Порт удаленного рабочего стола: Изменение порта прослушивания в удаленном рабочем столе

Изменение порта прослушивания в удаленном рабочем столе

Twitter




LinkedIn




Facebook




Адрес электронной почты

• 
  Статья
• 
  12/21/2022
• Чтение занимает 2 мин
• 
  

Область применения: Windows Server 2022, Windows 10, Windows 8. 1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2008 R2

При подключении компьютера (клиентской версии Windows или Windows Server) с помощью клиента удаленного рабочего стола функции удаленного рабочего стола на компьютере «слышат» запрос на соединение через заданный порт прослушивания (по умолчанию — 3389). Этот порт прослушивания на компьютерах Windows можно изменить путем изменения реестра.

1. Откройте редактор реестра. (В поле поиска введите «regedit»).
2. Перейдите к следующему разделу реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
3. Найдите параметр PortNumber.
4. Щелкните Редактировать Изменить, а затем выберите пункт Десятичное.
5. Введите новый номер порта, а затем нажмите кнопку ОК.
6. Закройте редактор реестра и перезагрузите компьютер.

При очередном подключении компьютера к этому компьютеру с помощью удаленного рабочего стола необходимо будет ввести новый номер порта. Если вы используете брандмауэр, убедитесь, что в нем разрешены подключения к новому номеру порта.

Номер текущего порта можно проверить с помощью следующей команды PowerShell:

Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber"

Пример:

PortNumber   : 3389
PSPath       : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
PSParentPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations
PSChildName  : RDP-Tcp
PSDrive      : HKLM
PSProvider   : Microsoft.PowerShell.Core\Registry

Номер порта RDP можно изменить с помощью следующей команды PowerShell. В этой команде укажите новый порт RDP 3390.

Чтобы добавить новый порт RDP в реестр, выполните следующую команду:

$portvalue = 3390
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber" -Value $portvalue 
New-NetFirewallRule -DisplayName 'RDPPORTLatest-TCP-In' -Profile 'Public' -Direction Inbound -Action Allow -Protocol TCP -LocalPort $portvalue 
New-NetFirewallRule -DisplayName 'RDPPORTLatest-UDP-In' -Profile 'Public' -Direction Inbound -Action Allow -Protocol UDP -LocalPort $portvalue 

Как изменить порт удаленного рабочего стола (порт RDP) с помощью PowerShell — Admin Day

Автор Hodogor На чтение 5 мин Просмотров 325 Опубликовано 05.08.2022

Помните печально известную уязвимость BlueKeep? Он использовал порт 3389, отправив специально созданное сообщение, которое позволяло злоумышленникам удаленно выполнять любой код в скомпрометированной системе.  Учитывая угрозу безопасности, часто рекомендуется отключать RDP, когда он не нужен; однако все еще существуют определенные системы, в которых вы просто не можете его отключить, например, серверы.

Альтернативным решением является изменение номера порта RDP с значения по умолчанию на что-то другое. Это, конечно, не сделает вашу систему Windows пуленепробиваемой, но, безусловно, поможет остановить несколько скриптовых детишек. Я имею в виду, в этом весь смысл безопасности через неизвестность.

В этом руководстве я изменю порт RDP в системе с именем TERMINAL под управлением Windows 10. Поскольку мы используем PowerShell, мы можем использовать удаленное управление PowerShell для выполнения всех команд из нашей собственной системы. Просто запустите консоль PowerShell с повышенными правами и используйте следующую команду, чтобы открыть интерактивный сеанс удаленного взаимодействия PS с удаленным компьютером, на котором вы хотите изменить порт RDP.

Enter-PsSession -ComputerName TERMINAL -Credential domain\admin

Если ваш текущий пользователь, вошедший в систему, является членом группы AD администраторов домена, вы можете пропустить параметр -Credential .

