В Windows для подключения к рабочему столу удаленного компьютера по протоколу RDP (Remote Desktop) по-умолчанию используется порт TCP 3389. В этой статье мы рассмотрим, как изменить номер стандартного порта для службы RDP на другой (применимо как к дестопным версиям Windows, так и к Windows Server).
Содержание:
- Изменить номер RDP порта в Windows
- PowerShell скрипт для смены номера RDP порта в Windows
После того, как вы включили RDP доступ в Windows, служба TermService (Remote Desktop Services) начинает слушать на порту 3389.
В современных версиях Windows для подключений удаленного рабочего стола также используется протокол UDP с тем же номером порта 3389. При использовании VPN, транспортный UDP протокол может вызывать проблемы с зависанием RDP сессий.
Для чего может понадобиться замена стандартного RDP порта 3389 на другой?
- Чаще всего это используется, чтобы спрятать RDP/RDS хост от автоматических сканеров портов, которые ищут в Интернете хосты Windows с открытым дефолтным RDP портом 3389.
- Смена RDP порта позволит уменьшить вероятность эксплуатации RDP уязвимостей, уменьшить количество попыток удалённого подбора паролей по RDP (не забывайте периодически анализировать логи RDP подключений), SYN и других типов атак.
- Обычно смена RDP порт используется на компьютерах с прямым подключением к интернету (VPS/VDS), или в сетях, где пограничный маршрутизатор перенаправляет порт 3389/RDP в локальную сеть на компьютер/сервер с Windows.
Несмотря на смену порта, не рекомендуется выставлять открытый RDP порт в Интернет. Сканеры портов по сигнатуре ответа могут понять, что на новом порту находится RDP Listener. Если вы хотите открыть внешний RDP доступ к компьютеру в локальной сети, лучше использовать такие технологии подключения, как VPN, RD Web Access, шлюз RD Gateway и другие.
При смене номера RDP порта на нестандартный, нежелательно использовать номера портов в диапазоне от 1 до 1023 (известные порты). Выберите неиспользуемый порт в пользовательском диапазоне (1024 до 49151) или из RPC (49152 — 65535). Проверьте, что выбранный порт не слушается другими процессами (например, порт 1350).
netstat -aon | findstr ":1350" | findstr "LISTENING"
Изменить номер RDP порта в Windows
В нашем примере мы изменим номер порта, на котором ожидает подключения служба TermService на 1350.
Для быстрой замены номера RDP порта на указанный, достаточно выполнить следующие команды с правами администратора:
set p=1350
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d %p% /f
netsh advfirewall firewall add rule name="Custom-RDP-Port-TCP" protocol=TCP localport=%p% action=allow dir=IN
netsh advfirewall firewall add rule name="Custom-UDP-Port-UDP" protocol=UDP localport=%p% action=allow dir=IN
net stop TermService /y
net start TermService
Этот набор команд изменит номер RDP порта, создаст разрешающие правила для нового порта в файерволе и перезапустит службу TermService.
Рассмотрим, что делают эти команды и как изменить дефолтный номер RDP порта вручную.
- Откройте редактор реестра (
regedit.exe
) и перейдите в ветку HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp - Найдите DWORD параметр реестра с именем PortNumber. В этом параметре указан порт, на котором ожидает подключения служба Remote Desktop. Значение по умолчанию 3389 (decimal)
- Измените значение этого порта. Я изменил RDP порт на 1350 в десятичном значении (Decimal);
хalert] Можно изменить значение параметра реестра с помощью PowerShell:
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Name PortNumber -Value 1350
[/alert] - Создайте новые правила в Windows Firewall, разрешающие входящие подключения на новый номер RDP порта (если вы перенастраиваете удаленный сервер через RDP, создайте разрешающее правило в файерволе до перезапуска службы TermService, иначе вы потеряете доступ к хосту). Вы можете создать разрешающее входящее правило для нового TCP/UDP порта RDP вручную из консоли Windows Firewall with Advanced Security (
wf.msc
) или с помощью PowerShell команд:
New-NetFirewallRule -DisplayName "NewRDPPort-TCP-In" -Direction Inbound -LocalPort 1350 -Protocol TCP -Action allow
New-NetFirewallRule -DisplayName "NewRDPPort-UDP-In" -Direction Inbound -LocalPort 1350 -Protocol UDP -Action allow
- Перезагрузите Windows или перезапустите службу удаленных рабочих столов командой:
net stop termservice & net start termservice
- Теперь для подключения к данному Windows компьютеру по RDP, в клиенте mstsc.exe нужно указывать порт RDP подключения через двоеточие следующим образом:
Your_Computer_Name:1350
или по IP адресу
192.168.1.100:1350
или из командной строки:
mstsc.exe /v 192.168.1.100:1350
Если для управления RDP подключений вы используете менеджер RDCMan, новый номер RDP порта подключения указывается на вкладке “Connection Settings”.
