Vzdálené připojení počítače se systémem Windows k hostitelskému počítači využívá vlastní síťový komunikační protokol společnosti Microsoft známý jako Remote Desktop Protocol (RDP).
TCP 3389 je výchozí port přiřazený pro RDP na vašem PC. Ale měli byste to změnit. Zde je důvod, proč byste měli provést změnu, jak to provést a jak nakonfigurovat pravidla brány firewall systému Windows pro vlastní port RDP.
Proč byste měli změnit port RDP
TCP 3389, výchozí port RDP pro všechna vzdálená připojení, je v hledáčku hackerů. Používají útoky hrubou silou a další metody pro uhodnutí přihlašovacích údajů pro získání přístupu k TCP 3389. Jakmile jsou uvnitř, mohou krást nebo šifrovat citlivá data, instalovat malware a dělat na vzdálených počítačích cokoli, co se jim líbí.
Když změníte výchozí číslo portu RDP z 3389 na jakýkoli jiný volný port, bude pro hackery obtížné uhodnout, který port RDP používáte. A změna portu RDP je zvláště užitečná, když jste vypnuli ověřování na úrovni sítě (NLA).
Někdy je několik firewallů nakonfigurováno tak, aby ve výchozím nastavení blokovaly příchozí a odchozí komunikaci do az portu 3389, aby se zabránilo hackerům v přístupu k portu 3389. Změna výchozího portu RDP může být jedním ze způsobů, jak tyto brány firewall obejít.
Jak zkontrolovat výchozí číslo portu RDP vašeho počítače
lis Okna + Xa otevřete Terminál (administrátor). Vložte následující příkaz do prostředí Windows PowerShell a stiskněte Vstupte.
Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber"
Našli jste výchozí port RDP vašeho počítače.
Jak změnit port RDP
Výchozí port RDP TCP vašeho počítače můžete změnit na nový provedením několika vylepšení v Editoru registru. Postup je jednoduchý.
Ale důrazně vám doporučujeme jako první zálohovat registr Windows abyste jej mohli rychle obnovit, pokud se něco pokazí. Zde je návod, jak na to.
lis Okna + R otevřít Běha do vyhledávacího pole zadejte „regedit“. lis OK otevřete Editor registru.
Klikněte pravým tlačítkem na Počítač a vyberte Vývozní z kontextové nabídky.
Exportovat soubor registru vás požádá o výběr umístění a názvu souboru pro exportované registrační soubory. Vyberte umístění a exportujte registr s názvem, který si snadno zapamatujete.
Po dokončení zálohování registru systému Windows změňte port RDP podle níže uvedených kroků. Pro tento příklad jsme zvolili port 51289, abychom z něj udělali naslouchací port RDP pro službu vzdálené plochy.
Otevřete Editor registru systému Windows a do vyhledávacího pole vložte následující příkaz. lis Vstupte k nastavení RDP-TCP.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Posuňte se dolů v pravém postranním panelu, dokud nedosáhnete PortNumber. Poklepáním na něj upravíte. Vybrat Desetinný v okně úprav a zadejte požadované číslo portu (51289) do pole Hodnotové údaje pole. Klikněte OK pokračovat.
Zavřete Editor registru systému Windows a restartujte počítač. Úspěšně jste změnili výchozí port RDP vašeho počítače na 51289.
Výchozí port RDP můžete také změnit pomocí příkazu Windows PowerShell.
Spusťte systém Windows Terminál (administrátor)a do příkazového okna vložte následující příkaz PowerShell. Poté stiskněte Vstupte.
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Název Číslo portu -Hodnota 51289
Výchozí port RDP na vašem počítači se systémem Windows se změnil na nestandardní port RDP: 51289. Váš počítač bude nyní používat port 51289 pro připojení ke vzdálené ploše.
Jak vybrat správné číslo pro vlastní port RDP
Existuje 65 535 čísel portů. Běžné aplikace TCP/IP používají čísla portů od 0 do 1023, kterým se říká známé porty. Číslo portu 443 se například používá pro ověřování na základě certifikátu (HTTPS).
Proto je vhodné neměnit port RDP ve Windows na žádné číslo od 0 do 1023.
Porty od 49152 do 65535 jsou známé jako dynamické porty a klienti je běžně používají k vytvoření připojení k serveru. V důsledku toho mnoho lidí dává přednost volbě čísla portu od 49152 do 65535, aby se zabránilo konfliktu s jakýmikoli známými nebo vlastními službami.
Nakonfigurujte bránu Windows Firewall pro vlastní port RDP
Nyní, když jste změnili výchozí číslo portu RDP v počítači, musíte vytvořit pravidla brány firewall systému Windows pro vlastní číslo portu RDP.
Pokud to neuděláte, váš obránce brány firewall systému Windows vám může bránit v používání služeb vzdálené plochy pomocí vlastního portu RDP.
Spusťte Windows Terminal (Admin) a do příkazového řádku zadejte následující. Poté stiskněte Vstupte.
Nové-NetFirewallRule -Zobrazovaný název 'RDPPORT_TCP' -Profil 'Veřejný' -Příchozí směr -Povolit akci -Protokol TCP -LocalPort 51289
Nyní vložte následující příkaz a stiskněte Vstupte.
Nové-NetFirewallRule -Zobrazovaný název 'RDPPORT_UDP' -Profil 'Veřejný' -Příchozí směr -Povolit akci -Protokol UDP -LocalPort 51289
Restartujte počítač a zapněte funkci vzdálené plochy v počítači. K poslechu použije vlastní port RDP.
Jak zvýšit zabezpečení RDP
Hackeři se neustále snaží zneužít zranitelnosti RDP. Změna výchozího portu RDP je pouze jedním ze způsobů, jak posílit zabezpečení portu RDP.
Zde je několik nejlepších bezpečnostních tipů RDP, jak zabránit a útok protokolu vzdálené plochy.
- Každý účet s přístupem ke vzdálené ploše musí používat silná hesla a vícefaktorové ověřování.
- Společnost Microsoft nabízí opravy známých zranitelností, takže byste měli zajistit, aby byl váš operační systém vždy aktuální.
- Použijte bránu RDP k přidání vrstvy zabezpečení do relací vzdálené plochy.
- Nechte zapnuté ověřování na úrovni sítě (NLA).
- Omezte uživatele, kteří se mohou přihlásit pomocí funkce vzdálené plochy.
Také byste měli implementovat princip nejmenšího privilegia který poskytuje vzdáleným uživatelům minimální úroveň přístupu k datům a zdrojům. V důsledku toho můžete omezit škody, které mohou kybernetičtí zločinci způsobit v případě jejich neoprávněného přístupu do podnikové sítě.
Změňte port RDP na možnost Stay Protected
S tím, jak stále více společností přijímá model práce na dálku, exponenciálně vzrostl počet vzdálených připojení. V důsledku toho se hackeři zaměřují na výchozí port protokolu vzdálené plochy pro přístup k podnikovým sítím.
Změna portu RDP je vynikající strategií, jak udržet váš port RDP skrytý před hackery, protože hackeři se běžně zaměřují na výchozí port vzdálené plochy. Kromě toho byste měli zvýšit zabezpečení svého portu RDP, aby byl port RPD pro hackery nedostupný.