Открытие интерактивного сеанса удаленного взаимодействия PS на удаленном компьютере с помощью команды Enter PSSession

Вы также можете использовать командлет Invoke-Command для выполнения каждой команды, если вы не хотите открывать постоянный интерактивный сеанс на удаленном компьютере.

Содержание

1. Определение текущего порта удаленного рабочего стола
2. Изменение порта RDP
3. Добавление правил брандмауэра для пользовательских портов RDP
4. Проверка нового порта RDP
5. Использование пользовательского порта удаленного рабочего стола
6. Заключение

Определение текущего порта удаленного рабочего стола

Теперь, когда мы подключены к удаленному компьютеру (ТЕРМИНАЛУ, в нашем примере), вы можете использовать следующую команду, чтобы определить, какой номер порта RDP используется в данный момент:

(Get-ItemProperty -Path «HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\» -Name PortNumber). PortNumber

Использование PowerShell для просмотра номера порта, используемого в настоящее время RDP

Эта команда возвращает текущий номер порта, используемый службой RDP на вашем целевом компьютере. Вы можете видеть, что информация хранится в реестре Windows, и мы просто запросили конкретный раздел реестра для номера порта с помощью командлета Get-ItemProperty . Современные версии Windows (начиная с Server 2012 и Windows 8), как правило, используют протоколы TCP и UDP для RDP, что, по сути, означает, что по умолчанию служба сервера удаленных рабочих столов (TermService) прослушивает как TCP 3389, так и UDP 3389 в обычной системе Windows. Вы можете подтвердить это, запустивКоманды Get-NetTCPConnection и Get-NetUDPEndpoint, как показано на следующем снимке экрана:

Использование команд NetTCPConnection и Get NetUDPEndpoint для просмотра конечных точек TCP и UDP для RDP

Изменение порта RDP

Теперь, когда вы уверены, что служба удаленных рабочих столов на вашем целевом компьютере в настоящее время использует порт по умолчанию, используйте следующую команду, чтобы изменить номер порта RDP:

Set-ItemProperty -Path «HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\» -Name PortNumber -Value 50102

Изменение порта RDP с помощью PowerShell

Эта команда использует командлет Set-ItemProperty для изменения номера порта на временный порт (50102, в нашем примере).  При изменении номера порта RDP с помощью этой команды конечные точки TCP и UDP будут изменены на один и тот же номер порта.

Вы можете использовать любой номер порта, но рекомендуется использовать от 1024 до 65535. Некоторым людям даже нравится использовать номер порта из предложенного диапазона IANA (49152-65535), поскольку он вряд ли будет конфликтовать с другими известными или настраиваемыми службами.

Добавление правил брандмауэра для пользовательских портов RDP

Теперь, когда номер порта RDP изменился, вам необходимо настроить брандмауэр защитника Windows, чтобы разрешить новый пользовательский порт RDP. Для добавления правил используйте следующие команды PowerShell:

New-NetFirewallRule -DisplayName «Custom RDP Port (TCP-In)» -Direction Inbound -LocalPort 50102 -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName «Custom RDP Port (UDP-In)» -Direction Inbound -LocalPort 50102 -Protocol UDP -Action Allow

Эти две команды добавляют правила, разрешающие входящий трафик по пользовательскому номеру порта RDP.  Убедитесь, что вы изменили номер порта, чтобы он соответствовал вашему собственному.

Добавление правил брандмауэра защитника Windows для пользовательских номеров портов RDP с помощью PowerShell

Помните, что удаленный компьютер будет продолжать использовать старый (по умолчанию) номер порта, пока служба удаленных рабочих столов (TermService) не будет перезапущена на целевом компьютере. Чтобы перезапустить службу на целевом компьютере, используйте следующую команду:

Restart-Service TermService -Force

Перезапуск службы удаленного рабочего стола на целевом компьютере с помощью PowerShell

После перезапуска службы удаленного рабочего стола целевой компьютер начнет прослушивать новый пользовательский номер порта RDP.

