Windows 11: Изменение порта удаленного рабочего стола и настройка IP-контроля доступа

IT
: ENG, KOR, DEU, FRA, JPN, ZHO, SPA, ITA, POR, IND, THA, VIE

Обновление сентября 2025 (Этот метод также работает для Windows 10)

Стандартный порт 3389 широко известен злоумышленникам и может легко стать мишенью для атак. Я настоятельно рекомендую изменить его на другой номер порта для обеспечения безопасности вашей системы.

Выберите номер порта случайно из диапазона зарегистрированных портов (1024-49151), чтобы его было трудно угадать. В этом руководстве мы изменим порт удаленного рабочего стола на 49151.

Изменение порта удаленного рабочего стола

1. Включение функции удаленного рабочего стола

(На основе Windows 11 24H2)

  1. Откройте Параметры Windows.
  2. Перейдите к [Система][Удаленный рабочий стол].
  3. Переведите Удаленный рабочий стол в положение Вкл.

2. Изменение порта удаленного рабочего стола

  1. Нажмите Клавиша Windows + R, чтобы открыть диалог “Выполнить”, и введите regedit для запуска редактора реестра.

    • Вы также можете нажать кнопку “Пуск” и ввести regedit.

  2. Перейдите к этому пути в редакторе реестра:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

  3. Найдите запись PortNumber и дважды щелкните по ней.

  4. Выберите Десятичная и измените номер порта с 3389 на 49151.

  5. Перезагрузите компьютер, чтобы применить новый номер порта.

3. Настройка брандмауэра

После изменения порта удаленного рабочего стола со стандартного 3389 на ваш пользовательский порт, вам необходимо создать новое правило для входящих подключений в брандмауэре Windows, чтобы разрешить удаленные подключения через новый порт.

  1. Нажмите Клавиша Windows + R, чтобы открыть диалог “Выполнить”, и введите wf.msc.
    • Вы также можете нажать кнопку “Пуск” и ввести wf.msc.
  2. Нажмите Правила для входящих подключений в левом дереве, затем нажмите Создать правило на правой панели.
  3. Настройте мастер создания нового правила для входящих подключений следующим образом:
    • Тип правила: Порт
    • Протокол: TCP
    • Определенные локальные порты: 49151
    • Действие: Разрешить подключение
    • Профиль: Выберите все три - Домен, Частный и Публичный
    • Имя: RDP (или любое предпочитаемое имя)
  4. Нажмите Готово, чтобы завершить настройку.

Настройка IP-контроля доступа

Изменение на пользовательский порт само по себе не может гарантировать полную безопасность. Злоумышленники все еще могут обнаружить открытые порты путем сканирования портов и попытаться провести атаки грубой силы. Чтобы кардинально заблокировать эти риски, вам необходимо настроить IP-контроль доступа (ACL), чтобы только предварительно одобренные IP-адреса могли подключаться. Это ключевой элемент многоуровневой стратегии безопасности.

Настройка IP-контроля доступа (ACL)

  1. Нажмите Клавиша Windows + R, чтобы открыть диалог “Выполнить”, и введите wf.msc.
    • Вы также можете нажать кнопку “Пуск” и ввести wf.msc.
  2. Нажмите Правила для входящих подключений в левом дереве.
  3. Найдите только что созданное правило (RDP или ваше пользовательское имя) и дважды щелкните по нему.
  4. Когда откроется окно свойств, нажмите вкладку Область вверху.
  5. В разделе Удаленный IP-адрес измените параметр на Эти IP-адреса и нажмите Добавить, чтобы ввести исходный IP.
  6. Нажмите ОК и закройте окно, чтобы применить IP-контроль доступа.

Использование VPN

Если вы хотите еще более сильную безопасность, чем IP-контроль доступа, рассмотрите возможность разрешения подключений к удаленному рабочему столу только через VPN (Virtual Private Network).

1. Основные концепции безопасности VPN

VPN создает зашифрованный виртуальный туннель через интернет, позволяя безопасный доступ к внутренним сетям извне. Когда вы используете VPN, внешние пользователи не могут напрямую получить доступ к портам RDP и должны сначала подключиться к VPN перед доступом к компьютерам во внутренней сети через удаленный рабочий стол.

2. Преимущества усиления безопасности

  • Структура двойной аутентификации: VPN-вход → RDP-вход для многоуровневой безопасности
  • Зашифрованная связь: Вся передача данных зашифрована для безопасности
  • Сокрытие IP-адреса: Фактический IP-адрес RDP-сервера остается скрытым от внешних источников
  • Полная блокировка доступа: Без VPN-подключения RDP-сервер даже не может быть обнаружен

3. Основные методы реализации VPN

Использование VPN-функций домашнего роутера

Большинство современных роутеров имеют встроенные функции VPN-сервера, позволяющие настроить VPN без дополнительных затрат. Вы можете активировать VPN-сервер на странице управления роутером и создать пользовательские учетные записи.

Коммерческие VPN-сервисы

Используйте коммерческие VPN-сервисы, такие как ExpressVPN, NordVPN или Surfshark, чтобы получить фиксированный IP и настроить доступ к RDP только с этого IP.

Настройка облачного VPN

Используйте VPN-решения облачных сервисов, такие как AWS VPN Gateway или Azure VPN Gateway, для создания профессиональных VPN-сред.

Настройка VPN-сервера с открытым исходным кодом

Установите решения с открытым исходным кодом, такие как OpenVPN, WireGuard или SoftEther VPN, на отдельные серверы для создания пользовательских VPN-сред.

4. Рекомендуемый подход

Для личных пользователей сначала проверьте, есть ли у вашего роутера встроенные VPN-функции. Для корпоративной среды рассмотрите облачные VPN-решения. После настройки VPN полностью заблокируйте внешний прямой доступ к портам RDP в брандмауэре и настройте доступ только через VPN для достижения высочайшего уровня безопасности удаленного рабочего стола.