Conectarea computerului Windows de la distanță la un computer gazdă utilizează protocolul de comunicare în rețea proprietar al Microsoft, cunoscut sub numele de Remote Desktop Protocol (RDP).
TCP 3389 este portul implicit alocat pentru RDP pe computer. Dar ar trebui să-l schimbi. Iată de ce ar trebui să faceți modificarea, cum să o faceți și cum să configurați regulile de firewall Windows pentru un port RDP personalizat.
De ce ar trebui să schimbați portul RDP
TCP 3389, un port RDP implicit pentru toate conexiunile la distanță, se află pe radarul hackerilor. Ei folosesc atacuri cu forță brută și alte metode de a ghici acreditările de conectare pentru a obține acces la TCP 3389. Odată ce intră, pot fura sau cripta date sensibile, pot instala programe malware și pot face orice le place pe computerele de la distanță.
Când schimbați numărul implicit de port RDP de la 3389 la orice alt port liber, devine dificil pentru hackeri să ghicească ce port RDP folosiți. Și schimbarea portului RDP este utilă în special atunci când ați dezactivat autentificarea la nivel de rețea (NLA).
Uneori, câteva firewall-uri sunt configurate pentru a bloca comunicațiile de intrare și de ieșire către și de la portul 3389 în mod implicit, pentru a împiedica hackerii să acceseze portul 3389. Modificarea portului RDP implicit poate fi o modalitate de a evita aceste firewall-uri.
Cum să verificați numărul implicit al portului RDP al computerului dvs
presa Windows + X, și deschis Terminal (administrator). Lipiți următoarea comandă în Windows PowerShell și apăsați introduce.
Get-ItemProperty -Calea „HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” -nume „PortNumber”
Ați găsit portul RDP implicit al computerului dvs.
Cum se schimbă portul RDP
Puteți schimba portul RDP TCP implicit al PC-ului cu unul nou, făcând câteva modificări în Editorul de registru. Procesul este simplu.
Dar mai întâi vă recomandăm cu căldură faceți o copie de rezervă a registrului Windows astfel încât să îl puteți restaura rapid dacă ceva nu merge bine. Iată cum să o faci.
presa Windows + R a deschide Alergași tastați „regedit” în caseta de căutare. presa Bine pentru a deschide Editorul Registrului.
Faceți clic dreapta pe Calculator și selectați Export din meniul contextual.
Export Registry File va cere să alegeți locația și numele fișierului pentru fișierele de înregistrare exportate. Alegeți o locație și exportați registrul cu un nume pe care îl puteți aminti cu ușurință.
Odată ce ați terminat de făcut backup pentru Registrul Windows, urmați pașii menționați mai jos pentru a schimba portul RDP. Pentru acest exemplu, am ales portul 51289 pentru a-l face portul de ascultare RDP pentru serviciul desktop la distanță.
Deschideți Windows Registry Editor și inserați următoarea comandă în bara de căutare. presa introduce pentru a ajunge la setările RDP-TCP.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Derulați în jos în bara laterală din dreapta până ajungeți Numarul portului. Faceți dublu clic pe el pentru a edita. Selectează Zecimal opțiunea radio din fereastra de editare și introduceți numărul portului dorit (51289) în fișierul Date valorice camp. Clic Bine a continua.
Închideți Editorul de registru Windows și reporniți computerul. Ați schimbat cu succes portul RDP implicit al computerului dvs. la 51289.
De asemenea, puteți schimba portul RDP implicit cu ajutorul comenzii Windows PowerShell.
Rulați Windows Terminal (administrator)și inserați următoarea comandă PowerShell în fereastra de comandă. Apoi, apăsați introduce.
Set-ItemProperty -Cale "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Nume PortNumber -Valoare 51289
Portul RDP implicit de pe computerul dvs. Windows s-a schimbat într-un port RDP non-standard: 51289. PC-ul dvs. va folosi acum portul 51289 pentru conexiunea la desktop la distanță.
Cum să alegeți numărul potrivit pentru un port RDP personalizat
Există 65.535 de numere de porturi. Aplicațiile obișnuite TCP/IP folosesc numere de porturi de la 0 la 1023, care sunt numite porturi binecunoscute. De exemplu, numărul portului 443 este utilizat pentru autentificarea bazată pe certificat (HTTPS).
Prin urmare, este recomandabil să nu schimbați portul RDP pe Windows cu niciun număr de la 0 la 1023.
Porturile de la 49152 la 65535 sunt cunoscute ca porturi dinamice și sunt utilizate în mod obișnuit de clienți pentru a realiza o conexiune la un server. Drept urmare, mulți oameni preferă să aleagă un număr de port de la 49152 la 65535 pentru a evita conflictul cu orice serviciu binecunoscut sau personalizat.
Configurați paravanul de protecție Windows pentru un port RDP personalizat
Acum că ați schimbat numărul implicit de port RDP pe computer, trebuie să creați reguli de firewall Windows pentru numărul personalizat de port RDP.
Dacă nu faceți acest lucru, firewall-ul Windows vă poate împiedica să utilizați serviciile desktop la distanță folosind portul RDP personalizat.
Rulați Windows Terminal (Admin) și tastați următoarele în linia de comandă. Apoi, apăsați introduce.
New-NetFirewallRule -DisplayName 'RDPPORT_TCP' -Profil 'Public' -Direction Inbound -Action Allow -Protocol TCP -LocalPort 51289
Acum, lipiți următoarea comandă și apăsați introduce.
New-NetFirewallRule -DisplayName 'RDPPORT_UDP' -Profil 'Public' -Direction Inbound -Action Allow -Protocol UDP -LocalPort 51289
Reporniți computerul și activați funcția desktop la distanță de pe computer. Va folosi portul RDP personalizat pentru ascultare.
Cum să îmbunătățiți securitatea RDP
Hackerii încearcă permanent să exploateze vulnerabilitățile RDP. Schimbarea portului RDP implicit este doar o modalitate de a vă consolida securitatea portului RDP.
Iată câteva sfaturi de securitate RDP pentru a preveni a atac de protocol de desktop la distanță.
- Fiecare cont care are acces la un desktop la distanță trebuie să folosească parole puternice și autentificare cu mai mulți factori.
- Microsoft oferă patch-uri pentru vulnerabilități cunoscute, așa că ar trebui să vă asigurați că sistemul de operare este întotdeauna actualizat.
- Utilizați un gateway RDP pentru a adăuga un nivel de securitate la sesiunile desktop la distanță.
- Păstrați autentificarea la nivel de rețea (NLA) activată.
- Limitați utilizatorii care se pot conecta folosind funcția desktop la distanță.
De asemenea, ar trebui să implementați principiul cel mai mic privilegiu care oferă utilizatorilor de la distanță nivelul minim de acces la date și resurse. Drept urmare, puteți limita daunele pe care infractorii cibernetici le pot provoca în cazul accesului neautorizat al acestora la o rețea a întreprinderii.
Schimbați portul RDP pentru a rămâne protejat
Cu tot mai multe companii care adoptă modelul de lucru la distanță, numărul de conexiuni la distanță a crescut exponențial. În consecință, hackerii vizează portul implicit al protocolului desktop la distanță pentru a accesa rețelele întreprinderii.
Schimbarea portului RDP este o strategie excelentă pentru a păstra portul RDP ascuns de hackeri, deoarece hackerii vizează de obicei portul implicit de desktop la distanță. În plus, ar trebui să sporiți securitatea portului RDP pentru a face portul RPD inaccesibil hackerilor.
