Jak nastavit domácí počítač pro bezpečný vzdálený přístup z práce nebo z cest

Představa, že sedíte v kavárně na druhém konci světa nebo v kanceláři a potřebujete se nutně dostat k souborům ve svém domácím počítači, je dnes zcela běžná. Ať už jde o zapomenutý pracovní dokument, rodinné fotografie nebo přístup k domácímu serveru.

Vzdálený přístup nám dává obrovskou svobodu, ale pokud je nastaven nesprávně, otevírá dveře kyberzločincům. Nechat počítač „jen tak“ přístupný z internetu je jako odejít z domu a nechat klíče v zámku. Pojďme si ukázat, jak vzdálený přístup nastavit tak, aby byl maximálně pohodlný, ale zároveň stoprocentně bezpečný.

1. Zlaté pravidlo: Zapomeňte na běžné RDP bez ochrany

Pokud používáte systém Windows Pro, pravděpodobně znáte integrovanou funkci Vzdálená plocha (RDP). Je to skvělý a rychlý nástroj, ale má jednu obrovskou slabinu – standardně naslouchá na portu 3389.

Útočníci neustále skenují celý internet a hledají počítače s tímto otevřeným portem. Jakmile ho najdou, spustí takzvaný brute-force útok (automatické zkoušení tisíců hesel za sekundu), dokud se do vašeho PC neprolomí.

Základní bezpečnostní pravidlo: Nikdy neprovádějte tzv. „port forwarding“ portu RDP (3389) přímo na vašem domácím routeru do internetu.

2. Bezpečné cesty: Jak se připojit správně

Abyste mohli s počítačem bezpečně komunikovat, musíte mezi ním a vaším notebookem na cestách vytvořit šifrovaný tunel. Máte dvě hlavní (a bezpečné) možnosti:

Možnost A: Vlastní domácí VPN (Nejprofesionálnější řešení)

Místo otevírání počítače světu otevřete pouze jeden zabezpečený vstupní bod – VPN (Virtuální privátní síť). Když se na cestách připojíte k vlastní domácí VPN, váš notebook se začne chovat tak, jako by byl fyzicky doma připojený k vaší Wi-Fi.

• WireGuard nebo OpenVPN: Moderní routery (např. Asus, Synology, nebo systémy s OpenWrt) mají dnes v sobě VPN server integrovaný. Stačí ho aktivovat v nastavení routeru, stáhnout si konfigurační soubor do mobilu či notebooku a připojovat se přes něj. WireGuard je aktuálně nejrychlejší a nejbezpečnější volbou.

Možnost B: Služby s nulovou konfigurací (Meshnet)

Pokud se nechcete vrtat v nastavení routeru a nemáte veřejnou IP adresu, existují geniální moderní služby, které šifrovaný tunel vytvoří za vás na pozadí.

• Tailscale nebo NetBird: Tyto služby fungují na bázi protokolu WireGuard. Nainstalujete aplikaci na domácí PC a na notebook na cestách, přihlásíte se pod stejným účtem a obě zařízení se bezpečně propojí přes šifrovanou síť, i kdybyste seděli za třemi firewally. Pro osobní použití jsou zcela zdarma.

3. Komerční programy (TeamViewer, Anydesk, RustDesk)

Pokud preferujete klasické programy pro vzdálenou správu, kde stačí zadat ID a heslo, můžete je použít, ale musíte je správně zabezpečit:

• Dvoufázové ověření (2FA): Toto je naprostá nutnost. I kdyby útočník zjistil vaše heslo k TeamVieweru, bez šestimístného kódu z vaší autentizační aplikace v mobilu (např. Google Authenticator) se do počítače nedostane.
• Whitelist (Seznam povolených): V nastavení programu povolte přístup pouze konkrétním ID zařízením (např. pouze vašemu pracovnímu notebooku). Všechna ostatní spojení program automaticky zahodí.
• RustDesk jako open-source alternativa: Pokud nechcete svá data posílat přes servery cizích komerčních firem, skvělou moderní alternativou je RustDesk, u kterého si můžete spustit i vlastní propojovací server.

4. Checklist pro zabezpečení samotného počítače

Než poprvé odjedete z domu, ujistěte se, že samotný domácí počítač je připraven na obranu:

1. Silné systémové heslo: Žádné 12345 nebo jméno pejska. Pokud se přihlašujete k účtu Windows, používejte komplexní heslo.
2. Zakažte spánek (ale nechte vypnutý monitor): Počítač se pro vzdálený přístup nesmí uspat, jinak se k němu nepřipojíte. V nastavení napájení zvolte „Při napájení ze sítě nikdy neusínat“. Monitor samozřejmě fyzicky vypněte tlačítkem.
3. Funkce Wake-on-LAN (Pro pokročilé): Pokud nechcete, aby počítač běžel 24/7 a pálil elektřinu, nastavte si v BIOSu a na síťové kartě funkci Wake-on-LAN. Počítač pak můžete na dálku „probudit“ posláním speciálního signálu (tzv. magic packetu) přes váš router a po dokončení práce ho zase vypnout.
4. Jak by měl vypadat ideální postup?

Na cestách zapnete notebook a připojíte se na hotelovou Wi-Fi. Zapnete aplikaci Tailscale (nebo se připojíte k domácí WireGuard VPN). V tu chvíli jste virtuálně doma. Následně spustíte klasickou Vzdálenou plochu (RDP) a zadáte vnitřní IP adresu vašeho počítače. Pracujete bezpečně, šifrovaně a nikdo na internetu nemá šanci zjistit, že váš počítač s okolím komunikuje.