Hoe u de poort voor extern bureaublad in Windows kunt wijzigen
Het wijzigen van de standaard RDP-poort is niet bepaald eenvoudig, vooral omdat Windows deze standaard op 3389 vastzet. Dit kan behoorlijk irritant zijn, want laten we eerlijk zijn, een open standaardpoort is als een open deur voor hackers. Als je te maken hebt met een server die openbaar toegankelijk is of gewoon een extra beveiligingslaag wilt toevoegen, is het verstandig om de poort te wijzigen naar iets anders – bij voorkeur boven 1024. Let op: je hebt beheerdersrechten nodig om het register en de firewallinstellingen te bewerken. Als je het goed hebt gedaan, zou je zonder veel problemen verbinding moeten kunnen maken via de nieuwe poort, maar controleer dit altijd met netstat of PowerShell-opdrachten om er zeker van te zijn dat alles luistert naar de juiste poort. En onthoud: alleen het wijzigen van de poort is geen wondermiddel. Een open RDP-verbinding met het internet blijft een uitnodiging voor hackers om te scannen en aan te vallen, dus het gebruik van VPN’s of RD Gateway wordt nog steeds sterk aanbevolen als je externe toegang openstelt. Kies bovendien een poort die niet door andere programma’s wordt gebruikt en vermijd poorten in het bereik 1-1023, aangezien deze als “bekend” en kwetsbaar worden beschouwd. Test uiteraard elke stap voordat u uzelf volledig de toegang op afstand ontzegt.
Stappen om de Remote Desktop-poort in Windows te wijzigen
Wijzig de poort via de register- en firewallregels.
Deze aanpak is de klassieke methode: het register bewerken, de firewall aanpassen en vervolgens de services opnieuw starten. Het helpt om Remote Desktop minder gemakkelijk detecteerbaar te maken voor scriptkiddies die de standaardpoort 3389 scannen. Kies eerst een poortnummer boven 1024 dat niet elders in gebruik is (zoals 1350, 5000 of iets dergelijks).Voer vervolgens deze opdrachten uit als beheerder, bij voorkeur in PowerShell of de opdrachtprompt: Deze opdrachten doen een aantal dingen. Ze passen het register aan om de poort te wijzigen waarop RDP luistert, stellen inkomende regels in op de Windows Firewall om verkeer via de nieuwe poort toe te laten en starten ten slotte de Remote Desktop Service opnieuw om de wijzigingen toe te passen. In sommige configuraties kan het opnieuw starten van de service vreemd verlopen – soms wordt de verbinding verbroken, soms niet – maar het is de moeite waard. Volgende stap: pas het register handmatig aan als u de voorkeur geeft aan een grafische interface. Open regedit.exe en ga naar: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp. Zoek de DWORD met de naam PortNumber. De standaardwaarde is 3389. Wijzig deze naar uw aangepaste poort (decimaal, dus voor 1350 typt u gewoon 1350).Als u bekend bent met PowerShell, kunt u het volgende commando uitvoeren: Zodra dat is gedaan, maakt u firewallregels aan. U kunt dit doen via de grafische interface met wf.msc, of beter nog, voer het volgende commando uit: Nadat u alles hebt ingesteld, start u uw computer opnieuw op of start u de service opnieuw met: Om verbinding te maken met deze nieuwe poort, voegt u deze toe aan de verbindingsreeks van mstsc.exe, bijvoorbeeld: of. Als u RDCMan gebruikt, moet u de poort daar ook bijwerken. Controleer ten slotte of RDP luistert op uw nieuwe poort door het volgende commando uit te voeren: en zoek naar uw poort.set p=1350 reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d %p% /f netsh advfirewall firewall add rule name="Custom-RDP-Port-TCP" protocol=TCP localport=%p% action=allow dir=IN netsh advfirewall firewall add rule name="Custom-UDP-Port-UDP" protocol=UDP localport=%p% action=allow dir=IN net stop TermService /y net start TermServiceSet-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Name PortNumber -Value 1350New-NetFirewallRule -DisplayName "NewRDPPort-TCP-In" -Direction Inbound -LocalPort 1350 -Protocol TCP -Action Allow New-NetFirewallRule -DisplayName "NewRDPPort-UDP-In" -Direction Inbound -LocalPort 1350 -Protocol UDP -Action Allownet stop termservice & net start termserviceyourhost:1350192.168.1.10:1350netstat -na | find "LISTEN"
Het proces automatiseren met behulp van PowerShell.
Als je dit allemaal wilt automatiseren met een script, is hier een snel en eenvoudig PowerShell-fragment. Voer het gewoon uit en het zal je vragen om je nieuwe poort, waarna het de rest voor je doet. Als WinRM is ingeschakeld, kun je dit zelfs op afstand uitvoeren met Invoke-Command, maar dat is weer een heel ander verhaal.— Hopelijk is dit allemaal duidelijk. Het wijzigen van de poort is niet ingewikkeld, maar het is niet 100% waterdicht. Vergeet niet je externe verbinding te testen na het aanbrengen van wijzigingen. In sommige configuraties kunnen er wat problemen optreden, vooral met VPN’s of aangepaste firewalls, dus wees voorbereid op het oplossen van problemen. Succes! Write-host "Specify the number of your new RDP port: " -ForegroundColor Yellow -NoNewline; $RDPPort = Read-Host Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP\" -Name PortNumber -Value $RDPPort New-NetFirewallRule -DisplayName "NewRDPPort-TCP-In-$RDPPort" -Direction Inbound -LocalPort $RDPPort -Protocol TCP -Action Allow New-NetFirewallRule -DisplayName "NewRDPPort-UDP-In-$RDPPort" -Direction Inbound -LocalPort $RDPPort -Protocol UDP -Action Allow Restart-Service termservice -Force Write-host "The RDP port is now set to $RDPPort" -ForegroundColor Magenta
Samenvatting
- Kies een ongebruikte poort boven 1024 (bijvoorbeeld 1350).
- Bewerk het register om het poortnummer te wijzigen.
- Maak firewallregels aan voor de nieuwe poort.
- Start de Remote Desktop Service opnieuw op of herstart de computer.
- Verbinden via
hostname:port
Samenvatting
Het wijzigen van de RDP-poort kan een extra laag van ondoorzichtigheid toevoegen en hopelijk de kans op brute force-aanvallen verkleinen. Vergeet echter niet dat dit geen vervanging is voor de juiste beveiligingsmaatregelen zoals VPN’s of multifactorauthenticatie, vooral niet als er sprake is van blootstelling aan internet. Houd na de configuratie uw logboeken in de gaten en zorg ervoor dat u de updates up-to-date houdt. Hopelijk helpt dit iemand om de gebruikelijke problemen met de standaardpoort te vermijden en werkt het zonder dat u zelf de toegang tot uw externe bureaublad verliest.