Bună ziua, dragi cititori și oaspeți ai blogului, astăzi avem următoarea sarcină: schimbarea portului de intrare al serviciului RDP (server terminal) din standardul 3389 în altul. Permiteți-mi să vă reamintesc că serviciul RDP este o funcționalitate a sistemelor de operare Windows, datorită căreia puteți deschide o sesiune prin rețea către computerul sau serverul de care aveți nevoie folosind protocolul RDP și puteți lucra la el, ca și cum ați stăteau la el la nivel local.

Ce este protocolul RDP

Înainte de a schimba ceva, ar fi bine să înțelegeți ce este și cum funcționează, vă tot spun despre asta. RDP sau Remote Desktop Protocol este un protocol desktop la distanță pentru sistemele de operare Microsoft Windows, deși originile sale provin de la PictureTel (Polycom). Microsoft tocmai l-a cumpărat. Folosit pentru lucrul de la distanță al unui angajat sau utilizator cu un server la distanță. Cel mai adesea, astfel de servere joacă rolul unui server terminal, pe care sunt alocate licențe speciale, fie pe utilizator, fie pe dispozitiv, CAL. Ideea aici a fost aceasta: există un server foarte puternic, atunci de ce să nu-i folosiți resursele împreună, de exemplu, pentru o aplicație 1C. Acest lucru devine deosebit de relevant odată cu apariția clienților subțiri.

Lumea a văzut serverul terminal în sine, deja în 1998 în sistemul de operare Windows NT 4.0 Terminal Server. Sincer să fiu, nici măcar nu știam că există așa ceva, iar în Rusia la acea vreme cu toții jucam dandy sau sega. Clienții de conexiune RDP sunt disponibili în prezent în toate versiunile de Windows, Linux, MacOS, Android. Cea mai modernă versiune a protocolului RDP în acest moment este 8.1.

Port rdp implicit

Voi scrie imediat portul rdp implicit 3389, cred că toți administratorii de sistem îl știu.

Cum funcționează protocolul rdp

Și astfel, tu și cu mine înțelegem de ce am venit cu Protocolul Remote Desktop, acum este logic că trebuie să înțelegeți principiile funcționării acestuia. Microsoft distinge două moduri ale protocolului RDP:

• Modul de administrare la distanță > pentru administrare, te duci la serverul de la distanță și îl configurezi și îl administrezi
• Modul Terminal Server > pentru a accesa serverul de aplicații, aplicația de la distanță sau pentru a le partaja pentru serviciu.

În general, dacă instalați Windows Server 2008 R2 - 2016 fără un server terminal, atunci în mod implicit va avea două licențe și doi utilizatori se vor putea conecta la el în același timp, al treilea va trebui să dea afară pe cineva pentru a muncă. În versiunile client de Windows, există o singură licență, dar și aceasta poate fi ocolită; am vorbit despre asta în articolul Terminal Server pe Windows 7. De asemenea, în modul de administrare la distanță, puteți echilibra în cluster și încărcarea, datorită tehnologiei NLB și serverului de conexiune Session Directory Service. Este folosit pentru indexarea sesiunilor utilizatorilor, datorită acestui server utilizatorul se poate conecta la desktop-ul de la distanță al serverelor terminale într-un mediu distribuit. De asemenea, componentele necesare sunt un server de licențiere.

Protocolul RDP operează printr-o conexiune TCP și este un protocol de aplicație. Când un client stabilește o conexiune cu serverul, se creează o sesiune RDP la nivel de transport, unde se negociază metodele de criptare și transmitere a datelor. Când toate negocierile sunt determinate și inițializarea este completă, serverul terminal trimite ieșire grafică către client și așteaptă intrarea de la tastatură și mouse.

Remote Desktop Protocol acceptă mai multe canale virtuale într-o singură conexiune, permițându-vă să utilizați funcționalități suplimentare

• Transferați imprimanta sau portul COM pe server
• Redirecționați unitățile locale către server
• Clipboard
• Audio și video

Etape de conectare RDP

• Stabilirea unei conexiuni
• Negocierea parametrilor de criptare
• Autentificare server
• Negocierea parametrilor sesiunii RDP
• Autentificarea clientului
• Datele sesiunii RDP
• Încheierea sesiunii RDP

Securitate în protocolul RDP

Remote Desktop Protocol are două metode de autentificare Standard RDP Security și Enhanced RDP Security, pe ambele le vom analiza mai detaliat mai jos.

