Att fjärransluta din Windows-dator till en värddator använder Microsofts egenutvecklade nätverkskommunikationsprotokoll som kallas Remote Desktop Protocol (RDP).
TCP 3389 är standardporten tilldelad för RDP på din PC. Men du borde ändra det. Här är varför du bör göra ändringen, hur du gör det och hur du konfigurerar Windows-brandväggsregler för en anpassad RDP-port.
Varför du bör ändra RDP-porten
TCP 3389, en standard RDP-port för alla fjärranslutningar, finns på hackarnas radar. De använder brute force attacker och andra metoder för att gissa inloggningsuppgifter för att få tillgång till TCP 3389. När de väl är inne kan de stjäla eller kryptera känslig data, installera skadlig programvara och göra allt som passar dem på fjärrdatorer.
När du ändrar standard RDP-portnummer från 3389 till någon annan ledig port, blir det svårt för hackare att gissa vilken RDP-port du använder. Och att ändra RDP-porten är särskilt användbart när du har stängt av autentisering på nätverksnivå (NLA).
Ibland är ett fåtal brandväggar konfigurerade för att blockera inkommande och utgående kommunikation till och från port 3389 som standard för att förhindra hackare från att komma åt port 3389. Att ändra standard-RDP-porten kan vara ett sätt att kringgå dessa brandväggar.
Så här kontrollerar du standard RDP-portnumret på din dator
Tryck Windows + X, och öppna Terminal (admin). Klistra in följande kommando i Windows PowerShell och tryck på Stiga på.
Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -namn "PortNumber"
Du har hittat standard RDP-porten på din PC.
Hur man ändrar RDP-porten
Du kan ändra din PC: s standard RDP TCP-port till en ny genom att göra några justeringar i Registereditorn. Processen är enkel.
Men vi rekommenderar dig starkt först säkerhetskopiera Windows-registret så att du snabbt kan återställa den om något går fel. Så här gör du.
Tryck Windows + R att öppna Springa, och skriv "regedit" i sökrutan. Tryck OK för att öppna registerredigeraren.
Högerklicka på Dator och välj Exportera från snabbmenyn.
Export Registry File kommer att be om att välja plats och filnamn för dina exporterade registreringsfiler. Välj en plats och exportera registret med ett namn som du lätt kan komma ihåg.
När du är klar med säkerhetskopieringen av Windows-registret följer du stegen nedan för att ändra RDP-porten. För det här exemplet har vi valt port 51289 för att göra den till RDP-lyssningsporten för fjärrskrivbordstjänst.
Öppna Windows Registereditorn och klistra in följande kommando i sökfältet. Tryck Stiga på för att nå RDP-TCP-inställningar.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Scrolla ner i den högra sidofältet tills du når Portnummer. Dubbelklicka på den för att redigera. Välj Decimal radioalternativet i redigeringsfönstret och ange önskat portnummer (51289) i Värdedata fält. Klick OK att fortsätta.
Stäng Windows Registereditorn och starta om datorn. Du har framgångsrikt ändrat standard RDP-porten på din PC till 51289.
Du kan också ändra din standard RDP-port med hjälp av Windows PowerShell-kommandot.
Kör Windows Terminal (admin), och klistra in följande PowerShell-kommando i kommandofönstret. Tryck sedan på Stiga på.
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Namn PortNumber -Value 51289
Standard RDP-porten på din Windows-dator har ändrats till en icke-standard RDP-port: 51289. Din PC kommer nu att använda 51289-porten för anslutning till fjärrskrivbord.
Hur man väljer rätt nummer för en anpassad RDP-port
Det finns 65 535 portnummer. Vanliga TCP/IP-applikationer använder portnummer från 0 till 1023, som kallas välkända portar. Till exempel används portnummer 443 för certifikatbaserad autentisering (HTTPS).
Så det är tillrådligt att inte ändra RDP-porten på Windows till valfritt nummer från 0 till 1023.
Portar från 49152 till 65535 är kända som dynamiska portar och används ofta av klienter för att göra en anslutning till en server. Som ett resultat av detta föredrar många att välja ett portnummer från 49152 till 65535 för att undvika konflikter med välkända eller anpassade tjänster.
Konfigurera Windows-brandväggen för en anpassad RDP-port
Nu när du har ändrat standard RDP-portnumret på din PC måste du skapa Windows-brandväggsregler för det anpassade RDP-portnumret.
Om du inte gör det kan din Windows-brandväggsförsvarare hindra dig från att använda fjärrskrivbordstjänster med den anpassade RDP-porten.
Kör Windows Terminal (Admin) och skriv följande i kommandotolken. Tryck sedan på Stiga på.
New-NetFirewallRule -DisplayName 'RDPPORT_TCP' -Profil 'Public' -Riktning Inkommande -Action Allow -Protocol TCP -LocalPort 51289
Klistra nu in följande kommando och tryck Stiga på.
New-NetFirewallRule -Visningsnamn 'RDPPORT_UDP' -Profil 'Public' -Direction Inbound -Action Allow -Protocol UDP -LocalPort 51289
Starta om din PC och slå på fjärrskrivbordsfunktionen på din PC. Den kommer att använda den anpassade RDP-porten för att lyssna.
Hur man förbättrar RDP-säkerheten
Hackare försöker ständigt utnyttja RDP-sårbarheter. Att ändra standard RDP-port är bara ett sätt att stärka din RDP-portsäkerhet.
Här är några bästa RDP-säkerhetstips för att förhindra en protokollattack på fjärrskrivbord.
- Varje konto som har tillgång till ett fjärrskrivbord måste använda starka lösenord och multifaktorautentisering.
- Microsoft erbjuder patchar till kända sårbarheter, så du bör se till att ditt operativsystem alltid är uppdaterat.
- Använd en RDP-gateway för att lägga till ett säkerhetslager till fjärrskrivbordssessioner.
- Håll autentisering på nätverksnivå (NLA) aktiverad.
- Begränsa användare som kan logga in med fjärrskrivbordsfunktionen.
Du bör också implementera principen om minsta privilegium som ger fjärranvändare minsta möjliga åtkomst till data och resurser. Som ett resultat kan du begränsa den skada cyberbrottslingar kan orsaka i händelse av deras obehöriga åtkomst till ett företagsnätverk.
Ändra RDP-porten till Stay Protected
Med fler och fler företag som anammat distansarbetemodellen har antalet fjärranslutningar ökat exponentiellt. Följaktligen riktar hackare in sig på standardprotokollporten för fjärrskrivbord för att komma åt företagsnätverk.
Att ändra RDP-porten är en utmärkt strategi för att hålla din RDP-port dold för hackare, eftersom hackare vanligtvis riktar sig mot standardporten för fjärrskrivbord. Dessutom bör du öka säkerheten för din RDP-port för att göra din RPD-port oåtkomlig för hackare.