Для изменения порта, используемого по умолчанию для всех создаваемых сервером терминалов новых подключений, выполните следующие действия.
  1. Запустите программу Regedt32 и откройте следующий раздел реестра:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
    Примечание. Приведенный путь к разделу реестра является одной строкой, которая была разбита на две для удобства восприятия.
  2. Найдите в подразделе «PortNumber» значение 00000D3D (3389 в шестнадцатеричном формате). Измените номер порта в шестнадцатеричном формате и сохраните новое значение.
  3. Чтобы изменить порт для определенного подключения на сервере терминалов, выполните следующие действия.
    Запустите программу Regedt32 и откройте следующий раздел реестра:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\подключение

ПРИМЕЧАНИЕ. Приведенный путь к разделу реестра является одной строкой, которая была разбита на две для удобства восприятия.
Найдите в подразделе «PortNumber» значение 00000D3D (3389 в шестнадцатеричном формате). Измените номер порта в шестнадцатеричном формате и сохраните новое значение.
Примечание. Так как в Terminal Server 4.0 использование альтернативных портов поддерживается не полностью, изменения будут вступать в силу только по возможности. В случае возникновения конфликтов необходимо установить прежнее значение 3389.

Чтобы изменить порт на стороне клиента, выполните следующие действия.

  1. Запустите мастер клиентских подключений.
  2. В меню File выберите пункт New Connection и создайте новое подключение. После этого новое подключение должно появиться в списке.
  3. Выделите новое подключение и выберите в меню File команду Export . Сохраните его как имя.cns.
  4. Отредактируйте файл.cns в «Блокноте», изменив «Server Port=3389″ на «Server Port= xxxx «, где xxxx – новый порт, указанный на сервере терминалов.
  5. Импортируйте файл в мастер клиентских подключений. Если текущий файл имеет такое же имя, последует запрос на его перезапись. Подтвердите перезапись файла. Теперь конфигурация порта клиента соответствует измененным значениям на сервере терминалов.

Примечание. ActiveX клиент сервера терминалов Windows 2000 всегда подключается только к TCP-порту 3389, и это нельзя изменить. В ActiveX клиенте сервера терминалов в Microsoft Windows XP и Microsoft Windows Server 2003 поддерживается возможность изменения настроек порта. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

326945 Как переназначить слушающий порт сервера терминалов в клиенте сервера терминалов Windows (Эта ссылка может указывать на содержимое полностью или частично на английском языке.)

Примечание. Для активации нового слушающего порта необходимо перезапустить сервер терминалов или в конфигурации служб терминалов заново создать RDP-прослушиватель.

Примечание. ActiveX клиент сервера терминалов Windows 2000 всегда подключается только к TCP-порту 3389, и это нельзя изменить. В ActiveX клиенте сервера терминалов в Microsoft Windows XP и Microsoft Windows Server 2003 поддерживается возможность изменения настроек порта. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:326945 Как переназначить слушающий порт сервера терминалов в клиенте сервера терминалов Windows (Эта ссылка может указывать на содержимое полностью или частично на английском языке.)
Примечание. Для активации нового слушающего порта необходимо перезапустить сервер терминалов или в конфигурации служб терминалов заново создать RDP-прослушиватель.

01. Firewall Ну, тут все понятно. Главное правило - «запретить все». В Windows 2008 R2 встроен довольно неплохой брандмауэр, можно начать с него. Оставьте открытыми порты 80 и 443 (и, возможно, 3389 для RDP) - и все.

02. Настройка GPO. Идем в «Start - Run - secpol.msc - Security Settings - Account Policies - Account Lockout Policy». И ставим, например, «5 попыток» и «5 минут» - это заблокирует пользователя на 5 минут после 5 неудачных авторизаций.

Идем в «Start - Run -gpupdate.msc - Конфигурация ПК - Конфигурация Windows - Параметры безопасности - Локальные политики - Параметры безопасности: Параметры локальной безопасности» галку на использовать только RC4_HMAC_MD5.