- В результате вы должны успешно подключитесь к рабочему столу удаленного компьютера по новому номеру RDP порта (с помощью команды
netstat –na | Find "LIST"
убедитесь, что служба RDP теперь слушает на другом порту).
Обратите внимание, что номер UDP порта RDP также изменился на 1350 (проще всего проверить это с помощью утилиты TCPView).
С помощью команды Test-NetConnection, проверьте что старый RDP порт теперь закрыт (
TcpTestSucceeded : False
):
Test-NetConnection 192.168.13.202 -port 3389 |select TcpTestSucceeded
Если вы хотите изменить номер RDP порта сразу на нескольких компьютерах в домене, можно воспользоваться групповыми политиками. Создайте новую GPO, которая распространит параметр реестра PortNumber с новым значением RDP порта на компьютеры домена.
PowerShell скрипт для смены номера RDP порта в Windows
Полный код PowerShell скрипта для смены номера RDP порта, создания правила в брандмауэре и перезапуска службы RDP может выглядеть так:
Write-host "Укажите номер нового RDP порта: " -ForegroundColor Yellow -NoNewline;$RDPPort = Read-Host
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP\" -Name PortNumber -Value $RDPPort
New-NetFirewallRule -DisplayName "NewRDPPort-TCP-In-$RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "NewRDPPort-UDP-In-$RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol UDP -Action Allow
Restart-Service termservice -force
Write-host "Номер RDP порта изменен на $RDPPort " -ForegroundColor Magenta
Если на удаленном компьютере включен WinRM, вы можно изменить номер порта RDP удаленно с помощью командлета Invoke-Command:
Invoke-Command -ComputerName PC1name -ScriptBlock {Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP\" -Name PortNumber -Value 1350}
RDP (Remote Desktop Protocol – протокол удалённого рабочего стола) – проприетарный протокол прикладного уровня, позаимствованный Microsoft из купленной у PictureTel (ныне известной как Polycom) телекоммуникационной программы Liveshare Plus (названной впоследствии NetMeeting), использующийся для обеспечения удалённой работы пользователя с сервером. Клиенты существуют практически для всех версий Windows (включая Windows CE, Phone и Mobile), Linux, FreeBSD, MacOS, iOS, Android. По умолчанию для подключения используется порт TCP 3389.
Например, мне был нужен доступ к Windows-машине, когда я использовал MacOS как основную систему. Поскольку на этой операционной системе не было необходимых программ для выполнения лабораторных работ, а виртуальная машина не всегда корректно отображала их, было принято решение настроить RDP.
Конечно, можно использовать и сторонние программы для удалённого доступа, но они требуют подтверждения на стороне удалённого компьютера, что не всегда удобно. Поэтому такие программы больше подходят для удалённой помощи, но не для повседневной работы.
Один из важных моментов, связанных с настройкой и использованием удалённого рабочего стола — это необходимость в статическом IP-адресе на удалённом компьютере. Большинство провайдеров предоставляют динамические IP-адреса, которые могут меняться со временем. Статические IP-адреса, как правило, можно получить за дополнительную плату.
Например, в начале 2022 года у провайдера DOM.RU стоимость статического IP-адреса составляла 100 рублей. В моем случае такого IP-адреса нет, поэтому при каждом его изменении необходимо вручную вносить изменения в настройках подключения с клиента.
Теперь перейдём к настройке удалённого компьютера, к которому будем подключаться, с операционной системой Windows. Для этого нужно открыть «Панель управления» (можно воспользоваться поиском). В панели управления выберем вкладку «Система и безопасность», а затем во вкладке «Система» выберем «Настройка удаленного доступа».
После этого откроется окно, в котором нужно будет «Разрешить удаленные подключения к этому компьютеру».
Нажмём на кнопку «Выбрать пользователей..», перейдём в «Учетные записи пользователей».
Для удобства, создадим новую учётную запись, которая будет использоваться для удалённого подключения.
Для этого перейдём в раздел «Учетные записи пользователей», выберем «Управление другой учетной записью» и добавим нового пользователя. Далее необходимо будет указать имя пользователя и пароль, а также задать контрольные вопросы, для восстановления доступа.
Теперь в окне, где был выбор пользователей удалённого рабочего стола, нажмем кнопку «Добавить», и введем имя нового созданного пользователя.
После этого, необходимо нажать кнопку «Проверить имена». Если все правильно, то к имени пользователя добавится имя компьютера.
Теперь в группу «Пользователи удаленного рабочего стола» будет добавлен пользователь с обычной учётной записью RemoteAccount. Нажмем кнопку «ОК» для применения изменений.
Далее, в командной строке введем команду «ipconfig /all», чтобы узнать MAC-адрес и IP-адрес компьютера в локальной сети. Эта информация понадобится для настройки DHCP-сервера на маршрутизаторе с целью резервирования адреса.
На этом настройка удалённого компьютера с операционной системой Windows завершена.
Перейдём к настройке маршрутизатора. Для этого в браузере введём адрес «192.168.0.1» или «192.168.1.1». Откроется страница авторизации в панели управления.
По умолчанию на большинстве устройств используются стандартные сочетания для входа: «admin/admin» или «admin/password». Также данные для входа могут быть указаны на наклейке, расположенной на нижней части роутера.
В других моделях маршрутизаторов процедура настройки будет аналогичной, но интерфейс и расположение пунктов меню могут отличаться.
В первую очередь добавим постоянный локальный IP-адрес, привязав к нему MAC-адрес (физический адрес) компьютера, к которому будет осуществляться доступ. В нашем случае данная настройка находится во вкладке «Дополнительные настройки» -> «Сеть» -> «DHCP-сервер».
После этого, есть два пути – Настройка RDP с VPN или же Настройка RDP с пробросом порта (небезопасно).
Надёжный (рекомендуемый) способ.
Автор после прочтения комментариев
Перейдём во вкладку «Дополнительные настройки» -> «VPN-сервер» -> «OpenVPN». Создадим сертификат OpenVPN, который необходим для работы.
После этого, необходимо запустить сервер и настроить параметры сервиса (оставим всё по умолчанию).
Теперь нажмём кнопку «Экспорт», чтобы скачать полученную конфигурацию, которую будем использовать на клиенте для подключения.
После этого, необходимо установить клиент OpenVPN для своей системы. В моём случае это MacOS. После скачивания, будет предложен выбор версии (для Intel или ARM-процессор).
После установки, будет следующий интерфейс, в который нужно загрузить (перетащить) ранее сгенерированную конфигурацию для подключения.
После загрузки отобразится IP-адрес, к которому подключаемся. Нажмём кнопку «Connect» для подключения.
После успешного подключения, будет отображаться скорость подключения, продолжительность сеанса и количество отправляемых пакетов.
Теперь в RDP-клиенте (Microsoft Remote Desktop), после нажатия на кнопку «Add PC» появится окно, в котором необходимо ввести локальный IP-адрес удалённого компьютера.
После этого, необходимо ввести учётные данные пользователя, которого создавали ранее.
Внимание, проброс портов в сеть небезопасен! То что написано ниже — изначальный вариант настройки.
