Как изменить порт rdp windows server 2019 - Доктор Windows

Обновлено 12.06.2018

Добрый день уважаемые читатели и гости блога, сегодня у нас с вами вот такая задача: изменить входящий порт службы RDP (терминального сервера) со стандартного 3389 на какой-то другой. Напоминаю, что RDP служба это функционал операционных систем Windows, благодаря которому вы можете по сети открыть сессию на нужный вам компьютер или сервер по протоколу RDP, и иметь возможность за ним работать, так как будто вы сидите за ним локально.

Что такое RDP протокол

Прежде чем, что то изменять, хорошо бы понимать, что это и как это работает, я вам об этом не перестаю повторять. RDP или Remote Desktop Protocol это протокол удалённого рабочего стола в операционных системах Microsoft Windows, хотя его происхождение идет от компании PictureTel (Polycom). Microsoft просто его купила. Используется для удаленной работы сотрудника или пользователя с удаленным сервером. Чаще всего такие сервера несут роль сервер терминалов, на котором выделены специальные лицензии, либо на пользователе, либо на устройства, CAL. Тут задумка была такой, есть очень мощный сервер, то почему бы не использовать его ресурсы совместно, например под приложение 1С. Особенно это становится актуальным с появлением тонких клиентов.

Сам сервер терминалов мир увидел, аж в 1998 году в операционной системе Windows NT 4.0 Terminal Server, я если честно тогда и не знал, что такое есть, да и в России мы в то время все играли в денди или сегу. Клиенты RDP соединения, на текущий момент есть во всех версиях Windows, Linux, MacOS, Android. Самая современная версия RDP протокола на текущий момент 8.1.

Порт rdp по умолчанию

Сразу напишу порт rdp по умолчанию 3389, я думаю все системные администраторы его знают.

Принцип работы протокола rdp

И так мы с вами поняли для чего придумали Remote Desktop Protocol, теперь логично, что нужно понять принципы его работы. Компания Майкрософт выделяет два режима протокола RDP:

Remote administration mode > для администрирования, вы попадаете на удаленный сервер и настраиваете и администрируете его
Terminal Server mode > для доступа к серверу приложений, Remote App или совместное использование его для работы.

Вообще если вы без сервера терминалов устанавливаете Windows Server 2008 R2 — 2016, то там по умолчанию у него будет две лицензии, и к нему одновременно смогут подключиться два пользователя, третьему придется для работы кого то выкидывать. В клиентских версиях Windows, лицензий всего одна, но и это можно обойти, я об этом рассказывал в статье сервер терминалов на windows 7. Так же Remote administration mode, можно кластеризировать и сбалансировать нагрузку, благодаря технологии NLB и сервера сервера подключений Session Directory Service. Он используется для индексации пользовательских сессий, благодаря именно этому серверу у пользователя получиться войти на удаленный рабочий стол терминальных серверов в распределенной среде. Так же обязательными компонентами идут сервер лицензирования.

RDP протокол работает по TCP соединению и является прикладным протоколом. Когда клиент устанавливает соединение с сервером, на транспортном уровне создается RDP сессия, где идет согласование методов шифрования и передачи данных. Когда все согласования определены и инициализация окончена, сервер терминалов, передает клиенту графический вывод и ожидает входные данные от клавиатуры и мыши.

Remote Desktop Protocol поддерживает несколько виртуальных каналов в рамках одного соединения, благодаря этому можно использовать дополнительный функционал

Передать на сервер свой принтер или COM порт
Перенаправить на сервер свои локальные диски
Буфер обмена
Аудио и видео

Этапы RDP соединения

Установка соединения
Согласование параметров шифрования
Аутентификация серверов
Согласование параметров RDP сессии
Аутентификация клиента
Данные RDP сессии
Разрыв RDP сессии

Безопасность в RDP протоколе

Remote Desktop Protocol имеет два метода аутентификации Standard RDP Security и Enhanced RDP Security, ниже рассмотрим оба более подробно.

