Изменить порт rdp для Windows Server 2012 r2

Обновлено: 21.11.2024

Удаленный рабочий стол — это многоканальный протокол, который позволяет пользователю получать удаленный доступ или подключаться к компьютеру, на котором включен сервер удаленных рабочих столов или службы удаленных рабочих столов, с другого удаленного компьютера через локальную сеть (LAN), глобальную сеть. (WAN) или через Интернет с помощью клиентской программы подключения к удаленному рабочему столу. Серверное приложение Microsoft Remote Desktop Protocol (RDP) может быть предварительно установлено в Windows Server 2003, Microsoft Windows XP Professional, Microsoft Windows XP Media Center Edition (MCE), Microsoft Windows XP Tablet PC 2005 Edition, Windows Vista Ultimate, Windows Vista Business. Edition и эквивалентные выпуски более поздних ОС Windows, таких как Windows 7, Windows 8, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012 и т. д. По умолчанию удаленный рабочий стол использует порт 3389 TCP (UDP для перенаправления потокового аудио) в качестве порта прослушивания для любых входящих подключений к удаленному рабочему столу.

Хотя сервер служб удаленных рабочих столов использует порт прослушивания по умолчанию 3389 TCP и UDP, можно изменить или изменить порт прослушивания удаленного рабочего стола на другой порт. Это особенно полезно, когда удаленный компьютер находится за брандмауэром, который не разрешает входящие и исходящие соединения, кроме стандартных портов (брандмауэр Windows в Windows XP с пакетом обновления 2 (SP2) или более поздней версии автоматически настраивает и открывает необходимые порты, когда пользователь включает удаленный рабочий стол для разрешать подключения удаленного рабочего стола к компьютеру, если не выбран параметр «Не разрешать исключения». В противном случае пользователю потребуется вручную открыть порт удаленного рабочего стола в брандмауэре подключения к Интернету в Windows XP SP 1 или более ранней версии, или пользователи не могут настроить переадресация портов для удаленного рабочего стола, если они находятся за брандмауэром или NAT маршрутизатора.

Как изменить порт прослушивания для удаленного рабочего стола

У Microsoft есть статья базы знаний KB306759, в которой подробно описывается, как изменить порт прослушивания удаленного рабочего стола путем изменения значения реестра.

    Запустите редактор реестра, нажав «Пуск» -> «Выполнить», и введите regedit в текстовом поле «Выполнить», а затем нажмите «Ввод» или нажмите «ОК».

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Если вы не хотите самостоятельно вносить изменения в реестр Windows, у IntelliAdmin есть небольшая бесплатная утилита «Изменение порта удаленного рабочего стола» (RDPRemotePortChange.exe), которая позволяет пользователям изменять порт прослушивания удаленного рабочего стола на локальном или удаленном компьютере. удаленный компьютер через локальную сеть.

Чтобы изменить порт прослушивания для удаленного рабочего стола для локального ПК (компьютера, который вы сейчас используете), просто выберите «Локальная система» или выберите «Удаленный компьютер» для другого компьютера и введите нужное имя компьютера или IP-адрес, а также имя пользователя для аутентификации и пароль для изменения порта прослушивания. Настройте необходимые параметры, например, новый номер порта для удаленного рабочего стола и необходимость перезагрузки ПК после изменения, и просто нажмите «Отправить».

Обратите внимание, что функция удаленного помощника в Microsoft Windows XP может работать неправильно, если был изменен порт прослушивания удаленного рабочего стола. Кроме того, если вы хотите подключить или удаленно управлять этим конкретным компьютером с нестандартным портом списка, используя подключение к удаленному рабочему столу с удаленного компьютера, номер порта должен быть указан вместе с именем хоста компьютера или IP-адресом для подключения к этому конкретному порту.

Во всех операционных системах Windows портом по умолчанию, назначенным RDP (протокол удаленного рабочего стола), является TCP 3389. После включения RDP в Windows TermService (службы удаленных рабочих столов) начинает прослушивать порт 3389. В этой статье мы Я покажу вам, как изменить номер порта RDP по умолчанию в настольных версиях Windows (7/8/10/11) и в Windows Server с помощью редактора реестра и PowerShell.

Обратите внимание, что современные версии Windows также используют UDP с тем же номером порта (3389) для подключений к удаленному рабочему столу в дополнение к TCP.

Вы можете изменить номер порта RDP по умолчанию в Windows с 3389 на любой другой. Это чаще всего используется, когда вам нужно скрыть хост RDP/RDS от сканеров портов, которые ищут хосты Windows в сети с открытым портом RDP TCP/3389.

Смена порта RDP уменьшит шансы эксплуатации уязвимостей RDP (последняя критическая уязвимость в RDP BlueKeep описана в CVE-2019-0708), уменьшит количество атак методом перебора RDP (не забывайте регулярно анализировать RDP журналы подключений), SYN и другие виды атак при отключенном NLA. Чаще всего порт RDP меняется на компьютерах с прямым подключением к Интернету (VPS/VDS) или в сетях, где пограничный маршрутизатор перенаправляет порт 3389/RDP на хост Windows в вашей локальной сети.