Автор после прочтения комментариев
Теперь, перейдём к пробросу портов. Во вкладке «NAT переадресация», выберем «Перенаправление порта». Чтобы открыть доступ к удалённому рабочему столу, нужно пробросить порт TCP 3389. Также, стоит учитывать, что, открывая стандартный порт службы всему миру, можно получить регулярные атаки с подбором пароля к учётной записи. Для минимума безопасности изменим внешний порт, по которому будем подключаться. Возьмем один из свободных, которые есть в списке портов, например 49049. Зададим имя сервиса и адрес устройства, которому будет перенаправлен порт.
Теперь при обращении к внешнему IP-адресу через порт 49049, пользователь будет попадать именно на указанный удалённый компьютер.
Перейдём к настройке подключения к удалённому рабочему столу. Рассмотрим две системы, MacOS и Windows, при необходимости можно будет подключаться и через другие, процесс настройки не особо отличается.
Для начала, из App Store скачаем приложение Microsoft Remote Desktop. Для MacOS компания Microsoft выпускает официальный RDP-клиент, который стабильно работает при подключении к любым версиям ОС Windows.
Предварительно, с помощью любого сервиса (будь то «Яндекс.Интернетометр» или 2ip.ru) узнаем внешний IP-адрес, к которому будем подключаться.
После нажатия на кнопку «Add PC» появится окно, в котором необходимо ввести IP-адрес удалённого компьютера. Также, через двоеточие, необходимо указать внешний порт, по которому будем подключаться (49049). Остальные настройки можно оставить без изменений.
Далее, в появившемся окне, необходимо ввести учётные данные, то есть логин и пароль пользователя на удалённом компьютере, через которого будем осуществлять подключение. Введем данные пользователя, который был создан ранее.
При подключении к серверу, появится информация о недоверенном сертификате безопасности. Причина этого заключается в том, что сервер шифрует передаваемые данные SSL-сертификатом, который он сгенерировал сам в автоматическом режиме. Данное уведомление не является свидетельством о проблеме с безопасностью, а только предупреждает о том, что соединение зашифровано с использованием сертификата, который не был выдан авторизованным центром. После этого, появится окно с удалённым рабочим стол, на котором можно работать. Стоит добавить, что перенос файлов можно делать прямо через буфер обмена, скопировав конкретный файл на своем рабочем столе с компьютера и вставив на удалённый.
Настроим подключение для Windows. Например, если нужно использовать ресурсы мощного компа, который стоит дома, через слабенький ноут. Сначала, через поиск откроем «Подключение к удаленному рабочему столу».
Далее, аналогично Mac OS, необходимо ввести адрес удалённого компьютера, к которому будем подключаться. В параметрах можно сразу добавить имя и пароль учётной записи, а можно задать непосредственно при подключении.
В итоге, мы настроили удалённый рабочий стол, который можно использовать для удалённой работы с Windows-машиной, в связи с чем, выполнение лабораторных работ стало удобнее и привычнее.
Если вы нашли неточности/ошибки или просто хотите дополнить статью своим мнением — то жду в комментариях.
P.S. Спасибо людям из комментариев, понял, что порт RDP нельзя в открытую выставлять в сеть, нужно настраивать VPN. Поэтому, статья была дополнена.
Remote Desktop Protocol (RDP) is a widely used technology that allows users to access and control a remote computer from a different location. This article aims to provide a detailed understanding of the ports used by RDP for effective communication. By gaining insight into the port numbers and their significance, users can troubleshoot connectivity issues and ensure a seamless remote desktop experience.
What Are the Ports Used by an RDP?
The Default RDP Port – 3389
The primary port used by RDP is 3389. It is the default port assigned to RDP when initiating a remote session. Most RDP applications and software use this port for communication. However, it is crucial to note that this default port can be changed for security reasons to prevent unauthorized access.
Alternate RDP Ports for Enhanced Security
To enhance security, users have the option to change the default RDP port. Administrators often modify the port number to minimize the risk of unauthorized access and protect their systems from brute-force attacks. Common alternate ports chosen for RDP include 3390, 3391, or other less common port numbers.
The Importance of Port Forwarding
When attempting to establish an RDP connection through a router or firewall, port forwarding plays a vital role. Port forwarding allows incoming traffic on a specific port to be redirected to the correct internal IP address of the remote desktop server. Without proper port forwarding configuration, RDP connections may fail or be blocked.
