Добрый день уважаемые читатели и гости блога, сегодня у нас с вами вот такая задача: изменить входящий порт службы RDP (терминального сервера) со стандартного 3389 на какой-то другой. Напоминаю, что RDP служба это функционал операционных систем Windows, благодаря которому вы можете по сети открыть сессию на нужный вам компьютер или сервер по протоколу RDP, и иметь возможность за ним работать, так как будто вы сидите за ним локально.
Прежде чем, что то изменять, хорошо бы понимать, что это и как это работает, я вам об этом не перестаю повторять. RDP или Remote Desktop Protocol это протокол удалённого рабочего стола в операционных системах Microsoft Windows, хотя его происхождение идет от компании PictureTel (Polycom). Microsoft просто его купила. Используется для удаленной работы сотрудника или пользователя с удаленным сервером. Чаще всего такие сервера несут роль сервер терминалов , на котором выделены специальные лицензии, либо на пользователе, либо на устройства, CAL. Тут задумка была такой, есть очень мощный сервер, то почему бы не использовать его ресурсы совместно, например под приложение 1С. Особенно это становится актуальным с появлением тонких клиентов.
Сам сервер терминалов мир увидел, аж в 1998 году в операционной системе Windows NT 4.0 Terminal Server, я если честно тогда и не знал, что такое есть, да и в России мы в то время все играли в денди или сегу. Клиенты RDP соединения, на текущий момент есть во всех версиях Windows, Linux, MacOS, Android. Самая современная версия RDP протокола на текущий момент 8.1.
Сразу напишу порт rdp по умолчанию 3389, я думаю все системные администраторы его знают.
И так мы с вами поняли для чего придумали Remote Desktop Protocol, теперь логично, что нужно понять принципы его работы. Компания Майкрософт выделяет два режима протокола RDP:
Вообще если вы без сервера терминалов устанавливаете Windows Server 2008 R2 - 2016, то там по умолчанию у него будет две лицензии, и к нему одновременно смогут подключиться два пользователя, третьему придется для работы кого то выкидывать. В клиентских версиях Windows, лицензий всего одна, но и это можно обойти, я об этом рассказывал в статье сервер терминалов на windows 7 . Так же Remote administration mode, можно кластеризировать и сбалансировать нагрузку, благодаря технологии NLB и сервера сервера подключений Session Directory Service. Он используется для индексации пользовательских сессий, благодаря именно этому серверу у пользователя получиться войти на удаленный рабочий стол терминальных серверов в распределенной среде. Так же обязательными компонентами идут сервер лицензирования .
RDP протокол работает по TCP соединению и является прикладным протоколом. Когда клиент устанавливает соединение с сервером, на транспортном уровне создается RDP сессия, где идет согласование методов шифрования и передачи данных. Когда все согласования определены и инициализация окончена, сервер терминалов, передает клиенту графический вывод и ожидает входные данные от клавиатуры и мыши.
Remote Desktop Protocol поддерживает несколько виртуальных каналов в рамках одного соединения, благодаря этому можно использовать дополнительный функционал
Remote Desktop Protocol имеет два метода аутентификации Standard RDP Security и Enhanced RDP Security, ниже рассмотрим оба более подробно.
RDP протокол при данном методе аутентификации, шифрует подключение средствами самого RDP протокола, которые есть в нем, вот таким методом:
Если рассмотреть алгоритм с помощью которого все шифруется, то это потоковый шифр RC4. Ключи разной длины от 40 до 168 бит, все зависит от редакции операционной системы Windows, например в Windows 2008 Server – 168 бит. Как только сервер и клиент определились с длиной ключа, генерируются два новых различных ключа, для шифрования данных.
Если вы спросите про целостность данных, то тут она достигается за счет алгоритма MAC (Message Authentication Code) базируемого на SHA1 и MD5
RDP протокол при данном методе аутентификации использует два внешних модуля безопасности:
TLS поддерживается с 6 версии RDP. Когда вы используете TLS, то сертификат шифрования можно создать средствами терминального сервера, самоподписный сертификат или выбрать из хранилища.
Когда вы задействуете CredSSP протокол, то это симбиоз технологий Kerberos, NTLM и TLS. При данном протоколе сама проверка, при которой проверяется разрешение на вход на терминальный сервер осуществляется заранее, а не после полноценного RDP подключения, и тем самым вы экономите ресурсы терминального сервера, плюс тут более надежное шифрование и можно делать однократный вход в систему (Single Sign On), благодаря NTLM и Kerberos. CredSSP идет только в ОС не ниже Vista и Windows Server 2008. Вот эта галка в свойствах системы
разрешить подключения только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети.
