Cấu hình Thay đổi Port Remote Desktop Windows 11 và Kiểm soát Truy cập IP

IT
: ENG, KOR, DEU, FRA, JPN, ZHO, RUS, SPA, ITA, POR, IND, THA

Cập nhật Mới nhất Tháng 9 2025 (Phương pháp này cũng hoạt động cho Windows 10)

Port mặc định 3389 được biết đến rộng rãi trong cộng đồng hacker và có thể dễ dàng trở thành mục tiêu tấn công. Sử dụng số port khác là một thực hành bảo mật thiết yếu để bảo vệ hệ thống của bạn.

Chọn số port ngẫu nhiên từ phạm vi port đã đăng ký (1024-49151) để khó đoán. Hướng dẫn này sử dụng port 49151 làm ví dụ.

1. Kích hoạt Tính năng Remote Desktop

(Dựa trên Windows 11 24H2)

  1. Mở Windows Settings.
  2. Đi đến [System][Remote Desktop].
  3. Bật Remote Desktop thành On.

2. Thay đổi Port Remote Desktop

  1. Nhấn Windows Key + R để mở hộp thoại Run và gõ “regedit” để khởi chạy Registry Editor.

    • Bạn cũng có thể nhấp vào nút Start và gõ “regedit”.

  2. Điều hướng đến đường dẫn này trong Registry Editor:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

  3. Tìm mục PortNumber và nhấp đúp vào nó.

  4. Chọn Decimal và thay đổi số port từ 3389 thành 49151.

  5. Khởi động lại PC để áp dụng số port mới.

3. Cấu hình Firewall

Sau khi thay đổi port remote desktop từ mặc định 3389 thành port tùy chỉnh, bạn cần tạo một quy tắc inbound mới trong Windows Firewall để cho phép kết nối từ xa qua port mới.

  1. Nhấn Windows Key + R để mở hộp thoại Run và gõ “wf.msc”.
    • Bạn cũng có thể nhấp vào nút Start và gõ “wf.msc”.
  2. Nhấp vào Inbound Rules trong cây bên trái rồi nhấp New Rule trong panel bên phải.
  3. Cấu hình New Inbound Rule Wizard như sau:
    • Rule Type: Port
    • Protocol: TCP
    • Specific Local Ports: 49151
    • Action: Allow the connection
    • Profile: Chọn cả ba - Domain Private và Public
    • Name: RDP (hoặc tên bạn muốn)
  4. Nhấp Finish để hoàn thành thiết lập.

Cấu hình Kiểm soát Truy cập IP

Chỉ thay đổi sang port tùy chỉnh không thể đảm bảo bảo mật hoàn toàn. Kẻ tấn công vẫn có thể phát hiện port mở thông qua quét port và thử tấn công brute force. Để chặn những rủi ro này một cách căn bản, bạn cần thiết lập kiểm soát truy cập dựa trên IP (ACL) để chỉ những địa chỉ IP được phê duyệt trước mới có thể kết nối. Đây là yếu tố cốt lõi của chiến lược bảo mật nhiều lớp.

Thiết lập Kiểm soát Truy cập IP (ACL)

  1. Nhấn Windows Key + R để mở hộp thoại Run và gõ “wf.msc”.
    • Bạn cũng có thể nhấp vào nút Start và gõ “wf.msc”.
  2. Nhấp vào Inbound Rules trong cây bên trái.
  3. Tìm quy tắc bạn vừa tạo (RDP hoặc tên tùy chỉnh) và nhấp đúp.
  4. Khi cửa sổ Properties mở, nhấp vào tab Scope ở trên cùng.
  5. Dưới Remote IP address, thay đổi tùy chọn thành These IP addresses và nhấp Add để nhập source IP.
  6. Nhấp OK và đóng cửa sổ để áp dụng kiểm soát truy cập IP.

Sử dụng VPN

Nếu bạn muốn bảo mật mạnh hơn so với kiểm soát truy cập IP, hãy xem xét chỉ cho phép kết nối remote desktop qua VPN (Virtual Private Network).

1. Khái niệm Cơ bản về Bảo mật VPN

VPN tạo ra một đường hầm ảo được mã hóa qua internet cho phép truy cập an toàn vào mạng nội bộ từ bên ngoài. Khi bạn sử dụng VPN, người dùng bên ngoài không thể truy cập trực tiếp vào port RDP và phải kết nối VPN trước rồi mới truy cập máy tính trong mạng nội bộ qua remote desktop.

2. Lợi ích Tăng cường Bảo mật

  • Cấu trúc Xác thực Kép: Đăng nhập VPN → Đăng nhập RDP cho bảo mật nhiều lớp
  • Giao tiếp Được Mã hóa: Tất cả truyền dữ liệu đều được mã hóa an toàn
  • Ẩn Địa chỉ IP: Địa chỉ IP thực của server RDP được giấu khỏi bên ngoài
  • Chặn Truy cập Hoàn toàn: Không có kết nối VPN thì server RDP thậm chí không thể phát hiện được

3. Các Phương pháp Triển khai VPN Chính

Sử dụng Tính năng VPN của Router Gia đình

Hầu hết router hiện đại có chức năng server VPN tích hợp cho phép bạn thiết lập VPN mà không tốn thêm chi phí. Bạn có thể kích hoạt server VPN trong trang quản lý router và tạo tài khoản người dùng.

Dịch vụ VPN Thương mại

Sử dụng dịch vụ VPN thương mại như ExpressVPN, NordVPN hoặc Surfshark để có IP cố định và cấu hình truy cập RDP chỉ từ IP đó.

Thiết lập VPN Cloud

Sử dụng giải pháp VPN dịch vụ cloud như AWS VPN Gateway hoặc Azure VPN Gateway để xây dựng môi trường VPN cấp chuyên nghiệp.

Thiết lập Server VPN Mã nguồn Mở

Cài đặt các giải pháp mã nguồn mở như OpenVPN, WireGuard hoặc SoftEther VPN trên server riêng để xây dựng môi trường VPN tùy chỉnh.

4. Phương pháp Được Khuyến nghị

Đối với người dùng cá nhân, trước tiên hãy kiểm tra xem router của bạn có tính năng VPN tích hợp không. Đối với môi trường doanh nghiệp, hãy xem xét giải pháp VPN cloud. Sau khi thiết lập VPN, hãy chặn hoàn toàn truy cập trực tiếp bên ngoài vào port RDP trong firewall và cấu hình chỉ truy cập qua VPN để đạt được mức bảo mật remote desktop cao nhất.