Rdp come abilitare le porte. Qual è la porta di connessione RDP standard e come cambiarla?

Modificare la porta di ascolto per RDP nel registro del sistema operativo Microsoft Windows 10

• Esegui l'editor del registro come amministratore
  • nella finestra Eseguire inserisci regedit
• vai alla chiave di registro HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ TerminalServer \ WinStation \ RDP-Tcp

Fig. 1 Modifica della porta per RDP nell'editor del registro

• Seleziona parametro Numero di porta
• Passa al formato decimale (porta 3389 specificata inizialmente), imposta la porta, ad esempio, 50000

Fig. 2 Modifica della porta per RDP nell'editor del registro

Quando si specifica una porta, è necessario prestare attenzione al fatto che esistono diverse categorie di porte che differiscono l'una dall'altra per numero e utilizzo:

• 0 - 1023 - porte conosciute di sistema (utilizzate principalmente dal sistema operativo)
• 1024 - 49151 - porti registrati e usati
• 49152 - 65535 sono porte dinamiche (private) che possono essere utilizzate da qualsiasi applicazione per risolvere vari problemi.
• Chiudi l'editor del registro.

Le modifiche avranno effetto dopo il riavvio.

Apertura di una porta di ascolto per RDP in Windows Firewall

Il primo modo (attraverso l'interfaccia grafica)

• Aprire Windows Defender Firewall... Per aprire la finestra del firewall, puoi utilizzare una delle seguenti opzioni:
  • Apri Impostazioni> Aggiornamento e sicurezza> Windows Defender> Apri Windows Defender Security Center> Firewall e sicurezza di rete
  • Apri Pannello di controllo (categoria Icone piccole)> Windows Defender Firewall
  • Apri> Centro connessioni di rete e condivisione> Windows Firewall
  • Nella finestra Esegui, inserisci il comando firewall.cpl
  • Nella casella di ricerca, inserisci: Windows Firewall
• Selezionare Opzioni extra

Figura 3 in esecuzione di opzioni avanzate in Windows Defender Firewall

Figura 4 in esecuzione di opzioni avanzate in Windows Defender Firewall

• Nella sezione regole, seleziona Regole d'ingresso
• Sul menu Azioni Selezionare Crea regola

Figura 5 Windows Defender Firewall Monitor con sicurezza avanzata

• Nella procedura guidata aperta per la creazione di una regola per una nuova connessione in entrata, impostare il pulsante di opzione Per il porto

Fig. 6 Creazione di una regola per le connessioni in entrata

• Nella finestra di dialogo successiva, lascia il pulsante di opzione predefinito protocollo TCP e nel campo Porte locali specifiche specificare la porta che verrà utilizzata, in questo esempio 50000

Fig. 7 Creazione di una regola per le connessioni in entrata

• Al passaggio successivo della procedura guidata, è necessario selezionare il tipo di azione che descrive la regola. In questo caso, è necessario consentire la connessione utilizzando la porta specificata. Lascia il pulsante di opzione predefinito Consenti connessione e premere il pulsante Ulteriore.

Fig. 8 Creazione di una regola per le connessioni in entrata

• Nella fase successiva della procedura guidata, è necessario specificare l'ambito della regola, a seconda del profilo di rete utilizzato e fare clic sul pulsante Ulteriore.

Fig. 9 Creazione di una regola per le connessioni in entrata

• Creare un nome per la regola (si consiglia di creare nomi significativi per le regole in modo che possano essere facilmente identificate in seguito). Ad esempio, specifica il nome - Regola del porto 50.000, descrizione - Apertura della porta di ascolto 50000 per RDP e premere il pulsante Pronto.

Fig. 10 Creazione di una regola per le connessioni in entrata

• Apri le proprietà della regola creata

Fig. 11 Modifica di una regola

• Nella finestra Proprietà vai alla scheda Programmi e servizi
• Seleziona una sezione Servizi e premere il pulsante Parametri

Fig. 12 Modifica di una regola

• Imposta pulsante di opzione Applicare al servizio, Selezionare Servizi desktop remoto e premere ok.

Fig. 13 Modifica di una regola

1. premi il bottone ok nella finestra delle proprietà e chiudere le impostazioni del firewall.

Metodo due (usando la riga di comando)

• Esegui il prompt dei comandi come amministratore

Per configurare Windows Firewall utilizzando la riga di comando, è necessario utilizzare il comando Netsh... Utilità Netshè un potente strumento per gli amministratori di Windows.

Comandi di utilità Netsh per Windows Firewall con sicurezza avanzata fornisce alternative della riga di comando per la gestione del firewall. Uso dei comandi Netshè possibile configurare e visualizzare regole, eccezioni e configurazione del firewall.

Visualizza le informazioni di aiuto sui comandi netsh può essere inserito digitando netsh /?

• Inserisci il seguente comando

netsh advfirewall firewall add rule name = "Open Port 50000" dir = in azione = consenti protocollo = TCP localport = 50000

aggiungi regola- aggiungi una regola. Il parametro Aggiungi viene utilizzato per creare regole per le connessioni in entrata e in uscita.

nome = Nome della regola... Utilizzando questo parametro, è possibile specificare il nome della nuova regola per una connessione in entrata o in uscita.

dir (in | out)... Utilizzando questo parametro, puoi specificare se la regola verrà creata per il traffico in entrata o in uscita. Questo parametro può assumere due valori:

• in- la regola viene creata solo per il traffico in entrata. Nello snap si trova nel nodo Regole d'ingresso.
• fuori- la regola viene creata solo per il traffico in uscita. in un attimo Monitoraggio del firewall di Windows Defender con sicurezza avanzata può essere trovato in node Regole in uscita.

azione = (consenti | blocca | bypassa)... Questo parametro consente di specificare l'azione che il filtro di rete eseguirà sui pacchetti specificati nella regola corrente. Questo parametro è equivalente a page Azioni Snap-in Creazione guidata nuova regola di connessione in entrata (in uscita) Monitoraggio del firewall di Windows Defender con sicurezza avanzata... Ci sono tre parametri per questo parametro:

• permettere- Consente i pacchetti di rete che soddisfano tutte le condizioni nella regola del firewall.
• circonvallazione- Consente le connessioni autenticate con IPSec.
• bloccare- Nega qualsiasi pacchetto di rete che corrisponda alle condizioni della regola del firewall.

Fig. 14 Creazione di una regola sulla riga di comando

• Riavviare il sistema operativo per rendere effettive le modifiche.

Connessione a un computer remoto specificando una nuova porta

• Esegui strumento
• Nella finestra aperta Connessione remota al desktop inserire l'indirizzo IP del computer remoto e la porta separati da due punti, ad esempio 192.168.213.135:50000

Fig. 15 Connessione desktop remoto

Trovato un errore di battitura? Premi Ctrl + Invio

Ciao cari lettori e ospiti del blog, oggi abbiamo il seguente compito: cambiare la porta in entrata del servizio RDP (terminal server) dallo standard 3389 a un'altra. Ti ricordo che il servizio RDP è una funzionalità dei sistemi operativi Windows, grazie alla quale puoi aprire una sessione in rete al computer o al server di cui hai bisogno utilizzando il protocollo RDP e poterci lavorare, come se erano seduti lì a livello locale.

Cos'è il protocollo RDP?

Prima di cambiare qualcosa, sarebbe bene capire cos'è e come funziona, non smetto mai di ripetertelo. PSR o Remote Desktop Protocol è un protocollo desktop remoto nei sistemi operativi Microsoft Windows, sebbene le sue origini provengano da PictureTel (Polycom). Microsoft l'ha appena comprato. Utilizzato per il lavoro remoto di un dipendente o utente con un server remoto. Molto spesso, tali server svolgono il ruolo di un server terminal, su cui sono allocate licenze speciali, sia per l'utente che per i dispositivi, CAL. Qui l'idea era questa, c'è un server molto potente, perché non usare le sue risorse insieme, ad esempio, per un'applicazione 1C. Ciò è particolarmente vero con l'avvento dei thin client.

Il mondo ha visto il terminal server stesso, già nel 1998 nel sistema operativo Windows NT 4.0 Terminal Server, a dire il vero allora non sapevo cosa fosse, e in Russia a quel tempo giocavamo tutti dandy o sega. I client delle connessioni RDP sono attualmente disponibili in tutte le versioni di Windows, Linux, MacOS, Android. La versione più moderna del protocollo RDP al momento è la 8.1.

Porta rdp predefinita

Scriverò immediatamente la porta rdp predefinita 3389, penso che tutti gli amministratori di sistema lo sappiano.

Come funziona il protocollo rdp

E così tu ed io abbiamo capito perché abbiamo inventato il protocollo Desktop remoto, ora è logico che tu debba capire i principi del suo funzionamento. Microsoft distingue due modalità del protocollo RDP:

• Modalità di amministrazione remota> per l'amministrazione, vai al server remoto e configuralo e amministralo
• Modalità Terminal Server> per accedere a Application Server, Remote App o condividerlo per lavoro.

In generale, se installi Windows Server 2008 R2 - 2016 senza un server terminal, per impostazione predefinita avrà due licenze e due utenti potranno connettersi contemporaneamente, il terzo dovrà cacciare qualcuno per opera. Nelle versioni client di Windows esiste una sola licenza, ma anche questa può essere aggirata, ne ho parlato nell'articolo Terminal Server su Windows 7. Anche la modalità di amministrazione remota, è possibile raggruppare e bilanciare il carico, grazie alla tecnologia NLB e al server di connessione al server Session Directory Service. Viene utilizzato per indicizzare le sessioni utente, grazie a questo server, l'utente sarà in grado di accedere al desktop remoto dei server terminal in un ambiente distribuito. Anche il server delle licenze è componenti necessari.

Il protocollo RDP viene eseguito su una connessione TCP ed è un protocollo applicativo. Quando il client stabilisce una connessione con il server, viene creata una sessione RDP a livello di trasporto, in cui vengono negoziati i metodi di crittografia e trasferimento dati. Una volta determinate tutte le negoziazioni e completata l'inizializzazione, il server terminal invia l'output grafico al client e attende l'input dalla tastiera e dal mouse.

Remote Desktop Protocol supporta più canali virtuali all'interno di una connessione, grazie alla quale è possibile utilizzare funzionalità aggiuntive

• Invia la tua stampante o porta COM al server
• Reindirizza le tue unità locali al server
• Appunti
• Audio e video

Fasi di connessione RDP

• Stabilire una connessione
• Negoziazione dei parametri di crittografia
• Autenticazione del server
• Negoziazione dei parametri della sessione RDP
• Autenticazione del cliente
• Dati della sessione RDP
• Interrompere la sessione RDP

La sicurezza nel protocollo RDP

Remote Desktop Protocol ha due metodi di autenticazione Standard RDP Security e Enhanced RDP Security, di seguito esamineremo entrambi in modo più dettagliato.

Sicurezza RDP standard

Il protocollo RDP, con questo metodo di autenticazione, crittografa la connessione con i mezzi del protocollo RDP stesso, che sono in esso, in questo modo:

• All'avvio del sistema operativo, viene generata una coppia di chiavi RSA
• È in corso la generazione del certificato proprietario.
• Quindi il certificato proprietario viene firmato dalla chiave RSA creata in precedenza
• Ora il client RDP che si connette al server terminal riceverà un certificato proprietario
• Il client lo guarda e lo verifica, quindi riceve la chiave pubblica del server, che viene utilizzata nella fase di negoziazione dei parametri di crittografia.

Se consideriamo l'algoritmo con cui tutto è crittografato, allora questo è il cifrario a flusso RC4. Chiavi di diverse lunghezze da 40 a 168 bit, tutto dipende dall'edizione del sistema operativo Windows, ad esempio in Windows 2008 Server - 168 bit. Non appena il server e il client hanno deciso la lunghezza della chiave, vengono generate due nuove chiavi diverse per crittografare i dati.

Se chiedi informazioni sull'integrità dei dati, qui è ottenuto grazie all'algoritmo MAC (Message Authentication Code) basato su SHA1 e MD5

Sicurezza RDP migliorata

Il protocollo RDP per questo metodo di autenticazione utilizza due moduli di sicurezza esterni:

• CredSSP
• TLS 1.0

TLS è supportato dalla versione RDP 6. Quando si utilizza TLS, il certificato di crittografia può essere generato tramite un server terminal, un certificato autofirmato o selezionato da un repository.

Quando si utilizza il protocollo CredSSP, è una simbiosi delle tecnologie Kerberos, NTLM e TLS. Con questo protocollo, il controllo stesso, in cui viene verificata l'autorizzazione per accedere al server terminal, viene eseguito in anticipo e non dopo una connessione RDP completa, e quindi si risparmiano le risorse del server terminal, inoltre esiste una crittografia più affidabile e puoi fare un single sign-on al sistema (Single Sign On ) grazie a NTLM e Kerberos. CredSSP è disponibile solo nei sistemi operativi Vista e Windows Server 2008. Questa casella di controllo si trova nelle proprietà del sistema

Consenti connessioni solo da computer che eseguono Desktop remoto con autenticazione a livello di rete.

Cambia porta rdp

Per modificare la porta rdp, è necessario:

1. Apri l'editor del registro (Start -> Esegui -> regedit.exe)
2. Passando alla sezione successiva:

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStation \ RDP-Tcp

Trova la chiave PortNumber e modifica il suo valore con il numero di porta di cui hai bisogno.

Seleziona un valore decimale, metterò la porta 12345 come esempio.

Fatto ciò, riavvia il Servizio Desktop remoto, tramite la riga di comando, con i seguenti comandi:

E creiamo una nuova regola in entrata per la nuova porta rdp. Come promemoria, la porta rdp predefinita è 3389.

Scegliamo che la regola sarà per il porto

Lascia il protocollo come TCP e specifica il nuovo numero di porta RDP.

La regola che avremo consentirà le connessioni RDP su una porta non standard

Se necessario, impostare i profili di rete richiesti.

Bene, chiamiamo la regola un linguaggio che possiamo capire.

Per connettersi da computer client Windows, scrivere l'indirizzo con la porta. Ad esempio, se hai cambiato la porta in 12345 e l'indirizzo del server (o solo il computer a cui ti stai connettendo): myserver, la connessione MSTSC sarà simile a questa:
mstsc -v: mioserver: 12345

Inoltro della porta del router viene utilizzato per fornire l'accesso remoto a uno specifico computer (o dispositivo) situato nella rete locale del router dall'esterno. Ad esempio, ci sono diversi computer sulla rete locale e devi connetterti a uno di essi in remoto. Sulla rete esterna, hanno tutti lo stesso indirizzo IP. Al router viene assegnata una porta specifica per il computer richiesto. Per questo motivo, quando si elabora una richiesta da una rete esterna con una porta specifica, il router reindirizza l'utente al computer desiderato.

Port forwarding Vediamo un esempio di esecuzione. Tuttavia, questa istruzione è adatta anche per qualsiasi altra impostazione relativa al port forwarding, ad esempio per configurare l'accesso remoto a una videocamera, altri programmi per computer, ecc.

Inoltro alla porta per Windows Remote Desktop (rdp)

In questo manuale vedremo come realizzare port forwarding utilizzando il router ASUS RT-N10U come esempio... In altri modelli di router, le azioni saranno simili, solo l'interfaccia esterna e la posizione delle voci di menu potrebbero differire.

Prima di tutto, è necessario assegnare un indirizzo IP locale permanente al computer (o dispositivo) desiderato nelle impostazioni del router, a cui si accederà.

1. Per accedere al pannello di controllo del router, aprilo e inserisci il suo indirizzo IP nella barra degli indirizzi. Nel mio caso, è 192.168.0.1. Molto spesso, la maggior parte dei router utilizza l'indirizzo 192.168.0.1 o 192.168.1.1, sebbene nelle impostazioni sia possibile impostare qualsiasi indirizzo IP da una varietà di indirizzi locali.

2. Se hai inserito correttamente l'indirizzo del router, ti verrà chiesto di accedere (il più delle volte viene utilizzato il login predefinito: amministratore e password: amministratore, ma questo può essere modificato nelle impostazioni). Inserisci il tuo nome utente e password e fai clic su Entrata .

