A Windows PC távoli csatlakoztatása gazdaszámítógéphez a Microsoft saját fejlesztésű, távoli asztali protokoll (RDP) néven ismert hálózati kommunikációs protokollját használja.
A TCP 3389 az RDP-hez rendelt alapértelmezett port a számítógépen. De változtatni kellene. Íme, miért érdemes végrehajtania a változtatást, hogyan kell ezt megtenni, és hogyan konfigurálhatja a Windows tűzfalszabályait egy egyéni RDP-porthoz.
Miért érdemes megváltoztatni az RDP portot?
A TCP 3389, az összes távoli kapcsolat alapértelmezett RDP-portja, a hackerek radarján található. Használják nyers erő támadások és egyéb módszerek a bejelentkezési adatok kitalálására a TCP 3389 eléréséhez. Miután bekerültek, érzékeny adatokat lophatnak vagy titkosíthatnak, rosszindulatú programokat telepíthetnek, és bármit megtehetnek a távoli számítógépeken, ami kedvükre való.
Ha az alapértelmezett RDP-portszámot 3389-ről bármely másik szabad portra módosítja, a hackerek nehezen tudják kitalálni, melyik RDP-portot használja. Az RDP-port megváltoztatása pedig különösen akkor hasznos, ha kikapcsolta a hálózati szintű hitelesítést (NLA).
Néha néhány tűzfal úgy van beállítva, hogy alapértelmezés szerint blokkolja a 3389-es portra és onnan érkező bejövő és kimenő kommunikációt, nehogy a hackerek hozzáférjenek a 3389-es porthoz. Az alapértelmezett RDP-port megváltoztatása a tűzfalak megkerülésének egyik módja lehet.
Hogyan lehet ellenőrizni a számítógép alapértelmezett RDP-portszámát
nyomja meg ablakok + x, és nyissa meg Terminál (adminisztrátor). Illessze be a következő parancsot a Windows PowerShellbe, és nyomja meg a gombot Belép.
Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -név "PortNumber"
Megtalálta a számítógépe alapértelmezett RDP-portját.
Hogyan változtassuk meg az RDP portot
A Rendszerleíróadatbázis-szerkesztő néhány módosításával megváltoztathatja a számítógép alapértelmezett RDP TCP-portját. A folyamat egyszerű.
De először is erősen ajánljuk készítsen biztonsági másolatot a Windows Registry-ről így gyorsan visszaállíthatja, ha bármi baj történik. Íme, hogyan kell csinálni.
nyomja meg ablakok + R kinyitni Fuss, és írja be a „regedit” kifejezést a keresőmezőbe. nyomja meg rendben a Rendszerleíróadatbázis-szerkesztő megnyitásához.
Kattintson a jobb gombbal Számítógép és válassza ki Export a helyi menüből.
Az Export Registry File kérni fogja, hogy válassza ki az exportált regisztrációs fájlok helyét és fájlnevét. Válasszon egy helyet, és exportálja a rendszerleíró adatbázist olyan névvel, amelyet könnyen megjegyezhet.
Ha végzett a Windows Registry biztonsági mentésével, kövesse az alábbi lépéseket az RDP-port módosításához. Ebben a példában az 51289-es portot választottuk, hogy ez legyen a távoli asztali szolgáltatás RDP figyelési portja.
Nyissa meg a Windows Rendszerleíróadatbázis-szerkesztőt, és illessze be a következő parancsot a keresősávba. nyomja meg Belép az RDP-TCP beállítások eléréséhez.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Görgessen lefelé a jobb oldalsávon, amíg el nem éri PortNumber. A szerkesztéshez kattintson rá duplán. Válaszd ki a Decimális rádió opciót a szerkesztőablakban, és írja be a kívánt portszámot (51289). Értékadatok terület. Kattintson rendben folytatni.
Zárja be a Windows Rendszerleíróadatbázis-szerkesztőt, és indítsa újra a számítógépet. Sikeresen módosította a számítógép alapértelmezett RDP-portját 51289-re.
Az alapértelmezett RDP-portot a Windows PowerShell parancs segítségével is módosíthatja.
Futtassa a Windowst Terminál (adminisztrátor), és illessze be a következő PowerShell-parancsot a parancsablakba. Ezután nyomja meg Belép.
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Name PortNumber -Value 51289
A Windows PC alapértelmezett RDP-portja nem szabványos RDP-portra változott: 51289. A számítógép most az 51289-es portot fogja használni a távoli asztali kapcsolathoz.
Hogyan válasszuk ki a megfelelő számot egy egyéni RDP-porthoz
65 535 portszám van. A gyakori TCP/IP alkalmazások 0 és 1023 közötti portszámokat használnak, amelyeket jól ismert portoknak neveznek. Például a 443-as portot a tanúsítvány alapú hitelesítéshez (HTTPS) használják.
Ezért tanácsos nem módosítani az RDP portot a Windows rendszeren 0 és 1023 közötti számokra.
A 49152 és 65535 közötti portokat dinamikus portoknak nevezzük, és az ügyfelek gyakran használják a szerverhez való kapcsolódásra. Ennek eredményeként sokan inkább a 49152 és 65535 közötti portszámot választják, hogy elkerüljék a jól ismert vagy egyedi szolgáltatásokkal való ütközést.
A Windows tűzfal beállítása egyéni RDP-porthoz
Most, hogy megváltoztatta az alapértelmezett RDP-portszámot a számítógépen, létre kell hoznia a Windows tűzfalszabályait az egyéni RDP-portszámhoz.
Ha ezt nem teszi meg, a Windows tűzfalvédő megakadályozhatja, hogy távoli asztali szolgáltatásokat használjon az egyéni RDP-port használatával.
Futtassa a Windows terminált (Admin), és írja be a következőt a parancssorba. Ezután nyomja meg Belép.
Új-NetFirewallRule - Megjelenítési név 'RDPPORT_TCP' - Profil "Nyilvános" - Bejövő irány - Művelet engedélyezése - TCP protokoll -LocalPort 51289
Most illessze be a következő parancsot, és nyomja meg a gombot Belép.
Új-NetFirewallRule -Megjelenítési név 'RDPPORT_UDP' -Profil "Nyilvános" -Bejövő irány -Művelet engedélyezése -Protokoll UDP -LocalPort 51289
Indítsa újra a számítógépet, és kapcsolja be a távoli asztal funkciót a számítógépen. Az egyéni RDP portot fogja használni a hallgatáshoz.
Hogyan lehet fokozni az RDP biztonságát
A hackerek folyamatosan próbálják kihasználni az RDP sebezhetőségeit. Az alapértelmezett RDP-port módosítása csak az egyik módja az RDP-port biztonságának megerősítésére.
Íme néhány legjobb RDP biztonsági tipp az a távoli asztali protokoll támadás.
- Minden távoli asztalhoz hozzáféréssel rendelkező fióknak erős jelszavakat és többtényezős hitelesítést kell használnia.
- A Microsoft javításokat kínál az ismert sebezhetőségekre, ezért gondoskodnia kell arról, hogy operációs rendszere mindig naprakész legyen.
- Használjon RDP-átjárót, hogy biztonsági réteget adjon a távoli asztali munkamenetekhez.
- Tartsa engedélyezve a hálózati szintű hitelesítést (NLA).
- Korlátozza azokat a felhasználókat, akik bejelentkezhetnek a távoli asztal szolgáltatással.
Ezenkívül végre kell hajtania a a legkisebb kiváltság elve amely a távoli felhasználók számára minimális szintű hozzáférést biztosít az adatokhoz és erőforrásokhoz. Ennek eredményeként korlátozhatja azt a kárt, amelyet a számítógépes bűnözők okozhatnak, ha illetéktelenül hozzáférnek egy vállalati hálózathoz.
Módosítsa az RDP-portot a Stay Protected értékre
Azzal, hogy egyre több vállalat alkalmazza a távmunka modelljét, a távoli kapcsolatok száma exponenciálisan nőtt. Következésképpen a hackerek az alapértelmezett távoli asztali protokoll portját veszik célba a vállalati hálózatok eléréséhez.
Az RDP-port megváltoztatása kiváló stratégia az RDP-port elrejtésére a hackerek elől, mivel a hackerek általában az alapértelmezett távoli asztali portot veszik célba. Ezenkívül meg kell erősítenie az RDP-port biztonságát, hogy az RPD-port ne legyen elérhető a hackerek számára.
