Протокол RDP (Remote Desktop Protocol) используется для удаленного доступа к рабочему столу компьютера или сервера с Windows. По умолчанию для удаленного подключения используется порт TCP 3389. Если ваш компьютер/сервер подключен напрямую в Интернет (VDS/VPS) и имеет публичный IP адрес, то с точки зрения безопасности желательно изменить стандартный номер RDP порта.
Дело в том, что в сети работает большое количество автоматических ботов, которые сканируют все доступные IP адреса в интернете на наличие открытого порта RDP. Такие боты и целые сети могут пытаться подобрать пароль к вашему компьютеру через открытый наружу стандартный RDP порт. Также существует высокий риск эксплуатации против RDP 0-day уязвимости (за последний год Microsoft исправила целых 2 критически уязвимости в RDP (BlueKeep and BlueKeep-2), которые могли эксплуатироваться через Remote Code Execution.
Рассмотрим, как изменить стандартный RDP порт в Windows 10. Настройки RDP порта задаются в параметре PortNumber в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp. Чтобы вручную изменить номер порта:
- Запустите редактор реестра
regedit.exeс правами администратора; - Перейдите в ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp;
- Измените значение DWORD параметра PortNumber в десятичном формате. Например, укажите новый номер порта 41212;
- Откройте консоль управления службами (
services.msc) и перезапустите службу Remote Desktop Services.
Также вы можете изменить номер RDP порта из командной строки:
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 41212 /f
Или с помощью PowerShell:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP\" -Name PortNumber -Value 41212
Если у вас на компьютере включен встроенный Windows Defender Firewall with Advanced Security, нужно разрешить входящий TCP трафик на новый RDP порт. Вы можете создать новое правило для входящего трафика на порт 41212 через графическую консоль wf.msc или из командной строки:
netsh advfirewall firewall add rule name="RDP new port" dir=in action=allow protocol=TCP localport=41212
После этого вы можете подключаться к вашему компьютеру Windows через нестандартный RDP порт. Если вы используете для RDP подключений встроенный Windows-клиент mstsc.exe (Remote Desktop Connection), нужно указать новый номер RDP порт через двоеточие после имени (IP) адреса компьютера или использовать такую команду:
mstsc /v:192.168.10.10:41212
По-умолчанию для терминального сервера Microsoft используется протокол RDP(Remote Desktop Protocol) и по-умолчанию порт 3389. Майкрософт использует стандартный номер порта для всех систем: начиная с совсем уж древних типа Windows XP, включая Windows Server 2003/2008/2012 и заканчивая Windows 10. С одной стороны хорошо — как никак один стандарт. Но с другой стандартный порт всегда является объектом атак со стороны злоумышленников с целью взлома сервиса и доступа к конфиденциальным данным. Поэтому стоит его сменить и я покажу как это сделать.
Для совсем «зеленых» пользователей заранее объясню, что протокол удалённого рабочего стола в операционных системах Windows использует транспортный протокол TCP, а потому для проброса RDP порта нужно использовать именно TCP. Протокол UDP при этом не используется. Используемые по умолчанию порт — 3389. При подключении к удалённому рабочему столу клиентское соединение стучится именно на этот порт.
Смена порта RDP
Итак, по соображениям безопасности Вы собрались поменять порт RDP, чтобы значительно снизить риск взлома системы при брутфорсе — автоматизированном подборе паролей. Смена порта RDP на другое значение подразумевает несколько обязательных действий, без которых это не будет работать!
Обратите вниммание! Необходимо в используемом Вашей операционной системой брандмауэре открыть новый порт. В противном случае, после смены Вы потеряете управление рабочей станцией или сервером. Как это сделать Вы узнаете здесь — инструкция как открыть порт в брандмауэре Windows. Перепечатывать её сюда я не вижу смысла.
Как изменить RDP-порт по-умолчанию Windows 10
Последовательность действий достаточно простая даже для неопытного пользователя — надо лишь выполнять всё в точности как я напишу.
Нажимаем правой кнопкой мыши на кнопку «Пуск», чтобы появилось контекстное меню:
В появившемся окне «Выполнить» введите команду regedit. Вот так:
Нажимаем на кнопку «ОК». Должно появится окно подтверждения действий встроенного Контроля Учётных Записей. Нажимаем там на кнопку «Да». После этого должно появится окно редактора реестра Windows 10:
Далее Вы можете либо самостоятельно открыть ветку реестра:
HKEY_LOCAL_MACHINE>SYSTEM >CurrentControlSet >Control >Terminal Server >WinStations >RDP-Tcp
Либо нажмите кнопку F3 и введите в строку «найти» критерий поиска — RDP-Tcp. Я поступил именно так. Через несколько секунд искомый раздел нашёлся. Чтобы изменить порт РДП, нужно в разделе найти ключ PortNumber.
