Windows remote desktop порты

Добрый день уважаемые читатели и гости блога, сегодня у нас с вами вот такая задача: изменить входящий порт службы RDP (терминального сервера) со стандартного 3389 на какой-то другой. Напоминаю, что RDP служба это функционал операционных систем Windows, благодаря которому вы можете по сети открыть сессию на нужный вам компьютер или сервер по протоколу RDP, и иметь возможность за ним работать, так как будто вы сидите за ним локально.

Что такое RDP протокол

Прежде чем, что то изменять, хорошо бы понимать, что это и как это работает, я вам об этом не перестаю повторять. RDP или Remote Desktop Protocol это протокол удалённого рабочего стола в операционных системах Microsoft Windows, хотя его происхождение идет от компании PictureTel (Polycom). Microsoft просто его купила. Используется для удаленной работы сотрудника или пользователя с удаленным сервером. Чаще всего такие сервера несут роль сервер терминалов, на котором выделены специальные лицензии, либо на пользователе, либо на устройства, CAL. Тут задумка была такой, есть очень мощный сервер, то почему бы не использовать его ресурсы совместно, например под приложение 1С. Особенно это становится актуальным с появлением тонких клиентов.

Сам сервер терминалов мир увидел, аж в 1998 году в операционной системе Windows NT 4.0 Terminal Server, я если честно тогда и не знал, что такое есть, да и в России мы в то время все играли в денди или сегу. Клиенты RDP соединения, на текущий момент есть во всех версиях Windows, Linux, MacOS, Android. Самая современная версия RDP протокола на текущий момент 8.1.

Порт rdp по умолчанию

Сразу напишу порт rdp по умолчанию 3389, я думаю все системные администраторы его знают.

Принцип работы протокола rdp

И так мы с вами поняли для чего придумали Remote Desktop Protocol, теперь логично, что нужно понять принципы его работы. Компания Майкрософт выделяет два режима протокола RDP:

• Remote administration mode > для администрирования, вы попадаете на удаленный сервер и настраиваете и администрируете его
• Terminal Server mode > для доступа к серверу приложений, Remote App или совместное использование его для работы.

Вообще если вы без сервера терминалов устанавливаете Windows Server 2008 R2 — 2016, то там по умолчанию у него будет две лицензии, и к нему одновременно смогут подключиться два пользователя, третьему придется для работы кого то выкидывать. В клиентских версиях Windows, лицензий всего одна, но и это можно обойти, я об этом рассказывал в статье сервер терминалов на windows 7. Так же Remote administration mode, можно кластеризировать и сбалансировать нагрузку, благодаря технологии NLB и сервера сервера подключений Session Directory Service. Он используется для индексации пользовательских сессий, благодаря именно этому серверу у пользователя получиться войти на удаленный рабочий стол терминальных серверов в распределенной среде. Так же обязательными компонентами идут сервер лицензирования.

RDP протокол работает по TCP соединению и является прикладным протоколом. Когда клиент устанавливает соединение с сервером, на транспортном уровне создается RDP сессия, где идет согласование методов шифрования и передачи данных. Когда все согласования определены и инициализация окончена, сервер терминалов, передает клиенту графический вывод и ожидает входные данные от клавиатуры и мыши.

Remote Desktop Protocol поддерживает несколько виртуальных каналов в рамках одного соединения, благодаря этому можно использовать дополнительный функционал

• Передать на сервер свой принтер или COM порт
• Перенаправить на сервер свои локальные диски
• Буфер обмена
• Аудио и видео

Этапы RDP соединения

• Установка соединения
• Согласование параметров шифрования
• Аутентификация серверов
• Согласование параметров RDP сессии
• Аутентификация клиента
• Данные RDP сессии
• Разрыв RDP сессии

Безопасность в RDP протоколе

Remote Desktop Protocol имеет два метода аутентификации Standard RDP Security и Enhanced RDP Security, ниже рассмотрим оба более подробно.

Standard RDP Security

RDP протокол при данном методе аутентификации, шифрует подключение средствами самого RDP протокола, которые есть в нем, вот таким методом:

• Когда ваша операционная система запускается, то идет генерация пары RSA ключиков
• Идет создание сертификата открытого ключа Proprietary Certificate
• После чего Proprietary Certificate подписывается RSA ключом созданным ранее
• Теперь RDP клиент подключившись к терминальному серверу получит Proprietary Certificate
• Клиент его смотрит и сверяет, далее получает открытый ключ сервера, который используется на этапе согласования параметров шифрования.