Несмотря на изменение номера порта, небезопасно открывать порт RDP на вашем хосте для выхода в Интернет. Сканеры портов позволяют злоумышленнику обнаружить прослушиватель RDP на новом порту (по сигнатуре). Если вы хотите открыть RDP-доступ к компьютеру в вашей сети, лучше использовать VPN, RD Web Access, RDS Gateway и другие средства безопасного подключения.

При выборе нестандартного порта RDP обратите внимание, что не рекомендуется использовать порты в диапазоне 1–1023 (известные порты). Используйте динамический порт в диапазоне портов RPC (от 49152 до 65535) или любой порт в диапазоне от 1024 до 49151, который не используется другой службой или приложением.

Как изменить порт удаленного рабочего стола в Windows?

В нашем примере мы изменим номер порта, который прослушивает служба удаленного рабочего стола, на 1350. Для этого:

  1. Откройте редактор реестра ( regedit.exe ) и перейдите в раздел реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp;
  2. Найдите параметр DWORD с именем PortNumber. Этот параметр показывает порт, который прослушивает служба удаленного рабочего стола. Значение по умолчанию — 3389 (десятичное);
  3. Измените значение этого параметра. Я изменил порт RDP на 1350 (десятичный);

Вы можете изменить параметр реестра с помощью PowerShell: Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Name PortNumber -Value 1350


Если вы используете RDCMan для управления несколькими подключениями RDP, вы можете указать порт RDP, который вы настроили, на вкладке «Параметры подключения».

Обратите внимание, что номер порта UDP RDP также автоматически изменился на 1350 (это можно проверить с помощью инструмента TCPView).

Используйте команду Test-NetConnection, чтобы убедиться, что порт RDP по умолчанию 3389 теперь закрыт ( TcpTestSucceeded: False ):

Test-NetConnection 192.168.3.102 -port 3389 |выберите TcpTestSucceeded

Теперь вам нужно использовать новый порт 1350 для RDP-подключения.

Примечание. Если вы измените номер порта прослушивания RDP по умолчанию, у вас могут возникнуть проблемы с использованием удаленного помощника, теневыми подключениями RDP в Windows 10, а также теневым копированием RDS в Windows Server.

Если вы хотите изменить номер порта RDP на компьютерах домена, вы можете использовать функции групповой политики. Создайте новый объект групповой политики, который развернет параметр реестра PortNumber с новым номером порта RDP на компьютерах домена.

Изменить номер порта прослушивания RDP с помощью PowerShell

Полный сценарий PowerShell для изменения номера порта RDP, создания правила брандмауэра и перезапуска службы удаленного рабочего стола может выглядеть следующим образом:

Write-host "Укажите номер вашего нового порта RDP: " -ForegroundColor Yellow -NoNewline;$RDPPort = Read-Host
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server \WinStations\RDP-TCP\" -Name PortNumber -Value $RDPPort
New-NetFirewallRule -DisplayName "NewRDPPort-TCP-In-$RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "NewRDPPort-UDP-In-$RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol UDP -Action Allow
Restart-Service termservice -force
Write-host "Число порт RDP изменен на $RDPPort " -ForegroundColor Magenta

Вы можете изменить номер порта RDP на удаленном компьютере. Для этого вам нужно включить WinRM на удаленном компьютере, а затем вы можете использовать командлет Invoke-Command для подключения к компьютеру:

Invoke-Command -ComputerName wksname112 -ScriptBlock

Если вам нужно удаленно изменить номер RDP на нескольких компьютерах в вашем домене AD (в конкретном OU), используйте следующий сценарий (вы можете получить список компьютеров в OU с помощью командлета Get-ADComputer):< /p>

Write-host "Укажите номер вашего нового RDP-порта:" -ForegroundColor Yellow -NoNewline;$RDPPort = Read-Host
$PCs = Get-ADComputer -Filter * -SearchBase "CN=IT,CN =Computers,CN=NY,DC=woshub,DC=com"
Foreach ($PC в $PCs) Invoke-Command -ComputerName $PC.Name -параметр ScriptBlock ($RDPPort)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP\" -Name PortNumber -Value $RDPPort
New-NetFirewallRule -DisplayName "NewRDPPort-TCP-In-$RDPPort" -Direction Входящий –LocalPort $RDPPort -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "NewRDPPort-UDP-In-$RDPPort" -Direction Входящий –LocalPort $RDPPort -Protocol TCP -Action Allow
Restart-Service терминсервис -сила
>

Это руководство по изменению порта RDP по умолчанию подходит для любой версии Windows, начиная с Windows XP (Windows Server 2003) и заканчивая современными сборками Windows 10, Windows 11 и Windows Server 2022.

RDP, известный как протокол удаленного рабочего стола, – это собственный протокол Microsoft, который отвечает за подключение удаленного рабочего стола к серверу. Этот протокол легко настраивается, и его конфигурация может быть изменена для повышения безопасности и гибкости с помощью таких параметров, как ограничение количества возможных одновременных подключений или изменение порта прослушивания. Второй вариант, изменяющий порт прослушивания (по которому новые соединения связываются с сервером) для RDP, полезен, поскольку он может очень быстро и легко улучшить настройку безопасности.