03. Установите менеджер паролей . Куча моих знакомых (реально - куча) пользуются схемой «один сложный пароль - для всего». Даже знакомые программеры, админы, дизайнеры… Неглупые, в общем, люди. Одумайтесь. Даже для сервисных учетных записей (типа пользователи БД и тд) используйте только сложные сгенеренные пароли. И держите их в пасс-менеджере. Лично я пользую «LastPass» - он бесплатный, классный и доступен в виде экстеншена для Chrome.

04. Сменить порт для RDP Порт терминального сервиса (тот самый «Удаленный рабочий стол») меняется в реестре вот тут: «HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber» (не забудьте открыть этот порт на файрволле и перезапустить RDP-сервис).

Выбираем правило на основе порта.

Указываем номер заданного нами порта (в примере TCP 50000).

Затем указываем действие для нашего правила - разрешить подключение (Allow the connection). Здесь же при необходимости для нашего подключения можно включить шифрование.

В зависимости от того, где находится сервер - в рабочей группе, в домене или в публичном доступе указываем сетевой профиль, для которого действует правило.

Обзываем созданное правило так, чтобы его легко было опознать и жмем кнопку «Finish».

Добрый день уважаемые читатели и гости блога, сегодня у нас с вами вот такая задача: изменить входящий порт службы RDP (терминального сервера) со стандартного 3389 на какой-то другой. Напоминаю, что RDP служба это функционал операционных систем Windows, благодаря которому вы можете по сети открыть сессию на нужный вам компьютер или сервер по протоколу RDP, и иметь возможность за ним работать, так как будто вы сидите за ним локально.

Что такое RDP протокол

Прежде чем, что то изменять, хорошо бы понимать, что это и как это работает, я вам об этом не перестаю повторять. RDP или Remote Desktop Protocol это протокол удалённого рабочего стола в операционных системах Microsoft Windows, хотя его происхождение идет от компании PictureTel (Polycom). Microsoft просто его купила. Используется для удаленной работы сотрудника или пользователя с удаленным сервером. Чаще всего такие сервера несут роль сервер терминалов , на котором выделены специальные лицензии, либо на пользователе, либо на устройства, CAL. Тут задумка была такой, есть очень мощный сервер, то почему бы не использовать его ресурсы совместно, например под приложение 1С. Особенно это становится актуальным с появлением тонких клиентов.

Сам сервер терминалов мир увидел, аж в 1998 году в операционной системе Windows NT 4.0 Terminal Server, я если честно тогда и не знал, что такое есть, да и в России мы в то время все играли в денди или сегу. Клиенты RDP соединения, на текущий момент есть во всех версиях Windows, Linux, MacOS, Android. Самая современная версия RDP протокола на текущий момент 8.1.

Порт rdp по умолчанию

Сразу напишу порт rdp по умолчанию 3389, я думаю все системные администраторы его знают.

Принцип работы протокола rdp

И так мы с вами поняли для чего придумали Remote Desktop Protocol, теперь логично, что нужно понять принципы его работы. Компания Майкрософт выделяет два режима протокола RDP:

  • Remote administration mode > для администрирования, вы попадаете на удаленный сервер и настраиваете и администрируете его
  • Terminal Server mode > для доступа к серверу приложений, Remote App или совместное использование его для работы.

Вообще если вы без сервера терминалов устанавливаете Windows Server 2008 R2 - 2016, то там по умолчанию у него будет две лицензии, и к нему одновременно смогут подключиться два пользователя, третьему придется для работы кого то выкидывать. В клиентских версиях Windows, лицензий всего одна, но и это можно обойти, я об этом рассказывал в статье сервер терминалов на windows 7 . Так же Remote administration mode, можно кластеризировать и сбалансировать нагрузку, благодаря технологии NLB и сервера сервера подключений Session Directory Service. Он используется для индексации пользовательских сессий, благодаря именно этому серверу у пользователя получиться войти на удаленный рабочий стол терминальных серверов в распределенной среде. Так же обязательными компонентами идут сервер лицензирования .

