Vzdialené pripojenie počítača so systémom Windows k hostiteľskému počítaču používa vlastný sieťový komunikačný protokol spoločnosti Microsoft známy ako protokol RDP (Remote Desktop Protocol).
TCP 3389 je predvolený port priradený pre RDP na vašom PC. Ale mali by ste to zmeniť. Tu je dôvod, prečo by ste mali vykonať zmenu, ako to urobiť a ako nakonfigurovať pravidlá brány firewall systému Windows pre vlastný port RDP.
Prečo by ste mali zmeniť port RDP
TCP 3389, predvolený port RDP pre všetky vzdialené pripojenia, je na radare hackerov. Oni používajú útoky hrubou silou a ďalšie metódy na uhádnutie prihlasovacích údajov na získanie prístupu k TCP 3389. Keď sa dostanú dovnútra, môžu kradnúť alebo šifrovať citlivé údaje, inštalovať malvér a robiť čokoľvek, čo sa im páči na vzdialených počítačoch.
Keď zmeníte predvolené číslo portu RDP z 3389 na akýkoľvek iný voľný port, pre hackerov bude ťažké uhádnuť, ktorý port RDP používate. A zmena portu RDP je užitočná najmä vtedy, keď ste vypli autentifikáciu na úrovni siete (NLA).
Niekedy je niekoľko brán firewall nakonfigurovaných tak, aby predvolene blokovali prichádzajúcu a odchádzajúcu komunikáciu do a z portu 3389, aby sa zabránilo hackerom v prístupe k portu 3389. Zmena predvoleného portu RDP môže byť jedným zo spôsobov, ako tieto brány firewall obísť.
Ako skontrolovať predvolené číslo portu RDP vášho počítača
Stlačte tlačidlo Windows + Xa otvorte Terminál (správca). Prilepte nasledujúci príkaz do prostredia Windows PowerShell a stlačte Zadajte.
Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber"
Našli ste predvolený port RDP vášho počítača.
Ako zmeniť port RDP
Predvolený port RDP TCP vášho počítača môžete zmeniť na nový vykonaním niekoľkých vylepšení v Editore databázy Registry. Postup je jednoduchý.
Ale dôrazne vám odporúčame najskôr zálohovať register systému Windows aby ste ho mohli rýchlo obnoviť, ak sa niečo pokazí. Tu je návod, ako na to.
Stlačte tlačidlo Windows + R na otvorenie Bežaťa do vyhľadávacieho poľa napíšte „regedit“. Stlačte tlačidlo OK otvorte Editor databázy Registry.
Kliknite pravým tlačidlom myši na Počítač a vyberte Export z kontextového menu.
Exportovať súbor registra vás požiada o výber umiestnenia a názvu súboru pre exportované registračné súbory. Vyberte umiestnenie a exportujte register s názvom, ktorý si ľahko zapamätáte.
Po dokončení zálohovania databázy Registry systému Windows zmeňte port RDP podľa nižšie uvedených krokov. Pre tento príklad sme zvolili port 51289, aby sme z neho urobili RDP načúvací port pre službu vzdialenej pracovnej plochy.
Otvorte Editor databázy Registry systému Windows a do vyhľadávacieho panela vložte nasledujúci príkaz. Stlačte tlačidlo Zadajte prejdite na nastavenia RDP-TCP.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Posúvajte sa nadol v pravom bočnom paneli, kým nedosiahnete Číslo portu. Ak chcete upraviť, dvakrát naň kliknite. Vyberte Desatinné v okne úprav a zadajte požadované číslo portu (51289) do poľa Hodnotové údaje lúka. Kliknite OK pokračovať.
Zatvorte Editor databázy Registry systému Windows a reštartujte počítač. Úspešne ste zmenili predvolený port RDP vášho počítača na 51289.
Predvolený port RDP môžete zmeniť aj pomocou príkazu Windows PowerShell.
Spustite systém Windows Terminál (správca)a do príkazového okna prilepte nasledujúci príkaz PowerShell. Potom stlačte Zadajte.