Если рассмотреть алгоритм с помощью которого все шифруется, то это потоковый шифр RC4. Ключи разной длины от 40 до 168 бит, все зависит от редакции операционной системы Windows, например в Windows 2008 Server – 168 бит. Как только сервер и клиент определились с длиной ключа, генерируются два новых различных ключа, для шифрования данных.

Если вы спросите про целостность данных, то тут она достигается за счет алгоритма MAC (Message Authentication Code) базируемого на SHA1 и MD5

Enhanced RDP Security

RDP протокол при данном методе аутентификации использует два внешних модуля безопасности:

TLS поддерживается с 6 версии RDP. Когда вы используете TLS, то сертификат шифрования можно создать средствами терминального сервера, самоподписный сертификат или выбрать из хранилища.

Когда вы задействуете CredSSP протокол, то это симбиоз технологий Kerberos, NTLM и TLS. При данном протоколе сама проверка, при которой проверяется разрешение на вход на терминальный сервер осуществляется заранее, а не после полноценного RDP подключения, и тем самым вы экономите ресурсы терминального сервера, плюс тут более надежное шифрование и можно делать однократный вход в систему (Single Sign On), благодаря NTLM и Kerberos. CredSSP идет только в ОС не ниже Vista и Windows Server 2008. Вот эта галка в свойствах системы

Изменить порт rdp

Для того, чтобы изменить порт rdp, вам потребуется:

1. Открываем редактор реестра (Пуск -> Выполнить -> regedit.exe)
2. Переходим к следующему разделу:

Находим ключ PortNumber и меняем его значение на номер порта, который Вам нужен.

Выберите обязательно десятичное значение, я для примера поставлю порт 12345.

Как только вы это сделали, то перезапустите службу удаленных рабочих столов, через командную строку, вот такими командами:

Далее не забудьте в брандмауэре Windows после изменения порта RDP открыть его, для этого жмем WIN+R и в окне выполнить пишем firewall.cpl.

Далее переходим в пункт Дополнительные параметры

И создаем новое входящее правило для нового rdp порта. Напоминаю, что порт rdp по умолчанию 3389.

Выбираем, что правило будет для порта

Протокол оставляем TCP и указываем новый номер RDP порта.

Правило у нас будет разрешающее RDP соединение по не стандартному порту

При необходимости задаем нужные сетевые профили.

Ну и назовем правило, понятным для себя языком.

Для подключения с клиентских компьютеров Windows адрес пишите с указанием порта. Например, если порт Вы изменили на 12345, а адрес сервера (или просто компьютера, к которому подключаетесь): myserver, то подключение по MSTSC будет выглядеть так:
mstsc -v:myserver:12345

или через командную строку.

Как видите изменить порт rdp совсем не трудная задача, все тоже самое можно проделать средствами групповой политики.

Удаленный рабочий стол: разрешение доступа к компьютеру извне его сети Remote Desktop — Allow access to your PC from outside your PC’s network

Применяется к: Windows 10, Windows Server 2016 Applies to: Windows 10, Windows Server 2016

При подключении к своему компьютеру с помощью клиента удаленного рабочего стола вы создаете одноранговое подключение. When you connect to your PC by using a Remote Desktop client, you’re creating a peer-to-peer connection. Это означает, что требуется прямой доступ к компьютеру (иногда его называют «узлом»). This means you need direct access to the PC (sometimes called «the host»). Если вам нужно подключить к компьютеру извне сети, в которой он работает, необходимо разрешить этот доступ. If you need to connect to your PC from outside of the network your PC is running on, you need to enable that access. Доступно несколько вариантов: использовать перенаправление портов или настроить виртуальную частную сеть (VPN). You have a couple of options: use port forwarding or set up a VPN.

Включение перенаправления портов на маршрутизаторе Enable port forwarding on your router

Перенаправление портов просто сопоставляет порт для IP-адреса маршрутизатора (вашего общедоступного IP-адреса) с портом и IP-адресом компьютера, к которому необходимо получить доступ. Port forwarding simply maps the port on your router’s IP address (your public IP) to the port and IP address of the PC you want to access.