RDP протокол работает по TCP соединению и является прикладным протоколом. Когда клиент устанавливает соединение с сервером, на транспортном уровне создается RDP сессия, где идет согласование методов шифрования и передачи данных. Когда все согласования определены и инициализация окончена, сервер терминалов, передает клиенту графический вывод и ожидает входные данные от клавиатуры и мыши.

Remote Desktop Protocol поддерживает несколько виртуальных каналов в рамках одного соединения, благодаря этому можно использовать дополнительный функционал

  • Передать на сервер свой принтер или COM порт
  • Перенаправить на сервер свои локальные диски
  • Буфер обмена
  • Аудио и видео

Этапы RDP соединения

  • Установка соединения
  • Согласование параметров шифрования
  • Аутентификация серверов
  • Согласование параметров RDP сессии
  • Аутентификация клиента
  • Данные RDP сессии
  • Разрыв RDP сессии

Безопасность в RDP протоколе

Remote Desktop Protocol имеет два метода аутентификации Standard RDP Security и Enhanced RDP Security, ниже рассмотрим оба более подробно.

Standard RDP Security

RDP протокол при данном методе аутентификации, шифрует подключение средствами самого RDP протокола, которые есть в нем, вот таким методом:

  • Когда ваша операционная система запускается, то идет генерация пары RSA ключиков
  • Идет создание сертификата открытого ключа Proprietary Certificate
  • После чего Proprietary Certificate подписывается RSA ключом созданным ранее
  • Теперь RDP клиент подключившись к терминальному серверу получит Proprietary Certificate
  • Клиент его смотрит и сверяет, далее получает открытый ключ сервера, который используется на этапе согласования параметров шифрования.

Если рассмотреть алгоритм с помощью которого все шифруется, то это потоковый шифр RC4. Ключи разной длины от 40 до 168 бит, все зависит от редакции операционной системы Windows, например в Windows 2008 Server – 168 бит. Как только сервер и клиент определились с длиной ключа, генерируются два новых различных ключа, для шифрования данных.

Если вы спросите про целостность данных, то тут она достигается за счет алгоритма MAC (Message Authentication Code) базируемого на SHA1 и MD5

Enhanced RDP Security

RDP протокол при данном методе аутентификации использует два внешних модуля безопасности:

  • CredSSP
  • TLS 1.0

TLS поддерживается с 6 версии RDP. Когда вы используете TLS, то сертификат шифрования можно создать средствами терминального сервера, самоподписный сертификат или выбрать из хранилища.

Когда вы задействуете CredSSP протокол, то это симбиоз технологий Kerberos, NTLM и TLS. При данном протоколе сама проверка, при которой проверяется разрешение на вход на терминальный сервер осуществляется заранее, а не после полноценного RDP подключения, и тем самым вы экономите ресурсы терминального сервера, плюс тут более надежное шифрование и можно делать однократный вход в систему (Single Sign On), благодаря NTLM и Kerberos. CredSSP идет только в ОС не ниже Vista и Windows Server 2008. Вот эта галка в свойствах системы

разрешить подключения только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети.

Изменить порт rdp

Для того, чтобы изменить порт rdp, вам потребуется:

  1. Открываем редактор реестра (Пуск -> Выполнить -> regedit.exe)
  2. Переходим к следующему разделу:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Находим ключ PortNumber и меняем его значение на номер порта, который Вам нужен.

Выберите обязательно десятичное значение, я для примера поставлю порт 12345.

Как только вы это сделали, то перезапустите службу удаленных рабочих столов, через командную строку, вот такими командами:

И создаем новое входящее правило для нового rdp порта. Напоминаю, что порт rdp по умолчанию 3389.

Выбираем, что правило будет для порта

Протокол оставляем TCP и указываем новый номер RDP порта.

Правило у нас будет разрешающее RDP соединение по не стандартному порту

При необходимости задаем нужные сетевые профили.

Ну и назовем правило, понятным для себя языком.

