Для повышения безопасности и снижения рисков от автоматизированных атак на сервисы удаленных рабочих столов RDP в Windows возможно изменить порт по умолчанию с 3389 на какой нибудь другой отличающийся от стандартного. Предлагаем ознакомиться с пошаговым руководством для выполнения манипуляций.

Изменить порт RDP можно несколькими системными способами, но обратите внимание, что после операции потребуется открыть новый порт, чтобы встроенные средства защиты не блокировали его, поэтому после выполнения рекомендаций из одного из способов ниже переходите к разделу статьи с методами открытия RDP-порта.

Способ 1: Редактирование реестра

Изменить сетевой порт, используемый протоколом удаленного рабочего стола для установления связи между устройством и сервером, или RDP-порт, можно с помощью изменения записи в системном реестре. По умолчанию RDP использует TCP-порт 3389, и для начала отметим несколько нюансов, связанных с категориями портов:

• 0 – 1023 – это известные системе порты, которые обычно используются самой ОС;
• 024 – 49151 – это порты, которые зарегистрированы и также используются;
• 49152 – 65535 – приватные (динамические) порты, используемые фактически любыми приложениями для разных целей и задач.

Для ручного изменения порта действуйте согласно инструкции ниже:

1. 1. Используйте сочетание клавиш «Win + R» для вызова диалогового окна «Выполнить», через которое можно запустить «Редактор реестра». Для этого введите запрос regedit и нажмите на кнопку «ОК».

1. 1. Пройдите по пути на панели слева HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp или вставьте его в адресную строку и нажмите на клавишу ввода для быстрого перехода.

1. 1. В центральной части окна найдите параметр «PortNumber» и дважды кликните по нему левой кнопкой мыши.

1. 1. Скорее всего, изначально будет выбрана шестнадцатеричная система исчисления, а порт будет указан в виде буквенно-цифрового значения. Смените систему на десятичную, затем в поле «Значение» задайте свой порт, например, 50000. Нажмите на кнопку «ОК».

Можете закрывать окно «Редактора реестра» и обязательно перезагрузите компьютер, чтобы новые настройки вступили в силу. После переходите к открытию порта.

Способ 2: Консоль

Смена порта может осуществляться и с помощью консоли Windows 10, причем как «Командной строки», так и обновленного интерфейса «Windows PowerShell». Правда, команды в этих случаях будут отличаться. Для начала разберем, как это можно сделать с помощью классического средства:

1. 1. Запустите «Командную строку» с расширенными правами. В строке поиска системы введите cmd и выберите «Запуск от имени администратора».

1. 1. В окне открывшейся консоли введите reg add «HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp» /v PortNumber /t REG_DWORD /d 50000 /f и нажмите на клавишу «Enter».

Обратите внимание, что в команде «50000» нужно заменить на свое значение.

А для смены порта через «Windows PowerShell» нужно выполнить команду Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP» -Name PortNumber -Value 50000. Консоль также должна быть запущена от имени администратора.

Перезагрузите компьютер для применения настроек.

Открытие порта

Открытие нового RDP-порта необходимо для повышения безопасности, а для предотвращения случайных блокировок новых удаленных подключений, которые осуществляются пользователем, потребуется обновить настройки брандмауэра Windows 10, причем делается это как через интерфейс встроенного приложения, так и с помощью специальных команд, выполненных в консоли.

Способ 1: Настройки брандмауэра

Для начала рассмотрим наиболее простой способ, поскольку он выполняется через графический интерфейс брандмауэра с помощью встроенных мастеров:

1. 1. Откройте брандмауэра «Защитника Windows». Делается это несколькими способами, но можно выполнить команду firewall.cpl в диалоговом окне «Выполнить» («Win + R»).

1. 1. В открывшемся окне на панели слева кликните по строке «Дополнительные параметры».

1. 1. Далее на левой панели нового окна выделите строку «Правила для входящих подключений», затем справа нажмите на пункт «Создать правило».

1. 1. Откроется «Мастер создания правил». На первом шаге отметьте пункт «Для порта» и кликните по «Далее».

1. 1. В следующем окне оставьте протокол TCP по умолчанию, убедитесь, что пункт «Определенные локальные порты» выбран, после чего в специальном поле введите новый RDP-порт, например, 50000, и нажмите на кнопку продолжения.

1. 1. Укажите тип действия, которое задает правило. В нашем случае нужно разрешить подключение для указанного порта.

1. 1. Отметьте те профили, для которых будет действовать правило, и нажмите на «Далее».

1. 1. Задайте имя для нового правила, причем лучше использовать такое название, которое позже позволит быстро сориентироваться в списке правил, при необходимости задайте описание и выберите кнопку «Готово».

1. 1. На этом создание правила, которое позволит избежать проблем с использованием нового порта, завершено. Теперь потребуется настроить его свойства, а точнее выбрать службу, к которой оно будет применяться. Кликните правой кнопкой мыши по созданному правилу в списке окна «Монитор брандмауэра Защитники Windows», в меню выберите пункт «Свойства».

1. 1. Переключитесь на вкладку «Программы и службы» и выберите кнопку «Параметры» в области «Службы».

1. 1. Теперь отметьте пункт «Применять к службе» вверху, а ниже выделите строку «Службы удаленного управления Windows» и нажмите на «ОК».

1. 1. В окне со свойствами правила также подтвердите новые настройки.

Перезагрузите компьютер, чтобы изменения вступили в силу, и новое правило заработало для RDP-порта.

Способ 2: Консоль

Открыть RDP-порт можно и через «Командную строку», причем для этого достаточно выполнить всего одну команду. Запустите консоль от имени администратора и введите запрос netsh advfirewall firewall add rule name=»Open Port 50000″ dir=in action=allow protocol=TCP localport=50000.

В этом команде стоит уточнить несколько нюансов синтаксиса:

• add rule – команда предназначена для добавления правила в брандмауэре;
• name – это название правила, например, «Open port 50000»;
• dir (in или out) – указывает, для какого типа соединения будет применяться правило: входящего (in) или исходящего (out);
• action (allow, block или bypass) – с помощью команды можно указать действие, которое будет выполнять сетевой фильтр с пакетами, указанными в правиле, и она эквивалентна настройке из предыдущего способа из Шага 6 (в нашем случае нужно разрешить действие, и это allow).

После настройки перезагрузите компьютер. В последующем, если, например, используется встроенное средство «Подключение к удаленному рабочему столу», нужно ввести IP-адрес удаленного компьютера и новый порт через двоеточие. Это будет выглядеть примерно так: 192.168.213.135:50000.