Для того, чтобы изменить порт rdp, вам потребуется:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Находим ключ PortNumber и меняем его значение на номер порта, который Вам нужен.
Выберите обязательно десятичное значение, я для примера поставлю порт 12345.
Как только вы это сделали, то перезапустите службу удаленных рабочих столов, через командную строку, вот такими командами:
И создаем новое входящее правило для нового rdp порта. Напоминаю, что порт rdp по умолчанию 3389.
Выбираем, что правило будет для порта
Протокол оставляем TCP и указываем новый номер RDP порта.
Правило у нас будет разрешающее RDP соединение по не стандартному порту
При необходимости задаем нужные сетевые профили.
Ну и назовем правило, понятным для себя языком.
Для подключения с клиентских компьютеров Windows адрес пишите с указанием порта. Например, если порт Вы изменили на 12345, а адрес сервера (или просто компьютера, к которому подключаетесь): myserver, то подключение по MSTSC будет выглядеть так:
mstsc -v:myserver:12345
Во всех редакциях ОС Windows начиная с XP, есть стандартный RDP – клиент, который используется для подключения к службе удаленных рабочих столов. В этой статье я хочу описать подробно возможности данной программы.
RDP-клиент используется для подключения к серверу терминалов по протоколу Remote Desktop Protocol, или через удаленный рабочий стол. Об установке сервера терминалом можно также прочитать на данном сайте.
Запустить программу «» можно из меню «Пуск » — «Все программы » — «Стандартные » — «Подключение к удаленному рабочему столу », либо же выполнив команду mstsc.exe (для этого необходимо нажать комбинацию клавиш WIN+R и вписать имя команды в появившемся окне «Выполнить »). Соответственно, сам исполняющий файл mstsc.exe находится в директории C:\Windows\System32 . Для удобства можно вынести ярлык на рабочий с заданными настройками.
В появившемся окне нужно ввести ip-адрес или имя того сервера к которому вы хотите подключиться.
При подключении вам будет предложено ввести свои учетные данные. После ввода вы попадете на рабочий стол вашего сервера.
Для изменения параметров необходимо нажать на ссылку «Показать параметры » в главном окне программы.
В появившемся меню можно настроить необходимые вам параметрами, которые будут использоваться при подключении.
На второй вкладке «Экран » настраивается размер подключаемого удаленного рабочего стола и глубина цвета для удаленного сеанса. Так же можно убрать совсем выезжающую сверху панель подключения, но я вам не советую этого делать, так как закрыть подключение через Alt+F4 не получиться, если в настройках стоит использование сочетание клавиш «на удаленном компьютере », а закрыть соединение можно будет только через «Диспетчер задач».
На вкладке «Локальные ресурсы » настраиваются передача звука — запись и воспроизведение. Для настройки необходимо нажать кнопку «Параметры ».
Также здесь настраивается «Использование сочетаний клавиш », о которых я писал выше.
Можно на данной вкладке настроить включение или отключение «Принтеров» и «Буфер обмена», которые будут использоваться во время удаленного сеанса, путем снятия или, наоборот, установки флага тех параметров, которые вам необходимы.
А если нажать на кнопку «Подробнее », то можно будет поставить подключение «Смарт карт», если, конечно, у вас есть Смарт карта с учетными данными, также можно подключить любой диск или DVD и СD-ROM локального компьютера с которого происходит подключение.
На вкладке «Программы » можно настроить запуск той программы, которая будет автоматически запускаться при входе пользователя на удаленный рабочий стол. Здесь же настраивается рабочий каталог пользователя.
На следующей вкладке «Взаимодействие », можно указать скорость соединения с терминальным сервером и указать те параметры, которые нужны или не нужны для повышения производительности. Хотя в наше время высокоскоростного интернета эти настройки уже не актуальны, поэтому можно смело оставить автоопределение.
На вкладке «Дополнительно » настраивается проверка подлинности сервера.
Также можно настроить подключение через шлюз удаленных рабочих столов, нажав кнопку «Параметры ».
Для сохранения всех выставленных параметров нужно перейти на вкладку «Общие » и сохранить настройки в виде ярлыка подключения по RDP в любом удобном для вас месте и с любым названием.
Через полученный таким образом ярлык вы будете подключаться к удаленному рабочему столу с раннее сделанными и сохраненными настройками.
Помогла ли Вам данная статья?
Среди пользователей достаточно много людей слышали о том, что существует некий RDP клиент.