Securitate RDP standard

Protocolul RDP cu această metodă de autentificare criptează conexiunea folosind protocolul RDP însuși, care se află în el, folosind această metodă:

• Când sistemul dvs. de operare pornește, este generată o pereche de chei RSA
• Certificatul de proprietate este în curs de creare
• După care certificatul de proprietate este semnat cu cheia RSA creată anterior
• Acum clientul RDP care se conectează la serverul terminal va primi un certificat de proprietate
• Clientul se uită la el și îl verifică, apoi primește cheia publică a serverului, care este utilizată în etapa de acord asupra parametrilor de criptare.

Dacă luăm în considerare algoritmul cu care totul este criptat, acesta este cifrul de flux RC4. Chei de diferite lungimi de la 40 la 168 de biți, totul depinde de ediția sistemului de operare Windows, de exemplu în Windows 2008 Server - 168 de biți. Odată ce serverul și clientul au decis lungimea cheii, sunt generate două noi chei diferite pentru a cripta datele.

Dacă întrebați despre integritatea datelor, atunci aceasta se realizează prin algoritmul MAC (Message Authentication Code) bazat pe SHA1 și MD5

Securitate RDP îmbunătățită

Protocolul RDP cu această metodă de autentificare utilizează două module de securitate externe:

• CredSSP
• TLS 1.0

TLS este acceptat de versiunea 6 a RDP. Când utilizați TLS, un certificat de criptare poate fi creat folosind un server terminal, un certificat autosemnat sau selectat dintr-un magazin.

Când utilizați protocolul CredSSP, este o simbioză a tehnologiilor Kerberos, NTLM și TLS. Cu acest protocol, verificarea în sine, care verifică permisiunea de a intra pe serverul terminal, se efectuează în prealabil și nu după o conexiune RDP completă și, prin urmare, economisiți resurse pe serverul terminal, plus există o criptare mai fiabilă și puteți conectați-vă o dată (Single Sign On). ), datorită NTLM și Kerberos. CredSSP funcționează numai în sistemele de operare nu mai mici decât Vista și Windows Server 2008. Iată această casetă de selectare în proprietățile sistemului

Permiteți conexiuni numai de la computere care rulează Desktop la distanță cu autentificare la nivel de rețea.

Schimbați portul rdp

Pentru a schimba portul rdp, veți avea nevoie de:

1. Deschideți editorul de registry (Start -> Run -> regedit.exe)
2. Să trecem la următoarea secțiune:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Găsiți cheia PortNumber și modificați valoarea acesteia la numărul portului de care aveți nevoie.

Asigurați-vă că selectați o valoare zecimală; de exemplu, voi pune portul 12345.

După ce ați făcut acest lucru, reporniți Serviciul Desktop la distanță prin linia de comandă folosind următoarele comenzi:

Și creăm o nouă regulă de intrare pentru noul port rdp. Permiteți-mi să vă reamintesc că portul rdp implicit este 3389.

Alegem care va fi regula pentru port

Lăsăm protocolul ca TCP și specificăm un nou număr de port RDP.

Regula va fi să permiteți conexiunea RDP pe un port non-standard

Dacă este necesar, setați profilurile de rețea necesare.

Ei bine, să numim regula într-o limbă pe care o înțelegem.

Pentru a vă conecta de la computerele client Windows, scrieți adresa care indică portul. De exemplu, dacă ați schimbat portul la 12345 și adresa serverului (sau pur și simplu computerul la care vă conectați): myserver, atunci conexiunea MSTSC va arăta astfel:
mstsc -v:myserver:12345

1. Rulați programul Regedt32 și deschideți următoarea cheie de registry:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
   Notă. Calea dată către cheia de registry este o linie, care a fost împărțită în două pentru a facilita consultarea.
2. Căutați în subsecțiunea „PortNumber” valoarea 00000D3D (3389 în hexazecimal). Schimbați numărul portului în format hexazecimal și salvați noua valoare.
3. Pentru a schimba portul pentru o anumită conexiune pe un server terminal, urmați acești pași:
   Rulați programul Regedt32 și deschideți următoarea cheie de registry:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\connection

NOTĂ. Calea dată către cheia de registry este o linie, care a fost împărțită în două pentru a facilita consultarea.
Căutați în subsecțiunea „PortNumber” valoarea 00000D3D (3389 în hexazecimal). Schimbați numărul portului în format hexazecimal și salvați noua valoare.
Notă. Deoarece porturile alternative nu sunt pe deplin acceptate în Terminal Server 4.0, modificările vor intra în vigoare numai atunci când este posibil. Dacă apar conflicte, valoarea anterioară trebuie setată la 3389.

Pentru a schimba portul pe partea client, urmați acești pași.

