Zdalne łączenie komputera z systemem Windows z komputerem-hostem wykorzystuje zastrzeżony protokół komunikacji sieciowej firmy Microsoft, znany jako Remote Desktop Protocol (RDP).
TCP 3389 to domyślny port przypisany do protokołu RDP na komputerze. Ale powinieneś to zmienić. Oto dlaczego warto wprowadzić zmianę, jak to zrobić i jak skonfigurować reguły zapory systemu Windows dla niestandardowego portu RDP.
Dlaczego warto zmienić port RDP
TCP 3389, domyślny port RDP dla wszystkich połączeń zdalnych, znajduje się na radarze hakerów. Oni używają ataki brutalnej siły oraz inne metody odgadywania danych logowania w celu uzyskania dostępu do protokołu TCP 3389. Po wejściu mogą kraść lub szyfrować poufne dane, instalować złośliwe oprogramowanie i robić wszystko, co im się podoba na komputerach zdalnych.
Gdy zmienisz domyślny numer portu RDP z 3389 na inny wolny port, hakerom trudno będzie odgadnąć, którego portu RDP używasz. Zmiana portu RDP jest szczególnie przydatna, gdy wyłączyłeś uwierzytelnianie na poziomie sieci (NLA).
Czasami kilka zapór jest skonfigurowanych tak, aby domyślnie blokowały komunikację przychodzącą i wychodzącą do i z portu 3389, aby uniemożliwić hakerom dostęp do portu 3389. Zmiana domyślnego portu RDP może być jednym ze sposobów obejścia tych zapór ogniowych.
Jak sprawdzić domyślny numer portu RDP komputera
Naciskać Okna + Xi otwórz Terminal (administrator). Wklej następujące polecenie w programie Windows PowerShell i naciśnij Wchodzić.
Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' - nazwa "Numer portu"
Znalazłeś domyślny port RDP swojego komputera.
Jak zmienić port RDP
Możesz zmienić domyślny port RDP TCP komputera na nowy, wprowadzając kilka poprawek w Edytorze rejestru. Proces jest prosty.
Ale najpierw gorąco polecamy wykonaj kopię zapasową rejestru systemu Windows aby można było szybko go przywrócić, jeśli coś pójdzie nie tak. Oto jak to zrobić.
Naciskać Okna + R otworzyć Uruchomići wpisz „regedit” w polu wyszukiwania. Naciskać OK aby otworzyć Edytor rejestru.
Kliknij prawym przyciskiem myszy Komputer i wybierz Eksport z menu kontekstowego.
Eksportuj plik rejestru poprosi o wybranie lokalizacji i nazwy pliku dla wyeksportowanych plików rejestracyjnych. Wybierz lokalizację i wyeksportuj rejestr z nazwą, którą łatwo zapamiętasz.
Po utworzeniu kopii zapasowej rejestru systemu Windows wykonaj poniższe czynności, aby zmienić port RDP. W tym przykładzie wybraliśmy port 51289, aby stał się portem nasłuchującym RDP dla usługi zdalnego pulpitu.
Otwórz Edytor rejestru systemu Windows i wklej następujące polecenie w pasku wyszukiwania. Naciskać Wchodzić aby przejść do ustawień protokołu RDP-TCP.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Przewiń w dół na prawym pasku bocznym, aż dojdziesz Numer portu. Kliknij go dwukrotnie, aby edytować. Wybierz Dziesiętny opcję radiową w oknie edycji i wprowadź żądany numer portu (51289) w Dane wartości pole. Kliknij OK kontynuować.
Zamknij Edytor rejestru systemu Windows i uruchom ponownie komputer. Pomyślnie zmieniłeś domyślny port RDP komputera na 51289.
Możesz także zmienić domyślny port RDP za pomocą polecenia Windows PowerShell.
Uruchom Windowsa Terminal (administrator)i wklej następujące polecenie programu PowerShell w oknie poleceń. Następnie naciśnij Wchodzić.
