Дистанционното свързване на вашия компютър с Windows към хост компютър използва патентования мрежов комуникационен протокол на Microsoft, известен като протокол за отдалечен работен плот (RDP).
TCP 3389 е портът по подразбиране, определен за RDP на вашия компютър. Но трябва да го промените. Ето защо трябва да направите промяната, как да я направите и как да конфигурирате правилата на защитната стена на Windows за персонализиран RDP порт.
Защо трябва да промените RDP порта
TCP 3389, RDP порт по подразбиране за всички отдалечени връзки, е на радара на хакерите. Те използват атаки с груба сила и други методи за отгатване на идентификационни данни за влизане, за да получите достъп до TCP 3389. След като влязат, те могат да откраднат или криптират чувствителни данни, да инсталират зловреден софтуер и да правят всичко, което им хареса на отдалечени компютри.
Когато промените номера на RDP порта по подразбиране от 3389 на всеки друг свободен порт, за хакерите става трудно да отгатнат кой RDP порт използвате. Промяната на RDP порта е особено полезна, когато сте изключили удостоверяването на мрежово ниво (NLA).
Понякога няколко защитни стени са конфигурирани да блокират входяща и изходяща комуникация към и от порт 3389 по подразбиране, за да предотвратят достъпа на хакери до порт 3389. Промяната на RDP порта по подразбиране може да бъде един от начините за заобикаляне на тези защитни стени.
Как да проверите номера на RDP порта по подразбиране на вашия компютър
Натиснете Windows + хи отворете Терминал (администратор). Поставете следната команда в Windows PowerShell и натиснете Въведете.
Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber"
Намерихте RDP порта по подразбиране на вашия компютър.
Как да промените RDP порта
Можете да промените RDP TCP порта по подразбиране на вашия компютър с нов, като направите няколко настройки в редактора на системния регистър. Процесът е прост.
Но първо ви препоръчваме архивирайте системния регистър на Windows за да можете бързо да го възстановите, ако нещо се обърка. Ето как да го направите.
Натиснете Windows + Р да отвориш Бягайи въведете „regedit“ в полето за търсене. Натиснете Добре за да отворите редактора на системния регистър.
Щракнете с десния бутон върху компютър и изберете Експортиране от контекстното меню.
Export Registry File ще поиска да изберете местоположението и името на файла за вашите експортирани регистрационни файлове. Изберете местоположение и експортирайте регистъра с име, което лесно можете да запомните.
След като приключите с архивирането на системния регистър на Windows, следвайте стъпките по-долу, за да промените RDP порта. За този пример избрахме порт 51289, за да го направим порт за слушане на RDP за услуга за отдалечен работен плот.
Отворете редактора на системния регистър на Windows и поставете следната команда в лентата за търсене. Натиснете Въведете за да достигнете до настройките на RDP-TCP.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Превъртете надолу в дясната странична лента, докато стигнете Номер на пристанище. Кликнете два пъти върху него, за да редактирате. Изберете десетична радио опция в прозореца за редактиране и въведете желания номер на порт (51289) в Данни за стойността поле. Кликнете Добре продължавам.
Затворете редактора на системния регистър на Windows и рестартирайте компютъра. Успешно сте променили стандартния RDP порт на вашия компютър на 51289.
Можете също така да промените вашия RDP порт по подразбиране с помощта на командата Windows PowerShell.
Стартирайте Windows Терминал (администратор)и поставете следната команда на PowerShell в командния прозорец. След това натиснете Въведете.
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Name PortNumber -Value 51289
RDP портът по подразбиране на вашия компютър с Windows е променен на нестандартен RDP порт: 51289. Вашият компютър вече ще използва порта 51289 за връзка с отдалечен работен плот.
Как да изберете правилния номер за персонализиран RDP порт
Има 65 535 номера на портове. Често срещаните TCP/IP приложения използват номера на портове от 0 до 1023, които се наричат добре познати портове. Например номер на порт 443 се използва за удостоверяване, базирано на сертификат (HTTPS).
Затова е препоръчително да не променяте RDP порта на Windows на произволно число от 0 до 1023.
Портове от 49152 до 65535 са известни като динамични портове и обикновено се използват от клиенти за осъществяване на връзка със сървър. В резултат на това много хора предпочитат да изберат номер на порт от 49152 до 65535, за да избегнат конфликт с добре познати или персонализирани услуги.
Конфигурирайте защитната стена на Windows за персонализиран RDP порт
Сега, след като сте променили номера на RDP порта по подразбиране на вашия компютър, трябва да създадете правила на защитната стена на Windows за персонализирания номер на RDP порт.
Ако не направите това, вашата защитна стена на Windows може да ви попречи да използвате услуги за отдалечен работен плот, използвайки персонализирания RDP порт.
Стартирайте Windows Terminal (Admin) и въведете следното в командния ред. След това натиснете Въведете.
New-NetFirewallRule -DisplayName 'RDPPORT_TCP' -Profile 'Public' -Direction Inbound -Action Allow -Protocol TCP -LocalPort 51289
Сега поставете следната команда и натиснете Въведете.
New-NetFirewallRule -DisplayName 'RDPPORT_UDP' -Profile 'Public' -Direction Inbound -Action Allow -Protocol UDP -LocalPort 51289
Рестартирайте вашия компютър и включете функцията за отдалечен работен плот на вашия компютър. Той ще използва персонализирания RDP порт за слушане.
Как да подобрите сигурността на RDP
Хакерите непрекъснато се опитват да използват уязвимостите на RDP. Промяната на RDP порта по подразбиране е само един от начините за укрепване на сигурността на вашия RDP порт.
Ето някои най-добри съвети за сигурност на RDP за предотвратяване на a атака на протокол за отдалечен работен плот.
- Всеки акаунт с достъп до отдалечен работен плот трябва да използва силни пароли и многофакторно удостоверяване.
- Microsoft предлага корекции за известни уязвимости, така че трябва да се уверите, че вашата операционна система винаги е актуална.
- Използвайте RDP шлюз, за да добавите ниво на сигурност към сесиите на отдалечен работен плот.
- Поддържайте активирано удостоверяване на ниво мрежа (NLA).
- Ограничете потребителите, които могат да влизат с помощта на функцията за отдалечен работен плот.
Освен това трябва да приложите принцип на най-малката привилегия който предоставя на отдалечените потребители минимално ниво на достъп до данни и ресурси. В резултат на това можете да ограничите щетите, които киберпрестъпниците могат да причинят в случай на техен неоторизиран достъп до корпоративна мрежа.
Променете RDP порта, за да останете защитени
С все повече компании, които възприемат модела на дистанционна работа, броят на дистанционните връзки нараства експоненциално. Следователно хакерите се насочват към порта на протокола за отдалечен работен плот по подразбиране за достъп до корпоративни мрежи.
Промяната на RDP порта е отлична стратегия да запазите вашия RDP порт скрит от хакери, тъй като хакерите обикновено се насочват към порта за отдалечен работен плот по подразбиране. Освен това трябва да подобрите защитата на вашия RDP порт, за да направите вашия RPD порт недостъпен за хакери.