Změňte číslo portu RDP 3389 pro vzdálenou plochu na Windows 10 / Windows Server 2016 na Windows

Ve výchozím nastavení ve všech operačních systémech Windows pro připojení protokolu RDP (Protokol vzdálené plochy) používá port TCP 3389.

Pokud je počítač přímo připojen k Internetu (například server VDS) nebo pokud jste nakonfigurovali port 3389 / RDP, aby byl přesměrován na místní počítač nebo server Windows na hraničním směrovači, můžete změnit standardní port RDP 3389 na jakýkoli jiný. Změnou čísla portu RDP pro připojení můžete skrýt server RDP před skenery portů, snížit pravděpodobnost zneužití zranitelností RDP (nejnovější kritická zranitelnost v RDP BlueKeep je popsána v CVE-2019-0708), snížit počet pokusů o vzdálené odhadování hesel pomocí protokolu RDP (nezapomíná pravidelně) analyzovat protokoly připojení RDP), SYN a dalších typů útoků (zejména pokud je NLA zakázána).

Nahrazení standardního portu RDP můžete použít, pokud za routerem je jedna bílá adresa IP a existuje několik počítačů se systémem Windows, ke kterým musíte poskytnout externí přístup RDP. V každém počítači můžete nakonfigurovat jedinečný port RDP a nakonfigurovat předávání portů ve směrovači na místní počítače (v závislosti na čísle portu RDP je relace přesměrována na jeden z interních počítačů).

Při výběru nestandardního čísla portu pro RDP si uvědomte, že je vhodné nepoužívat čísla portů v rozsahu od 1 do 1023 (známé porty) a dynamické porty z rozsahu RPC (od 49152 do 65535)..

Zkusme změnit port, na který služba Vzdálená plocha čeká na připojení 1350. Postupujte takto:

  1. Otevřete editor registru a přejděte do pobočky HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp;
  2. Najít DWORD nastavení registru pojmenováno Portnumber. Tento parametr určuje port, na který služba Vzdálená plocha čeká na připojení;
  3. Změňte hodnotu tohoto portu. Změnil jsem port RDP na 1350 v desetinné hodnotě (desetinná); Nastavení registru můžete změnit pomocí PowerShell: Set-ItemProperty -Path "HKLM: \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp \" -Name PortNumber -Value 1350
  4. Pokud je v počítači povolena brána Windows Firewall, musíte vytvořit nové pravidlo, které umožní příchozí připojení k novému portu RDP (pokud překonfigurujete vzdálený server pomocí protokolu RDP bez vytvoření pravidla ve bráně firewall, ztratíte přístup k serveru). Pravidlo povolení příchodu pro nový port TCP / UDP RDP můžete vytvořit ručně z konzoly Windows Firewall Firewall (firewall.cpl) nebo pomocí příkazů PowerShell: New-NetFirewallRule -DisplayName "New RDP Port 1350" - Příchozí směrování - LoccalPort 1350 - Protokol TCP - Povolení povolení A: New-NetFirewallRule -DisplayName "New RDP Port 1350" - Příchozí směrování - LocalPort 1350 - Protokol UDP - Povolení povolení
  5. Restartujte počítač nebo restartujte službu Vzdálená plocha pomocí příkazu: síťová zastávka - termíny a síťová startovací služba
  6. Nyní, chcete-li se připojit k tomuto počítači se systémem Windows pomocí protokolu RDP, musíte v klientovi mstsc.exe zadat port RDP dvojtečky připojení pomocí dvojtečky následujícím způsobem: Your_Computer_Name: 1350 nebo pomocí IP adresy 192.168.1.100:1350 nebo z příkazového řádku: mstsc.exe / v 192.168.1.100:1350 Pokud ke správě více připojení RDP používáte správce připojení RDPMan RDP, můžete na kartě „Nastavení připojení“ zadat číslo portu RDP, které jste zadali pro připojení..
  7. Ve výsledku se úspěšně připojíte k ploše vzdáleného počítače pomocí nového čísla portu RDP (pomocí příkazu nenstat -na | Najít „SEZNAM“ ujistěte se, že služba RDP nyní poslouchá na jiném portu).
Pozor: Pokud změníte číslo portu RDP, může dojít k problémům s provozováním služby Vzdálená pomoc a stínového připojení RDP ve Windows 10 a také se stínováním v systému Windows Server.

Úplný kódový skript PowerShell pro změnu portu RDP, vytvoření pravidla v bráně firewall a restartování služby RDP na novém portu může vypadat takto:

Write-host "Zadejte číslo nového portu RDP:" -ForegroundColor Yellow -NoNewline; $ RDPPort = Read-Host
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-TCP \" - Název PortNumber - Hodnota $ RDPPort
New-NetFirewallRule -DisplayName "Nový port RDP $ RDPPort" - Přesměrování příchozí -MístníPort $ RDPPort -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "Nový port RDP $ RDPPort" - Přesměrování příchozí -MístníPort $ RDPPort -Protocol UDP-Povolení povolení
Restart-Servisní podmínky služby - síla
Hostitel zápisu "Číslo portu RDP změněno na $ RDPPort" -ForegroundColor Magenta

Číslo RDP můžete vzdáleně změnit na více počítačích v doméně AD (definované OU) pomocí Invoke-Command a Get-ADComputer:

Write-host "Zadejte číslo nového portu RDP:" -ForegroundColor Yellow -NoNewline; $ RDPPort = Read-Host
$ PC = Get-ADComputer -Filter * -SearchBase "CN = DMZ, CN = Počítače, DC = winitpro, DC = en"
Foreach ($ PC v $ PC)
Invoke-Command -ComputerName $ PC.Name -ScriptBlock
param ($ RDPPort)
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-TCP \" - Název PortNumber - Hodnota $ RDPPort
New-NetFirewallRule -DisplayName "Nový port RDP $ RDPPort" - Přesměrování příchozí -MístníPort $ RDPPort -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "Nový port RDP $ RDPPort" - Přesměrování příchozí -MístníPort $ RDPPort -Protocol TCP -Action Allow
Restart-Servisní podmínky služby - síla

Tento pokyn pro změnu standardního portu RDP je vhodný pro jakoukoli verzi systému Windows, počínaje Windows XP (Windows Server 2003) a končící Windows 10 (Windows Server 2019).