Чтобы изменить порт прослушивания для RDP на вашем сервере Windows 2012, мы составили краткое руководство, объясняющее настройку.

Начало работы

Для выполнения этого руководства вам потребуется:
• 1 RDP-сервер Windows 12 (облачный сервер или выделенный сервер)

Учебник

Прежде чем продолжить, обратите внимание, что если вы хотите изменить порт прослушивания RDP, вы должны разрешить подключения к новому порту в брандмауэре Windows. Если вы этого не сделаете, ваш сервер будет заблокирован. После того как вы разрешили новый номер порта в брандмауэре Windows и других брандмауэрах вашей системы, вы можете продолжить работу с руководством.

Начните с открытия сеанса администрирования на RDP-сервере Windows 12. Нажмите кнопку «Пуск». В появившемся поле вам нужно будет ввести следующий текст и выполнить:

Приведенная выше команда откроет окно утилиты редактора реестра. Этот инструмент Microsoft является центральным пунктом для внесения изменений в работу вашей системы Windows 12 и является местом расположения значения номера порта для RDP.

Открыв окно, перейдите к следующему представлению:

Открыв представление RDP-Tcp, найдите поле PortNumber. Это поле содержит значение вашего текущего порта прослушивания RDP. Для нашего урока мы изменим его на 9998 в качестве нашего нового порта для прослушивания. Вы можете выбрать другой номер порта, но заранее убедитесь, что выбранный вами номер порта еще не используется в системе и, в качестве бонуса безопасности, не является широко используемым номером порта. Измените значение PortNumber на желаемый номер порта:

Затем вам потребуется перезапустить службу подключения к удаленному рабочему столу, чтобы изменения номера порта вступили в силу. Эту службу, известную как Службы удаленных рабочих столов, можно перезагрузить в Панели управления. Откройте панель управления сейчас.

Открыв панель управления, перейдите к следующим представлениям:

Система и безопасность > Инструменты администрирования > Службы

В списке служб вам нужно будет найти Службы удаленных рабочих столов. Щелкните правой кнопкой мыши, чтобы открыть меню параметров, и нажмите «Перезагрузить».

Пока служба подключения к удаленному рабочему столу перезапускается, обратите внимание, что все текущие подключения RDP будут разорваны. После повторного запуска RDP вы сможете подключиться, используя новый заданный вами порт прослушивания.

Заключение

Поздравляем! Вы успешно изменили значение порта прослушивания для RDP на вашем сервере Windows 12. Если вам понравился этот простой способ улучшить настройки безопасности, поделитесь им с друзьями.


Эта работа находится под лицензией Creative Commons Attribution-NonCommercial 4.0 International License

Порт 3389 — это базовый протокол удаленного рабочего стола, который обеспечивает работу служб удаленных рабочих столов во всех современных версиях Windows. Если в вашей системе включен удаленный рабочий стол, он прослушивает соединения на порту 3389. Поскольку этот порт хорошо известен и может использоваться для атак на учетные записи, он является легкой добычей для скрипт-детей и ботов, ищущих легкую цель.

Теоретически в системе, в которой нет политики блокировки учетной записи, которая, кстати, не является системной по умолчанию, протокол RDP можно использовать для получения пароля администратора методом грубой силы. Брутфорс — это причудливый способ перебора всех возможных паролей. Если система никогда не блокирует учетную запись, то время является единственным препятствием для получения пароля и входа в систему.

Первая защита — это реализация правильной политики блокировки учетной записи, но это не решает всей проблемы. Любой администратор общедоступного веб-сервера Windows заметит, что его сервер постоянно атакуют боты, ищущие легкую цель. Боты часто блокируют ваши учетные записи, что может очень раздражать.

Чтобы защитить вашу систему от ботов и детей-скриптов, я всегда рекомендую изменить порт RDP по умолчанию. Это не обманет умного злоумышленника, но отсеет шум.

Выполните следующие действия, чтобы изменить порт сервера удаленного рабочего стола:

  1. Откройте редактор реестра, нажав кнопку "Пуск", введите regedit и нажмите Enter.
  2. В редакторе реестра перейдите к разделам HKEY_LOCAL_MACHINE, SYSTEM, CurrentControlSet, Control, Terminal Server, WinStations и RDP-Tcp.
  3. Щелкните правой кнопкой мыши на двойном слове PortNumber и выберите Изменить.
  4. Измените базу на Decimal и введите новый порт от 1025 до 65 535, который еще не используется.
  5. Нажмите "ОК" и перезагрузите компьютер.

Обязательно перезагрузите компьютер, чтобы изменения вступили в силу.

Имейте в виду, что в следующий раз, когда вы захотите подключиться к своей системе с помощью RDP, вам нужно будет указать номер порта. Вы можете сделать это из клиента удаленного рабочего стола, добавив двоеточие после имени хоста или IP-адреса, за которым следует номер порта. Например, если у меня есть компьютер с именем хоста tweak с RDP, работающим на порту 1234, я бы использовал tweak:1234 в поле имени хоста клиента удаленного рабочего стола.

Читайте также: