Порт TCP 3389 в составе Remote Desktop Protocol используется для удаленного управления и контролирования за процессами на одном или нескольких компьютерах через сеть. С его помощи на расстоянии создается доступ к рабочей среде администратора или пользователя. При активном сеансе ускоряется обмен пакета данных между сервером и клиентом.
По умолчанию или в стандартном режиме порт 3389 работает на RDP (на базе протокола удаленного рабочего стола). Однако есть возможность настраивать его на другой номер порта на клиенте и узлах.
Зачем
При включении RDP доступа в операционной системе, служба Terminal Services (RDS) начнет принимать команды на шлюзе 3389. Более поздние версии ОС Windows дополнительно поддерживают протокол UDP (дейтаграммы) с аналогичным функционалом (подключение удаленного рабочего стола) и номером порта. Интернет подключение через VPN замедляет работу протокола, что часто приводит к зависанию сессий RDP. Смена порта позволяет оптимизировать передачу данных при активном сеансе: клиент-сервер, клиент-клиент.
Преимущества замены стандартного шлюза:
- автоматические сканеры поиска систем с незащищенным дефольтным портом не обнаруживают RDP/RDS хосты;
- сокращаются атаки SYN и другие (блокировка неизвестных IP-адресов);
- прекращаются сеансы, направленные подбирать пароли удаленно;
- ликвидируются RDP уязвимости и пр.
При изменении стандартных настроек, что позволяет использовать другой номер порта, рекомендуется придерживаться диапазона чисел 1-1023, а в RPS от 49152 до 65535. Также разрешается пользовательский диапазон в пределах 1024-49151. Главное, нужно выбрать свободный порт, неиспользуемый или не слушаемый другими процессами.
Как поменять номер порта удаленного рабочего стола
Изменять стандартный номер TCP 3389 получится при выполнении следующих действий:
- в редакторе системного реестра (regedit.exe) выбирается раздел HKEY_LOCAL_MACHINE;
- открываются подразделы: System → Current Control Set → Control → Terminal Server → Win Stations → RDP-Tcp;
- в последней папке необходимо найти надпись «PortNumber» и дважды щелкнут правой кнопкой мыши;
- в блоке редактирования параметров осуществляется переход на десятичное значение;
- затем вводят новый номер (например, 1350) и нажимается клавиша OK.
При использовании Power Shell:
От пользователя требуется создать новых правил в Firewall для разрешения входящих подключений на заданный номер. При перенастройке удаленного сервера на RDP, разрешающий доступ нужно создать до запуска Terminal Services, иначе хост становится недоступным.
Для создания правил вручную используют консоль wf.msc (AdvancedSecurity). Также можно задать команду в Power Shell:
При активности WinRM:
В завершающем этапе, после перезагрузки OS Windows, запускается клиент mstsc.exe и задается параметр:
IP-адрес:
При применении менеджера RDC Man в настройках (Connection Settings) указывают измененный номер RDP порта. При успешном выполнении команд меняется номер протоколов TCP и UDP одновременно (проверять можно утилитой TCP View). Инструменты Test –NetConnection показывают дезактивацию старого порта. Если потребуется сменить порт на нескольких компьютерах, то создается групповая политика на базе GPO. Таким образом, обновленный параметр реестра распространяется на все устройства домена.
Загрузка...