1. Lansați Client Connection Wizard.
2. În meniu Fişier selectați elementul Conexiune nouăși creați o nouă conexiune. După aceasta, noua conexiune ar trebui să apară în listă.
3. Evidențiați noua conexiune și selectați din meniu Fişier echipă Export. Salvați-l ca name.cns.
4. Editați fișierul .cns în Notepad, schimbând „Server Port=3389″ în „Server Port= xxxx“, unde xxxx este noul port specificat pe terminal server.
5. Importați fișierul în Client Connection Wizard. Dacă fișierul curent are același nume, vi se va solicita să îl suprascrieți. Confirmați pentru a suprascrie fișierul. Configurația portului clientului se potrivește acum cu valorile modificate pe serverul terminal.

Notă. Clientul Windows 2000 Terminal Server ActiveX se conectează întotdeauna la portul TCP 3389, iar acest lucru nu poate fi modificat. Clientul serverului terminal ActiveX din Microsoft Windows XP și Microsoft Windows Server 2003 acceptă posibilitatea de a modifica setările de port. Pentru mai multe informații, consultați următorul articol din baza de cunoștințe Microsoft:

326945 Cum să reatribuiți un port de ascultare a unui server terminal într-un client Windows Terminal Server (Acest link poate indica tot sau o parte din conținut în limba engleză.)

Notă. Pentru a activa un nou port de ascultare, trebuie să reporniți serverul terminal sau să recreați ascultătorul RDP în configurația Terminal Services.

Notă. Clientul Windows 2000 Terminal Server ActiveX se conectează întotdeauna la portul TCP 3389, iar acest lucru nu poate fi modificat. Clientul serverului terminal ActiveX din Microsoft Windows XP și Microsoft Windows Server 2003 acceptă posibilitatea de a modifica setările de port. Pentru mai multe informații, consultați următorul articol din baza de cunoștințe Microsoft: 326945 Cum să reatribuiți un port de ascultare a unui server terminal într-un client Windows Terminal Server (Acest link poate indica tot sau o parte din conținut în limba engleză.)
Notă. Pentru a activa un nou port de ascultare, trebuie să reporniți serverul terminal sau să recreați ascultătorul RDP în configurația Terminal Services.

01. Firewall Ei bine, totul este clar aici. Regula principală este „interzice totul”. Windows 2008 R2 are un firewall destul de bun încorporat, așa că este un loc bun pentru a începe. Lăsați porturile 80 și 443 (și poate 3389 pentru RDP) deschise și gata.

02. Configurarea GPO. Accesați „Start - Run - secpol.msc - Setări de securitate - Politici de cont - Politică de blocare a contului”. Și setați, de exemplu, „5 încercări” și „5 minute” - acest lucru va bloca utilizatorul timp de 5 minute după 5 autorizații nereușite.

Accesați caseta de selectare „Start - Run -gpupdate.msc - PC Configuration - Windows Configuration - Security Settings - Local Policies - Security Settings: Local Security Settings” pentru a utiliza numai RC4_HMAC_MD5.

03. Instalați un manager de parole. O mulțime de prieteni ai mei (într-adevăr, o grămadă) folosesc schema „o parolă complexă pentru tot”. Chiar și programatori familiari, admini, designeri... În general, nu sunt oameni proști. Mai gandeste-te. Chiar și pentru conturile de serviciu (cum ar fi utilizatorii bazei de date etc.), utilizați numai parole complexe generate. Și păstrați-le în managerul de permise. Personal, folosesc LastPass - este gratuit, cool și disponibil ca extensie Chrome.

04.Schimbați portul pentru RDP Portul serviciului terminal (același „Remote Desktop”) se modifică în registru aici: „HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber” (nu uitați să deschideți acest port pe firewall și reporniți serviciul RDP).

Selectați o regulă bazată pe port.

Indicăm numărul portului pe care l-am specificat (în exemplul TCP 50000).

Apoi specificăm acțiunea pentru regula noastră - Permite conexiunea. Aici, dacă este necesar, puteți activa criptarea conexiunii noastre.

În funcție de locul în care se află serverul - într-un grup de lucru, într-un domeniu sau în acces public, indicăm profilul de rețea pentru care se aplică regula.

Numim regula creată astfel încât să fie ușor de identificat și faceți clic pe butonul „Finish”.

Protocol pentru desktop la distanță (RDP) este un protocol de nivel de aplicație utilizat în sistemul de operare Windows pentru a realiza conexiuni la distanță la computere, servere și stații de lucru care rulează pe acest sistem de operare. Indiferent de modificările Windows, pentru accesul standard de la distanță se folosește protocolul TCP 3389. Este necesară schimbarea lui în cazurile în care amenință sesiunile de comunicare și este determinat de politica de securitate a computerului local. În articolul de mai jos vom examina în detaliu procesul de modificare a portului RDP implicit pentru Windows Server 2012.