Standard RDP Security

RDP протокол при данном методе аутентификации, шифрует подключение средствами самого RDP протокола, которые есть в нем, вот таким методом:

Когда ваша операционная система запускается, то идет генерация пары RSA ключиков
Идет создание сертификата открытого ключа Proprietary Certificate
После чего Proprietary Certificate подписывается RSA ключом созданным ранее
Теперь RDP клиент подключившись к терминальному серверу получит Proprietary Certificate
Клиент его смотрит и сверяет, далее получает открытый ключ сервера, который используется на этапе согласования параметров шифрования.

Если рассмотреть алгоритм с помощью которого все шифруется, то это потоковый шифр RC4. Ключи разной длины от 40 до 168 бит, все зависит от редакции операционной системы Windows, например в Windows 2008 Server – 168 бит. Как только сервер и клиент определились с длиной ключа, генерируются два новых различных ключа, для шифрования данных.

Если вы спросите про целостность данных, то тут она достигается за счет алгоритма MAC (Message Authentication Code) базируемого на SHA1 и MD5

Enhanced RDP Security

RDP протокол при данном методе аутентификации использует два внешних модуля безопасности:

CredSSP
TLS 1.0

TLS поддерживается с 6 версии RDP. Когда вы используете TLS, то сертификат шифрования можно создать средствами терминального сервера, самоподписный сертификат или выбрать из хранилища.

Когда вы задействуете CredSSP протокол, то это симбиоз технологий Kerberos, NTLM и TLS. При данном протоколе сама проверка, при которой проверяется разрешение на вход на терминальный сервер осуществляется заранее, а не после полноценного RDP подключения, и тем самым вы экономите ресурсы терминального сервера, плюс тут более надежное шифрование и можно делать однократный вход в систему (Single Sign On), благодаря NTLM и Kerberos. CredSSP идет только в ОС не ниже Vista и Windows Server 2008. Вот эта галка в свойствах системы

разрешить подключения только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети.

Изменить порт rdp

Для того, чтобы изменить порт rdp, вам потребуется:

Открываем редактор реестра (Пуск -> Выполнить -> regedit.exe)
Переходим к следующему разделу:

HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp

Находим ключ PortNumber и меняем его значение на номер порта, который Вам нужен.

Выберите обязательно десятичное значение, я для примера поставлю порт 12345.

Как только вы это сделали, то перезапустите службу удаленных рабочих столов, через командную строку, вот такими командами:

Далее не забудьте в брандмауэре Windows после изменения порта RDP открыть его, для этого жмем WIN+R и в окне выполнить пишем firewall.cpl.

Далее переходим в пункт Дополнительные параметры

И создаем новое входящее правило для нового rdp порта. Напоминаю, что порт rdp по умолчанию 3389.

Выбираем, что правило будет для порта

Протокол оставляем TCP и указываем новый номер RDP порта.

Правило у нас будет разрешающее RDP соединение по не стандартному порту

При необходимости задаем нужные сетевые профили.

Ну и назовем правило, понятным для себя языком.

Для подключения с клиентских компьютеров Windows адрес пишите с указанием порта. Например, если порт Вы изменили на 12345, а адрес сервера (или просто компьютера, к которому подключаетесь): myserver, то подключение по MSTSC будет выглядеть так:
mstsc -v:myserver:12345

или через командную строку.

Как видите изменить порт rdp совсем не трудная задача, все тоже самое можно проделать средствами групповой политики.

Источник

По умолчанию во всех операционных системах Windows для подключения по протоколу RDP (Remote Desktop Protocol / Удаленный рабочий стол) использует порт TCP 3389. После того, как вы включили RDP доступ в Windows, служба TermService (Remote Desktop Services) начинает слушать на порту 3389. В этой статье мы покажем, как изменить стандартный номер RDP порта в дестопных редакциях Windows (7/8/10/11) и Windows Server.

Обратите внимание, что в современных версиях Windows для удаленного рабочего стола используется также протокол UDP с тем же номером порта 3389.

Вы можете изменить номер стандартного порта RDP в Windows с 3389 на любой другой. Чаще всего это используется, когда нужно спрятать ваш RDP/RDS хост от автоматических сканеров портов, которые ищут в сети хосты Windows с открытым стандартным RDP портом 3389. Смена RDP порта позволит уменьшить вероятность эксплуатации RDP уязвимостей (последняя критическая уязвимость в RDP BlueKeep описана в CVE-2019-0708), уменьшить количество попыток удалённого подбора паролей по RDP (не забывает периодически анализировать логи RDP подключений), SYN и других типов атак (особенно при отключенном NLA). Чаще всего RDP порт меняют на компьютерах с прямым подключением к интернету (VPS/VDS), или в сетях, где пограничный маршрутизатор перенаправляет порт 3389/RDP в локальную сеть на компьютер/сервер с Windows.

Несмотря на смену порта, нежелательно выставлять открытый RDP порт в интернет. Сканеры портов позволяют по сигнатуре понять, что на новом порту находится RDP Listener. Если вы хотите открыть RDP доступ к компьютеру в своей сети, лучше использовать такие технологии подключения, как VPN, RD Web Access, RD Gateway и другие

Если вы решили использовать нестандартный номер порта для RDP, обратите внимание, что нежелательно использовать номера портов в диапазоне от 1 до 1023 (известные порты). Используйте динамический порт из RPC диапазона (от 49152 до 65535), или любой портов в диапазоне от 1024 до 49151, который не используется другим сервисом или приложением.

Изменить номер RDP порта по-умолчанию в Windows

В нашем примере мы изменим номер порта, на котором ожидает подключения служба Remote Desktop на 1350. Для этого:

Откройте редактор реестра (regedit.exe) и перейдите в ветку HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp;
Найдите DWORD параметр реестра с именем PortNumber.. В этом параметре указан порт, на котором ожидает подключения служба Remote Desktop. Значение по умолчанию – 3389 (decimal);
Измените значение этого порта. Я изменил RDP порт на 1350 в десятичном значении (Deciamal);
Если на вашем компьютере включен Windows Firewall, вы должны создать новое правило, разрешающее входящие подключения на новый RDP порт (если вы перенастраиваете удаленный сервер через RDP, создайте разрешающее правило в файерволе до перезапуска службы TermService, иначе вы потеряете доступ к серверу). Вы можете создать разрешающее входящее правило для нового TCP/UDP порта RDP вручную из консоли ‘Брандмауэр Защитника Windows’ (firewall.cpl) или с помощью PowerShell команд:
New-NetFirewallRule -DisplayName "NewRDPPort-TCP-In" -Direction Inbound -LocalPort 1350 -Protocol TCP -Action allow
И:
New-NetFirewallRule -DisplayName "NewRDPPort-UDP-In" -Direction Inbound -LocalPort 1350 -Protocol UDP -Action allow
Перезагрузите компьютер или перезапустите службу удаленных рабочих столов командой:
net stop termservice & net start termservice
Теперь для подключения к данному Windows компьютеру по RDP, в клиенте mstsc.exe нужно указывать порт RDP подключения через двоеточие следующим образом:
Your_Computer_Name:1350
или по IP адресу
192.168.1.100:1350
или из командной строки:
mstsc.exe /v 192.168.1.100:1350

Если для управления множеством RDP подключений вы используете менеджер RDP подключений RDCMan, новый номер RDP порта подключения можно указать на вкладке “Connection Settings”.
В результате вы успешно подключитесь к рабочему столу удаленного компьютера через новый номер RDP порта (с помощью команды
nenstat –na | Find “LIST”
убедитесь, что служба RDP теперь слушает на другом порту).

Обратите внимание, что номер UDP порта RDP также изменился на 1350 (проще всего проверить это с помощью утилиты TCPView).

С помощью команды Test-NetConnection, проверьте что старый RDP порт теперь закрыт (
TcpTestSucceeded : False
):

Test-NetConnection 192.168.13.202 -port 3389 |select TcpTestSucceeded

И для RDP подключения теперь нужно использовать новый порт 1350.

Если вы хотите изменить номер RDP порта на компьютерах в домене, можно воспользоваться групповыми политиками. Создайте новую GPO, которая распространит параметр реестра PortNumber с новым значением RDP порта на компьютеры домена.

PowerShell скрипт для смены номера RDP порта в Windows

Полный код PowerShell скрипт для смены номера RDP порта, создания правила в брандмауэре и перезапуска службы RDP может выглядеть так:

Write-host "Укажите номер нового RDP порта: " -ForegroundColor Yellow -NoNewline;$RDPPort = Read-Host Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TCP" -Name PortNumber -Value $RDPPort New-NetFirewallRule -DisplayName "NewRDPPort-TCP-In-$RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol TCP -Action Allow New-NetFirewallRule -DisplayName "NewRDPPort-UDP-In-$RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol UDP -Action Allow Restart-Service termservice -force Write-host "Номер RDP порта изменен на $RDPPort " -ForegroundColor Magenta

Вы можете удаленно изменить номер порта на компьютере. Для этого на удаленном компьютере должен быть настроен WinRM, тогда для подключения к компьютеру можно использовать командлет Invoke-Command:

Invoke-Command -ComputerName PC1name -ScriptBlock {Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TCP" -Name PortNumber -Value 1350}

Если нужно изменить номер RDP на нескольких компьютерах в домене AD (определенной OU), используйте такой скрипт (список компьютеров в OU можно получить с помощью Get-ADComputer):
Write-host "Укажите номер нового RDP порта: " -ForegroundColor Yellow -NoNewline;$RDPPort = Read-Host $PCs = Get-ADComputer -Filter * -SearchBase "CN=DMZ,CN=Computers,DC=winitpro,DC=ru" Foreach ($PC in $PCs) { Invoke-Command -ComputerName $PC.Name -ScriptBlock { param ($RDPPort) Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TCP" -Name PortNumber -Value $RDPPort New-NetFirewallRule -DisplayName "New RDP Port $RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol TCP -Action Allow New-NetFirewallRule -DisplayName "New RDP Port $RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol TCP -Action Allow Restart-Service termservice -force }

Это инструкция по смене стандартного RDP порта подойдёт для любой версии Windows, начиная с Windows XP (Windows Server 2003) и заканчивая Windows 11 (Windows Server 2022).

Источник

Перейти к содержимому

Содержание

RDP порт по-умолчанию
Смена порта RDP
Важно! Перед изменением RDP порта настройте Firewall!
Как изменить RDP-порт по-умолчанию на Windows

По-умолчанию для терминального сервера Microsoft используется порт 3389. Майкрософт использует стандартный номер порта для всех систем — Windows XP, Windows 7/8, Windows Server 2003/2008/2012.

Используется TCP протокол, поэтому для проброса RDP порта нужно использовать именно tcp без udp.

Смена порта RDP

Из соображений безопасности вы можете поменять порт RDP. Смена порта RDP на другое значение снизит риск взлома системы при автоматизированном подборе паролей.

Важно! Перед изменением RDP порта настройте Firewall!

Перед тем, как изменить RDP-порт по-умолчанию на удалённом сервере, сначала добавьте доступ к новому порту в вашей конфигурации брендмауэра, перед тем, как выполнять изложенные ниже рекомендации.

Иначе вы сможете остаться без доступа к удалённому серверу.

Как изменить RDP-порт по-умолчанию на Windows

Для изменения RDP порта WIndows нужно запустить редактор реестра.
Нажимаем Windows+R и вводим в окне regedit

В появившемся окне откройте раздел HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>Terminal Server>WinStations>RDP-Tcp

Найдите ключ «PortNumber«.

По-умолчению используется шестнадцатиричное значение 00000D3D — это соответствует десятичному 3389.

Измените номер порта на необходимое для вас значение и сохраните. Для удобства изменения можно выбрать «Десятичное» и ввести нужный номер порта.