Но немногие знают, что же это такое, зачем оно нужно и как с ним работать.
А на самом деле это просто незаменимая вещь для тех, кому нужно работать в нескольких местах, а перевозить с собой ноутбук возможности нет.
Представьте, что вы работаете в офисе. В ваши обязанности входит составление графиков, оформление документации и другое. Вы выполняете все эти задачи на своем компьютере в офисе. Но рабочий день заканчивается, охранник говорит, что закроет помещение и в нем оставаться нельзя, а вам еще нужно выполнить несколько важных задач. Причем отложить их на завтра не получится.
И вот в этот момент на помощь приходит этот самый RDP. Представьте, что вы можете прийти домой, включить свой домашний компьютер и продолжать работать в том же рабочем столе и с теми же данными, что и в компьютере на работе. То есть, находясь дома, вы будете, фактически, работать на рабочем компьютере.
Рис. 1. RDP позволяет работать с одного компьютера на другом
Интересно?
Тогда продолжаем!
RDP – это протокол удаленного рабочего стола. Именно такое определение дается в официальных источниках. Расшифровывается эта аббревиатура как «Remote Desktop Protocol». Собственно, это и переводится как протокол удаленного рабочего стола.
Никакой сложной науки здесь нет. Данный протокол действительно предназначен для того, чтобы с рабочим столом можно было работать удалено. Это означает, что вы находитесь на определенном расстоянии от того места, где действительно находится рабочий стол, и при этом имеете возможность работать с ним.
Собственно, клиент RDP – это программа, которая позволяет реализовывать функции этого самого протокола. Другими словами это программа, которая дает пользователю возможность работать с компьютером удалено. Вы можете совершенно спокойно организовать доступ к своему компьютеру, затем подключиться к нему с другого устройства и дальше работать. На самом деле ничего сложного в этом нет.
Рис. 2. Удаленный доступ к компьютеру с планшета
Сегодня RDP клиенты существуют на самых разных операционных системах, в том числе:
Пользователи всех этих платформ имеют возможность совершенно спокойно организовывать удаленный доступ к своим устройствам. Более того, с аппарата на одной ОС можно сделать то же самое для аппарата с другой. К примеру, вы можете с планшета на Андроид подключиться к компьютеру на Виндовс.
В общем, очень полезная и интересная функция. А теперь мы рассмотрим то, как работать с этим протоколом и программами для работы с ним.
Самым первым и наиболее распространенным примером программы для работы с протоколом удаленного доступа является средство для подключения к удаленному рабочему столу на Windows. Собственно, протокол RDP и разрабатывался для этой операционной системы. А уже потом его начали использовать в других ОС.
На сегодняшний день в любой версии Виндовс есть встроенный инструмент под названием «Подключение к удаленному рабочему столу». Его можно найти в меню «Пуск» или же с помощью поиска. Оно везде называется одинаково.
Чтобы его использовать, необходимо сначала настроить компьютер, к которому вы будете подключаться, то есть с рабочим столом которого вы собираетесь работать. Для этого сделайте вот что:
Рис. 3. Команда для запуска командной строки в окне выполнения программ
Рис. 4. Информация о сети в командной строке
Как видим, в нашем примере IP-адрес 192.168.1.88.
Рис. 5. Раздел «Система и безопасность» в панели управления
Рис. 6. Подраздел «Система»
Рис. 7. Разрешение удаленного управления в разделе «Система»
Теперь вы можете совершенно спокойно подключаться к данному компьютеру. Эта операция тоже совсем несложная. Выполняется она в следующей последовательности:
Рис. 8. Инструмент для подключения к удаленному рабочему столу в меню «Пуск»
Рис. 9. Окно инструмента для подключения к удаленному рабочему
Рис. 10. Параметры подключения к удаленному компьютеру
После этого произойдет подключение к указанному компьютеру по его адресу. Некоторые устанавливают на свои устройства систему учетных записей. В таком случае для подключения придется ввести логин и пароль. Но если на первом этапе описанной выше настройки вы ничего не делали для того, чтобы установить такую вот систему, ничего вводить не нужно.
Все просто! Не правда ли?
Теперь вы знаете, как использовать самый простой вариант RDP и совершенно спокойно можете установить удаленное подключение. Если у вас при этом возникнут какие-то вопросы или сложности, пишите об этом в комментариях ниже. Мы обязательно ответим.
Достаточно часто у многих пользователей, которые используют сеансы удаленного доступа, возникает вопрос, как изменить порт RDP. Сейчас посмотрим на простейшие решения, а также укажем несколько основных этапов в процессе настройки.