Проверка нового порта RDP

На этом этапе ваш удаленный компьютер настроен на использование пользовательского порта для удаленного рабочего стола.  Если вы запустите следующую команду PowerShell на удаленном компьютере, она предоставит вам новые конечные точки:

Get-NetTCPConnection -LocalPort 50102; Get-NetUDPEndpoint -LocalPort 50102

Проверка новых конечных точек удаленного рабочего стола TCP и UDP на целевом компьютере с помощью PowerShell

Кроме того, вы можете использовать командлет Test-NetConnection на своем компьютере, как показано в следующей команде:

Test-NetConnection -ComputerName TERMINAL -Port 50102 -InformationLevel Quiet

Использование командлета Test NetConnection для проверки подключения к целевому компьютеру через новый порт RDP

Значение True в выходных данных указывает, что ваш локальный компьютер смог успешно подключиться к удаленному компьютеру с указанным номером порта (50102, в нашем примере), что доказывает, что ваш новый пользовательский порт RDP теперь активен.  Если вы повторите эту команду с номером порта RDP по умолчанию, соединение завершится ошибкой и вернет значение false, как показано на скриншоте.

Использование пользовательского порта удаленного рабочего стола

Когда служба удаленного рабочего стола запускается на порту по умолчанию, вам не нужно указывать его при подключении к целевому компьютеру с помощью приложения подключения к удаленному рабочему столу. Однако после настройки порта необходимо указать номер порта в формате ComputerName:PortNumber или IPAddress:PortNumber, как показано на скриншоте:

после настройки порта необходимо указать номер порта в формате ComputerName:PortNumber или IPAddress:PortNumber, как показано на скриншоте:

Указание пользовательского порта RDP с помощью приложения для подключения к удаленному рабочему столу

Заключение

Вы только что узнали, как изменить номер порта удаленного рабочего стола с помощью PowerShell. Как обсуждалось ранее, пользовательский порт RDP не обещает сделать систему Windows полностью безопасной, но он добавляет слой неизвестности для обеспечения определенной степени защиты.  Всегда рекомендуется отключить удаленный рабочий стол на общедоступных хостах Windows. Если вам действительно нужно включить удаленный рабочий стол, настоятельно рекомендуется использовать VPN.

Удаленный рабочий стол — разрешить доступ к вашему ПК из-за пределов вашей сети

Редактировать

Твиттер

LinkedIn

Фейсбук

Эл. адрес

• Статья
• 23.12.2021
• 2 минуты на чтение

Применяется к: Windows Server 2022, Windows Server 2019, Windows 10, Windows Server 2016

Когда вы подключаетесь к компьютеру с помощью клиента удаленного рабочего стола, вы создаете одноранговое соединение. Это означает, что вам нужен прямой доступ к ПК (иногда называемый «хост»). Если вам нужно подключиться к компьютеру из-за пределов сети, в которой работает ваш компьютер, вам необходимо включить этот доступ. У вас есть несколько вариантов: использовать переадресацию портов или настроить VPN.

Включите переадресацию портов на вашем маршрутизаторе

Переадресация портов просто сопоставляет порт на IP-адресе вашего маршрутизатора (ваш общедоступный IP-адрес) с портом и IP-адресом ПК, к которому вы хотите получить доступ.

Конкретные действия по включению переадресации портов зависят от используемого маршрутизатора, поэтому вам необходимо найти в Интернете инструкции для своего маршрутизатора. Общее обсуждение шагов можно найти в статье wikiКак настроить переадресацию портов на маршрутизаторе.

Перед сопоставлением порта вам потребуется следующее:

• Внутренний IP-адрес ПК: Посмотрите Настройки > Сеть и Интернет > Статус > Просмотр свойств сети . Найдите конфигурацию сети со статусом «Работает», а затем получите IPv4-адрес .

• Ваш общедоступный IP-адрес (IP-адрес маршрутизатора). Есть много способов найти это — вы можете выполнить поиск (в Bing или Google) по запросу «мой IP» или просмотреть свойства сети Wi-Fi (для Windows 10).