Modificările se fac manual. Pentru a efectua cu succes modificări și a selecta un alt port pentru protocolul de conectare la distanță, trebuie să intrați în modul de editare a sistemului de operare. Windows are un editor de registry standard special. Este lansat prin introducerea comenzii regedit într-o casetă PowerShell. După pornirea programului, trebuie să găsiți elementul RDP-Tcp.

Dosarul RDP-Tcp conține elementul de care avem nevoie, numit PortNumber. Pentru a modifica o valoare DWORD, trebuie să specificați următoarele informații:

• Introduceți numărul de port necesar în linia „Parametru”;
• În linia „Valoare” - 60000;
• Alegeți un sistem numeric zecimal.

Când alegeți un nou port la care să vă conectați, este important să cunoașteți trei categorii principale de numere:

• De la 0 la 10213 - numere de port atribuite și controlate de IANA (Internet Assigned Numbers Authority). Folosit în diverse aplicații ale sistemului de operare;
• De la 1024 la 49151 - numere de port, de asemenea, atribuite și controlate de administrație. Folosit la îndeplinirea sarcinilor private;
• De la 49152 la 65535 - numere de port private utilizate în rezolvarea sarcinilor de lucru de către orice aplicație și procesoare.

Pentru a salva modificările pe care le-ați făcut, trebuie să reporniți computerul.

Firewall-ul încorporat al sistemului de operare poate începe să blocheze noul port după ce au fost făcute toate modificările necesare. Pentru a împiedica firewall-ul să blocheze încercările de conectare externă atunci când selectați un nou port, trebuie să efectuați o serie de pași simpli. În setările paravanului de protecție, trebuie să intrați în modul de securitate îmbunătățit OS. Acest lucru se face prin deschiderea filei „Instrumente” situată în managerul de servicii. În interior, trebuie să selectați elementul „Reguli pentru conexiunile de intrare”, faceți clic dreapta pe el și selectați acțiunea de a crea o nouă regulă.

Se va deschide o nouă fereastră în care va trebui să setați tipul de regulă de firewall pentru noul port și să introduceți datele care au fost specificate mai devreme în procesul de modificare a parametrului.

După finalizarea acestor proceduri, următorul lucru de făcut este să specificați profilul pe care se va aplica regula.

Următorul pas este să permiteți conexiunile pentru noul port creat.

Zonele necesare sunt selectate, în funcție de locul în care va funcționa serverul.

Apoi, trebuie să setați un nume pentru această regulă selectând date unice.

Ultimul pas este repornirea sistemului. Dacă modificările sunt făcute corect, nu ar trebui să existe probleme în funcționare. Apoi, vă veți conecta la serverul de la distanță prin noul port specificat utilizând protocolul RDP. Pentru a vă autentifica corect, trebuie să specificați numele portului separat de două puncte după ce ați specificat adresa IP a serverului.

O sarcină comună: configurarea accesului de la distanță la un computer care este conectat la Internet printr-un router.

Soluție: faceți redirecționarea portului pe router. Redirecționarea portului este de asemenea numită publicarea portului sau port forwarding. În terminologia engleză termenii sunt folosiți Port forwardingȘi Port Publishing.

Ce este port forwarding

Redirecționarea portului este maparea unui anumit port extern al unui gateway (router, modem) la portul dorit al unui dispozitiv țintă din rețeaua locală (server, stație de lucru, stocare în rețea, cameră, recorder etc.)

Dar ce port să redirecționați depinde de modul în care doriți să accesați computerul.

Cum se configurează accesul la distanță prin RDP (desktop la distanță, terminal)

Conexiunile RDP sunt realizate la portul 3389 al computerului țintă. Ce ar trebui făcut:

Pasul 1 Permiteți conexiuni RDP de intrare pe computer

Atenţie! Este posibil să faceți conexiuni INCOMING prin Remote Desktop la următoarele ediții ale sistemului de operare Windows:
Windows XP Professional;
Windows 7/8.1 Professional;
Windows 7/8.1 Ultimate;
Windows 7/8.1 Corporate.

În Windows XP Starter, Home Edition, în Windows Vista/7/8/8.1 Starter, Home Basic, Home Premium nu există nicio posibilitate de conexiuni de intrare.