By default, RDP listens for incoming connections on TCP port 3389. This port is well-known and widely supported by RDP clients and servers. However, it is advisable to change this default port to enhance security. Changing the port number adds an extra layer of protection against automated attacks that target commonly known port numbers.
When choosing an alternate port for RDP, it is essential to select a number that is not commonly used by other services. This prevents conflicts and ensures smooth communication between the RDP client and server. Ports above 1024 are generally safe to use, as they are less likely to be used by other applications or services.
For RDP to work properly, the correct port must be opened and forwarded on the router or firewall. Port forwarding allows external requests to reach the internal network where the remote desktop server resides. It is crucial to configure port forwarding accurately to ensure successful RDP connections.
What is RDP (Remote Desktop Protocol)?
RDP (Remote Desktop Protocol) is a protocol developed by Microsoft that allows users to connect to a remote computer and control it as if they were physically sitting in front of it. The protocol uses TCP/IP (Transmission Control Protocol/Internet Protocol) to transmit data between the client and the server.
The default port used by RDP is 3389, but this port can be changed by modifying the registry settings on the server. Changing the port number can add an additional layer of security by making it more difficult for attackers to find and target the RDP service.
It’s important to note that when using RDP over the internet, it is recommended to use a VPN (Virtual Private Network) to encrypt the RDP traffic and secure the connection. This helps to prevent unauthorized access and protect sensitive data from interception.
How to Enable RDP on Windows 10
Here are the steps to enable RDP on Windows 10:
• Press the Windows key + X and select System from the menu.
• In the System window, click on the Remote Desktop link on the left side.
• Under the Remote Desktop section, select the option to “Allow remote connections to this computer”.
• If necessary, click the “Select users that can remotely access this PC” button to add users who can access the computer remotely.
• Click OK to save the changes.
Once you have enabled RDP on your Windows 10 computer, you can connect to it remotely using the Remote Desktop client on another computer or device. To connect, you will need to know the IP address or hostname of the remote computer and the username and password of a user account that has been granted remote access.
How to Open RDP File on Mac?
To open an RDP file on a Mac, you can use Microsoft’s Remote Desktop application, which is available for free in the Mac App Store. Here are the steps to open an RDP file with the Remote Desktop app:
• Install the Remote Desktop app from the Mac App Store if you haven’t already done so.
• Locate the RDP file you want to open.
• Right-click on the RDP file and select “Open With”.
• Choose “Microsoft Remote Desktop” from the list of available applications.
• If Microsoft Remote Desktop is not listed, click “Other” and navigate to the Remote Desktop app in your Applications folder.
• Click “Open” to open the RDP file in the Remote Desktop app.
• Once the RDP file is open in the Remote Desktop app, you can connect to the remote computer by entering the necessary information, such as the computer name or IP address, and the user credentials.
In conclusion, RDP utilizes port 3389 as the default port for establishing connections. However, users have the option to modify this port for enhanced security. By understanding the importance of port forwarding and alternate port configurations, users can ensure a seamless and secure remote desktop experience.
Remote Desktop Protocol (RDP) is a widely used protocol developed by Microsoft to allow remote access to computers and servers. By default, RDP uses port 3389, but there are several reasons why you might want to change this port or use alternative ports. In this blog post, we will explore what ports can I use for RDP, the reasons for modifying the default port, and how to do so safely.
Default RDP Port: 3389
Port 3389 is the official and default port for RDP connections. When you connect to a remote machine using RDP, the client communicates with the remote server over TCP and UDP using this port. While it is convenient to use the default port, it also presents security risks, as cyber attackers frequently target it for brute-force attacks, exploits, and unauthorized access attempts.
Why Change the Default RDP Port?
1. Enhanced Security
One of the primary reasons for changing the default RDP port is security. Attackers often scan networks for open port 3389, looking for vulnerable systems. Changing the RDP port makes it harder for attackers to find your system, adding a layer of security by obscurity.
