Подразумевано на свим оперативним системима Виндовс за повезивање са протоколом РДП (Ремоте Десктоп Протоцол) користи порт ТЦП 3389.
Ако је ваш рачунар директно повезан на Интернет (на пример, ВДС сервер) или сте конфигурисали порт 3389 / РДП за преусмеравање на локални рачунар или Виндовс сервер на ваш гранични рутер, можете променити стандардни РДП порт 3389 на било који други. Променом броја РДП порта за везу можете сакрити свој РДП сервер од скенера портова, смањити вероватноћу експлоатације РДП рањивости (последња критична рањивост у РДП БлуеКееп је описана у ЦВЕ-2019-0708), смањите број покушаја даљинског погађања лозинки од стране РДП-а (не заборавите периодично анализирати записе РДП веза), СИН и друге врсте напада (посебно када је НЛА онемогућена).
Можете користити замену стандардног РДП прикључка када иза рутера са једном белом ИП адресом постоји неколико рачунара са Виндовс којима требате да обезбедите спољни РДП приступ. На сваком рачунару можете конфигурирати јединствени РДП порт и конфигурирати просљеђивање портова на усмјеривачу на локалне рачунаре (зависно од броја РДП порта, сесија се преусмјерава на један од унутрашњих рачунара).Када бирате нестандардни број портова за РДП, имајте на уму да је препоручљиво не користити бројеве портова у опсегу од 1 до 1023 (познати портови) и динамичке портове из распона РПЦ (од 49152 до 65535).
Покушајмо да променимо порт на коме услуга Ремоте Десктоп чека везу са 1350. Да бисте то урадили:
- Отворите уређивач регистра и идите у филијалу ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ Систем \ ЦуррентЦонтролСет \ Цонтрол \ Терминал Сервер \ ВинСтатион \ РДП-Тцп;
- Пронађи ДВОРД поставка регистра именована Портнумбер. Овај параметар одређује порт на коме услуга Ремоте Десктоп чека везу;
- Промените вредност овог порта. Променио сам РДП порт у 1350 у децималној вредности (Дециамал);
Поставке регистратора можете променити помоћу ПоверСхелл-а: Сет-ИтемПроперти -Патх "ХКЛМ: \ Систем \ ЦуррентЦонтролСет \ Цонтрол \ Терминал Сервер \ ВинСтатион \ РДП-Тцп \" -Наме ПортНумбер -Валуе 1350 - Ако је на вашем рачунару омогућен заштитни зид Виндовс, морате да креирате ново правило које омогућава долазне везе са новим РДП портом (ако поново конфигуришете удаљени сервер преко РДП-а без креирања правила у заштитном зиду, изгубит ћете приступ серверу). Ручно можете да креирате допуштено долазно правило за нови ТЦП / УДП РДП порт из конзоле 'Виндовс Дефендер Фиревалл' (фиревалл.цпл) или користећи наредбе ПоверСхелл:
Нев-НетФиреваллРуле -ДисплаиНаме "Нови РДП Порт 1350" - Улазни усмеравање -ЛоцалПорт 1350 -Протоцол ТЦП -ДопуштањеИ:Нев-НетФиреваллРуле -ДисплаиНаме "Нови РДП Порт 1350" - Улазни усмерени -ЛоцалПорт 1350 -Протоцол УДП-Дозвола
- Поново покрените рачунар или поново покрените услугу Ремоте Десктоп Сервице помоћу наредбе:
нет стоп термсервице & нето старт термсервице
- Сада, да бисте се на овај Виндовс рачунар повезали преко РДП-а, у клијенту мстсц.еке, морате да одредите РДП порт дебелог црева везе путем двоточке на следећи начин:
Иоур_Цомпутер_Наме: 1350или по ИП адреси192.168.1.100:1350или из командне линије:мстсц.еке / в 192.168.1.100:1350
Ако користите РДПМан РДП Цоннецтион Манагер за управљање више РДП веза, можете одредити број РДП порта који сте навели за повезивање на картици „Подешавања везе“..
- Као резултат тога, успешно ћете се повезати са радном површином удаљеног рачунара користећи нови број РДП порта (користећи команду
ненстат -на | Пронађи „ЛИСТУ“проверите да ли се РДП услуга сада слуша на другом порту).
Ако користите РДПМан РДП Цоннецтион Манагер за управљање више РДП веза, можете одредити број РДП порта који сте навели за повезивање на картици „Подешавања везе“..
Потпуна скрипта кода ПоверСхелл за промену РДП порта, креирање правила у фиревалл-у и поновно покретање РДП услуге на новом порту може изгледати овако:
Хост писања "Унесите број новог РДП порта:" -ФорегроундЦолор Иеллов -НоНевлине; $ РДППорт = Реад-Хост
Сет-ИтемПроперти -Патх "ХКЛМ: \ СИСТЕМ \ ЦуррентЦонтролСет \ Цонтрол \ Терминал Сервер \ ВинСтатион \ РДП-ТЦП \" -Наме ПортНумбер -Валуе $ РДППорт
Нев-НетФиреваллРуле -ДисплаиНаме "Нови РДП Порт $ РДППорт" -Додлазни Усмеравање -ЛоцалПорт $ РДППорт -Протоцол ТЦП -Ацтион Аллов
Нев-НетФиреваллРуле -ДисплаиНаме "Нев РДП Порт $ РДППорт" -Дирецтион Инбоунд -ЛоцалПорт $ РДППорт -Протоцол УДП-Ацтион Аллов
Рестарт-Сервице термсервице -форце
Хост писања "Број РДП порта промијењен у $ РДППорт" -ФорегроундЦолор Магента
Можете да промените РДП број на даљину на више рачунара у АД домену (дефинисано од стране ОУ) користећи Инвоке-Цомманд и Гет-АДЦомпутер:
Хост писања "Унесите број новог РДП порта:" -ФорегроундЦолор Иеллов -НоНевлине; $ РДППорт = Реад-Хост
$ ПЦс = Гет-АДЦомпутер -Филтер * -Стражна база "ЦН = ДМЗ, ЦН = Рачунари, ДЦ = винитпро, ДЦ = ен"
Фореацх ($ ПЦ у $ ПЦ)
Инвоке-Цомманд -ЦомпутерНаме $ ПЦ.Наме -СцриптБлоцк
парам ($ РДППорт)
Сет-ИтемПроперти -Патх "ХКЛМ: \ СИСТЕМ \ ЦуррентЦонтролСет \ Цонтрол \ Терминал Сервер \ ВинСтатион \ РДП-ТЦП \" -Наме ПортНумбер -Валуе $ РДППорт
Нев-НетФиреваллРуле -ДисплаиНаме "Нови РДП Порт $ РДППорт" -Додлазни Усмеравање -ЛоцалПорт $ РДППорт -Протоцол ТЦП -Ацтион Аллов
Нев-НетФиреваллРуле -ДисплаиНаме "Нови РДП Порт $ РДППорт" -Додлазни Усмеравање -ЛоцалПорт $ РДППорт -Протоцол ТЦП -Ацтион Аллов
Рестарт-Сервице термсервице -форце
Ово упутство за промену стандардног РДП порта погодно је за било коју верзију оперативног система Виндовс, почев од Виндовс КСП (Виндовс Сервер 2003) и завршавајући са Виндовс 10 (Виндовс Сервер 2019).