Для подключения с клиентских компьютеров Windows адрес пишите с указанием порта. Например, если порт Вы изменили на 12345, а адрес сервера (или просто компьютера, к которому подключаетесь): myserver, то подключение по MSTSC будет выглядеть так:
mstsc -v:myserver:12345

Remote Desktop Protocol (RDP) - это протокол прикладного уровня, используемый в операционной системе Windows для осуществления удаленного подключения к компьютерам, серверам и рабочим станциям, работающих на этой ОС. Вне зависимости от модификаций Windows, для стандартного удаленного доступа применяется протокол ТСР 3389.Менять его требуется в таких случаях, когда это угрожает осуществлению сеансов связи и обусловлено политикой безопасности локального компьютера. В статье ниже мы детально разберем процесс смены установленного по умолчанию порта RDP для ОС Windows Server 2012.

Внесение изменений производится в ручном режиме. Для успешного внесения изменений и выбор другого порта для протокола удаленного подключения, нужно войти в режим редактирования ОС. В Windows существует специальный стандартный редактор реестра. Он запускается вводом команды regedit в поле PowerShell. После включения программы необходимо найти пункт RDP-Tcp.

В папке RDP-Tcp лежит необходимый нам элемент с именем PortNumber. Чтобы изменить параметр DWORD, для этого необходимо задать следующие данные:

  • В строку «Параметр» ввести необходимый номер порта;
  • В строку «Значение» - 60000;
  • Выбрать десятичную систему исчисления.

Выбирая новый порт для подключения, важно знать три основные категории номеров:

  • От 0 до 10213 - номера портов, назначающихся и контролируемых IANA (администрация адресного пространства Интернет). Используются в различных приложениях операционной системы;
  • От 1024 до 49151 - номера портов, также назначающихся и контролируемых администрацией. Используются при выполнении задач частного характера;
  • От 49152 до 65535 - номера приватных, использующихся в решении рабочих задач любыми приложениями и процессорами, портов.

Для сохранения внесенных изменений нужно перезагрузить компьютер.

Встроенный брандмауэр операционной системы может начать блокировать новый порт после того, как будут внесены все необходимые изменения. Чтобы при выборе нового порта брандмауэр не начал блокировать попытки внешнего подключения, нужно выполнить ряд несложных действий. В настройках межсетевого экрана нужно войти в режим повышенной безопасности ОС. Делается это путем открытия вкладки "Средства", расположенной в диспетчере сервисов. Внутри необходимо выбрать пункт "Правила для входящий подключений", щелкнуть по нему правой кнопкой мыши и выбрать действие создания нового правила.

Откроется новое окно, где необходимо будет установить тип правила брандмауэра для нового порта и ввести данные, которые были указаны ранее в процессе изменения параметра.

После осуществления этих процедур, следующее, что необходимо сделать - это указать профиль, на который будет действовать правило.

Следующий шаг - разрешение подключения для созданного нового порта.

Выбираются нужные сферы, в зависимости от того, где сервер будет работать.

Затем требуется задать название для данного правила, выбрав уникальные данные.

Последний шаг - перезагрузка системы. При правильном внесении изменений проблем в работе наблюдаться не должно. Далее вы будете подключаться к удаленному серверу через новый заданный порт по протоколу RDP. Для корректного входа необходимо указывать имя порта через двоеточие после указания IP-адреса сервера.

Достаточно часто у многих пользователей, которые используют сеансы удаленного доступа, возникает вопрос, как изменить порт RDP. Сейчас посмотрим на простейшие решения, а также укажем несколько основных этапов в процессе настройки.

Для чего нужен протокол RDP?

Для начала несколько слов о том, RDP. Если посмотреть на расшифровку аббревиатуры, можно понять, что удаленного доступа

Говоря простым языком, это средство терминальному серверу или рабочей станции. Настройки Windows (причем любой из версий системы) используют параметры по умолчанию, которые подходят большинству пользователей. Тем нем менее иногда возникает необходимость их изменения.

Стандартный порт RDP: нужно ли его менять?

Итак, вне зависимости от модификации Windows все протоколы имеют предустановленное значение. Это порт RDP 3389, который и используется для осуществления сеанса связи (подключения одного терминала к удаленным).

