Å koble din Windows-PC eksternt til en vertsdatamaskin bruker Microsofts proprietære nettverkskommunikasjonsprotokoll kjent som Remote Desktop Protocol (RDP).
TCP 3389 er standardporten som er tildelt for RDP på din PC. Men du bør endre det. Her er hvorfor du bør gjøre endringen, hvordan du gjør det og hvordan du konfigurerer Windows-brannmurregler for en tilpasset RDP-port.
Hvorfor du bør endre RDP-porten
TCP 3389, en standard RDP-port for alle eksterne tilkoblinger, er på hackernes radar. De bruker brute force angrep og andre metoder for å gjette påloggingsinformasjon for å få tilgang til TCP 3389. Når de er inne, kan de stjele eller kryptere sensitive data, installere skadelig programvare og gjøre alt som passer dem på eksterne datamaskiner.
Når du endrer standard RDP-portnummer fra 3389 til en hvilken som helst annen ledig port, blir det vanskelig for hackere å gjette hvilken RDP-port du bruker. Og å endre RDP-porten er spesielt nyttig når du har slått av autentisering på nettverksnivå (NLA).
Noen ganger er noen få brannmurer konfigurert til å blokkere innkommende og utgående kommunikasjon til og fra port 3389 som standard for å hindre hackere fra å få tilgang til port 3389. Å endre standard RDP-port kan være en måte å omgå disse brannmurene på.
Slik kontrollerer du standard RDP-portnummeret til PC-en din
trykk Windows + X, og åpne Terminal (admin). Lim inn følgende kommando i Windows PowerShell, og trykk Tast inn.
Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -navn "PortNumber"
Du har funnet standard RDP-port på PC-en.
Hvordan endre RDP-porten
Du kan endre PCens standard RDP TCP-port til en ny ved å gjøre noen justeringer i Registerredigering. Prosessen er enkel.
Men vi anbefaler deg på det sterkeste først sikkerhetskopiere Windows-registeret slik at du raskt kan gjenopprette den hvis noe går galt. Her er hvordan du gjør det.
trykk Windows + R å åpne Løpe, og skriv inn "regedit" i søkeboksen. trykk OK for å åpne Registerredigering.
Høyreklikk på Datamaskin og velg Eksport fra kontekstmenyen.
Eksporter registerfil vil be om å velge plassering og filnavn for de eksporterte registreringsfilene. Velg et sted og eksporter registeret med et navn du enkelt kan huske.
Når du er ferdig med å sikkerhetskopiere Windows-registeret, følger du trinnene nedenfor for å endre RDP-porten. For dette eksemplet har vi valgt port 51289 for å gjøre den til RDP-lytteporten for ekstern skrivebordstjeneste.
Åpne Windows Registerredigering, og lim inn følgende kommando i søkefeltet. trykk Tast inn for å nå RDP-TCP-innstillinger.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Rull ned i høyre sidefelt til du kommer til Portnummer. Dobbeltklikk på den for å redigere. Velg Desimal radioalternativet i redigeringsvinduet, og skriv inn ønsket portnummer (51289) i Verdidata felt. Klikk OK å fortsette.
Lukk Windows Registerredigering og start PC-en på nytt. Du har endret standard RDP-port på PC-en til 51289.
Du kan også endre standard RDP-port ved hjelp av Windows PowerShell-kommandoen.
Kjør Windows Terminal (admin), og lim inn følgende PowerShell-kommando i kommandovinduet. Trykk deretter Tast inn.
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Navn PortNumber -Value 51289
Standard RDP-porten på din Windows-PC er endret til en ikke-standard RDP-port: 51289. PC-en din vil nå bruke 51289-porten for ekstern skrivebordstilkobling.
Hvordan velge riktig nummer for en tilpasset RDP-port
Det er 65 535 portnumre. Vanlige TCP/IP-applikasjoner bruker portnumre fra 0 til 1023, som kalles kjente porter. For eksempel brukes portnummer 443 for sertifikatbasert autentisering (HTTPS).
Så det anbefales ikke å endre RDP-porten på Windows til et tall fra 0 til 1023.
Porter fra 49152 til 65535 er kjent som dynamiske porter og brukes ofte av klienter for å opprette en tilkobling til en server. Som et resultat foretrekker mange mennesker å velge et portnummer fra 49152 til 65535 for å unngå konflikt med kjente eller tilpassede tjenester.
Konfigurer Windows-brannmuren for en tilpasset RDP-port
Nå som du har endret standard RDP-portnummer på PC-en, må du opprette Windows-brannmurregler for det tilpassede RDP-portnummeret.
Hvis du ikke gjør det, kan Windows-brannmurforsvareren hindre deg i å bruke eksterne skrivebordstjenester ved å bruke den tilpassede RDP-porten.
Kjør Windows Terminal (Admin) og skriv inn følgende i ledeteksten. Trykk deretter Tast inn.
New-NetFirewallRule -DisplayName 'RDPPORT_TCP' -Profil 'Public' -Retning inngående -Action Allow -Protocol TCP -LocalPort 51289
Nå limer du inn følgende kommando og trykker Tast inn.
New-NetFirewallRule -DisplayName 'RDPPORT_UDP' -Profil 'Public' -Retning inngående -Action Allow -Protocol UDP -LocalPort 51289
Start PC-en på nytt og slå på funksjonen for eksternt skrivebord på PC-en. Den vil bruke den tilpassede RDP-porten for å lytte.
Hvordan forbedre RDP-sikkerheten
Hackere prøver hele tiden å utnytte RDP-sårbarheter. Å endre standard RDP-port er bare én måte å styrke RDP-portsikkerheten på.
Her er noen beste RDP-sikkerhetstips for å forhindre a eksternt skrivebordsprotokollangrep.
- Hver konto som har tilgang til et eksternt skrivebord må bruke sterke passord og multifaktorautentisering.
- Microsoft tilbyr oppdateringer til kjente sårbarheter, så du bør sørge for at operativsystemet ditt alltid er oppdatert.
- Bruk en RDP-gateway for å legge til et lag med sikkerhet til eksterne skrivebordsøkter.
- Hold autentisering på nettverksnivå (NLA) aktivert.
- Begrens brukere som kan logge på med funksjonen eksternt skrivebord.
Du bør også implementere prinsippet om minste privilegium som gir eksterne brukere et minimumsnivå av tilgang til data og ressurser. Som et resultat kan du begrense skaden cyberkriminelle kan forårsake i tilfelle deres uautoriserte tilgang til et bedriftsnettverk.
Endre RDP-porten til Stay Protected
Med flere og flere selskaper som tar i bruk fjernarbeidsmodellen, har antallet eksterne tilkoblinger økt eksponentielt. Følgelig retter hackere seg mot standard protokollport for eksternt skrivebord for å få tilgang til bedriftsnettverk.
Å endre RDP-porten er en utmerket strategi for å holde RDP-porten din skjult for hackere, ettersom hackere ofte retter seg mot standard eksternt skrivebordsport. I tillegg bør du øke sikkerheten til RDP-porten din for å gjøre RPD-porten utilgjengelig for hackere.