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Názov Číslo portu -Hodnota 51289
Predvolený port RDP na vašom počítači so systémom Windows sa zmenil na neštandardný port RDP: 51289. Váš počítač bude teraz používať port 51289 na pripojenie k vzdialenej ploche.
Ako vybrať správne číslo pre vlastný port RDP
Existuje 65 535 čísel portov. Bežné aplikácie TCP/IP používajú čísla portov od 0 do 1023, ktoré sa nazývajú dobre známe porty. Napríklad číslo portu 443 sa používa na autentifikáciu založenú na certifikáte (HTTPS).
Preto sa odporúča nemeniť port RDP v systéme Windows na žiadne číslo od 0 do 1023.
Porty od 49152 do 65535 sú známe ako dynamické porty a klienti ich bežne používajú na vytvorenie pripojenia k serveru. Výsledkom je, že mnohí ľudia uprednostňujú výber čísla portu od 49152 do 65535, aby sa vyhli konfliktu s akýmikoľvek známymi alebo vlastnými službami.
Nakonfigurujte bránu Windows Firewall pre vlastný port RDP
Teraz, keď ste zmenili predvolené číslo portu RDP na vašom počítači, musíte vytvoriť pravidlá brány firewall systému Windows pre vlastné číslo portu RDP.
Ak tak neurobíte, váš obranca brány firewall systému Windows vám môže brániť v používaní služieb vzdialenej pracovnej plochy pomocou vlastného portu RDP.
Spustite Windows Terminal (Admin) a do príkazového riadka zadajte nasledovné. Potom stlačte Zadajte.
Nové-NetFirewallRule -Zobrazovaný názov 'RDPPORT_TCP' -Profil 'Verejný' -Prichádzajúci smer -Povolenie akcie -Protokol TCP -LocalPort 51289
Teraz vložte nasledujúci príkaz a stlačte Zadajte.
Nové-NetFirewallRule -Zobrazovaný názov 'RDPPORT_UDP' -Profil 'Verejný' -Prichádzajúci smer -Povolenie akcie -Protokol UDP -LocalPort 51289
Reštartujte počítač a zapnite funkciu vzdialenej pracovnej plochy na počítači. Na počúvanie použije vlastný port RDP.
Ako zvýšiť bezpečnosť RDP
Hackeri sa neustále snažia zneužiť zraniteľné miesta RDP. Zmena predvoleného portu RDP je len jedným zo spôsobov, ako posilniť bezpečnosť portu RDP.
Tu je niekoľko najlepších bezpečnostných tipov RDP, ako zabrániť a útok protokolu vzdialenej pracovnej plochy.
- Každý účet s prístupom k vzdialenej ploche musí používať silné heslá a viacfaktorové overenie.
- Spoločnosť Microsoft ponúka opravy známych zraniteľností, takže by ste mali zabezpečiť, aby bol váš operačný systém vždy aktuálny.
- Použite bránu RDP na pridanie vrstvy zabezpečenia do relácií vzdialenej pracovnej plochy.
- Ponechajte autentifikáciu na úrovni siete (NLA) povolenú.
- Obmedzte používateľov, ktorí sa môžu prihlásiť pomocou funkcie vzdialenej pracovnej plochy.
Tiež by ste mali implementovať zásada najmenšieho privilégia ktorý poskytuje vzdialeným používateľom minimálnu úroveň prístupu k údajom a zdrojom. V dôsledku toho môžete obmedziť škody, ktoré môžu počítačoví zločinci spôsobiť v prípade ich neoprávneného prístupu do podnikovej siete.
Zmeňte port RDP na možnosť Stay Protected
S čoraz väčším počtom spoločností, ktoré si osvojujú model práce na diaľku, sa počet vzdialených pripojení exponenciálne zvýšil. V dôsledku toho sa hackeri zameriavajú na predvolený port protokolu vzdialenej pracovnej plochy na prístup k podnikovým sieťam.
Zmena portu RDP je vynikajúcou stratégiou na ukrytie vášho portu RDP pred hackermi, pretože hackeri sa bežne zameriavajú na predvolený port vzdialenej pracovnej plochy. Okrem toho by ste mali zvýšiť zabezpečenie svojho portu RDP, aby bol váš port RPD pre hackerov nedostupný.