Кликаем на нёго дважды, чтобы открыть окно параметров ключа:
По умолчанию он в шестнадцатеричной системе исчисления и равен 00000D3D, что соответствует 3389 в десятичной. Далее нужно ставим флажок на десятичную систему и в поле значение поменять порт RDP Windows на любой другой, который Вы хотите (и он при этом не занят).
Нажимаем кнопку «ОК» и перезагружаемся.
Теперь, чтобы подцепиться к серверу RDP, Вы должны будете указать уже новый номер порта через двоеточие после адреса.
Remote Desktop Protocol (RDP) – протокол удалённого рабочего стола, посредством которого выполняется удалённое подключение к системам Windows. По умолчанию, использование RDP протокола осуществляется по 3389 TCP порту, но в целях безопасности Вы можете его поменять. Remote Desktop Protocol (RDP) – протокол удалённого рабочего стола, посредством которого выполняется удалённое подключение к системам Windows. По умолчанию, использование RDP протокола осуществляется по 3389 TCP порту, но в целях безопасности Вы можете его поменять. Чтобы выбрать необходимый порт, следует знать, что есть несколько категорий портов, которые отличаются друг от друга по номерам и использованию:
- Номера от 0 до 10213 – системные порты (заняты)
- 1024 — 49151 – зарегистрированные и используемые порты (заняты)
- 49152 — 65535 — динамические (приватные) порты, используются для кратковременных сессий. Будут более удобны в нашем случае
Выберем для примера номер 62109 и изменим параметры системы. Для этого откройте окно редактора реестра (regedit) и пройдите по следующему пути: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Нам необходим параметр PortNumber, как мы видим, RPD порт по умолчанию имеет значение – 3389(в десятичной системе).
Здесь можно изменить стандартный порт RPD на 62109 (или удобное именно Вам значение) и сохранить. Теперь, чтобы выполнить подключение к рабочему столу по RPD выполните следующую команду: mstsc /v:{IP-адрес устройства}:62109, либо запустите утилиту подключения к рабочему столу и введите необходимые данные.
Разрешение на предоставление доступа
Откройте Свойства системы и пройдите в Настройка удаленного доступа
В пункте Удаленный рабочий стол вы можете запретить/разрешить подключение к этому компьютеру, а также выбрать пользователей, которые могут это выполнять.
На этом смена порта RPD завершена.
Отличного Вам дня!
Перейти к содержимому
По-умолчанию для терминального сервера Microsoft используется порт 3389. Майкрософт использует стандартный номер порта для всех систем — Windows XP, Windows 7/8, Windows Server 2003/2008/2012.
Используется TCP протокол, поэтому для проброса RDP порта нужно использовать именно tcp без udp.
Смена порта RDP
Из соображений безопасности вы можете поменять порт RDP. Смена порта RDP на другое значение снизит риск взлома системы при автоматизированном подборе паролей.
Важно! Перед изменением RDP порта настройте Firewall!
Перед тем, как изменить RDP-порт по-умолчанию на удалённом сервере, сначала добавьте доступ к новому порту в вашей конфигурации брендмауэра, перед тем, как выполнять изложенные ниже рекомендации.
Иначе вы сможете остаться без доступа к удалённому серверу.
Как изменить RDP-порт по-умолчанию на Windows
Для изменения RDP порта WIndows нужно запустить редактор реестра.
Нажимаем Windows+R и вводим в окне regedit
В появившемся окне откройте раздел HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>Terminal Server>WinStations>RDP-Tcp
Найдите ключ «PortNumber«.
По-умолчению используется шестнадцатиричное значение 00000D3D — это соответствует десятичному 3389.
Измените номер порта на необходимое для вас значение и сохраните. Для удобства изменения можно выбрать «Десятичное» и ввести нужный номер порта.
Сохраните введенное значение и перезагрузите компьютер. Теперь для подключения к серверу RDP нужно указать выбранный номер порта.
Obvious ports, like port 80 and 443, are needed for internet access, while others, like port 3389, allow Remote Desktop access to a Windows PC or server. If you’ve enabled Remote Desktop on Windows over the internet, chances are you’re using the common Remote Desktop Protocol port (TCP/UDP port 3389) to connect.
