Po defaultu na svim Windows operativnim sustavima za protokolarnu vezu RDP (Protokol udaljene radne površine) koristi port TCP 3389.
Ako je vaše računalo spojeno izravno na Internet (na primjer, VDS poslužitelj) ili ste konfigurirali port 3389 / RDP za preusmjeravanje na lokalno računalo ili Windows poslužitelj na vaš rubni usmjerivač, standardni RDP port 3389 možete promijeniti na bilo koji drugi. Promjenom broja RDP porta za vezu možete sakriti svoj RDP poslužitelj od skenera portova, smanjiti vjerojatnost iskorištavanja RDP ranjivosti (najnovija kritična ranjivost u RDP BlueKeep opisana je u CVE-2019-0708), smanjiti broj pokušaja daljinskog pogađanja lozinki od strane RDP-a (ne zaboravite periodično analizirati zapisnike RDP veza), SYN i ostale vrste napada (posebno kada je NLA onemogućena).
Možete koristiti zamjenu standardnog RDP priključka kada iza usmjerivača s jednom bijelom IP adresom postoji nekoliko Windows računala na koja trebate osigurati vanjski RDP pristup. Na svakom računalu možete konfigurirati jedinstveni RDP port i konfigurirati prosljeđivanje porta na usmjerivaču na lokalna računala (ovisno o broju RDP porta, sesija se preusmjerava na jedno od unutarnjih računala).Prilikom odabira nestandardnog broja porta za RDP, imajte na umu da je preporučljivo ne koristiti brojeve priključaka u rasponu od 1 do 1023 (poznati portovi) i dinamičke portove iz raspona RPC (od 49152 do 65535).
Pokušajmo promijeniti port na kojem usluga udaljene radne površine čeka vezu 1350. Da biste to učinili:
- Otvorite uređivač registra i idite na podružnicu HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStation \ RDP-Tcp;
- naći DWORD postavka registra imenovana portnumber. Ovaj parametar određuje priključak na kojem usluga udaljene radne površine čeka vezu;
- Promijenite vrijednost ovog porta. Promijenio sam RDP port u 1350 u decimalnoj vrijednosti (Deciamal);
Postavke registra možete promijeniti pomoću PowerShell: Set-ItemProperty -Path "HKLM: \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStation \ RDP-Tcp \" -Name PortNumber -Value 1350 - Ako je na vašem računalu omogućen vatrozid Windows, morate stvoriti novo pravilo koje dopušta dolazne veze s novim RDP portom (ako ponovno konfigurirate udaljeni poslužitelj putem RDP-a bez stvaranja pravila u vatrozidu, izgubit ćete pristup poslužitelju). Ručno možete stvoriti dopušteno dolazno pravilo za novi TCP / UDP RDP port iz konzole 'Windows Defender Firewall' (firewall.cpl) ili pomoću naredbi PowerShell:
New-NetFirewallRule -DisplayName "Novi RDP Port 1350" - Ulazni usmjeravanje -LocalPort 1350 -Protocol TCP -Dopuštanjea:New-NetFirewallRule -DisplayName "Novi RDP Port 1350" - Ulazni usmjerni -LocalPort 1350 -Protocol UDP-Akcija dopušta
- Ponovo pokrenite računalo ili ponovno pokrenite uslugu udaljene radne površine naredbom:
net stop termservice & neto start termservice
- Sada, da biste se spojili na ovo Windows računalo putem RDP-a, u klijentu mstsc.exe, trebate odrediti RDP priključak dvotočka povezanosti putem dvotočke na sljedeći način:
Vaše ime_računala_ime: 1350ili prema IP adresi192.168.1.100:1350ili iz naredbenog retka:mstsc.exe / v 192.168.1.100:1350
Ako za upravljanje više RDP veza koristite RDPMan RDP Connection Manager, na kartici "Postavke veze" možete odrediti broj RDP porta koji ste odredili za povezivanje..
- Kao rezultat toga, uspješno ćete se povezati s radnom površinom udaljenog računala pomoću novog broja RDP porta (pomoću naredbe
nenstat -na | Pronađite "LISTU"provjerite je li RDP usluga sada sluša na drugom ulazu).
Ako za upravljanje više RDP veza koristite RDPMan RDP Connection Manager, na kartici "Postavke veze" možete odrediti broj RDP porta koji ste odredili za povezivanje..
Potpuna skripta koda PowerShell za promjenu RDP porta, stvaranje pravila u vatrozidu i ponovno pokretanje RDP usluge na novom priključku može izgledati ovako:
Host pisanja "Unesite broj novog RDP porta:" -ForegroundColor Yellow -NoNewline; $ RDPPort = Read-Host
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStation \ RDP-TCP \" -Name PortNumber -Value $ RDPPort
New-NetFirewallRule -DisplayName "Novi RDP Port $ RDPPort" -Ulazni usmjer -LocalPort $ RDPPort -Protocol TCP -Action Allow Allow
New-NetFirewallRule -DisplayName "Novi RDP Port $ RDPPort" -Ulazni usmjeravanje -LocalPort $ RDPPort -Protocol UDP-Akcija Dopušta
Ponovno pokreni-servis termservice -force
Host pisanja "RDP broj porta promijenjen u $ RDPPort" -ForegroundColor Magenta
RDP broj možete daljinski promijeniti na više računala u AD domeni (definiranoj od OU) pomoću Invoke-Command i Get-ADComputer:
Host pisanja "Unesite broj novog RDP porta:" -ForegroundColor Yellow -NoNewline; $ RDPPort = Read-Host
$ PCs = Get-ADComputer -Filter * -Stražna baza "CN = DMZ, CN = Računala, DC = winitpro, DC = hr"
Foreach ($ PC u $ PC)
Invoke-Command -ComputerName $ PC.Name -ScriptBlock
param ($ RDPPort)
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStation \ RDP-TCP \" -Name PortNumber -Value $ RDPPort
New-NetFirewallRule -DisplayName "Novi RDP Port $ RDPPort" -Ulazni usmjer -LocalPort $ RDPPort -Protocol TCP -Action Allow Allow
New-NetFirewallRule -DisplayName "Novi RDP Port $ RDPPort" -Ulazni usmjer -LocalPort $ RDPPort -Protocol TCP -Action Allow Allow
Ponovno pokreni-servis termservice -force
Ova je uputa za promjenu standardnog RDP porta pogodna za sve verzije sustava Windows, počevši od sustava Windows XP (Windows Server 2003) i završavajući sa sustavom Windows 10 (Windows Server 2019).