3. Selezionare la voce di impostazione La rete locale , tab Server DHCP... (In altri router, stiamo anche cercando una sezione relativa al DHCP).

4. In fondo alla pagina troviamo Elenco di indirizzi IP assegnati manualmente che bypassano DHCP e aggiungi l'ip desiderato al nostro computer (puoi correggere l'ip corrente del computer). Nel mio caso, nell'elenco a discesa dei dispositivi, seleziono COMP(nome del mio computer) e il campo ip viene compilato automaticamente con 192.164.0.84.

5. Fare clic su Applicare .

Passando al port forwarding... Consideriamo anche l'esempio del router ASUS RT-N10U. In altri router, le impostazioni saranno simili.

RDP sta per Remote Desktop Protocol. Dall'inglese, questa abbreviazione sta per protocollo Desktop remoto. È necessario per connettere un computer a un altro tramite Internet. Ad esempio, se l'utente è a casa e ha urgente bisogno di compilare documenti in ufficio, può farlo utilizzando questo protocollo.

Come funziona il PSR

Per impostazione predefinita, l'accesso all'altro computer avviene tramite la porta TCP 3389. Su ogni dispositivo personale, è preinstallato automaticamente... In questo caso esistono due tipi di connessione:

• per amministrazione;
• per lavorare con i programmi sul server.

I server in cui è installato Windows Server supportano due connessioni RDP remote contemporaneamente (se il ruolo RDP non è attivato). I computer non server hanno un solo input.

La connessione tra i computer avviene in più fasi:

• protocollo basato su TCP, richiede l'accesso;
• viene definita una sessione Remote Desktop Protocol. Durante questa sessione le istruzioni sono approvate trasmissione dati;
• quando la fase di determinazione è completata, il server si trasferirà su un altro dispositivo output grafico... Allo stesso tempo, riceve dati dal mouse e dalla tastiera. L'output grafico è un'immagine o comandi copiati esattamente per disegnare varie forme, tipi di linea, cerchi. Tali comandi sono i compiti chiave per questo tipo di protocollo. Risparmiano notevolmente il consumo di traffico;
• il computer client converte questi comandi in grafica e li visualizza sullo schermo.

Inoltre, questo protocollo dispone di canali virtuali che consentono di connettersi a una stampante, lavorare con gli appunti, utilizzare un sistema audio, ecc.

Sicurezza della connessione

Esistono due tipi di connessioni sicure tramite RDP:

• integrato sistema (Sicurezza PSR Standard);
• esterno sistema (Enchanced RDP Security).

Si differenziano per il fatto che il primo tipo utilizza la crittografia, garantendo che l'integrità venga creata utilizzando i mezzi standard presenti nel protocollo. E nel secondo tipo, il modulo TLS viene utilizzato per stabilire una connessione sicura. Diamo uno sguardo più da vicino al processo di lavoro.

Protezione integrata viene eseguito in questo modo: all'inizio avviene l'autenticazione, quindi:

• quando acceso, ci sarà generatoRSAi tasti;
• viene prodotta una chiave pubblica;
• firmato da RSA, che è cablato nel sistema. È disponibile su qualsiasi dispositivo con Remote Desktop Protocol installato;
• il dispositivo client riceve un certificato al momento della connessione;
• è selezionato e questa chiave è stata ricevuta.

Quindi avviene la crittografia:

• l'algoritmo RC4 è utilizzato di serie;
• per i server Windows 2003 viene utilizzata la protezione a 128 bit, dove 128 bit è la lunghezza della chiave;
• per server Windows 2008 - 168 bit.

L'integrità è controllata generando codici mac basati sull'algoritmo MD5 e SHA1.

Il sistema di sicurezza esterno funziona con TLS 1.0, moduli CredSSP. Quest'ultimo combina le funzionalità di TLS, Kerberos, NTLM.

Fine della connessione:

• computer controlla il permesso all'entrata;
• la cifratura è firmata utilizzando il protocollo TLS. Questa è la migliore opzione di difesa;
• l'ammissione è consentita una sola volta. Ogni sessione è crittografata separatamente.

