Для удаленного подключения вашего ПК с Windows к главному компьютеру используется собственный сетевой протокол связи Microsoft, известный как протокол удаленного рабочего стола (RDP).
TCP 3389 — это порт по умолчанию, назначенный для RDP на вашем ПК. Но вы должны изменить его. Вот почему вы должны внести изменения, как это сделать и как настроить правила брандмауэра Windows для пользовательского порта RDP.
Почему вы должны изменить порт RDP
TCP 3389, порт RDP по умолчанию для всех удаленных подключений, находится в поле зрения хакеров. Они используют атаки грубой силы и другие методы подбора учетных данных для входа в систему для получения доступа к TCP 3389. Оказавшись внутри, они могут красть или шифровать конфиденциальные данные, устанавливать вредоносное ПО и делать все, что им вздумается, на удаленных компьютерах.
Когда вы меняете номер порта RDP по умолчанию с 3389 на любой другой свободный порт, хакерам становится трудно угадать, какой порт RDP вы используете. И изменение порта RDP особенно полезно, когда вы отключили аутентификацию на уровне сети (NLA).
Иногда некоторые брандмауэры настроены на блокировку входящей и исходящей связи через порт 3389 по умолчанию, чтобы предотвратить доступ хакеров к порту 3389. Изменение порта RDP по умолчанию может быть одним из способов обойти эти брандмауэры.
Как проверить номер порта RDP по умолчанию на вашем ПК
Нажимать Окна + Икс, и открыть Терминал (админ). Вставьте следующую команду в Windows PowerShell и нажмите Входить.
Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "Номер порта"
Вы нашли порт RDP по умолчанию для вашего ПК.
Как изменить порт RDP
Вы можете изменить TCP-порт RDP по умолчанию на вашем ПК на новый, внеся несколько изменений в редакторе реестра. Процесс прост.
Но мы настоятельно рекомендуем вам сначала сделать резервную копию реестра Windows чтобы вы могли быстро восстановить его, если что-то пойдет не так. Вот как это сделать.
Нажимать Окна + р открыть Бегатьи введите «regedit» в поле поиска. Нажимать ХОРОШО чтобы открыть редактор реестра.
Щелкните правой кнопкой мыши Компьютер и выберите Экспорт из контекстного меню.
Экспорт файла реестра попросит выбрать местоположение и имя файла для экспортируемых файлов регистрации. Выберите место и экспортируйте реестр под легко запоминающимся именем.
Когда вы закончите резервное копирование реестра Windows, выполните следующие шаги, чтобы изменить порт RDP. В этом примере мы выбрали порт 51289, чтобы сделать его портом прослушивания RDP для службы удаленного рабочего стола.
Откройте редактор реестра Windows и вставьте следующую команду в строку поиска. Нажимать Входить чтобы добраться до настроек RDP-TCP.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Прокрутите вниз правую боковую панель, пока не дойдете до Номер порта. Дважды щелкните по нему, чтобы отредактировать. Выберите Десятичная дробь радио в окне редактирования и введите желаемый номер порта (51289) в поле Значение данных поле. Нажмите ХОРОШО продолжать.
Закройте редактор реестра Windows и перезагрузите компьютер. Вы успешно изменили RDP-порт вашего ПК по умолчанию на 51289.
Вы также можете изменить порт RDP по умолчанию с помощью команды Windows PowerShell.
Запустить Windows Терминал (админ)и вставьте следующую команду PowerShell в командное окно. Затем нажмите Входить.
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Name PortNumber -Value 51289
Порт RDP по умолчанию на вашем ПК с Windows изменился на нестандартный порт RDP: 51289. Теперь ваш компьютер будет использовать порт 51289 для подключения к удаленному рабочему столу.
Как выбрать правильный номер для пользовательского порта RDP
Есть 65 535 номеров портов. Общие приложения TCP/IP используют номера портов от 0 до 1023, которые называются хорошо известными портами. Например, номер порта 443 используется для проверки подлинности на основе сертификата (HTTPS).
Поэтому желательно не менять порт RDP в Windows на любой номер от 0 до 1023.
Порты с 49152 по 65535 известны как динамические порты и обычно используются клиентами для подключения к серверу. В результате многие люди предпочитают выбирать номер порта от 49152 до 65535, чтобы избежать конфликта с любыми известными или пользовательскими службами.
Настройка брандмауэра Windows для пользовательского порта RDP
Теперь, когда вы изменили номер порта RDP по умолчанию на своем ПК, вы должны создать правила брандмауэра Windows для пользовательского номера порта RDP.
Если вы этого не сделаете, защитник брандмауэра Windows может помешать вам использовать службы удаленного рабочего стола с использованием пользовательского порта RDP.
Запустите Windows Terminal (Admin) и введите в командной строке следующее. Затем нажмите Входить.
New-NetFirewallRule -DisplayName 'RDPPORT_TCP' -Profile 'Public' -Direction Inbound -Action Allow -Protocol TCP -LocalPort 51289
Теперь вставьте следующую команду и нажмите Входить.
New-NetFirewallRule -DisplayName 'RDPPORT_UDP' -Profile 'Public' -Direction Inbound -Action Allow -Protocol UDP -LocalPort 51289
Перезагрузите компьютер и включите функцию удаленного рабочего стола на вашем компьютере. Он будет использовать пользовательский порт RDP для прослушивания.
Как повысить безопасность RDP
Хакеры постоянно пытаются использовать уязвимости RDP. Изменение порта RDP по умолчанию — это лишь один из способов усилить безопасность вашего порта RDP.
Вот несколько лучших советов по безопасности RDP, чтобы предотвратить атака на протокол удаленного рабочего стола.
- Каждая учетная запись, имеющая доступ к удаленному рабочему столу, должна использовать надежные пароли и многофакторную аутентификацию.
- Microsoft предлагает исправления для известных уязвимостей, поэтому вы должны убедиться, что ваша ОС всегда обновлена.
- Используйте шлюз RDP, чтобы добавить уровень безопасности к сеансам удаленного рабочего стола.
- Держите аутентификацию на уровне сети (NLA) включенной.
- Ограничьте пользователей, которые могут войти в систему с помощью функции удаленного рабочего стола.
Кроме того, следует реализовать принцип наименьших привилегий что обеспечивает удаленным пользователям минимальный уровень доступа к данным и ресурсам. В результате вы можете ограничить ущерб, который могут нанести киберпреступники в случае их несанкционированного доступа к корпоративной сети.
Измените порт RDP, чтобы оставаться защищенным
Поскольку все больше и больше компаний переходят на модель удаленной работы, количество удаленных подключений увеличивается в геометрической прогрессии. Следовательно, хакеры нацеливаются на порт протокола удаленного рабочего стола по умолчанию для доступа к корпоративным сетям.
Изменение порта RDP — отличная стратегия, позволяющая скрыть ваш порт RDP от хакеров, поскольку хакеры обычно нацелены на порт удаленного рабочего стола по умолчанию. Кроме того, вы должны усилить безопасность вашего порта RDP, чтобы сделать ваш порт RPD недоступным для хакеров.