Unless you want every port-scanning hacker to breach your network, you should change the RDP port to something else. Here’s how.
Changing RDP Port Using Windows Registry
The Windows Registry is a database of configuration settings for Windows services, installed apps, and more. If you want to change the default RDP port from 3389 to a custom port, the easiest way is to change the Registry.
Before you begin, however, it’s highly recommended that you manually back up the Registry. If you make a mistake, this will allow you to roll back any changes quickly.
To start, open the Windows Registry Editor by right-clicking the Start menu and clicking the Run option. Remember to do this on the PC or server you wish to connect to, rather than the PC you’re connecting from.
In the Run dialog box, type regedit, then press OK to launch.
This will open the Windows Registry Editor. Using the left-hand menu, navigate through the Registry tree to the HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp folder.
In the RDP-Tcp folder, double-click the PortNumber entry on the right.
In the Edit DWORD (32-bit) Value box, select the Decimal option. Type the new port number you wish to use, between 1 and 65353, in the Value data box.
You’ll need to make sure that this doesn’t match any other common ports. If you choose a common port (such as port 80 for web traffic), you may not be able to establish a Remote Desktop connection afterward.
Press OK to save and restart your PC or server once you’re done. At that point, any attempts to use Remote Desktop will require you to use the custom port you selected rather than the standard port 3389.
Configuring Windows Firewall for Custom RDP Port
Most users will need to make additional changes to their network or system firewall to allow access to Remote Desktop using a custom port. If you’re using a network firewall, consult your user guide for further advice on doing this.
However, if you’re using Windows Firewall, you can quickly add your custom RDP port as a set of new firewall rules to allow access. You’ll need to perform these steps twice—one rule each for UDP and TCP ports using the custom port value you selected.
To do this, right-click the Start menu and click the Run option.
In the Run dialog box, type wf.msc and click OK to launch. This will open the Windows Firewall management console, allowing you to add new firewall rules.
In the Windows Firewall MMC menu, select Inbound Rules from the left-hand menu.
Once selected, press New Rule from the Actions panel on the right.
In the New Inbound Rule Wizard window, select Port from the list of options, then click Next to continue.
As you’ll need to create a custom rule for both TCP and UDP ports, select TCP first from the Does this rule apply to TCP or UDP? options. You’ll need to select UDP when you create your second rule.
For Does this rule apply to all local ports or specific local ports?, select Specific local ports and type your custom RDP port value.
Click Next to continue once you’re done.
In the Action menu, select Allow the connection, then press Next to continue.
In the Profile menu, identify which network firewall profiles you wish the rule to apply to. Leave all entries enabled for maximum access, or uncheck Public to prevent Remote Desktop connections on public networks.
Click Next to continue once you’re ready.
Finally, provide a name for your new network rule (for instance, Custom RDP port – TCP) and a description in the boxes provided in the Name menu.
To add the rule, press Finish.
Once added, repeat these steps for a UDP port rule using the same custom RDP port number. Restart your PC or server once the rules have been added.
Connecting to a Remote Desktop Using a Custom RDP Port
With the RDP port on your Remote Desktop PC or Server set, you’ll need to identify this port when you (or somebody else) wishes to make a connection.
To do this using the built-in Windows Remote Desktop Connection tool, right-click the Start menu and click the Run option.
In the Run dialog box, type mstsc, then press OK.
In the Remote Desktop Connection window, type the IP address of the Remote Desktop PC or server you wish to connect to in the Computer box.
To use a custom port, add it to the end of the IP address using this structure: ip-address:port. For instance, 192.168.1.10:1111 would connect to an RDP server at 192.168.1.10 on a local network using a custom RDP port 1111.
Make further changes to your RDP connection before you connect by pressing Show Options. You may need to change the connection quality or add authentication details, such as a username and password.
When you’re ready, press Connect to establish the connection.
Assuming your settings are correct and your firewall is correctly configured, the Remote Desktop Connection tool should successfully connect at this point, allowing you to control your remote PC or server.
Protecting Your Windows Network Further
While a custom RDP port will reduce the number of attempts to hack a Remote Desktop server over the internet, it isn’t a guaranteed security fix. You’ll need to take additional steps to protect your network, including setting your network profile to private.
You could also consider upgrading your router, giving your network additional protection using a hardware firewall. However, if you want a more secure Remote Desktop connection, you may prefer to use a virtual private network, making it even harder for hackers to gain access.