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Nazwa numer portu -wartość 51289
Domyślny port RDP na komputerze z systemem Windows został zmieniony na niestandardowy port RDP: 51289. Twój komputer będzie teraz używał portu 51289 do łączenia pulpitu zdalnego.
Jak wybrać odpowiedni numer dla niestandardowego portu RDP
Istnieje 65 535 numerów portów. Typowe aplikacje TCP/IP używają numerów portów od 0 do 1023, które są nazywane dobrze znanymi portami. Na przykład numer portu 443 jest używany do uwierzytelniania opartego na certyfikacie (HTTPS).
Dlatego wskazane jest, aby nie zmieniać portu RDP w systemie Windows na dowolną liczbę od 0 do 1023.
Porty od 49152 do 65535 są znane jako porty dynamiczne i są powszechnie używane przez klientów do nawiązywania połączenia z serwerem. W rezultacie wiele osób woli wybrać numer portu od 49152 do 65535, aby uniknąć konfliktu z jakimikolwiek znanymi lub niestandardowymi usługami.
Skonfiguruj zaporę systemu Windows dla niestandardowego portu RDP
Po zmianie domyślnego numeru portu RDP na komputerze należy utworzyć reguły zapory systemu Windows dla niestandardowego numeru portu RDP.
Jeśli tego nie zrobisz, zapora systemu Windows może uniemożliwić korzystanie z usług pulpitu zdalnego przy użyciu niestandardowego portu RDP.
Uruchom Windows Terminal (administrator) i wpisz następujące polecenie w wierszu polecenia. Następnie naciśnij Wchodzić.
New-NetFirewallRule -DisplayName 'RDPPORT_TCP' -Profil 'Public' -Direction Inbound -Action Allow -Protocol TCP -LocalPort 51289
Teraz wklej następujące polecenie i naciśnij Wchodzić.
New-NetFirewallRule -DisplayName 'RDPPORT_UDP' -Profil 'Public' -Direction Inbound -Action Allow -Protocol UDP -LocalPort 51289
Uruchom ponownie komputer i włącz funkcję pulpitu zdalnego na komputerze. Do nasłuchiwania użyje niestandardowego portu RDP.
Jak zwiększyć bezpieczeństwo protokołu RDP
Hakerzy nieustannie próbują wykorzystywać luki w RDP. Zmiana domyślnego portu RDP to tylko jeden ze sposobów na zwiększenie bezpieczeństwa portu RDP.
Oto kilka najlepszych wskazówek dotyczących bezpieczeństwa RDP, aby zapobiec atak na protokół zdalnego pulpitu.
- Każde konto mające dostęp do zdalnego pulpitu musi używać silnych haseł i uwierzytelniania wieloskładnikowego.
- Firma Microsoft oferuje poprawki znanych luk w zabezpieczeniach, dlatego należy upewnić się, że system operacyjny jest zawsze aktualny.
- Użyj bramy RDP, aby dodać warstwę zabezpieczeń do sesji pulpitu zdalnego.
- Pozostaw włączone uwierzytelnianie na poziomie sieci (NLA).
- Ogranicz użytkowników, którzy mogą logować się za pomocą funkcji pulpitu zdalnego.
Należy również wdrożyć tzw zasada najmniejszego uprzywilejowania który zapewnia zdalnym użytkownikom minimalny poziom dostępu do danych i zasobów. W rezultacie możesz ograniczyć szkody, jakie mogą wyrządzić cyberprzestępcy w przypadku nieautoryzowanego dostępu do sieci firmowej.
Zmień port RDP, aby zachować ochronę
Ponieważ coraz więcej firm przyjmuje model pracy zdalnej, liczba połączeń zdalnych wzrosła wykładniczo. W związku z tym hakerzy celują w domyślny port protokołu zdalnego pulpitu, aby uzyskać dostęp do sieci firmowych.
Zmiana portu RDP to doskonała strategia ukrywania portu RDP przed hakerami, ponieważ hakerzy często atakują domyślny port pulpitu zdalnego. Dodatkowo powinieneś zwiększyć bezpieczeństwo swojego portu RDP, aby twój port RPD był niedostępny dla hakerów.