С чем же связана ситуация, когда стандартное значение нужно поменять? Прежде всего только с обеспечением безопасности локального компьютера. Ведь если разобраться, при установленном стандартном порте, в принципе, любой злоумышленник может запросто проникнуть в систему. Так что сейчас посмотрим, как изменить порт RDP, установленный по умолчанию.

Изменение настроек в системном реестре

Сразу отметим, что процедура изменения производится исключительно в ручном режиме, причем в самом клиенте удаленного доступа какой-либо сброс или установка новых параметров не предусмотрены.

Для начала вызываем стандартный редактор реестра командой regedit в меню «Выполнить» (Win + R). Здесь нас интересует ветка HKLM, в которой по дереву разделов нужно спуститься через директорию терминального сервера до каталога RDP-Tcp. В окне справа находим ключ PortNumber. Его-то значение нам и нужно поменять.

Заходим в редактирование и видим там 00000D3D. Многие сразу недоумевают по поводу того, что это такое. А это просто шестнадцатеричное представление десятичного числа 3389. Чтобы указать порт именно в десятичном виде, используем соответствующую строку отображения представления значения, а затем указываем нужный нам параметр.

После этого перегружаем систему, а при попытке подключения указываем новый порт RDP. Еще одним способом подключения является использование специальной команды mstsc /v:ip_address:XXXXX, где XXXXX - новый номер порта. Но и это еще не все.

Правила для файрволла Windows

Увы, но встроенный брандмауэр Windows может блокировать новый порт. Значит, необходимо внести изменения в настройки самого фаервола.

Вызываем настройки фаервола с расширенными параметрами безопасности. Тут следует сначала выбрать входящие подключения и кликнуть на строке создания нового правила. Теперь выбираем пункт создания правила для порта, затем вводим его значение для TCP, далее разрешаем подключение, раздел профилей оставляем без изменений и наконец присваиваем новому правилу название, после чего жмем кнопку завершения настройки. Остается перегрузить сервер и при подключении указать новый порт RDP через двоеточие в соответствующей строке. По идее, проблем наблюдаться не должно.

Проброс порта RDP на роутере

В некоторых случаях, когда используется беспроводное соединение, а не кабельное, может потребоваться сделать проброс порта на маршрутизаторе (роутере). Ничего сложного в этом нет.

Сначала в свойствах системы разрешаем и указываем пользователей, имеющих на это право. Затем заходим в меню настроек роутера через браузер (192.168.1.1 или в конце 0.1 - все зависит от модели роутера). В поле (если основной адрес у нас 1.1) желательно указать адрес, начиная с третьего (1.3), а правило выдачи адреса прописать для второго (1.2).

Затем в сетевых подключениях используем просмотр деталей, где следует просмотреть детали, скопировать оттуда физический MAC-адрес и вставить его в параметры роутера.

Теперь в разделе настроек NAT на модеме включаем подключение к серверу, добавляем правило и указываем порт XXXXX, который нужно пробросить на стандартный порт RDP 3389. Сохраняем изменения и перегружаем роутер (без перезагрузки новый порт воспринят не будет). Проверить подключение можно на каком-нибудь специализированном сайте вроде ping.eu в разделе тестирования портов. Как видим, все просто.

Напоследок обратите внимание, что значения портов распределяются следующим образом:

  • 0 - 1023 - порты для низкоуровневых системных программ;
  • 1024 - 49151 - порты, выделяемые для частных целей;
  • 49152 - 65535 - динамические приватные порты.

Вообще, многие юзеры во избежание проблем обычно выбирают порты RDP из третьего диапазона списка. Впрочем, и специалисты, и эксперты рекомендуют использовать в настройке именно эти значения, поскольку они подходят для большинства поставленных задач.

Что же касается именно такая процедура используется в основном только в случаях Wi-Fi-соединения. Как уже можно было заметить, при обычном проводном подключении она не требуется: достаточно изменить значения ключей реестра и добавить правила для порта в файрволле.