Сохраните введенное значение и перезагрузите компьютер. Теперь для подключения к серверу RDP нужно указать выбранный номер порта.

Источник

It’s highly recommended to change windows remote desktop default port for added security.

You can change the default port with a few easy steps, first, you’ll change the port and define this port in a firewall rule.

Change RDP TCP port on Windows Server 2016

Open registry editor app by searching for regedit in windows search or use RUN.

Locate the following from regedit app:

HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp

look for PortNumber and right-click on it and Modify
Make sure to select Decimal under Base option
Change the port number to any number you prefer, let’s say 1234 and click OK
Quit the registry editor
Open Firewall (Windows Defender Firewall with Advanced Security)
From the left sidebar click on Inbound Rules
From the right sidebar click on New Rule
Select Port and click Next
Select TCP and type the port number in Specific local port and click Next until you reach the step where you asked to enter a rule name, give the rule a name and Click Finish. (Repeat from #7 to #11 for UDP)
Restart the server or execute this PowerShell command Restart-Service -Force -DisplayName "Remote Desktop Services"
Try to connect to RDP as usual but when you type the IP, don’t forget to type the custom port number after the IP in this format IP:Port (e.g. 192.168.1.5:1234)

PowerShell

You can also change the RDP port by running the following PowerShell commands. In this command, we’ll specify the new RDP port as 1234.

To add a new RDP Port to the registry:

Set-ItemProperty -Path 'HKLM:SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp' -name "PortNumber" -Value 1234

Then Add Firewall Rule to open port 1234 on the Public profile using PowerShell

New-NetFirewallRule -DisplayName 'RDPPORT_TCP' -Profile 'Public' -Direction Inbound -Action Allow -Protocol TCP -LocalPort 1234

Repeat to open UDP port 1234 (recommended)

New-NetFirewallRule -DisplayName 'RDPPORT_UDP' -Profile 'Public' -Direction Inbound -Action Allow -Protocol UDP -LocalPort 1234

Restart Remote Desktop Service from PowerShell

Restart-Service -Force -DisplayName "Remote Desktop Services"

Find this tutorial on Microsoft.com:
https://support.microsoft.com/en-gb/help/306759/how-to-change-the-listening-port-for-remote-desktop

Watch Video Tutorial: https://www.youtube.com/watch?v=k8mswkiok70

Источник

List of content you will read in this article:

1. How to Change RDP Port in Windows Using Windows Registry? [Change Default RDP Port]
2. How to Connect a Remote Desktop with a Custom RDP Port?
3. How to Configure Windows Firewall for Custom RDP Port?
4. Conclusion

RDP port is an essential feature for many users while setting up a remote desktop connection in windows or mac devices with the remote access port. However, changing the default RDP port [Default RDP Port Number is 3389, and it is used for Microsoft terminal server.] can also create issues in maintaining the usual working devices. To fix this problem, this guide will help you with this tutorial on change RDP port in windows.

When you connect to a remote computer (either a Windows client or Windows Server) through the Remote Desktop connection, the Remote Desktop feature on your computer «hears» the connection through a listening port (3389 by default). You can change that listening port on Windows computers by modifying the registry. This article will change the RDP port used in remote desktop access.

How to Change RDP Port in Windows Using Windows Registry? [Change Default RDP Port]

In Windows, Windows Registry works as a configuration settings database for installed apps, Windows services, etc. Windows Registry is the best way to change the default RDP port from 3389 to the desired custom port. Here you go with a complete step-by-step guide to change default RDP port.

Step 1: First, right-click on the start menu and click on the Run option, or you can use the Windows+R keys on the keyboard to open the Run utility. Then, type the regedit and press OK to launch Windows Registry Editor.

Step 2: In the Windows Registry Editor, go to the below path and click on the following registry folder:

HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp

Step 3: After that, double-click on the PortNumber in the RDP-TCP folder.

Step 4: Select the Decimal option in the Edit DWORD(32-bit) value box and type a new port number. You can select the values between 1 and 65353.