Конкретная последовательность действий для включения перенаправления портов зависит от маршрутизатора, который вы используете, поэтому необходимо найти в Интернете инструкции для своего маршрутизатора. Specific steps for enabling port forwarding depend on the router you’re using, so you’ll need to search online for your router’s instructions. Общие сведения об этих действиях см. на странице wikiHow How to Set Up Port Forwarding on a Router (Как настроить перенаправление портов на маршрутизаторе). For a general discussion of the steps, check out wikiHow to Set Up Port Forwarding on a Router.

Прежде чем сопоставить порт, потребуется следующее. Before you map the port you’ll need the following:

Внутренний IP-адрес компьютера. Найдите его, выбрав Параметры > Сеть и Интернет > Состояние > Просмотр свойств сети. PC internal IP address: Look in Settings > Network & Internet > Status > View your network properties. Найдите конфигурацию сети с состоянием «Работает» и получите IPv4-адрес. Find the network configuration with an «Operational» status and then get the IPv4 address.

Общедоступный IP-адрес (IP-адрес маршрутизатора). Your public IP address (the router’s IP). Существует много способов узнать его. Можно выполнить поиск «my IP» (в Bing или Google) или просмотреть свойства сети Wi-Fi (для Windows 10). There are many ways to find this — you can search (in Bing or Google) for «my IP» or view the Wi-Fi network properties (for Windows 10).

Номер сопоставляемого порта. Port number being mapped. В большинстве случаев это 3389 — порт по умолчанию, используемый подключениями к удаленному рабочему столу. In most cases this is 3389 — that’s the default port used by Remote Desktop connections.

Административный доступ к маршрутизатору. Admin access to your router.

Вы открываете свой компьютер для доступа из Интернета, так что убедитесь, что на нем установлен надежный пароль. You’re opening your PC up to the internet — make sure you have a strong password set for your PC.

После сопоставления порта вы сможете подключаться к компьютеру узла извне локальной сети, подключаясь к общедоступному IP-адресу маршрутизатора (см. второй пункт выше). After you map the port, you’ll be able to connect to your host PC from outside the local network by connecting to the public IP address of your router (the second bullet above).

Вы можете изменить IP-адрес маршрутизатора. Ваш поставщик услуг Интернета (ISP) может назначить новый IP-адрес в любое время. The router’s IP address can change — your internet service provider (ISP) can assign you a new IP at any time. Чтобы избежать этой проблемы, рассмотрите возможность использования динамических DNS-имен. Это позволит подключаться к компьютеру с помощью легко запоминающегося доменного имени, а не IP-адреса. To avoid running into this issue, consider using Dynamic DNS — this lets you connect to the PC using an easy to remember domain name, instead of the IP address. Маршрутизатор автоматически обновит службу DDNS, если IP-адрес изменится. Your router automatically updates the DDNS service with your new IP address, should it change.

В большинстве маршрутизаторов может определить, какой исходный IP-адрес или исходная сеть может использовать сопоставление портов. With most routers you can define which source IP or source network can use port mapping. Поэтому, если известно, что вы собираетесь подключаться только с работы, можно добавить IP-адрес для своей рабочей сети. Это позволит избежать открытия порта для всего Интернета. So, if you know you’re only going to connect from work, you can add the IP address for your work network — that lets you avoid opening the port to the entire public internet. Если на узле, которые вы используете для подключения, используется динамический IP-адрес, задайте ограничение источника, чтобы разрешить доступ из целого диапазона адресов, определенного поставщиком услуг Интернета. If the host you’re using to connect uses dynamic IP address, set the source restriction to allow access from the whole range of that particular ISP.

Также рассмотрите возможность настройки статического IP-адреса на своем компьютере, чтобы внутренний IP-адрес не менялся. You might also consider setting up a static IP address on your PC so the internal IP address doesn’t change. Если это сделать, то перенаправление портов маршрутизатора всегда будет указывать на правильный IP-адрес. If you do that, then the router’s port forwarding will always point to the correct IP address.

Использование VPN Use a VPN

При подключении к локальной сети с помощью виртуальной частной сети (VPN) не нужно открывать доступ к компьютеру из общедоступного Интернета. If you connect to your local area network by using a virtual private network (VPN), you don’t have to open your PC to the public internet. Вместо этого при подключении к VPN клиент удаленного рабочего стола действует так, будто он является частью той же сети и имеет доступ к компьютеру. Instead, when you connect to the VPN, your RD client acts like it’s part of the same network and be able to access your PC. Существует несколько служб VPN — можно найти и использовать ту, которая лучше всего подходит для вас. There are a number of VPN services available — you can find and use whichever works best for you.