Cum aflăm și modificăm portul RDP pe Windows – pas cu pas și avantaje

1. De ce să schimbăm portul RDP?

1. Securitate sporită: Portul standard 3389 este cunoscut și scanat frecvent de atacatori. Ascunderea RDP în spatele unui port alternativ ajută la evitarea unor atacuri automate (de tip „bot”), crescând șansele de a trece neobservat la scanările generice.
2. Reducerea conflictelor: În anumite organizații sau rețele, portul 3389 poate fi deja rezervat ori blocat. Schimbarea portului rezolvă posibile conflicte și face configurația mai flexibilă.
3. Obicei bun de administrare: În general, mutarea serviciilor importante de pe porturile implicite este o practică uzuală pentru a avea un plus de protecție și pentru a organiza mai eficient politicile de firewall

2. Cum aflăm portul RDP curent?

Deși portul implicit este 3389, este posibil ca cineva să îl fi modificat anterior. Pentru a verifica rapid portul RDP curent, putem folosi PowerShell și registrul Windows.

# Afișează portul RDP configurat în registrul Windows

(Get-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\' -Name 'PortNumber').PortNumber

3. Script PowerShell pentru modificarea portului RDP

Următorul script execută toți pașii necesari pentru a modifica portul RDP, confirmă că s-a reușit schimbarea și configurează o regulă de firewall care să permită traficul pe noul port. În exemplul de mai jos, portul ales este 61322, însă poți folosi orice alt port disponibil (de exemplu, ceva peste 1024 și sub 65535).

# Introdu noul port dorit

$nouPort = 61322  # Înlocuiește 61322  cu portul dorit

# Schimbă portul RDP în registrul Windows

Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\' -Name 'PortNumber' -Value $nouPort

# Confirma schimbarea

$portSchimbat = Get-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\' -Name 'PortNumber'

if ($portSchimbat.PortNumber -eq $nouPort) {

    Write-Output "Portul RDP a fost schimbat cu succes la $nouPort."

} else {

    Write-Output "Eroare la schimbarea portului RDP."

}

# Reporneste serviciul Remote Desktop pentru a aplica schimbarea

Restart-Service -Name TermService -Force

Write-Output "Serviciul RDP a fost repornit. Verificați dacă noul port este funcțional."

# Adaugă o regulă de firewall pentru noul port RDP

New-NetFirewallRule -DisplayName "Allow RDP on Port $nouPort" -Direction Inbound -Protocol TCP -LocalPort $nouPort -Action Allow

Explicații pas cu pas:

1. Determinarea portului curent – se folosește Get-ItemProperty pentru a afla valoarea cheii PortNumber din registrul Windows.
2. Setarea noului port – Set-ItemProperty actualizează această cheie cu noul port dorit.
3. Confirmarea schimbării – se verifică dacă valoarea din registru s-a actualizat cu succes.
4. Repornirea serviciului RDP – Restart-Service -Name TermService aplică schimbarea imediat. Fără repornirea serviciului, noul port nu devine activ.
5. Adăugarea unei reguli de firewall – New-NetFirewallRule permite traficul pe noul port, astfel încât să fie posibilă conexiunea remote.

 

4. Avantajele practice ale modificării portului

1. Protecție împotriva scanărilor de bază: Majoritatea atacurilor automate scanează porturile standard (3389, 22, 80 etc.). Schimbând portul, reduci șansele unei breșe cauzate de astfel de bot-uri.
2. Flexibilitate pentru rețea: Poți alege un port care să fie deja deschis în anumite configurații de firewall interne sau care să fie mai rar utilizat.
3. Organizarea regulilor de trafic: Când definești regulile de firewall, este mai ușor să delimitezi traficul RDP dacă îl asociezi cu un port personalizat (de exemplu, 61322).

5. Recomandări și bune practici

• Folosește parole puternice: Schimbarea portului nu înlocuiește nevoia unei parole complexe și a altor măsuri de securitate (ex. Autentificarea cu NLA – Network Level Authentication).
• Alege un port mai mare de 1024: Evită utilizarea porturilor comune (0-1023) folosite de servicii bine cunoscute (HTTP, HTTPS, SMTP etc.).
• Configurează și un VPN dacă poți: Cel mai sigur mod de a accesa un RDP rămâne integrarea cu un tunel VPN, astfel încât portul nici să nu fie vizibil din exterior.
• Documentează noul port: Notează portul ales pentru a evita confuzii pe viitor și pentru a-i informa și pe ceilalți administratori din echipă.