Для начала несколько слов о том, RDP. Если посмотреть на расшифровку аббревиатуры, можно понять, что удаленного доступа
Говоря простым языком, это средство терминальному серверу или рабочей станции. Настройки Windows (причем любой из версий системы) используют параметры по умолчанию, которые подходят большинству пользователей. Тем нем менее иногда возникает необходимость их изменения.
Итак, вне зависимости от модификации Windows все протоколы имеют предустановленное значение. Это порт RDP 3389, который и используется для осуществления сеанса связи (подключения одного терминала к удаленным).
С чем же связана ситуация, когда стандартное значение нужно поменять? Прежде всего только с обеспечением безопасности локального компьютера. Ведь если разобраться, при установленном стандартном порте, в принципе, любой злоумышленник может запросто проникнуть в систему. Так что сейчас посмотрим, как изменить порт RDP, установленный по умолчанию.
Сразу отметим, что процедура изменения производится исключительно в ручном режиме, причем в самом клиенте удаленного доступа какой-либо сброс или установка новых параметров не предусмотрены.
Для начала вызываем стандартный редактор реестра командой regedit в меню «Выполнить» (Win + R). Здесь нас интересует ветка HKLM, в которой по дереву разделов нужно спуститься через директорию терминального сервера до каталога RDP-Tcp. В окне справа находим ключ PortNumber. Его-то значение нам и нужно поменять.
Заходим в редактирование и видим там 00000D3D. Многие сразу недоумевают по поводу того, что это такое. А это просто шестнадцатеричное представление десятичного числа 3389. Чтобы указать порт именно в десятичном виде, используем соответствующую строку отображения представления значения, а затем указываем нужный нам параметр.
После этого перегружаем систему, а при попытке подключения указываем новый порт RDP. Еще одним способом подключения является использование специальной команды mstsc /v:ip_address:XXXXX, где XXXXX - новый номер порта. Но и это еще не все.
Увы, но встроенный брандмауэр Windows может блокировать новый порт. Значит, необходимо внести изменения в настройки самого фаервола.
Вызываем настройки фаервола с расширенными параметрами безопасности. Тут следует сначала выбрать входящие подключения и кликнуть на строке создания нового правила. Теперь выбираем пункт создания правила для порта, затем вводим его значение для TCP, далее разрешаем подключение, раздел профилей оставляем без изменений и наконец присваиваем новому правилу название, после чего жмем кнопку завершения настройки. Остается перегрузить сервер и при подключении указать новый порт RDP через двоеточие в соответствующей строке. По идее, проблем наблюдаться не должно.
В некоторых случаях, когда используется беспроводное соединение, а не кабельное, может потребоваться сделать проброс порта на маршрутизаторе (роутере). Ничего сложного в этом нет.
Сначала в свойствах системы разрешаем и указываем пользователей, имеющих на это право. Затем заходим в меню настроек роутера через браузер (192.168.1.1 или в конце 0.1 - все зависит от модели роутера). В поле (если основной адрес у нас 1.1) желательно указать адрес, начиная с третьего (1.3), а правило выдачи адреса прописать для второго (1.2).
Затем в сетевых подключениях используем просмотр деталей, где следует просмотреть детали, скопировать оттуда физический MAC-адрес и вставить его в параметры роутера.
Теперь в разделе настроек NAT на модеме включаем подключение к серверу, добавляем правило и указываем порт XXXXX, который нужно пробросить на стандартный порт RDP 3389. Сохраняем изменения и перегружаем роутер (без перезагрузки новый порт воспринят не будет). Проверить подключение можно на каком-нибудь специализированном сайте вроде ping.eu в разделе тестирования портов. Как видим, все просто.
Напоследок обратите внимание, что значения портов распределяются следующим образом:
Вообще, многие юзеры во избежание проблем обычно выбирают порты RDP из третьего диапазона списка. Впрочем, и специалисты, и эксперты рекомендуют использовать в настройке именно эти значения, поскольку они подходят для большинства поставленных задач.
Что же касается именно такая процедура используется в основном только в случаях Wi-Fi-соединения. Как уже можно было заметить, при обычном проводном подключении она не требуется: достаточно изменить значения ключей реестра и добавить правила для порта в файрволле.
Бытует мнение, что подключение по удаленному рабочему столу Windows (RDP) очень небезопасно в сравнении с аналогами (VNC, TeamViewer, пр). Как следствие, открывать доступ из вне к любому компьютеру или серверу локальной сети очень опрометчивое решение - обязательно взломают. Второй аргумент против RDP как правило звучит так - «жрет трафик, для медленного интернета не вариант». Чаще всего эти доводы ничем не аргументированы.
