Последнее обновление 03.02.2023 — Иван Катанаев
Такие читатели, как вы, помогают поддерживать MUO. Когда вы совершаете покупку по ссылкам на нашем сайте, мы можем получать партнерскую комиссию. Читать далее.
Для удаленного подключения вашего ПК с Windows к главному компьютеру используется собственный сетевой протокол связи Microsoft, известный как протокол удаленного рабочего стола (RDP).
TCP 3389 — это порт по умолчанию, назначенный для RDP на вашем ПК. Но вы должны изменить его. Вот почему вы должны внести изменения, как это сделать и как настроить правила брандмауэра Windows для пользовательского порта RDP.
Почему вы должны изменить порт RDP
TCP 3389, порт RDP по умолчанию для всех удаленных подключений, находится в поле зрения хакеров. Они используют атаки грубой силы и другие методы, чтобы угадать учетные данные для входа в систему, чтобы получить доступ к TCP 3389. Как только они войдут, они могут украсть или зашифровать конфиденциальные данные, установить вредоносное ПО и делать все, что им вздумается, на удаленных компьютерах.
Когда вы меняете номер порта RDP по умолчанию с 3389 на любой другой свободный порт, хакерам становится трудно угадать, какой порт RDP вы используете. И изменение порта RDP особенно полезно, когда вы отключили аутентификацию на уровне сети (NLA).
Иногда некоторые брандмауэры настроены на блокировку входящей и исходящей связи с портом 3389 по умолчанию, чтобы предотвратить доступ хакеров к порту 3389. Изменение порта RDP по умолчанию может быть одним из способов обойти эти брандмауэры.
Как проверить номер порта RDP по умолчанию на вашем ПК
Нажмите Windows + X и откройте Терминал (Администратор). Вставьте следующую команду в Windows PowerShell и нажмите Enter.
Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber"
Вы нашли порт RDP по умолчанию для вашего ПК.
Как изменить порт RDP
Вы можете изменить TCP-порт RDP по умолчанию на вашем ПК на новый, внеся несколько изменений в редакторе реестра. Процесс прост.
Но мы настоятельно рекомендуем вам сначала сделать резервную копию реестра Windows, чтобы вы могли быстро восстановить его, если что-то пойдет не так. Вот как это сделать.
Нажмите Windows + R, чтобы открыть «Выполнить», и введите «regedit» в поле поиска. Нажмите OK, чтобы открыть редактор реестра.
Щелкните правой кнопкой мыши Компьютер и выберите Экспорт из контекстного меню.
Экспорт файла реестра попросит выбрать местоположение и имя файла для экспортируемых файлов регистрации. Выберите место и экспортируйте реестр под легко запоминающимся именем.
Когда вы закончите резервное копирование реестра Windows, выполните следующие шаги, чтобы изменить порт RDP. В этом примере мы выбрали порт 51289, чтобы сделать его портом прослушивания RDP для службы удаленного рабочего стола.
Откройте редактор реестра Windows и вставьте следующую команду в строку поиска. Нажмите Enter, чтобы перейти к настройкам RDP-TCP.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Прокрутите вниз правую боковую панель, пока не дойдете до PortNumber. Дважды щелкните по нему, чтобы отредактировать. Выберите опцию Decimal radio в окне редактирования и введите желаемый номер порта (51289) в поле Value data. Нажмите OK, чтобы продолжить.
Закройте редактор реестра Windows и перезагрузите компьютер. Вы успешно изменили RDP-порт вашего ПК по умолчанию на 51289.
Вы также можете изменить порт RDP по умолчанию с помощью команды Windows PowerShell.
Запустите Windows Terminal (Admin) и вставьте следующую команду PowerShell в командное окно. Затем нажмите Enter.
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Name PortNumber -Value 51289
Порт RDP по умолчанию на вашем ПК с Windows изменился на нестандартный порт RDP: 51289. Теперь ваш компьютер будет использовать порт 51289 для подключения к удаленному рабочему столу.
Как выбрать правильный номер для пользовательского порта RDP
Есть 65 535 номеров портов. Общие приложения TCP/IP используют номера портов от 0 до 1023, которые называются хорошо известными портами. Например, номер порта 443 используется для проверки подлинности на основе сертификата (HTTPS).
Поэтому желательно не менять порт RDP в Windows на любой номер от 0 до 1023.
Порты с 49152 по 65535 известны как динамические порты и обычно используются клиентами для подключения к серверу. В результате многие люди предпочитают выбирать номер порта от 49152 до 65535, чтобы избежать конфликта с любыми известными или пользовательскими службами.
Настройка брандмауэра Windows для пользовательского порта RDP
Теперь, когда вы изменили номер порта RDP по умолчанию на своем ПК, вы должны создать правила брандмауэра Windows для пользовательского номера порта RDP.
Если вы этого не сделаете, защитник брандмауэра Windows может помешать вам использовать службы удаленного рабочего стола с использованием пользовательского порта RDP.
Запустите Windows Terminal (Admin) и введите в командной строке следующее. Затем нажмите Enter.
New-NetFirewallRule -DisplayName 'RDPPORT_TCP' -Profile 'Public' -Direction Inbound -Action Allow -Protocol TCP -LocalPort 51289
Теперь вставьте следующую команду и нажмите Enter.
New-NetFirewallRule -DisplayName 'RDPPORT_UDP' -Profile 'Public' -Direction Inbound -Action Allow -Protocol UDP -LocalPort 51289
Перезагрузите компьютер и включите функцию удаленного рабочего стола на вашем компьютере. Он будет использовать пользовательский порт RDP для прослушивания.
Как повысить безопасность RDP
Хакеры постоянно пытаются использовать уязвимости RDP. Изменение порта RDP по умолчанию — это лишь один из способов усилить безопасность вашего порта RDP.
Вот несколько лучших советов по безопасности RDP для предотвращения атаки на протокол удаленного рабочего стола.
- Каждая учетная запись, имеющая доступ к удаленному рабочему столу, должна использовать надежные пароли и многофакторную аутентификацию.
- Microsoft предлагает исправления для известных уязвимостей, поэтому вы должны убедиться, что ваша ОС всегда обновлена.
- Используйте шлюз RDP, чтобы добавить уровень безопасности к сеансам удаленного рабочего стола.
- Держите аутентификацию на уровне сети (NLA) включенной.
- Ограничьте пользователей, которые могут войти в систему с помощью функции удаленного рабочего стола.
Также следует реализовать принцип наименьших привилегий, который предоставляет удаленным пользователям минимальный уровень доступа к данным и ресурсам. В результате вы можете ограничить ущерб, который могут нанести киберпреступники в случае их несанкционированного доступа к корпоративной сети.
Измените порт RDP, чтобы оставаться защищенным
Поскольку все больше и больше компаний переходят на модель удаленной работы, количество удаленных подключений увеличивается в геометрической прогрессии. Следовательно, хакеры нацеливаются на порт протокола удаленного рабочего стола по умолчанию для доступа к корпоративным сетям.
Изменение порта RDP — отличная стратегия, позволяющая скрыть ваш порт RDP от хакеров, поскольку хакеры обычно нацелены на порт удаленного рабочего стола по умолчанию. Кроме того, вы должны усилить безопасность вашего порта RDP, чтобы сделать ваш порт RPD недоступным для хакеров.
