То, что служба Сервера удалённых рабочих столов (ранее называлась Сервер Терминалов) для входящих подключений по умолчанию использует порт 3389, известно всем и хакерам в том числе. Частенько есть необходимость изменить порт на нестандартный для создания дополнительной степени защиты от несанкционированного доступа. Другими словами, после смены порта система будет слушать другой порт, а на стандартный (3389) подключения приниматься не будут.
Внимание! После смены порта на нестандартный для подключения к данному компьютеру\ноутбуку\серверу будет необходимо указывать не только ip-адрес или имя хоста, но и номер порта через двоеточие.
1 Запустите редактор реестра. Для этого нажмите WIN+R , введите regedit и нажмите Enter.
2 Найдите раздел:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
и откройте для редактирования параметр PortNumber .
3 Установите переключатель Система исчесления в положение Десятичная . После этого в поле Значение вы увидите цифры 3389 , что соответствует номеру порта по умолчанию. Измените значение на желаемое и нажмите ОК:
4 Перезагрузите компьютер, чтобы изменения настроек вступили в силу.
Если для сервера, который принимает подключения на порт по умолчанию (3389) можно просто подсоединиться, указав:
Dmitriy-work
192.168.10.15
то после его смены, допустим, на 3388, придётся указывать так:
Dmitriy-work:3388
192.168.10.15:3388
Вот и все. Пишите комментарии.
RDP – это протокол удаленного рабочего стола. С английского эта аббревиатура расшифровывается, как Remote Desktop protocol. Он нужен для подключения одного компьютера к другому через сеть интернет. К примеру, если пользователь находится дома, а ему нужно срочно заполнить документы в офисе он может это сделать с помощью данного протокола.
Доступ к другому компьютеру производится через порт TCP 3389 по умолчанию. На каждом персональном устройстве он предустановлен автоматически . При этом существует два вида соединения:
Серверы, где установлена ОС Windows Server поддерживают два удаленных подключения РДП сразу (это в том случае, если не активирована роль RDP). Компьютеры, не являющиеся серверами имеют только по одному входу.
Соединение между компьютерами производится в несколько этапов:
Также этот протокол имеет виртуальные каналы, которые позволяют соединиться с принтером, работать с буфером обмена, использовать аудиосистему и др.
Существует два вида защищенного соединения через RDP:
Они отличаются тем, что в первом типе используется шифрование, обеспечение целостности создается с помощью стандартных средств, которые есть в протоколе. А во втором виде используется модуль TLS для установки защищенного соединения. Разберем подробней процесс работы.
Встроенная защита осуществляется так — в начале проходит аутентификация, затем:
Затем происходит шифрование:
Целостность контролируется с помощью генерации mac-кодов основанных на алгоритме MD5 и SHA1.
Внешняя система безопасности работает с модулями TLS 1.0, CredSSP. Последний совмещает в себе функциональности TLS, Kerberos, NTLM.
Окончание подключения:
Для того, чтобы прописать другое значение необходимо сделать следующее (актуально для любой версии Виндовс, в том числе Windows Server 2008):
Теперь при подключении к удаленному столу необходимо после IP-адреса через двоеточие указывать новое значение, например 192.161.11.2:3381 .
PowerShell также позволяет внести необходимые изменения:
Чаще всего эта ошибка возникает, когда появляются проблемы с
DNS
сервером
. Клиентский компьютер не может найти имя указанного сервера.
Для того, чтобы избавиться от ошибки, необходимо в первую очередь проверить правильно ли веден адрес хоста.
В другом случае при возникновении бага необходимо произвести такие шаги:
Добрый день уважаемые читатели и гости блога, сегодня у нас с вами вот такая задача: изменить входящий порт службы RDP (терминального сервера) со стандартного 3389 на какой-то другой. Напоминаю, что RDP служба это функционал операционных систем Windows, благодаря которому вы можете по сети открыть сессию на нужный вам компьютер или сервер по протоколу RDP, и иметь возможность за ним работать, так как будто вы сидите за ним локально.
Прежде чем, что то изменять, хорошо бы понимать, что это и как это работает, я вам об этом не перестаю повторять. RDP или Remote Desktop Protocol это протокол удалённого рабочего стола в операционных системах Microsoft Windows, хотя его происхождение идет от компании PictureTel (Polycom). Microsoft просто его купила. Используется для удаленной работы сотрудника или пользователя с удаленным сервером. Чаще всего такие сервера несут роль сервер терминалов , на котором выделены специальные лицензии, либо на пользователе, либо на устройства, CAL. Тут задумка была такой, есть очень мощный сервер, то почему бы не использовать его ресурсы совместно, например под приложение 1С. Особенно это становится актуальным с появлением тонких клиентов.