Протокол RDP существует не первый день, его дебют состоялся еще на Windows NT 4.0 более 20 лет назад и с тех пор утекло много воды. На данный момент RDP не менее безопасен, чем любое другое решение для удаленного доступа. Что касается требуемой полосы пропускания, так в этом плане есть куча настроек, с помощью которых можно добиться отличной отзывчивости и экономии полосы пропускания.
Короче говоря, если знать что, как и где настроить, то RDP будет очень хорошим средством удаленного доступа. Вопрос в другом, а много ли админов пытались вникнуть в настройки, которые спрятаны чуть глубже, чем на поверхности?
Сейчас расскажу как защитить RDP и настроить его на оптимальную производительность.
Во-первых, версий RDP протокола существует много. Все дальнейшее описание будет применимо к RDP 7.0 и выше. Это значит, что у вас как минимум Windows Vista SP1. Для любителей ретро есть специальный апдейт для Windows XP SP3 KB 969084 который добавляет RDP 7.0 в эту операционку.
На компьютере, к которому вы собираетесь подключаться открываем gpedit.msc Идем в Конфигурация компьютера - Административные шаблоны - Компоненты Windows - Службы удаленных рабочих столов - Безопасность
Устанавливаем параметр «Требовать использования специального уровня безопасности для удаленных подключений по методу RDP» в значение «Включено» и Уровень безопасности в значение «SSL TLS 1.0»
Этой настройкой мы включили шифрование как таковое. Теперь нам нужно сделать так, чтобы применялись только стойкие алгоритмы шифрования, а не какой-нибудь DES 56-bit или RC2.
Поэтому в этой же ветке открываем параметр «Установить уровень шифрования для клиентских подключений». Включаем и выбираем «Высокий» уровень. Это нам даст 128-битное шифрование.
Но и это еще не предел. Самый максимальный уровень шифрования обеспечивается стандартом FIPS 140-1. При этом все RC2/RC4 автоматически идут лесом.
Чтобы включить использование FIPS 140-1, нужно в этой же оснастке пойти в Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Параметры безопасности.
Ищем параметр «Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания» и включаем его.
И в завершении в обязательном порядке включаем параметр «Требовать безопасное RPC-подключение» по пути Конфигурация компьютера - Административные шаблоны - Компоненты Windows - Службы удаленных рабочих столов - Безопасность.
Этот параметр требует от подключающихся клиентов обязательное шифрование согласно тем установкам, которые мы настроили выше.
Теперь с шифрованием полный порядок, можно двигаться дальше.
По умолчанию протокол RDP висит на порту TCP 3389. Для разнообразия его можно изменить, для этого в реестре нужно изменить ключик PortNumber по адресу
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
По умолчанию, вы можете подключиться по RDP не вводя логин и пароль и увидеть Welcome-скрин удаленного рабочего стола, где уже от вас попросят залогиниться. Это как раз совсем не безопасно в том плане, что такой удаленный комп можно легко заDDoSить.
Поэтому, всё в той же ветке включаем параметр «Требовать проверку подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети»
Во-первых проверьте, что параметр «Учетные записи: разрешать использование пустых паролей только при консольном входе» включен. Параметр можно найти в Конфигурация компьютера - Административные шаблоны - Компоненты Windows - Службы удаленных рабочих столов - Безопасность.
Во-вторых, не забудьте проверить список пользователей, которые могут подключаться по RDP
Идем в раздел Конфигурация компьютера - Административные шаблоны - Компоненты Windows - Службы удаленных рабочих столов - Среда удаленных сеансов.
Здесь можно и нужно отрегулировать несколько параметров:
В остальном при подключении к удаленному компу со стороны клиента дополнительно можно отключить:
Остальные параметры типа фона рабочего стола, глубины цвета мы уже предопределили на стороне сервера.
Дополнительно на стороне клиента можно увеличить размер кэша изображений, делается это в реестре. По адресу HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\ нужно создать два ключа типа DWORD 32 BitmapPersistCacheSize и BitmapCacheSize
Про проброс всяких принтеров и пр говорить ничего не буду. Кому что нужно, тот то и пробрасывает.
На этом основная часть настройки заканчивается. В следующих обзорах расскажу, как можно еще улучшить и обезопасить RDP. Используйте RDP правильно, всем стабильного коннекта! Как сделать RDP терминал сервер на любой версии Windows смотрите .