在所有Windows操作系統中,分配給RDP(遠程桌面協議)的默認端口為TCP 3389。
如果您的計算機直接連接到Internet(例如VDS / VPS服務器),或者您已將邊緣路由器上的3389 / RDP端口配置為端口轉發到本地網絡中的Windows計算機(服務器),則可以更改默認設置。 3389 / RDP端口可連接任何其他端口。通過更改RDP端口號,您可以對端口掃描程序隱藏RDP服務器,減少利用RDP漏洞的可能性(CDP-2019-0708中描述了RDP BlueKeep中的最后一個已知漏洞),減少了RDP暴力攻擊的次數(不要忘記定期分析RDP連接日志),SYN和其他攻擊(尤其是在禁用NLA時)。
當一臺具有白色IP地址的路由器被運行Windows的多臺計算機使用,而您需要向其提供外部RDP訪問時,可以更改默認RDP端口。您可以在每臺計算機上配置一個唯一的RDP端口,并配置到路由器上本地計算機的端口轉發(PAT)(取決于RDP端口號,遠程會話將轉發到其中一臺內部計算機)。
選擇非標準RDP端口時,請注意,建議不要使用端口1-1023(已知端口)和動態RPC端口范圍49152-65535。
讓我們嘗試將遠程桌面服務的端口更改為1350。去做吧:
您可以使用PowerShell更改注冊表參數:Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Name PortNumber -Value 1350
如果計算機上啟用了Windows防火墻,則必須創建一個新規則,以允許入站連接到新RDP端口。(如果通過RDP重新配置遠程服務器而不創建防火墻規則,則將失去對服務器的訪問權限。)您可以在Windows Defender防火墻控制臺(防火墻)中為新的TCP / UDP RDP端口手動創建允許入站規則。 cpl)或使用NetSecurity模塊中的 PowerShell cmdlet :New-NetFirewallRule -DisplayName "New RDP Port 1350" -Direction Inbound -LocalPort 1350 -Protocol TCP -Action allowNew-NetFirewallRule -DisplayName "New RDP Port 1350" -Direction Inbound -LocalPort 1350 -Protocol UDP -Action allow
使用以下命令重新啟動計算機或重新啟動遠程桌面服務: net stop termservice & net start termservice
要通過RDP連接到此Windows計算機,您必須使用冒號在mstsc.exe客戶端中指定新的RDP連接端口,如下所示:RDPComputerName:1350或通過IP地址:192.168.1.10:1350或從命令提示符下:mstsc.exe /v 192.168.1.10:1350
您將使用新的RDP端口成功連接到計算機的遠程桌面。您可以使用該netstat –na | Find “LIST” 命令來確保您的RDS正在偵聽另一個端口。
更改RDP端口號,創建防火墻規則并在新端口上重新啟動遠程桌面服務的完整PowerShell腳本如下所示:
Write-host "Specify the number of your new RDP port: " -ForegroundColor Yellow -NoNewline;$RDPPort = Read-Host
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP\" -Name PortNumber -Value $RDPPort
New-NetFirewallRule -DisplayName "New RDP Port $RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "New RDP Port $RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol UDP -Action Allow
Restart-Service termservice -force
Write-host "The number of the RDP port has been changed to $RDPPort " -ForegroundColor Magenta
您可以使用Invoke-Command和Get-ADComputer cmdlet 在AD域(在特定的OU中)的多臺計算機上遠程更改RDP編號:
Write-host "Specify the number of your new RDP port: " -ForegroundColor Yellow -NoNewline;$RDPPort = Read-Host
$PCs = Get-ADComputer -Filter * -SearchBase "CN=IT,CN=Computers,CN=NY,DC=woshub,DC=com"
Foreach ($PC in $PCs) {
Invoke-Command -ComputerName $PC.Name -ScriptBlock {
param ($RDPPort)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP\" -Name PortNumber -Value $RDPPort
New-NetFirewallRule -DisplayName "New RDP Port $RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "New RDP Port $RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol TCP -Action Allow
Restart-Service termservice -force
}
該更改標準RDP端口的指南適用于從Windows XP(Windows Server 2003)開始以及最新的Windows 10 / Windows Server 2019內部版本的任何Windows版本。
不重啟服務器完成windows系統服務器的默認遠程訪問端口更改
主要分為三個步驟
1.注冊表里更改端口
2.重啟遠程服務
3.防火墻添加一下入站規則
下面開始操作
首先第一步在注冊表里更改端口
1、按 win+R 鍵打開運行框,然后在運行框內輸入 regedit 進入注冊表中
2、進入注冊表后按照這個路徑進入 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TeminalServer\Wds\rdpwd\Tds\tcp
找到右側的PortNunber 選項,雙擊進入,點擊十進制修改3389為想要的端口,比如33890 然后確認(切記選10進制后再寫修改后的端口)
之后再進入路徑:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TeminalServer\WinStations\RDP-Tcp (冷知識:這個路徑就在剛剛那個路徑下面一個,不用從頭一個一個找)雙擊后找到右側的PortNunber 點擊 十進制 修改3389為自己想要的端口,我這里選33890 然后 確定
注冊表這里就弄完了,然后到第二個步驟,重啟遠程服務
1、右鍵點擊桌面上 計算機 選擇 管理
2、進去后找到 服務 (不同的操作系統版本 服務 位置可能不一樣,反正都在計算機管理這,找一下都能找到的),點擊服務后在右側找到Remote Desktop Services這個服務,再 重啟動此服務,重啟后會斷線一下
第二個步驟就完了,然后最后一步,在防火墻里添加一下入站規則
點擊開始選項,在搜索框直接輸入防火墻或者看看上面有沒有防火墻選項,點擊進入防火墻
進入防火墻后點擊入站規則
之后再點擊新建規則
選擇端口,然后下一步
選擇 特定本地端口 填入我們剛剛修改的端口號,這里我修改的33890 然后下一步
然后后面兩步都順著點下去 允許連接,下一步,下一步
設置限制遠程IP,,,防火墻入站。相應服務的屬性中
名稱這里填一個自己喜歡的,備注這邊看心情要不要填寫(建議填寫一下,方便以后自己看的時候知道做了啥配置;也方便哪天自己跑路了下一個IT民工能早點回家吃飯)
然后點擊完成,所有配置就結束了,自己也可以在cmd運行窗口netstat -a看下端口有沒有打開了,沒有就回去看下注冊表那邊是不是搞錯了
如下是我的cmd窗口,可以看到我設置的33890端口已經打開了
遠程一下看看能不能連接上
還有要注意一下,自己設置的端口號是不能超過65535的。