Sostituzione del vecchio valore della porta con quello nuovo

Per registrare un valore diverso, è necessario effettuare le seguenti operazioni (rilevante per qualsiasi versione di Windows, incluso Windows Server 2008):

Ora, quando ti connetti a una tabella remota, devi specificare un nuovo valore dopo l'indirizzo IP separato da due punti, ad esempio 192.161.11.2:3381 .

Sostituzione con l'utilità PowerShell

PowerShell consente inoltre di apportare le modifiche necessarie:

• si consiglia il riavvio;
• dopo l'accensione del dispositivo, inserire il comando "regedit" nel menu "start". Vai alla rubrica: HKEY_ LOCALE_ MACCHINA, trova la cartella CurrentControlSet, quindi la cartella Control, vai a Terminal Server e apri WinStation. Fare clic sul file RDP-Tcp. Qui dovrebbe essere impostato un nuovo valore.
• Ora devi aprire la porta RDP sul firewall. Entra in Powershell, digita il comando: netsh advfirewall firewall add rule name = "NewRDP" dir = in action = allow protocol = TCP localport = 49089 ... I numeri dovrebbero indicare la porta in cui è stata interrotta la vecchia.

Impossibile aprire il file di connessione default.rdp

Molto spesso, questo errore si verifica quando ci sono problemi conDNSserver... Il computer client non riesce a trovare il nome del server specificato.

Per eliminare l'errore, devi prima controllare se l'indirizzo dell'host è stato inserito correttamente.

In caso contrario, se si verifica un bug, è necessario eseguire i seguenti passaggi:

• vai a " I miei documenti»;
• trova il file default.rdp. Se non trovi, seleziona la casella " Impostazioni cartelle»Per mostrare file e cartelle nascosti;
• ora elimina questo file e prova a riconnetterti.

01. Firewall Bene, qui è tutto chiaro. La regola principale è "proibire tutto". Windows 2008 R2 ha un firewall integrato abbastanza buono, quindi puoi iniziare da lì. Lascia le porte 80 e 443 aperte (e possibilmente 3389 per RDP) e il gioco è fatto.

02. Configurazione di un oggetto Criteri di gruppo. Vai a "Start - Esegui - secpol.msc - Impostazioni di sicurezza - Criteri account - Criterio di blocco account". E mettiamo, ad esempio, "5 tentativi" e "5 minuti": questo bloccherà l'utente per 5 minuti dopo 5 autorizzazioni non riuscite.

Vai alla casella di controllo "Start - Esegui -gpupdate.msc - Configurazione PC - Configurazione Windows - Impostazioni di sicurezza - Criteri locali - Impostazioni di sicurezza: Impostazioni di sicurezza locali" per utilizzare solo RC4_HMAC_MD5.

03. Installa un gestore di password... Molti dei miei amici (in realtà - un gruppo) usano lo schema "una password complessa per tutto". Anche programmatori familiari, amministratori, designer ... In generale, non sono persone stupide. Pensaci. Anche per gli account di servizio (come gli utenti del database, ecc.), utilizzare solo password generate complesse. E tienili nel pass manager. Personalmente uso LastPass: è gratuito, interessante e disponibile come estensione di Chrome.

04.Cambia porta per RDP La porta del servizio terminal (la stessa "Desktop remoto") cambia nel registro qui: "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ TerminalServer \ WinStation \ RDP-Tcp \ PortNumber" (non dimenticare di aprire questa porta sul firewall e riavviare il servizio PSR).

Selezioniamo una regola in base alla porta.

Indichiamo il numero della porta che abbiamo specificato (nell'esempio TCP 50000).

Quindi specifichiamo l'azione per la nostra regola - Consenti la connessione. Qui, se necessario, per la nostra connessione, puoi abilitare la crittografia.

A seconda di dove si trova il server - in un gruppo di lavoro, in un dominio o nel dominio pubblico, indichiamo il profilo di rete per il quale si applica la regola.

Chiamiamo la regola creata in modo che sia facile riconoscerla e premiamo il pulsante "Fine".