Privzeto v vseh operacijskih sistemih Windows za povezavo s protokolom RDP (Protokol za oddaljeno namizje) uporablja vrata TCP 3389.
Če je vaš računalnik neposredno povezan z internetom (na primer strežnik VDS) ali ste konfigurirali vrata 3389 / RDP, da se bodo preusmerili na lokalni računalnik ali Windows strežnik na vaš mejni usmerjevalnik, lahko spremenite standardna vrata 3389 RDP v katero koli drugo. Če spremenite številko vrat RDP za povezavo, lahko strežnik RDP skrijete pred skenerji vrat, zmanjšate verjetnost izkoriščanja ranljivosti RDP (zadnja kritična ranljivost v RDP BlueKeep je opisana v CVE-2019-0708), zmanjšate število poskusov oddaljenega ugibanja gesel s strani RDP (ne pozabite občasno analizira dnevnike povezav RDP), SYN in druge vrste napadov (zlasti kadar je NLA onemogočen).
Če uporabljate usmerjevalnik z enim belim IP naslovom, lahko uporabite več računalnikov z Windows, do katerih morate zagotoviti zunanji dostop do RDP. Na vsakem računalniku lahko konfigurirate edinstveno vrata RDP in konfigurirate posredovanje vrat na usmerjevalniku na lokalne računalnike (odvisno od številke vrat RDP je seja preusmerjena na enega od notranjih osebnih računalnikov).Pri izbiri nestandardne številke vrat za RDP upoštevajte, da je priporočljivo, da ne uporabljate številk vrat v območju od 1 do 1023 (znana vrata) in dinamičnih vrat iz območja RPC (od 49152 do 65535).
Poskusimo spremeniti vrata, na katera storitev oddaljenega namizja čaka na povezavo 1350. Če želite to narediti:
- Odprite urejevalnik registra in pojdite v podružnico HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStation \ RDP-Tcp;
- Najdi DWORD nastavitev registra poimenovana Portnumber. Ta parameter določa vrata, na katerih storitev oddaljenega namizja čaka na povezavo;
- Spremenite vrednost tega pristanišča. Zamenjal sem vrata RDP v 1350 v decimalni vrednosti (Deciamal); Nastavitev registra lahko spremenite s programom PowerShell:
Set-ItemProperty -Path "HKLM: \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStation \ RDP-Tcp \" -Name PortNumber -Value 1350
- Če je v računalniku omogočen požarni zid Windows, morate ustvariti novo pravilo, ki omogoča dohodne povezave z novim vratom RDP (če znova odstranjujete oddaljeni strežnik prek RDP, ne da bi v požarnem zidu ustvarili pravilo, boste izgubili dostop do strežnika). Pravilo dovoljenja za dohodni vhod za nova vrata TCP / UDP RDP lahko ustvarite ročno s konzole 'Windows Defender Firewall' (firewall.cpl) ali z uporabo ukazov PowerShell:
New-NetFirewallRule -DisplayName "Novo pristanišče RDP 1350" - vhodni usmerjanje -LocalPort 1350 -Protocol TCP-dovoljenje
In:New-NetFirewallRule -DisplayName "Novo pristanišče RDP 1350" - vhodno usmerjanje -LocalPort 1350 -Protocol UDP-dovoljenje
- Znova zaženite računalnik ali z ukazom znova zaženite storitev oddaljenega namizja:
net stop termservice & neto start termservice
- Zdaj, če se želite povezati s tem računalnikom z operacijskim sistemom Windows prek RDP, v odjemalcu mstsc.exe, morate določiti vrata RDP debelega črevesa povezave prek dvopičje na naslednji način:
Vaš_imeter_ime: 1350
ali po naslovu IP192.168.1.100:1350
ali iz ukazne vrstice:mstsc.exe / v 192.168.1.100:1350
Če za upravljanje več povezav RDP uporabljate upravljalnik povezav RDPMan RDP, lahko na kartici »Nastavitve povezave« določite številko vrat RDP, ki ste jo določili za povezavo.. - Kot rezultat, se boste uspešno povezali na namizje oddaljenega računalnika s pomočjo nove številke vrat RDP (s pomočjo ukaza
nenstat -na | Poiščite »SEZNAM«
preverite, ali se storitev RDP zdaj posluša na drugih vratih).
Celoten skript kode PowerShell za spremembo vrat RDP, ustvarjanje pravila v požarnem zidu in ponovno zagon storitve RDP na novem pristanišču lahko izgleda tako:
Gostitelj pisanja "Vnesite številko novega pristanišča RDP:" -ForegroundColor Yellow -NoNewline; $ RDPPort = Read-Host
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStation \ RDP-TCP \" -Name PortNumber -Value $ RDPPort
New-NetFirewallRule -DisplayName "Novo pristanišče RDP $ RDPPort" -dhodni vhod -LocalPort $ RDPPort -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "Novo pristanišče RDP $ RDPPort" - vhodno usmerjanje -LocalPort $ RDPPort -Protocol UDP -Action Allow Allow
Ponovno zaženite servisna storitev -force
Gostitelj pisanja "Številka vrat RDP spremenjena v $ RDPPort" -ForegroundColor Magenta
Številko RDP lahko na daljavo spremenite na več računalnikih v domeni AD (definirano z OU) z uporabo Invoke-Command in Get-ADComputer:
Gostitelj pisanja "Vnesite številko novega pristanišča RDP:" -ForegroundColor Yellow -NoNewline; $ RDPPort = Read-Host
$ PCs = Get-ADComputer -Filter * -Sestrana "CN = DMZ, CN = Računalniki, DC = winitpro, DC = en"
Foreach ($ PC v $ PC)
Pokliči-ukaz -ComputerName $ PC.Name -ScriptBlock
param ($ RDPPort)
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStation \ RDP-TCP \" -Name PortNumber -Value $ RDPPort
New-NetFirewallRule -DisplayName "Novo pristanišče RDP $ RDPPort" -dhodni vhod -LocalPort $ RDPPort -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "Novo pristanišče RDP $ RDPPort" -dhodni vhod -LocalPort $ RDPPort -Protocol TCP -Action Allow
Ponovno zaženite servisna storitev -force
To navodilo za spremembo standardnih vrat RDP je primerno za katero koli različico sistema Windows, začenši z Windows XP (Windows Server 2003) in konča z Windows 10 (Windows Server 2019).