Important Note: You have to ensure that the values don’t match any common ports, so if you select a common port (like port 80 for the web traffic), you can’t establish the Remote Desktop connection afterward.

Step 5: Finally, press OK to save the changes and restart the system to make changes successfully.

How to Connect a Remote Desktop with a Custom RDP Port?

Here you will get a detailed step-by-step guide that will help you to connect a remote desktop with a custom RDP port:

Step 1: Open the run utility by pressing Windows + R keys, then type mstsc and press Enter button. Using Windows 10, you can also simply type RDP into the Windows search bar.

Step 2: Now provide a specific IP address of the remote server and a new port number in a «Remote Desktop Connection» window, then press Enter button to begin the connection. It should be written in the following format: serveripaddress:customport. For our example, we used port 2020.

We hope this guide help you how can connect RDP with the custom RDP port. Let’s learn how to configure a windows firewall for a custom RDP port.

How to Configure Windows Firewall for Custom RDP Port?

Step 1: Open the Run utility using Win+R key and type wf.msc, then click the press Enter button. This command will open the Windows Firewall management options in which you can add a new firewall rule.

Step 2: Now select inbound rules in the Windows Firewall MMC menu. After selecting these values, select a new rule by Actions Panel on the right.

Step 3: Afterward, select Port from the options list in the new Inbound Rule window. Then click on Next.

Step 4: As we are creating a custom rule for UDP and TCP ports, so first select TCP, then select Specific Local Ports, type in the custom RDP port you chose in section one, and click Next.

Step 5: Select Allow the connection and press Next to continue.

Step 6: Now, leave all entries selected for full access except for Public to prevent establishing the Remote Desktop Connection on a public network. Then, click on Next to continue.

Step 7: Finally, provide the new network rule name with the description in the appropriate text boxes and click on the Finish button to add a new rule.

Step 8: Repeat steps 1 to 7 listed above, but select TCP in step 4 and restart the system after making the changes.

Conclusion

We have tested this article for various versions of Windows to change default RDP port like Windows 7, Windows 8, Microsoft Windows 10, Microsoft Windows Server 2003, Windows Server 2008, Windows Server 2012, Windows Server 2016, and Windows Server 2019. Here we have explained how to change the default RDP port, connect RDP with a custom port, and configure the RDP custom port in the windows firewall. Also, we provide RDP admin services which you can buy for best practice.

People are also reading:

10 Best Remote Desktop Software
The Best RDP Alternatives
How to Use RDP?
What is the Difference Between VPS and RDP Account?

Источник

В инструкции ниже рассмотрим на примере как изменить стандартный порт удаленного подключения RDP в Windows Server с 3389 на любой другой.

Необходимо открыть элемент управления Windows PowerShell и выполнить команду regedit

В появившемся окне необходимо перейти в папку HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp

В данной папке необходимо изменить значение элемента PortNumber. Для удобства выбираем десятичную систему исчисления. Порт по умолчанию – 3389. Изменяем данный порт на любой порт из диапазона от 49152 до 65535.

Необходимо добавить разрешающее правило в брандмауэр Windows, чтобы разрешить входящие подключения с указанных портов.

Далее перейти по следующему пути: панель управления -> Система и безопасность -> Брандмауэр Windows -> Дополнительные параметры -> Правила для входящих подключений -> Создать правило

Создать два разрешающих правила для доступа по протоколам TCP и UDP.

Выберите тип правила «Для порта»

Выберите соответствующий протокол для правила и укажите порт, который был внесен в редактор реестра Windows ранее

Далее разрешаем подключение и изменяем соответствующее имя правила

После изменений в реестре Windows может понадобиться перезагрузка системы.

После проведенных настроек вы сможете подключаться к вашему серверу, используя стандартное средство подключения к удаленному рабочему столу RDP, указав при этом новый порт подключения следующим образом: <ip адрес вашего сервера>:<новый порт подключения>

Советуем после проведения всех действий отключить правила Брандмауэра Windows, разрешающие подключения по стандартным портам RDP

Смена порта подключения RDP не решит всех ваших проблем безопасности, т.к. сканирование портов сможет в любом случае выявить открытые порты вашей ОС, однако, при должном внимании системного администратора к системным журналам (Панель управления -> Система и безопасность -> Администрирование -> Просмотр журналов событий -> Журналы Windows -> Безопасность), можно защитить сервер от атак, в том числе вирусных

Инструкция актуальна для всех Виртуальных серверов VPS, и серверов, созданных в Виртуальной IaaS инфраструктуре, на базе Windows Server.

Для продвинутых пользователей доступен PowerShell команды для смены порта подключения и добавления правила для нового порта в исключения в Firewall.

Write-host «What Port would you like to set for RDP: » -ForegroundColor Yellow -NoNewline;$RDPPort = Read-Host

Get-ItemProperty -Path «HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp» -Name PortNumber | Select-Object PortNumber

Set-ItemProperty -Path «HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp» -Name PortNumber -Value $RDPPort

New-NetFirewallRule -DisplayName «Remote Desktop — User Mode (TCP-In) $($RDPPort)» -Direction Inbound –Protocol TCP -Profile Any –LocalPort $RDPPort -Action allow

New-NetFirewallRule -DisplayName «Remote Desktop — User Mode (UDP-In) $($RDPPort)» -Direction Inbound –Protocol UDP -Profile Any –LocalPort $RDPPort -Action allow

[ValidateSet(‘y’,’n’)]$Answer = Read-Host «`nAre you sure you want to restart $($DC.Name) ? Enter y/n»
If ($Answer -eq ‘y’) { Restart-Computer -Force }

Источник

— Advertisement —

Hello! One of the many tasks that system administrators have is to manage computers remotely. This way they can solve users’ problems. They can also update computers or resolve concerns about the use of computers. Although there are third-party applications, Windows Server has its own remote connection manager. Indeed, Remote Desktop allows you to connect to Windows Server with any device with a Remote Desktop client. However, this technology uses the Remote Desktop Protocol (RDP). Which is connected through port 3389. Additionally, today we will see how to change the remote desktop port in Windows Server 2019, 2016.

How to modify the port for the remote desktop connection in Windows Server

The main reason to modify this port is very simple. Because security is a crucial element in any server. Indeed, hackers know that port 3389 is the one used for remote connection. They can then try to access the computer to steal information or make unauthorized changes. Consequently, it is highly recommended to change this port. To do this we will modify the Windows Server Registry. With this intention, press the Win+R combination and execute the following command:

regedit

Run the Registry Editor

Now please follow the next path:

HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / Terminal Server / WinStations / RDP-Tcp

Then select the value corresponding to PortNumber

Select the value corresponding to PortNumber

Then double-click on the value. Immediately the values are displayed. Also, you can see that the value is displayed as d3d. This is because it is in a hexadecimal format. When you pass it to a decimal value, it is displayed as 3389.

Please check the value of the port.

Well, please edit it and add the value 6000. This will set this port. Finally, it is necessary to check a couple of steps. First, please check that the port is not blocked by the Windows Firewall. Finally, restart the server to set the changes.

Change the port to number 6000

Check access to the remote desktop.

Once the port is modified, it is time to check if the access to the remote desktop is correct. With this intention, please open the Remote Desktop client and enter the server name or IP address.

Connect to the server remotely.

However, the connection will not be successful and you will see the following error message.

To access correctly, it is necessary to add the port number at the end of the IP address. For example:

192.168.30.128:6000

Add the port number at the end of the IP address.

In this way, you will be asked for credentials to connect:

In this way, you will be asked for credentials to connect.

Lately, we have seen How to change the remote desktop port in Windows Server 2019, 2016. This way you can increase the security of the server. We hope that you like this. If so, please share on your social networks and don’t miss our post about How to use Active Directory Administrative Center in Windows Server 2019/2016.

Источник

В последнее время довольно много пользователей систем Windows и Windows Server, которые подключены к сети Интернет и выходят в сеть через статический (белый) IP-адрес сталкиваются с тем, что их компьютер, сервер и удаленный рабочий стол начинает работать некорректно. Это ярко выражено в частых ошибках при подключении к серверу, замедленной работы системы и запущенных программ на компьютере. Если же это касается удаленного рабочего стола, то возможны частые выбивания сессии подключения и последующей ошибки о том, что удаленный компьютер недоступен или просто отдается ошибка общего плана при подключении. Все это связанно с тем, что к сервису удаленного рабочего стола (Remote Desktop Service) производится большое количество попыток подключения. Зачастую около десятка за одну секунду. Злоумышленники пытаются подобрать пароль и получить доступ к учетной записи сервер. Это вызывает переполнение сессий доступных подключений к сервису и тем самым выводя его из работы. Отдельным побочным эффектом в этой ситуации является и повышенная нагрузка при обработке данных подключений самим сервером или компьютером, на который производят атаку, от сюда и замедленная работа программ, и нестабильная работа самого компьютера.

Как же можно восстановить работу компьютера и обезопасить себя от атак на свой компьютер?

Если вы уже столкнулись с тем, что ваш удаленный компьютер или сервер стал недоступен при подключении через удаленный рабочий стол, то для начала вам нужно просто его перезагрузить. Это позволит получить доступ к системе для последующий операций и настроек.

В первую очередь, нужно проверить журнал работы Event Viewer на наличие информации в нем о попытках взлома сервера. Во вкладке Windows Logs – Security. В случае активной атаки на ваше устройство, вы увидите довольно большое количество неудавшихся попыток подключения к системе (Audit Failure). В детальной информации события можно посмотреть имя пользователя (Account Name), к которому пытались подключиться и IP-адрес (Source Network Address), с которого была попытка подключения.

Теперь мы точно уверены в том, что кто-то пытается подобрать пароль к нашему устройству.

Для того, чтобы обезопасить работу своего сервиса, нам необходимо поменять порт подключения к службе удаленного рабочего стола. Давайте же посмотрим, как это делается на примере Windows Server 2022.

1. Откройте редактор рееста через стандартное окно быстрого поиска Windows

либо через окно Выполнить (комбинация клавиш Win+R)

2. Перейдите в ветку

ComputerHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp

3. Нажмите два раза на параметр PortNumber. В новом окне выберите десятичную систему счисления и впишите новый порт подключения, который будет использоваться.

Готово. Мы поменяли порт подключения к сервису удаленного рабочего стола.

Но это ещё не всё. Стандартно в системе Windows включена служба защиты системы Firewall, которая имеет набор правил подключения к нашему устройству. Штатно она настроена на доступ к порту 3389, который является стандартным портом для службы удаленного рабочего стола, но сейчас мы изменили этот порт и нам необходимо добавить новое правило в наш фаервол.

4. Для этого откройте Windows Defender Firewall.

5. Нажмите на ссылку Advanced Settings

6. В новом окне выберите категорию правил входящих подключений Inbound Rules, нажмите левой кнопкой по ней и выберите New Rule.

7. Выберите тип правила, а именно, что мы будет разрешать.

8. Укажите номер порта, который вы указали ранее в редакторе реестра, в параметре PortNumber.

9. Далее разрешите работу правила для указанных зон.

10. Разрешите подключения к новому правилу.

11. Укажите имя правила, под которым оно будет отображаться в списке всех правил.

Готово!

Теперь вам осталось только перезагрузить компьютер и изменения вступят в силу.

Как подключиться к сервису с новым портом?

Для подключения к компьютеру с измененным портом необходимо указывать новый порт в конце адреса сервера через двоеточие.

Пример: 192.168.0.2:33899

А мы напоминаем, что вы можете заказать удаленный рабочий стол в нашей компании и в случае возникновения каких-либо проблем данного характера – мы будем рады помочь вам в быстром решении и предоставлении качественного сервиса.

Выбрать локацию и заказать удаленный рабочий стол можно по ссылке

https://finerdp.com/ru/rdp-server

Источник