Trong tất cả các hệ điều hành Windows, cổng mặc định được gán cho RDP (Giao thức Máy tính Từ xa) là TCP 3389 . Sau khi bạn bật RDP trong Windows, TermService (Dịch vụ Máy tính Từ xa) bắt đầu lắng nghe trên cổng 3389. Trong bài viết này, chúng tôi sẽ hướng dẫn bạn cách thay đổi số cổng RDP mặc định trên các phiên bản máy tính để bàn của Windows (7/8/10/11) và trên Windows Server bằng Registry Editor và PowerShell.
Lưu ý rằng các phiên bản Windows hiện đại cũng sử dụng UDP có cùng số cổng (3389) cho các kết nối Máy tính Từ xa ngoài TCP.
Bạn có thể thay đổi số cổng RDP mặc định trong Windows từ 3389 sang bất kỳ số nào khác. Điều này thường được sử dụng nhất khi bạn cần ẩn máy chủ RDP / RDS của mình khỏi máy quét cổng tìm kiếm máy chủ Windows trên mạng có cổng RDP mở TCP / 3389.
Thay đổi cổng RDP sẽ giảm cơ hội khai thác lỗ hổng RDP (lỗ hổng quan trọng cuối cùng trong RDP BlueKeep được mô tả trong CVE-2019-0708), giảm số lượng các cuộc tấn công bạo lực RDP (đừng quên thường xuyên phân tích nhật ký kết nối RDP) , SYN, và các kiểu tấn công khác khi NLA bị vô hiệu hóa. Thông thường, cổng RDP được thay đổi trên các máy tính có kết nối trực tiếp với Internet (VPS / VDS) hoặc trong các mạng mà bộ định tuyến biên chuyển tiếp cổng 3389 / RDP tới máy chủ Windows trong mạng LAN của bạn.
Mặc dù đã thay đổi số cổng, nhưng việc mở cổng RDP trên máy chủ của bạn với Internet là không an toàn. Máy quét cổng cho phép kẻ tấn công phát hiện ra trình nghe RDP trên một cổng mới (bằng chữ ký). Nếu bạn muốn mở quyền truy cập RDP vào một máy tính trong mạng của mình, tốt hơn nên sử dụng VPN, RD Web Access, RDS Gateway và các công cụ kết nối an toàn khác.
Khi chọn một cổng RDP không chuẩn, xin lưu ý rằng không nên sử dụng các cổng trong phạm vi 1-1023 (các cổng đã biết). Sử dụng một cổng động trong dải cổng RPC (49152 to 65535 ), hoặc bất kỳ cổng nào trong phạm vi 1024 to 49151 không được dịch vụ hoặc ứng dụng khác sử dụng.
Làm cách nào để Thay đổi Cổng Máy tính Từ xa trên Windows?
Trong ví dụ của chúng tôi, chúng tôi sẽ thay đổi số cổng mà dịch vụ Máy tính từ xa đang nghe 1350 . Để làm điều này:
- Mở Trình chỉnh sửa sổ đăng ký (
regedit.exe) và đi tới khóa đăng ký HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp ; - Tìm DWORD tham số có tên PortNumber . Tham số này hiển thị cổng mà dịch vụ Máy tính Từ xa đang lắng nghe. Giá trị mặc định là 3389 (thập phân);
- Thay đổi giá trị của tham số này. Tôi đã thay đổi cổng RDP thành 1350 (Số thập phân);
Bạn có thể thay đổi tham số đăng ký bằng PowerShell:Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Name PortNumber -Value 1350 - Nếu Tường lửa của Windows được bật trên máy tính của bạn, bạn sẽ phải tạo một quy tắc mới cho phép kết nối đến với cổng RDP mới của mình. Nếu bạn đang định cấu hình lại máy chủ Windows từ xa qua RDP, hãy đảm bảo rằng bạn tạo quy tắc cho phép trong tường lửa trước khi khởi động lại TermService, nếu không, bạn sẽ mất quyền truy cập vào máy chủ;
- Bạn có thể tạo quy tắc cho phép đến cho cổng RDP TCP / UDP mới của mình theo cách thủ công trong bảng điều khiển Tường lửa của Bộ bảo vệ Windows (
firewall.cpl) hoặc sử dụng lệnh ghép ngắn PowerShell từ mô-đun NetSecurity:New-NetFirewallRule -DisplayName "NewRDPPort-TCP-In" -Direction Inbound -LocalPort 1350 -Protocol TCP -Action allow
New-NetFirewallRule -DisplayName "NewRDPPort-UDP-In" -Direction Inbound -LocalPort 1350 -Protocol UDP -Action allow
- Khởi động lại máy tính của bạn hoặc khởi động lại dịch vụ Máy tính Từ xa bằng lệnh sau:
net stop termservice & net start termservice
- Để kết nối với máy chủ Windows này qua Máy tính Từ xa, bạn phải chỉ định cổng kết nối RDP mới trong ứng dụng khách mstsc.exe của mình bằng cách sử dụng dấu hai chấm như sau:
RDPComputerName:1350hoặc bằng địa chỉ IP:192.168.1.10:1350hoặc từ dấu nhắc lệnh:mstsc.exe /v 192.168.1.10:1350
Nếu bạn đang sử dụng RDCMan để quản lý nhiều kết nối RDP, bạn có thể chỉ định cổng RDP mà bạn có được định cấu hình trong Cài đặt kết nối chuyển hướng.
- Sau đó, bạn sẽ kết nối thành công với màn hình từ xa của máy tính bằng cổng RDP mới. Bạn có thể sử dụng
netstat –na | Find “LIST”để đảm bảo rằng Dịch vụ Máy tính Từ xa của bạn đang nghe trên một cổng mới.
Lưu ý rằng số cổng RDP của UDP cũng tự động thay đổi thành 1350 (bạn có thể kiểm tra điều này bằng công cụ TCPView).
Sử dụng lệnh Test-NetConnection để kiểm tra xem cổng RDP mặc định 3389 hiện đã bị đóng hay chưa (TcpTestSucceeded: False ):
Test-NetConnection 192.168.3.102 -port 3389 |select TcpTestSucceeded
Bây giờ bạn cần sử dụng cổng 1350 mới cho kết nối RDP.
Nếu bạn muốn thay đổi số cổng RDP trên máy tính miền, bạn có thể sử dụng các tính năng Chính sách Nhóm. Tạo GPO mới sẽ triển khai PortNumber tham số đăng ký với số cổng RDP mới cho máy tính miền.
Thay đổi số cổng nghe RDP bằng PowerShell
Tập lệnh PowerShell hoàn chỉnh để thay đổi số cổng RDP, tạo quy tắc tường lửa và khởi động lại dịch vụ Máy tính Từ xa có thể trông giống như sau:
Write-host "Specify the number of your new RDP port: " -ForegroundColor Yellow -NoNewline;$RDPPort = Read-Host
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP\" -Name PortNumber -Value $RDPPort
New-NetFirewallRule -DisplayName "NewRDPPort-TCP-In-$RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "NewRDPPort-UDP-In-$RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol UDP -Action Allow
Restart-Service termservice -force
Write-host "The number of the RDP port has been changed to $RDPPort " -ForegroundColor Magenta
Bạn có thể thay đổi số cổng RDP trên máy tính từ xa. Để thực hiện việc này, bạn cần bật WinRM trên máy tính từ xa, sau đó bạn có thể sử dụng lệnh ghép ngắn Invoke-Command để kết nối với máy tính:
Invoke-Command -ComputerName wksname112 -ScriptBlock {Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP\" -Name PortNumber -Value 1350}
Nếu bạn cần thay đổi số RDP từ xa trên nhiều máy tính trong miền AD của mình (trong OU cụ thể), hãy sử dụng tập lệnh sau (bạn có thể lấy danh sách các máy tính trong OU bằng lệnh ghép ngắn Get-ADComputer):
Write-host "Specify the number of your new RDP port: " -ForegroundColor Yellow -NoNewline;$RDPPort = Read-Host
$PCs = Get-ADComputer -Filter * -SearchBase "CN=IT,CN=Computers,CN=NY,DC=woshub,DC=com"
Foreach ($PC in $PCs) {
Invoke-Command -ComputerName $PC.Name -ScriptBlock {
param ($RDPPort)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP\" -Name PortNumber -Value $RDPPort
New-NetFirewallRule -DisplayName "NewRDPPort-TCP-In-$RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "NewRDPPort-UDP-In-$RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol TCP -Action Allow
Restart-Service termservice -force
}
Hướng dẫn thay đổi cổng RDP mặc định này phù hợp với bất kỳ phiên bản Windows nào bắt đầu từ Windows XP (Windows Server 2003) và cho đến các bản dựng Windows 10, Windows 11 và Windows Server 2022 hiện đại.