• Сопоставляемый номер порта. В большинстве случаев это 3389 — это порт по умолчанию, используемый для подключений к удаленному рабочему столу.

• Административный доступ к вашему маршрутизатору.

  Предупреждение

  Вы открываете свой компьютер для доступа в Интернет, что не рекомендуется. Если необходимо, убедитесь, что для вашего ПК установлен надежный пароль. Предпочтительнее использовать VPN.

После сопоставления порта вы сможете подключиться к хост-компьютеру из-за пределов локальной сети, подключившись к общедоступному IP-адресу вашего маршрутизатора (второй пункт выше).

IP-адрес маршрутизатора может измениться — ваш интернет-провайдер (ISP) может назначить вам новый IP-адрес в любое время. Чтобы избежать этой проблемы, рассмотрите возможность использования динамического DNS — это позволяет вам подключаться к ПК, используя легко запоминающееся доменное имя вместо IP-адреса. Ваш маршрутизатор автоматически обновляет службу DDNS с вашим новым IP-адресом, если он изменится.

В большинстве маршрутизаторов можно указать, какой исходный IP-адрес или исходная сеть могут использовать сопоставление портов. Итак, если вы знаете, что собираетесь подключаться только с работы, вы можете добавить IP-адрес своей рабочей сети, что позволит вам не открывать порт для всего общедоступного Интернета. Если хост, который вы используете для подключения, использует динамический IP-адрес, установите ограничение источника, чтобы разрешить доступ из всего диапазона этого конкретного интернет-провайдера.

Вы также можете настроить статический IP-адрес на своем ПК, чтобы внутренний IP-адрес не менялся. Если вы это сделаете, то переадресация портов маршрутизатора всегда будет указывать на правильный IP-адрес.

Используйте VPN

Если вы подключаетесь к локальной сети с помощью виртуальной частной сети (VPN), вам не нужно открывать свой компьютер для общедоступного Интернета. Вместо этого, когда вы подключаетесь к VPN, ваш клиент RD действует так, как будто он является частью той же сети и имеет доступ к вашему ПК. Существует ряд доступных VPN-сервисов — вы можете найти и использовать тот, который вам больше подходит.

Обратная связь

Отправить и просмотреть отзыв для

Этот продукт

Эта страница

Просмотреть все отзывы о странице

Изменить порт прослушивания в удаленном рабочем столе

Редактировать

Твиттер

LinkedIn

Фейсбук

Эл. адрес

• Статья
• 23. 12.2021
• 2 минуты на чтение

Применяется к: Windows Server 2022, Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2008 R2

Когда вы подключаетесь к компьютеру (клиенту Windows или Windows Server) через клиент удаленного рабочего стола, функция удаленного рабочего стола на вашем компьютере «прослушивает» запрос на подключение через определенный прослушивающий порт (по умолчанию 3389). Вы можете изменить этот порт прослушивания на компьютерах с Windows, изменив реестр.

1. Запустите редактор реестра. (Введите regedit в поле поиска.)
2. Перейдите к следующему подразделу реестра:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
3. Найти Номер порта
4. Щелкните Правка > Изменить , а затем щелкните Десятичный .
5. Введите новый номер порта и нажмите OK .
6. Закройте редактор реестра и перезагрузите компьютер.

При следующем подключении к этому компьютеру с помощью подключения к удаленному рабочему столу необходимо ввести новый порт. Если вы используете брандмауэр, обязательно настройте брандмауэр, чтобы разрешить подключения к новому номеру порта.

Вы можете проверить текущий порт, выполнив следующую команду PowerShell:

 Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber"
 

Например:

 Номер порта: 3389
PSPath: Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
PSParentPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations
PSChildName : RDP-Tcp
PSДиск: HKLM
PSProvider : Microsoft.PowerShell.Core\Registry
 

Вы также можете изменить порт RDP, выполнив следующую команду PowerShell.