Сам сервер терминалов мир увидел, аж в 1998 году в операционной системе Windows NT 4.0 Terminal Server, я если честно тогда и не знал, что такое есть, да и в России мы в то время все играли в денди или сегу. Клиенты RDP соединения, на текущий момент есть во всех версиях Windows, Linux, MacOS, Android. Самая современная версия RDP протокола на текущий момент 8.1.
Сразу напишу порт rdp по умолчанию 3389, я думаю все системные администраторы его знают.
И так мы с вами поняли для чего придумали Remote Desktop Protocol, теперь логично, что нужно понять принципы его работы. Компания Майкрософт выделяет два режима протокола RDP:
Вообще если вы без сервера терминалов устанавливаете Windows Server 2008 R2 - 2016, то там по умолчанию у него будет две лицензии, и к нему одновременно смогут подключиться два пользователя, третьему придется для работы кого то выкидывать. В клиентских версиях Windows, лицензий всего одна, но и это можно обойти, я об этом рассказывал в статье сервер терминалов на windows 7 . Так же Remote administration mode, можно кластеризировать и сбалансировать нагрузку, благодаря технологии NLB и сервера сервера подключений Session Directory Service. Он используется для индексации пользовательских сессий, благодаря именно этому серверу у пользователя получиться войти на удаленный рабочий стол терминальных серверов в распределенной среде. Так же обязательными компонентами идут сервер лицензирования .
RDP протокол работает по TCP соединению и является прикладным протоколом. Когда клиент устанавливает соединение с сервером, на транспортном уровне создается RDP сессия, где идет согласование методов шифрования и передачи данных. Когда все согласования определены и инициализация окончена, сервер терминалов, передает клиенту графический вывод и ожидает входные данные от клавиатуры и мыши.
Remote Desktop Protocol поддерживает несколько виртуальных каналов в рамках одного соединения, благодаря этому можно использовать дополнительный функционал
Remote Desktop Protocol имеет два метода аутентификации Standard RDP Security и Enhanced RDP Security, ниже рассмотрим оба более подробно.
RDP протокол при данном методе аутентификации, шифрует подключение средствами самого RDP протокола, которые есть в нем, вот таким методом:
Если рассмотреть алгоритм с помощью которого все шифруется, то это потоковый шифр RC4. Ключи разной длины от 40 до 168 бит, все зависит от редакции операционной системы Windows, например в Windows 2008 Server – 168 бит. Как только сервер и клиент определились с длиной ключа, генерируются два новых различных ключа, для шифрования данных.
Если вы спросите про целостность данных, то тут она достигается за счет алгоритма MAC (Message Authentication Code) базируемого на SHA1 и MD5
RDP протокол при данном методе аутентификации использует два внешних модуля безопасности:
TLS поддерживается с 6 версии RDP. Когда вы используете TLS, то сертификат шифрования можно создать средствами терминального сервера, самоподписный сертификат или выбрать из хранилища.
Когда вы задействуете CredSSP протокол, то это симбиоз технологий Kerberos, NTLM и TLS. При данном протоколе сама проверка, при которой проверяется разрешение на вход на терминальный сервер осуществляется заранее, а не после полноценного RDP подключения, и тем самым вы экономите ресурсы терминального сервера, плюс тут более надежное шифрование и можно делать однократный вход в систему (Single Sign On), благодаря NTLM и Kerberos. CredSSP идет только в ОС не ниже Vista и Windows Server 2008. Вот эта галка в свойствах системы
разрешить подключения только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети.
Для того, чтобы изменить порт rdp, вам потребуется:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Находим ключ PortNumber и меняем его значение на номер порта, который Вам нужен.
Выберите обязательно десятичное значение, я для примера поставлю порт 12345.
Как только вы это сделали, то перезапустите службу удаленных рабочих столов, через командную строку, вот такими командами:
И создаем новое входящее правило для нового rdp порта. Напоминаю, что порт rdp по умолчанию 3389.
Выбираем, что правило будет для порта
Протокол оставляем TCP и указываем новый номер RDP порта.
Правило у нас будет разрешающее RDP соединение по не стандартному порту
При необходимости задаем нужные сетевые профили.
Ну и назовем правило, понятным для себя языком.
Для подключения с клиентских компьютеров Windows адрес пишите с указанием порта. Например, если порт Вы изменили на 12345, а адрес сервера (или просто компьютера, к которому подключаетесь): myserver, то подключение по MSTSC будет выглядеть так:
mstsc -v:myserver:12345
Изменение прослушиваемого порта для RDP в реестре операционной системы Microsoft Windows 10
Рис.1 Изменение порта для RDP в редакторе реестра
Рис.2 Изменение порта для RDP в редакторе реестра
При указании порта, следует обратить внимание на то, что есть несколько категорий портов, которые отличаются друг от друга по номерам и использованию:
Изменения вступят в силу после перезагрузки.
Рис.3 Запуск дополнительных параметров в брандмауэре Защитника Windows
Рис.4 Запуск дополнительных параметров в брандмауэре Защитника Windows
Рис.5 Монитор брандмауэра Защитника Windows в режиме повышенной безопасности
Рис.6 Создание правила для входящий подключений
Рис.7 Создание правила для входящий подключений
Рис.8 Создание правила для входящий подключений
Рис.9 Создание правила для входящий подключений
Рис.10 Создание правила для входящий подключений
Рис.11 Редактирование правила
Рис.12 Редактирование правила
Рис.13 Редактирование правила
Для выполнения настройки брандмауэра Windows с помощью командной строки, необходимо использовать команду Netsh . Утилита Netsh является мощным инструментом для администраторов Windows.
Команды утилиты Netsh для брандмауэра Windows в режиме повышенной безопасности предоставляют командной строке альтернативные возможности управления брандмауэром. При помощи команд Netsh можно настраивать и просматривать правила, исключения и конфигурацию брандмауэра.
Просмотреть справочную информацию по команде netsh можно введя в окне командной строки netsh /?
netsh advfirewall firewall add rule name="Open Port 50000" dir=in action=allow protocol=TCP localport=50000
add rule - добавить правило. Параметр Add предназначен для создания правил входящих и исходящих подключений.
name=ИмяПравила . При помощи данного параметра можно указать имя нового правила для входящего или исходящего подключения.
dir {in | out} . При помощи данного параметра можно указать, будет ли правило создаваться для входящего или исходящего трафика. У этого параметра может быть два значения:
action = { allow | block | bypass } . Данный параметр позволяет указать действие, которое будет выполнять сетевой фильтр с пакетами, которые указаны в текущем правиле. Этот параметр эквивалентен странице Действия мастера создания правила нового входящего (исходящего) подключения оснастки Монитор брандмауэра Защитника Windows в режиме повышенной безопасности . Для этого параметра существуют три параметра:
Рис.14 Создание правила в командной строке
Рис.15 Подключение к удаленному рабочему столу
Нашли опечатку? Выделите и нажмите Ctrl + Enter
В Windows для удаленного рабочего стола по умолчанию выставлен порт 3389. Если в Вашей операционной системе настроен удаленный рабочий стол, то ваша ОС постоянно прослушивает входящие соединения на порту 3389. И поскольку он известен всем желающим, то он используется злоумышленниками для проникновения.
Если у Вас не настроена политика блокировки учетных записей (по умолчанию отключена), то Вы подвержены атаке bruteforce, это когда злоумышленником перебираются всевозможные пароли. такая операция делается не вручную, а с помощью специальных программ, что на порядок увеличивает вероятность, подбора пароля. Но даже если настроена блокировка учетной записи при ошибочном вводе пароля, это не избавит проблем. Активность ботов приводит к блокировать учетных записей, под которыми они пытаются войти, возрастает нагрузка на сервер, забивается канал связи, это очень раздражает.
Для защиты системы от ботов и начинающих хакеров, мы рекомендуем изменить порт RDP
по умолчанию на любой другой. Это конечно не панацея, но значительно сократит попытки проникновения.
Существует два метода чтобы изменить стандартный порт протокола RDP.
Простое изменение в реестре Windows.
Видео пример как сменить port RDP в реестре:
Использовать утилиту от Microsoft (которая по сути также вносит изменения в реестр, но удобной для не продвинутого пользователя. Просто нажмите на ссылку , произойдет загрузка файла, запустите его и в окошке введите необходимое число и нажмите Ok.
Не забудьте перезагрузить компьютер после обоих способов, чтобы изменения вступили в силу.
Имейте в виду, что в следующий раз, когда вы хотите подключиться к вашей системе по RDP вам теперь нужно будет указать номер порта вручную. Для этого в адресе подключения добавьте после адреса или IP адреса знак двоеточия и номер порта. 10.10.32.30:5581 или mycomp.ru:5534.
Как изменить порт для удаленного рабочего стола RDP