V predvolenom nastavení sa na všetky operačné systémy Windows používa protokol RDP (Protokol vzdialenej pracovnej plochy) používa port TCP 3389.
Ak je váš počítač pripojený priamo na internet (napríklad server VDS) alebo ak ste nakonfigurovali port 3389 / RDP na presmerovanie na lokálny počítač alebo server Windows na vašom okrajovom smerovači, môžete štandardný port RDP 3389 zmeniť na ľubovoľný iný. Zmenou čísla portu RDP na pripojenie môžete skryť svoj RDP server pred skenery portov, znížiť pravdepodobnosť zneužitia RDP zraniteľností (posledná kritická zraniteľnosť v RDP BlueKeep je opísaná v CVE-2019-0708), znížiť počet pokusov o diaľkové odhadovanie hesiel pomocou RDP (nezabúda pravidelne) analyzovať protokoly pripojení RDP), SYN a ďalších typov útokov (najmä ak je NLA zakázaná).
Nahradenie štandardného portu RDP môžete použiť, keď za routerom je jedna biela adresa IP a existuje niekoľko počítačov Windows, ku ktorým potrebujete poskytnúť externý prístup RDP. Na každom počítači môžete nakonfigurovať jedinečný port RDP a nakonfigurovať preposielanie portov na smerovači na miestne počítače (v závislosti od čísla portu RDP je relácia presmerovaná na jeden z interných počítačov).Pri výbere neštandardného čísla portu pre RDP si uvedomte, že je vhodné nepoužívať čísla portov v rozsahu od 1 do 1023 (známe porty) a dynamické porty z rozsahu RPC (od 49152 do 65535)..
Skúsme zmeniť port, na ktorý služba Vzdialená plocha čaká na pripojenie 1350. Postupujte takto:
- Otvorte editor databázy Registry a choďte do vetvy HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp;
- nájsť DWORD nastavenie registra pomenované PortNumber. Tento parameter určuje port, na ktorý služba Vzdialená plocha čaká na pripojenie;
- Zmeňte hodnotu tohto portu. Port RDP som zmenil na 1350 v desatinnej hodnote (desiatkové číslo);
Nastavenie registra môžete zmeniť pomocou programu PowerShell: Set-ItemProperty -Path "HKLM: \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp \" -Name PortNumber -Value 1350 - Ak je vo vašom počítači povolená brána Windows Firewall, musíte vytvoriť nové pravidlo, ktoré umožní prichádzajúce pripojenia k novému portu RDP (ak zmeníte vzdialený server prostredníctvom protokolu RDP bez vytvorenia pravidla v bráne firewall, stratíte prístup k serveru). Pravidlo povoľovania prichádzajúcich údajov pre nový port RDP TCP / UDP môžete vytvoriť ručne z konzoly „Windows Defender Firewall“ (firewall.cpl) alebo pomocou príkazov PowerShell:
New-NetFirewallRule -DisplayName "Nový RDP port 1350" - smerovanie prichádzajúce - LoccalPort 1350 - protokol TCP - povoleniea:New-NetFirewallRule -DisplayName "Nový port RDP 1350" - smerovanie prichádzajúce - LoccalPort 1350 - tlačiareň UDP - povolenie akcie
- Reštartujte počítač alebo reštartujte službu vzdialenej pracovnej plochy pomocou príkazu:
Čisté zastavenie poskytovania služieb & Čisté spustenie poskytovania služieb
- Teraz, ak sa chcete k tomuto počítaču so systémom Windows pripojiť pomocou protokolu RDP, v klientovi mstsc.exe musíte zadať dvojbodový port RDP dvojbodky pripojenia pomocou dvojbodky takto:
Your_Computer_Name: 1350alebo pomocou IP adresy192.168.1.100:1350alebo z príkazového riadku:mstsc.exe / v 192.168.1.100:1350
Ak na správu viacerých pripojení RDP používate RDPMan RDPManager, na karte „Nastavenia pripojenia“ môžete zadať číslo portu RDP, ktoré ste zadali pre pripojenie..
- Výsledkom je úspešné pripojenie k pracovnej ploche vzdialeného počítača pomocou nového čísla portu RDP (pomocou príkazu
nenstat -na | Vyhľadajte „LIST“uistite sa, že služba RDP teraz počúva na inom porte).
Ak na správu viacerých pripojení RDP používate RDPMan RDPManager, na karte „Nastavenia pripojenia“ môžete zadať číslo portu RDP, ktoré ste zadali pre pripojenie..
Celý skript kódu PowerShell na zmenu portu RDP, vytvorenie pravidla v bráne firewall a reštartovanie služby RDP na novom porte môže vyzerať takto:
Write-host "Zadajte číslo nového portu RDP:" -ForegroundColor Yellow -NoNewline; $ RDPPort = Read-Host
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-TCP \" - Názov PortNumber - Hodnota $ RDPPort
New-NetFirewallRule -DisplayName "Nový port RDP $ RDPPort" - smerovanie prichádzajúce -LocalPort $ RDPPort -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "Nový port RDP $ RDPPort" - smerovanie prichádzajúce -LocalPort $ RDPPort -Protocol UDP -Action Allow
Servisné podmienky pre reštart - sila
Hostiteľ zápisu "Číslo portu RDP bolo zmenené na $ RDPPort" -ForegroundColor Magenta
Číslo RDP môžete vzdialene zmeniť na viacerých počítačoch v doméne AD (definované organizáciou OU) pomocou programov Invoke-Command a Get-ADComputer:
Write-host "Zadajte číslo nového portu RDP:" -ForegroundColor Yellow -NoNewline; $ RDPPort = Read-Host
$ PC = Get-ADComputer -Filter * -SearchBase "CN = DMZ, CN = Počítače, DC = winitpro, DC = sk"
Foreach ($ PC v $ PC)
Invoke-Command -ComputerName $ PC.Name -ScriptBlock
param ($ RDPPort)
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-TCP \" - Názov PortNumber - Hodnota $ RDPPort
New-NetFirewallRule -DisplayName "Nový port RDP $ RDPPort" - smerovanie prichádzajúce -LocalPort $ RDPPort -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "Nový port RDP $ RDPPort" - smerovanie prichádzajúce -LocalPort $ RDPPort -Protocol TCP -Action Allow
Servisné podmienky pre reštart - sila
Tento pokyn na zmenu štandardného portu RDP je vhodný pre všetky verzie systému Windows, počnúc Windows XP (Windows Server 2003) a končiac Windows 10 (Windows Server 2019)..
