพาะเครื่องพีซีที่มีหมายเลขไอพีในซับเน็ตที่กำหนด ให้คลิก This IP address or subnet แล้วป้อนซับเน็ตที่ต้องการ เสร็จแล้วคลิก OK

รูปที่ 5 เป็นตัวอย่างการอนุญาตให้เครื่องพีซีที่มีหมายเลขไอพี 192.168.24.16/28 ซึ่งคือหมายเลขไอพี192.168.24.17 ถึง 192.168.24.31 สามารถเชื่อมต่อแบบเดสก์ท็อประยะไกลได้

รูปที่ 5

4.3: อนุญาตเฉพาะเครื่องพีซีที่มีหมายเลขไอพีในช่วงที่กำหนด ให้คลิก This IP address range แล้วป้อนหมายเลขไอพีเริ่มต้นในช่อง From และป้อนหมายเลขไอพีสิ้นสุดในช่อง To เสร็จแล้วคลิก OK

รูปที่ 6 เป็นตัวอย่างการอนุญาตให้เครื่องพีซีที่มีหมายเลขไอพี 192.168.16.1 – 192.168.16.10 สามารถเชื่อมต่อแบบเดสก์ท็อประยะไกลได้

รูปที่ 6

หลังจากทำการตั้งค่าแล้วเสร็จจะได้หน้า Scope ลักษณะดังรูปที่ 7 (ในการใช้งาน – ให้คุณป้อนด้วยหมายเลขไอพีที่ใช้งานจริง) หลังจากทำการตั้งค่าแล้วเสร็จให้คลิก OK จากนั้นปิดหน้าต่าง Windows Firewall with Advanced Security แล้วทำการเริ่มต้นระบบใหม่เพื่อให้การเปลี่ยนแปลงมีผล

รูปที่ 7

ผลการทำงาน

หลังจากทำการคอนฟิก Scope ใน Windows Firewall เสร็จเรียบร้อยแล้ว จะทำให้มีเฉพาะเครื่องพีซีที่มีหมายเลขไอพีที่กำหนด และอยู่ในซับเน็ตที่กำหนด และอยู่ในช่วงหมายเลขไอพีที่กำหนดเท่านั้นที่จะสามารถทำการเชื่อมต่อเดสก์ท็อประยะไกลได้

สามารถใช้วิธีนี้ร่วมกับ การเปลี่ยนพอร์ต Remote Desktop เพื่อยกระดับความปลอดภัยให้มากยิ่งขึ้น

แหล่งอ้างอิง
Configuring Windows Firewall and Network Access Protection

ประวัติการปรับปรุง
25 กุมภาพันธ์ 2561: ปรับปรุงเนื้อหา
31 ธันวาคม 2559: เผยแพร่ครั้งแรก