2. Compliance with Network Policies
Some organizations or ISPs block traffic on port 3389 for security reasons. In such cases, changing the port may be necessary to comply with network policies and enable remote access without violating security protocols.
3. Avoiding Port Conflicts
If multiple devices on a network require RDP access, and port forwarding is in use, changing the port allows different machines to be accessible remotely without interfering with each other.
4. Preventing Automated Attacks
Many automated bots and malware scripts are programmed to target port 3389. Changing the port can reduce the risk of automated attacks and unauthorized access attempts.
Alternative Ports for RDP
Although port 3389 is the standard, you can configure RDP to use other ports. Here are some considerations when selecting an alternative port:
1. Choosing a Non-Standard Port
When selecting an alternative port, consider using a port number above 1024 (e.g., between 1025 and 65535) to avoid conflicts with well-known ports. Examples of alternative ports include:
- 5000 – Often used for various services but can be repurposed for RDP.
- 6001 – Used in some networking applications but can be used for RDP.
- 12345 – A commonly chosen high-range port for custom applications.
- 40000-50000 – Less commonly used, reducing the risk of conflicts and automated attacks.
2. Using Custom Ports
When choosing a custom port, ensure that it does not conflict with other critical services. Check your system’s network usage to confirm that the chosen port is available and not being used by another application.
How to Change the RDP Port on Windows
If you decide to use an alternative port for RDP, follow these steps to modify the RDP port in Windows:
Step 1: Modify the Windows Registry
- Press Win + R, type regedit, & hit Enter to open the Windows Registry Editor.
- Navigate to the following key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
- Locate the PortNumber entry.
- Right-click PortNumber, select Modify, choose Decimal, and enter your new port number (e.g., 5000).
- Click OK and close the Registry Editor.
Step 2: Configure Windows Firewall
To allow traffic on the new port:
- Open the Windows Defender Firewall.
- Click Advanced Settings.
- Select Inbound Rules > New Rule.
- Choose Port and click Next.
- Select TCP, enter the new port number, and click Next.
- Choose Allow the connection, then select the network profiles (Domain, Private, Public).
- Name the rule (e.g., “Customs RDP Port”) & click Finish.
Step 3: Restart the Remote Desktop Services
To apply the changes:
- Open Command Prompt as an administrator.
- Run the following command to restart the RDP service:
net stop termservice && net start termservice
- Restart your computer for changes to take effect.
Step 4: Update Router Port Forwarding (If Necessary)
If you’re accessing the RDP session over the internet, update the port forwarding settings on your router:
- Log in to your router’s web interface.
- Navigate to Port Forwarding.
- Create a new rule forwarding your chosen port to the local IP address of the RDP server.
- Save and apply the changes.
Testing the New RDP Port
To test whether RDP is using the new port, use the following command in Command Prompt:
netstat -an | find "LISTENING" | find "5000"
Replace 5000 with your chosen port number. If the output shows that the port is listening, RDP is now configured on the new port.
Security Considerations When Changing RDP Ports
1. Enable Network Level Authentication (NLA)
To enhance security, enable Network Level Authentication (NLA) by going to:
- Control Panel > System and Security > System.
- Click Remote Settings.
- Under Remote Desktop Protocol, select “Permit connections only from computers running Remote Desktop with Network Level Authentication.”
2. Use a VPN for Remote Access
Rather than exposing RDP directly to the internet, consider using a VPN to securely connect to your network before using RDP.
3. Implement Two-Factor Authentication (2FA)
Use tools like Duo Security to add an extra layer of authentication before allowing an RDP session to start.
4. Monitor and Limit RDP Access
- Restrict RDP access to specific IP addresses.
- Use intrusion detection tools to monitor login attempts.
- Regularly update your operating system to patch vulnerabilities.
Conclusion
While port 3389 is the standard for RDP, changing it can enhance security, prevent automated attacks, and comply with network policies. However, modifying the port is only one part of securing remote access—additional steps such as enabling NLA, using a VPN, and implementing 2FA should be considered.
By following best practices, you can safely use RDP with a customized port while minimizing security risks and ensuring a seamless remote access experience.