cp.lv — VPS, выделенные и облачные серверы

cp.lv (LANGMARKET LLP) — хостинг-провайдер: VPS, выделенные и облачные серверы на NVMe с выбором ОС, полным root-доступом и поддержкой 24/7. Тест-период до оплаты: выделенные серверы — 5 дней, VPS и облако — 5 часов.

Contact Info
LANGMARKET LLP
Rīga, Latvija

+371 00 000 000

Follow Us

Личный кабинет

Язык

Как сменить порт RDP на Windows Server для безопасности

Как сменить порт RDP на Windows Server для безопасности

Сменить порт RDP на Windows Server можно за пять минут: измените значение PortNumber в реестре, добавьте новое правило в брандмауэр и перезапустите службу удалённого рабочего стола. Смена стандартного порта 3389 на нестандартный резко сокращает поток автоматического перебора паролей ботами. Ниже — точные шаги и команды.

Зачем менять порт RDP

Порт 3389 известен всем, и по нему постоянно ходят автоматические сканеры, подбирающие пароли. Перенос RDP на другой порт — это не полноценная защита, а способ убрать сервер из массовых сканирований. Обязательно сочетайте его со сложными паролями, ограничением по IP и NLA.

Выбирайте порт из диапазона 49152–65535 (динамические порты), например 52389, чтобы не конфликтовать с другими службами.

Шаг 1. Меняем порт в реестре

Запустите PowerShell от имени администратора. Задаём новый порт (в примере — 52389):

$port = 52389
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name 'PortNumber' -Value $port

Проверяем, что значение записалось:

Get-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name 'PortNumber'

Шаг 2. Открываем новый порт в брандмауэре

Создаём входящее правило для TCP и UDP на новом порту:

New-NetFirewallRule -DisplayName "RDP Custom Port TCP" -Direction Inbound -Protocol TCP -LocalPort 52389 -Action Allow
New-NetFirewallRule -DisplayName "RDP Custom Port UDP" -Direction Inbound -Protocol UDP -LocalPort 52389 -Action Allow

Шаг 3. Перезапускаем службу RDP

Чтобы новый порт заработал, перезапустите службу удалённого рабочего стола:

Restart-Service -Name TermService -Force

Если служба не даёт перезапуститься из-за активной сессии, выполните полную перезагрузку сервера:

Restart-Computer -Force

Шаг 4. Проверяем и подключаемся

Убеждаемся, что сервер слушает новый порт:

Get-NetTCPConnection -LocalPort 52389 -State Listen

Теперь подключайтесь, указывая порт через двоеточие. В Windows:

mstsc /v:203.0.113.10:52389

В Linux через xfreerdp:

xfreerdp /v:203.0.113.10 /port:52389 /u:Administrator /cert:ignore

Не забудьте про старый порт

После проверки, что новый порт работает, отключите или удалите правило для 3389, чтобы закрыть его:

Disable-NetFirewallRule -DisplayGroup "Remote Desktop"

Частые вопросы

Какой порт выбрать вместо 3389?

Любой свободный из диапазона 49152–65535, не занятый другими службами. Проверьте занятость через Get-NetTCPConnection -LocalPort <номер> перед назначением.

После смены порта не могу подключиться — что делать?

Проверьте три вещи: значение PortNumber в реестре, наличие правила в брандмауэре и что вы указываете порт в клиенте (IP:порт). Также убедитесь, что порт открыт на стороне провайдера/сети.

Смена порта защищает от взлома?

Она лишь снижает поток автоматических сканирований. Настоящую защиту дают сложные пароли, ограничение доступа по IP, NLA и, при необходимости, VPN перед RDP.

Нужно ли менять порт и в реестре, и в брандмауэре?

Да, обязательно оба места. Реестр говорит службе слушать новый порт, а брандмауэр должен этот порт пропустить — без второго шага соединение не пройдёт.


Разворачиваете сервер с нуля и хотите сразу настроить безопасный доступ? Возьмите VPS на Windows с полным доступом к системе или изучите тарифы аренды VPS.

Роман Соколов

Роман Соколов

Системный администратор. Обслуживает серверные узлы и мониторинг инфраструктуры 24/7, реагируя на инциденты.