1. De ce să schimbăm portul RDP?
- Securitate sporită: Portul standard 3389 este cunoscut și scanat frecvent de atacatori. Ascunderea RDP în spatele unui port alternativ ajută la evitarea unor atacuri automate (de tip „bot”), crescând șansele de a trece neobservat la scanările generice.
- Reducerea conflictelor: În anumite organizații sau rețele, portul 3389 poate fi deja rezervat ori blocat. Schimbarea portului rezolvă posibile conflicte și face configurația mai flexibilă.
- Obicei bun de administrare: În general, mutarea serviciilor importante de pe porturile implicite este o practică uzuală pentru a avea un plus de protecție și pentru a organiza mai eficient politicile de firewall
2. Cum aflăm portul RDP curent?
Deși portul implicit este 3389, este posibil ca cineva să îl fi modificat anterior. Pentru a verifica rapid portul RDP curent, putem folosi PowerShell și registrul Windows.
# Afișează portul RDP configurat în registrul Windows
(Get-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\' -Name 'PortNumber').PortNumber
3. Script PowerShell pentru modificarea portului RDP
Următorul script execută toți pașii necesari pentru a modifica portul RDP, confirmă că s-a reușit schimbarea și configurează o regulă de firewall care să permită traficul pe noul port. În exemplul de mai jos, portul ales este 61322
, însă poți folosi orice alt port disponibil (de exemplu, ceva peste 1024 și sub 65535).
# Introdu noul port dorit
$nouPort = 61322 # Înlocuiește 61322 cu portul dorit
# Schimbă portul RDP în registrul Windows
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\' -Name 'PortNumber' -Value $nouPort
# Confirma schimbarea
$portSchimbat = Get-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\' -Name 'PortNumber'
if ($portSchimbat.PortNumber -eq $nouPort) {
Write-Output "Portul RDP a fost schimbat cu succes la $nouPort."
} else {
Write-Output "Eroare la schimbarea portului RDP."
}
# Reporneste serviciul Remote Desktop pentru a aplica schimbarea
Restart-Service -Name TermService -Force
Write-Output "Serviciul RDP a fost repornit. Verificați dacă noul port este funcțional."
# Adaugă o regulă de firewall pentru noul port RDP
New-NetFirewallRule -DisplayName "Allow RDP on Port $nouPort" -Direction Inbound -Protocol TCP -LocalPort $nouPort -Action Allow
Explicații pas cu pas:
- Determinarea portului curent – se folosește
Get-ItemProperty
pentru a afla valoarea cheiiPortNumber
din registrul Windows. - Setarea noului port –
Set-ItemProperty
actualizează această cheie cu noul port dorit. - Confirmarea schimbării – se verifică dacă valoarea din registru s-a actualizat cu succes.
- Repornirea serviciului RDP –
Restart-Service -Name TermService
aplică schimbarea imediat. Fără repornirea serviciului, noul port nu devine activ. - Adăugarea unei reguli de firewall –
New-NetFirewallRule
permite traficul pe noul port, astfel încât să fie posibilă conexiunea remote.
4. Avantajele practice ale modificării portului
- Protecție împotriva scanărilor de bază: Majoritatea atacurilor automate scanează porturile standard (3389, 22, 80 etc.). Schimbând portul, reduci șansele unei breșe cauzate de astfel de bot-uri.
- Flexibilitate pentru rețea: Poți alege un port care să fie deja deschis în anumite configurații de firewall interne sau care să fie mai rar utilizat.
- Organizarea regulilor de trafic: Când definești regulile de firewall, este mai ușor să delimitezi traficul RDP dacă îl asociezi cu un port personalizat (de exemplu, 61322).
5. Recomandări și bune practici
- Folosește parole puternice: Schimbarea portului nu înlocuiește nevoia unei parole complexe și a altor măsuri de securitate (ex. Autentificarea cu NLA – Network Level Authentication).
- Alege un port mai mare de 1024: Evită utilizarea porturilor comune (0-1023) folosite de servicii bine cunoscute (HTTP, HTTPS, SMTP etc.).
- Configurează și un VPN dacă poți: Cel mai sigur mod de a accesa un RDP rămâne integrarea cu un tunel VPN, astfel încât portul nici să nu fie vizibil din exterior.
- Documentează noul port: Notează portul ales pentru a evita confuzii pe viitor și pentru a-i informa și pe ceilalți administratori din echipă.
Niciun comentariu:
Trimiteți un comentariu