По умолчанию во всех операционных системах Windows для подключения по протоколу RDP (Remote Desktop Protocol / Удаленный рабочий стол) использует порт TCP 3389. После того, как вы включили RDP доступ в Windows, служба TermService (Remote Desktop Services) начинает слушать на порту 3389. В этой статье мы покажем, как изменить стандартный номер RDP порта в дестопных редакциях Windows (7/8/10/11) и Windows Server.
Обратите внимание, что в современных версиях Windows для удаленного рабочего стола используется также протокол UDP с тем же номером порта 3389. 
Вы можете изменить номер стандартного порта RDP в Windows с 3389 на любой другой. Чаще всего это используется, когда нужно спрятать ваш RDP/RDS хост от автоматических сканеров портов, которые ищут в сети хосты Windows с открытым стандартным RDP портом 3389. Смена RDP порта позволит уменьшить вероятность эксплуатации RDP уязвимостей (последняя критическая уязвимость в RDP BlueKeep описана в CVE-2019-0708), уменьшить количество попыток удалённого подбора паролей по RDP (не забывает периодически анализировать логи RDP подключений), SYN и других типов атак (особенно при отключенном NLA). Чаще всего RDP порт меняют на компьютерах с прямым подключением к интернету (VPS/VDS), или в сетях, где пограничный маршрутизатор перенаправляет порт 3389/RDP в локальную сеть на компьютер/сервер с Windows.
Несмотря на смену порта, нежелательно выставлять открытый RDP порт в интернет. Сканеры портов позволяют по сигнатуре понять, что на новом порту находится RDP Listener. Если вы хотите открыть RDP доступ к компьютеру в своей сети, лучше использовать такие технологии подключения, как VPN, RD Web Access, RD Gateway и другие
Если вы решили использовать нестандартный номер порта для RDP, обратите внимание, что нежелательно использовать номера портов в диапазоне от 1 до 1023 (известные порты). Используйте динамический порт из RPC диапазона (от 49152 до 65535), или любой портов в диапазоне от 1024 до 49151, который не используется другим сервисом или приложением.
Изменить номер RDP порта по-умолчанию в Windows
В нашем примере мы изменим номер порта, на котором ожидает подключения служба Remote Desktop на 1350. Для этого:
- Откройте редактор реестра (regedit.exe) и перейдите в ветку HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp;
- Найдите DWORD параметр реестра с именем PortNumber.. В этом параметре указан порт, на котором ожидает подключения служба Remote Desktop. Значение по умолчанию – 3389 (decimal);
- Измените значение этого порта. Я изменил RDP порт на 1350 в десятичном значении (Deciamal);
- Если на вашем компьютере включен Windows Firewall, вы должны создать новое правило, разрешающее входящие подключения на новый RDP порт (если вы перенастраиваете удаленный сервер через RDP, создайте разрешающее правило в файерволе до перезапуска службы TermService, иначе вы потеряете доступ к серверу). Вы можете создать разрешающее входящее правило для нового TCP/UDP порта RDP вручную из консоли ‘Брандмауэр Защитника Windows’ (firewall.cpl) или с помощью PowerShell команд:
New-NetFirewallRule -DisplayName "NewRDPPort-TCP-In" -Direction Inbound -LocalPort 1350 -Protocol TCP -Action allow
И:
New-NetFirewallRule -DisplayName "NewRDPPort-UDP-In" -Direction Inbound -LocalPort 1350 -Protocol UDP -Action allow
- Перезагрузите компьютер или перезапустите службу удаленных рабочих столов командой:
net stop termservice & net start termservice
- Теперь для подключения к данному Windows компьютеру по RDP, в клиенте mstsc.exe нужно указывать порт RDP подключения через двоеточие следующим образом:
Your_Computer_Name:1350
или по IP адресу
192.168.1.100:1350
или из командной строки:
mstsc.exe /v 192.168.1.100:1350
Если для управления множеством RDP подключений вы используете менеджер RDP подключений RDCMan, новый номер RDP порта подключения можно указать на вкладке “Connection Settings”.
- В результате вы успешно подключитесь к рабочему столу удаленного компьютера через новый номер RDP порта (с помощью команды
nenstat –na | Find “LIST”
убедитесь, что служба RDP теперь слушает на другом порту).
Обратите внимание, что номер UDP порта RDP также изменился на 1350 (проще всего проверить это с помощью утилиты TCPView).
С помощью команды Test-NetConnection, проверьте что старый RDP порт теперь закрыт (
TcpTestSucceeded : False
):
Test-NetConnection 192.168.13.202 -port 3389 |select TcpTestSucceeded
И для RDP подключения теперь нужно использовать новый порт 1350.
Если вы хотите изменить номер RDP порта на компьютерах в домене, можно воспользоваться групповыми политиками. Создайте новую GPO, которая распространит параметр реестра PortNumber с новым значением RDP порта на компьютеры домена.
PowerShell скрипт для смены номера RDP порта в Windows
Полный код PowerShell скрипт для смены номера RDP порта, создания правила в брандмауэре и перезапуска службы RDP может выглядеть так:
Write-host "Укажите номер нового RDP порта: " -ForegroundColor Yellow -NoNewline;$RDPPort = Read-Host
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP\" -Name PortNumber -Value $RDPPort
New-NetFirewallRule -DisplayName "NewRDPPort-TCP-In-$RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "NewRDPPort-UDP-In-$RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol UDP -Action Allow
Restart-Service termservice -force
Write-host "Номер RDP порта изменен на $RDPPort " -ForegroundColor Magenta
Вы можете удаленно изменить номер порта на компьютере. Для этого на удаленном компьютере должен быть настроен WinRM, тогда для подключения к компьютеру можно использовать командлет Invoke-Command:
Invoke-Command -ComputerName PC1name -ScriptBlock {Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP\" -Name PortNumber -Value 1350}
Если нужно изменить номер RDP на нескольких компьютерах в домене AD (определенной OU), используйте такой скрипт (список компьютеров в OU можно получить с помощью Get-ADComputer):
Write-host "Укажите номер нового RDP порта: " -ForegroundColor Yellow -NoNewline;$RDPPort = Read-Host
$PCs = Get-ADComputer -Filter * -SearchBase "CN=DMZ,CN=Computers,DC=winitpro,DC=ru"
Foreach ($PC in $PCs) {
Invoke-Command -ComputerName $PC.Name -ScriptBlock {
param ($RDPPort)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP\" -Name PortNumber -Value $RDPPort
New-NetFirewallRule -DisplayName "New RDP Port $RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "New RDP Port $RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol TCP -Action Allow
Restart-Service termservice -force
}
Это инструкция по смене стандартного RDP порта подойдёт для любой версии Windows, начиная с Windows XP (Windows Server 2003) и заканчивая Windows 11 (Windows Server 2022).
Протокол RDP (Remote Desktop Protocol) используется для удаленного доступа к рабочему столу компьютера или сервера с Windows. По умолчанию для удаленного подключения используется порт TCP 3389. Если ваш компьютер/сервер подключен напрямую в Интернет (VDS/VPS) и имеет публичный IP адрес, то с точки зрения безопасности желательно изменить стандартный номер RDP порта.
Дело в том, что в сети работает большое количество автоматических ботов, которые сканируют все доступные IP адреса в интернете на наличие открытого порта RDP. Такие боты и целые сети могут пытаться подобрать пароль к вашему компьютеру через открытый наружу стандартный RDP порт. Также существует высокий риск эксплуатации против RDP 0-day уязвимости (за последний год Microsoft исправила целых 2 критически уязвимости в RDP (BlueKeep and BlueKeep-2), которые могли эксплуатироваться через Remote Code Execution.
Рассмотрим, как изменить стандартный RDP порт в Windows 10. Настройки RDP порта задаются в параметре PortNumber в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp. Чтобы вручную изменить номер порта:
- Запустите редактор реестра
regedit.exeс правами администратора; - Перейдите в ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp;
- Измените значение DWORD параметра PortNumber в десятичном формате. Например, укажите новый номер порта 41212;
- Откройте консоль управления службами (
services.msc) и перезапустите службу Remote Desktop Services.
Также вы можете изменить номер RDP порта из командной строки:
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 41212 /f
Или с помощью PowerShell:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP\" -Name PortNumber -Value 41212
Если у вас на компьютере включен встроенный Windows Defender Firewall with Advanced Security, нужно разрешить входящий TCP трафик на новый RDP порт. Вы можете создать новое правило для входящего трафика на порт 41212 через графическую консоль wf.msc или из командной строки:
netsh advfirewall firewall add rule name="RDP new port" dir=in action=allow protocol=TCP localport=41212
После этого вы можете подключаться к вашему компьютеру Windows через нестандартный RDP порт. Если вы используете для RDP подключений встроенный Windows-клиент mstsc.exe (Remote Desktop Connection), нужно указать новый номер RDP порт через двоеточие после имени (IP) адреса компьютера или использовать такую команду:
mstsc /v:192.168.10.10:41212
Перейти к содержимому
По-умолчанию для терминального сервера Microsoft используется порт 3389. Майкрософт использует стандартный номер порта для всех систем — Windows XP, Windows 7/8, Windows Server 2003/2008/2012.
Используется TCP протокол, поэтому для проброса RDP порта нужно использовать именно tcp без udp.
Смена порта RDP
Из соображений безопасности вы можете поменять порт RDP. Смена порта RDP на другое значение снизит риск взлома системы при автоматизированном подборе паролей.
Важно! Перед изменением RDP порта настройте Firewall!
Перед тем, как изменить RDP-порт по-умолчанию на удалённом сервере, сначала добавьте доступ к новому порту в вашей конфигурации брендмауэра, перед тем, как выполнять изложенные ниже рекомендации.
Иначе вы сможете остаться без доступа к удалённому серверу.
Как изменить RDP-порт по-умолчанию на Windows
Для изменения RDP порта WIndows нужно запустить редактор реестра.
Нажимаем Windows+R и вводим в окне regedit
В появившемся окне откройте раздел HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>Terminal Server>WinStations>RDP-Tcp
Найдите ключ «PortNumber«.
По-умолчению используется шестнадцатиричное значение 00000D3D — это соответствует десятичному 3389.
Измените номер порта на необходимое для вас значение и сохраните. Для удобства изменения можно выбрать «Десятичное» и ввести нужный номер порта.
Сохраните введенное значение и перезагрузите компьютер. Теперь для подключения к серверу RDP нужно указать выбранный номер порта.
Remote Desktop Protocol (RDP) – протокол удалённого рабочего стола, посредством которого выполняется удалённое подключение к системам Windows. По умолчанию, использование RDP протокола осуществляется по 3389 TCP порту, но в целях безопасности Вы можете его поменять. Remote Desktop Protocol (RDP) – протокол удалённого рабочего стола, посредством которого выполняется удалённое подключение к системам Windows. По умолчанию, использование RDP протокола осуществляется по 3389 TCP порту, но в целях безопасности Вы можете его поменять. Чтобы выбрать необходимый порт, следует знать, что есть несколько категорий портов, которые отличаются друг от друга по номерам и использованию:
- Номера от 0 до 10213 – системные порты (заняты)
- 1024 — 49151 – зарегистрированные и используемые порты (заняты)
- 49152 — 65535 — динамические (приватные) порты, используются для кратковременных сессий. Будут более удобны в нашем случае
Выберем для примера номер 62109 и изменим параметры системы. Для этого откройте окно редактора реестра (regedit) и пройдите по следующему пути: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Нам необходим параметр PortNumber, как мы видим, RPD порт по умолчанию имеет значение – 3389(в десятичной системе).
Здесь можно изменить стандартный порт RPD на 62109 (или удобное именно Вам значение) и сохранить. Теперь, чтобы выполнить подключение к рабочему столу по RPD выполните следующую команду: mstsc /v:{IP-адрес устройства}:62109, либо запустите утилиту подключения к рабочему столу и введите необходимые данные.
Разрешение на предоставление доступа
Откройте Свойства системы и пройдите в Настройка удаленного доступа
В пункте Удаленный рабочий стол вы можете запретить/разрешить подключение к этому компьютеру, а также выбрать пользователей, которые могут это выполнять.
На этом смена порта RPD завершена.
Отличного Вам дня!
Obvious ports, like port 80 and 443, are needed for internet access, while others, like port 3389, allow Remote Desktop access to a Windows PC or server. If you’ve enabled Remote Desktop on Windows over the internet, chances are you’re using the common Remote Desktop Protocol port (TCP/UDP port 3389) to connect.
Unless you want every port-scanning hacker to breach your network, you should change the RDP port to something else. Here’s how.
Changing RDP Port Using Windows Registry
The Windows Registry is a database of configuration settings for Windows services, installed apps, and more. If you want to change the default RDP port from 3389 to a custom port, the easiest way is to change the Registry.
Before you begin, however, it’s highly recommended that you manually back up the Registry. If you make a mistake, this will allow you to roll back any changes quickly.
To start, open the Windows Registry Editor by right-clicking the Start menu and clicking the Run option. Remember to do this on the PC or server you wish to connect to, rather than the PC you’re connecting from.
In the Run dialog box, type regedit, then press OK to launch.
This will open the Windows Registry Editor. Using the left-hand menu, navigate through the Registry tree to the HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp folder.
In the RDP-Tcp folder, double-click the PortNumber entry on the right.
In the Edit DWORD (32-bit) Value box, select the Decimal option. Type the new port number you wish to use, between 1 and 65353, in the Value data box.
You’ll need to make sure that this doesn’t match any other common ports. If you choose a common port (such as port 80 for web traffic), you may not be able to establish a Remote Desktop connection afterward.
Press OK to save and restart your PC or server once you’re done. At that point, any attempts to use Remote Desktop will require you to use the custom port you selected rather than the standard port 3389.
Configuring Windows Firewall for Custom RDP Port
Most users will need to make additional changes to their network or system firewall to allow access to Remote Desktop using a custom port. If you’re using a network firewall, consult your user guide for further advice on doing this.
However, if you’re using Windows Firewall, you can quickly add your custom RDP port as a set of new firewall rules to allow access. You’ll need to perform these steps twice—one rule each for UDP and TCP ports using the custom port value you selected.
To do this, right-click the Start menu and click the Run option.
In the Run dialog box, type wf.msc and click OK to launch. This will open the Windows Firewall management console, allowing you to add new firewall rules.
In the Windows Firewall MMC menu, select Inbound Rules from the left-hand menu.
Once selected, press New Rule from the Actions panel on the right.
In the New Inbound Rule Wizard window, select Port from the list of options, then click Next to continue.
As you’ll need to create a custom rule for both TCP and UDP ports, select TCP first from the Does this rule apply to TCP or UDP? options. You’ll need to select UDP when you create your second rule.
For Does this rule apply to all local ports or specific local ports?, select Specific local ports and type your custom RDP port value.
Click Next to continue once you’re done.
In the Action menu, select Allow the connection, then press Next to continue.
In the Profile menu, identify which network firewall profiles you wish the rule to apply to. Leave all entries enabled for maximum access, or uncheck Public to prevent Remote Desktop connections on public networks.
Click Next to continue once you’re ready.
Finally, provide a name for your new network rule (for instance, Custom RDP port – TCP) and a description in the boxes provided in the Name menu.
To add the rule, press Finish.
Once added, repeat these steps for a UDP port rule using the same custom RDP port number. Restart your PC or server once the rules have been added.
Connecting to a Remote Desktop Using a Custom RDP Port
With the RDP port on your Remote Desktop PC or Server set, you’ll need to identify this port when you (or somebody else) wishes to make a connection.
To do this using the built-in Windows Remote Desktop Connection tool, right-click the Start menu and click the Run option.
In the Run dialog box, type mstsc, then press OK.
In the Remote Desktop Connection window, type the IP address of the Remote Desktop PC or server you wish to connect to in the Computer box.
To use a custom port, add it to the end of the IP address using this structure: ip-address:port. For instance, 192.168.1.10:1111 would connect to an RDP server at 192.168.1.10 on a local network using a custom RDP port 1111.
Make further changes to your RDP connection before you connect by pressing Show Options. You may need to change the connection quality or add authentication details, such as a username and password.
When you’re ready, press Connect to establish the connection.
Assuming your settings are correct and your firewall is correctly configured, the Remote Desktop Connection tool should successfully connect at this point, allowing you to control your remote PC or server.
Protecting Your Windows Network Further
While a custom RDP port will reduce the number of attempts to hack a Remote Desktop server over the internet, it isn’t a guaranteed security fix. You’ll need to take additional steps to protect your network, including setting your network profile to private.
You could also consider upgrading your router, giving your network additional protection using a hardware firewall. However, if you want a more secure Remote Desktop connection, you may prefer to use a virtual private network, making it even harder for hackers to gain access.