Pentru a face asta deschidem Proprietățile sistemului(WIN+Break), faceți clic pe link Parametri suplimentari de sistem:

Accesați fila Acces de la distanță, puneți comutatorul în poziție Permite conexiuni la acest computer, debifați Permite conexiuni numai de pe computere care rulează Desktop la distanță cu autentificare la nivel de rețea (recomandat) și faceți clic pe Bine pentru a aplica setarea:

Pasul 2 Creați un cont pe computer sub care utilizatorul desktop la distanță se va conecta.

Cerința nr. 1. Acest contul trebuie să aibă o parolă. Conform setărilor implicite ale politicii locale de securitate, conturilor fără parolă li se interzice conectarea prin RDP. Nu este recomandat să permiteți accesul de la distanță la conturile care nu sunt protejate prin parolă în politicile de securitate. Acest lucru va crea o amenințare de acces neautorizat din partea intrușilor.

Cerința nr. 2. Dacă utilizatorul NU este administrator pe computerul local, el trebuie adăugat la grup. Acest lucru se poate face în două moduri.

Cum să permiteți unui utilizator fără privilegii administrative să se conecteze la un desktop la distanță

Metoda unu.

Faceți clic dreapta pe comanda rapidă de sistem Acest calculatorși selectați Control:

La fereastră Managementul calculatorului Selectați Utilizatori și grupuri locale => Utilizatori:

Găsiți utilizatorul dorit în listă și faceți dublu clic pentru a deschide proprietățile acestuia:

Accesați fila Membru al grupuluiși apăsați butonul Adăuga:

Faceți clic pe butonul În plus:

Apoi, butonul Căutare:

Selectați un grup din listă Utilizatori de desktop la distanțăși apăsați Bine:

În ferestre Selectarea grupuluiȘi Proprietăți:<пользователь> clic BINE:

Metoda a doua.

Deschideți proprietățile sistemului (Win+Break), faceți clic Opțiuni suplimentare:

Accesați fila Acces de la distanțăși apăsați butonul Selectați utilizatori:

Faceți clic pe butonul Adăuga:

Clic În plus:

Și Căutare:

În listă, selectați contul de utilizator căruia doriți să îi acordați drepturi de acces la distanță și faceți clic Bine:

Acum faceți clic Bineîn următoarele două ferestre:

Pasul 3 Creați o regulă de redirecționare pe router, conform căreia, atunci când se face o solicitare pe un anumit port, conexiunea va fi redirecționată către portul 3389 al computerului dorit.

În routerele D-Link, secțiunea necesară poate fi apelată Server virtual, ca în D-Link DIR-615:

De asemenea, poate fi numit Port forwarding, ca, de exemplu, în DIR-300:

Esența este aceeași:

1. Dăm un nume arbitrar regulii;
2. Deschideți un port non-standard pe router care nu este ocupat (câmp Port Public);
3. Indicăm adresa IP a computerului țintă din rețea la care ar trebui să meargă utilizatorul de la distanță (câmp Adresa IP);
4. Indicăm numărul portului prin care rulează aplicația sau serviciul pe computer. În cazul nostru, pentru serviciul Remote Desktop Server acesta este portul 3389 (câmp Port privat).

Dacă ISP-ul dvs. oferă routerului dvs. o adresă dinamică, puteți utiliza în mod convenabil serviciul DNS dinamic. D-Link are propriul serviciu în care puteți înregistra o adresă de Internet (adică un domeniu) gratuit și puteți configura accesul la router și la rețeaua locală prin intermediul acestuia.

Pentru a configura DNS dinamic, accesați secțiunea ÎNTREȚINERE, selectați subsecțiunea Setări DDNSși faceți clic pe link Inscrie-te... pentru a merge pe site și a înregistra un domeniu. Apoi configurați sincronizarea domeniului cu adresa IP a routerului din zonă SETĂRI DNS DINAMICși salvați setările cu butonul Salvează setările:

După aceasta, vă puteți conecta nu prin adresa IP, ci printr-o adresă ca your-adres.dlinkddns.com:port

Verificarea conexiunii la computer prin desktop la distanță

Porniți clientul Remote Desktop Server:

În câmp Calculator Introduceți adresa și portul separate prin două puncte. În câmp Utilizator introduceți numele dvs. de utilizator și faceți clic pe butonul A conecta:

Bifați caseta și faceți clic pe butonul A conecta:

Acum introduceți parola utilizatorului, bifați caseta Amintiți-vă acreditările, dacă nu doriți să vă introduceți parola de fiecare dată și apăsați Bine:

După aceasta, poate apărea un mesaj:

Aici puteți bifa caseta Nu mai cere conexiuni la acest computer din nouși apăsați da: