1. Що таке RDP протокол
2. Порт rdp за замовчуванням
3. Принцип роботи протоколу rdp
4. Етапи RDP з'єднання
5. Безпека в RDP протоколі
6. Standard RDP Security
7. Enhanced RDP Security
8. Змінити порт rdp

Добрий день шановні читачі і гості блогу, сьогодні у нас з вами ось таке завдання: змінити входить порт служби RDP (термінального сервера) зі стандартного 3389 на якийсь інший. Нагадую, що RDP служба це функціонал операційних систем Windows, завдяки якому ви можете по мережі відкрити сесію на потрібний вам комп'ютер або сервер по протоколу RDP, і мати можливість за ним працювати, так як ніби ви сидите за ним локально.

Що таке RDP протокол

Перш ніж, що то змінювати, добре б розуміти, що це і як це працює, я вам про це не перестаю повторювати. RDP або Remote Desktop Protocol це протокол віддаленого робочого стола в операційних системах Microsoft Windows, хоча його походження йде від компанії PictureTel (Polycom). Microsoft просто його купила. Використовується для віддаленої роботи співробітника або користувача з віддаленим сервером. Найчастіше такі сервера несуть роль сервер терміналів , На якому виділені спеціальні ліцензії, або на користувача, або на пристрої, CAL. Тут задумка була такою, є дуже потужний сервер, то чому б не використати його ресурси спільно, наприклад під додаток 1С. Особливо це стає актуальним з появою тонких клієнтів.

Сам сервер терміналів світ побачив, аж в 1998 році в операційній системі Windows NT 4.0 Terminal Server, я якщо чесно тоді й не знав, що таке є, та й в Росії ми в той час все грали в денді або сегу. Клієнти RDP з'єднання, на поточний момент є у всіх версіях Windows, Linux, MacOS, Android. Найсучасніша версія RDP протоколу на поточний момент 8.1.

Порт rdp за замовчуванням

Відразу напишу порт rdp за замовчуванням 3389, я думаю все системні адміністратори його знають.

Принцип роботи протоколу rdp

І так ми з вами зрозуміли для чого придумали Remote Desktop Protocol, тепер логічно, що потрібно зрозуміти принципи його роботи. Компанія Майкрософт виділяє два режими протоколу RDP:

• Remote administration mode> для адміністрування, ви потрапляєте на віддалений сервер і налаштовуєте і адмініструєте його
• Terminal Server mode> для доступу до сервера додатків, Remote App або спільне використання його для роботи.

Взагалі якщо ви без сервера терміналів встановлюєте Windows Server 2008 R2 - 2016, то там за замовчуванням у нього буде дві ліцензії, і до нього одночасно зможуть підключитися два користувача, третього доведеться для роботи кого то викидати. У клієнтських версіях Windows, ліцензій всього одна, але і це можна обійти, я про це розповідав в статті сервер терміналів на windows 7 . Так само Remote administration mode, можна кластерізіровать і збалансувати навантаження, завдяки технології NLB та сервера сервера підключень Session Directory Service. Він використовується для індексації призначених для користувача сесій, завдяки саме цим сервером у користувача вийти увійти на віддалений робочий стіл термінальних серверів в розподіленої середовищі. Так само обов'язковими компонентами йдуть сервер ліцензування .

RDP протокол працює по TCP з'єднання і є прикладним протоколом. Коли клієнт встановлює з'єднання з сервером, на транспортному рівні створюється RDP сесія, де йде узгодження методів шифрування і передачі даних. Коли всі узгодження визначені і ініціалізація закінчена, сервер терміналів, передає клієнту графічний висновок і очікує вхідні дані від клавіатури і миші.

Remote Desktop Protocol підтримує кілька віртуальних каналів в рамках одного з'єднання, завдяки цьому можна використовувати додатковий функціонал

• Передати на сервер свій принтер або COM порт
• Перенаправити на сервер свої локальні диски
• Буфер обміну
• Аудіо та відео

Етапи RDP з'єднання

• установка з'єднання
• Узгодження параметрів шифрування
• аутентифікація серверів
• Узгодження параметрів RDP сесії
• аутентифікація клієнта
• Дані RDP сесії
• Розрив RDP сесії

Безпека в RDP протоколі

Remote Desktop Protocol має два методи аутентифікації Standard RDP Security і Enhanced RDP Security, нижче розглянемо обидва більш докладно.

Standard RDP Security

RDP протокол при цьому методі аутентифікації, шифрує підключення засобами самого RDP протоколу, які є в ньому, ось таким методом:

• Коли ваша операційна система запускається, то йде генерація пари RSA ключиків
• Йде створення сертифіката відкритого ключа Proprietary Certificate
• Після чого Proprietary Certificate підписується RSA ключем створеним раніше
• Тепер RDP клієнт підключившись до термінального сервера отримає Proprietary Certificate
• Клієнт його дивиться і звіряє, далі отримує відкритий ключ сервера, який використовується на етапі узгодження параметрів шифрування.

Якщо розглянути алгоритм за допомогою якого все шифрується, то це потоковий шифр RC4. Ключі різної довжини від 40 до 168 біт, все залежить від редакції операційної системи Windows, наприклад в Windows 2008 Server - 168 біт. Як тільки сервер і клієнт визначилися з довжиною ключа, генеруються два нових різних ключа, для шифрування даних.

Якщо ви запитаєте про цілісність даних, то тут вона досягається за рахунок алгоритму MAC (Message Authentication Code) що базується на SHA1 і MD5

Enhanced RDP Security

RDP протокол при цьому методі аутентифікації використовує два зовнішніх модуля безпеки:

TLS підтримується з 6 версії RDP. Коли ви використовуєте TLS, то сертифікат шифрування можна створити засобами термінального сервера, самоподпісний сертифікат або вибрати зі сховища.

Коли ви задієте CredSSP протокол, то це симбіоз технологій Kerberos, NTLM і TLS. При цьому протоколі сама перевірка, при якій перевіряється дозвіл на вхід на термінальний сервер здійснюється заздалегідь, а не після повноцінного RDP підключення, і тим самим ви економите ресурси термінального сервера, плюс тут більш надійне шифрування і можна робити одноразовий вхід в систему (Single Sign On ), завдяки NTLM і Kerberos. CredSSP йде тільки в ОС не нижче Vista і Windows Server 2008. Ось ця галка у властивостях системи

уможливити з'єднання тільки з комп'ютерів, на яких працює віддалений робочий стіл з перевіркою достовірності на рівні мережі.

Змінити порт rdp

Для того, щоб змінити порт rdp, вам буде потрібно:

1. Відкриваємо редактор реєстру (Пуск -> Виконати -> regedit.exe)
2. Переходимо до наступного розділу:

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp

Знаходимо ключ PortNumber і міняємо його значення на номер порту, який Вам потрібен.

Виберіть обов'язково десяткове значення, я для прикладу поставлю порт 12345.

Як тільки ви це зробили, то запустіть службу віддалених робочих столів, через командний рядок, ось такими командами:

Далі не забудьте в брандмауері Windows після зміни порту RDP відкрити його, для цього тиснемо WIN + R і у вікні виконати пишемо firewall.cpl.

Далі переходимо до пункту Додаткові параметри

І створюємо нове вхідне правило для нового rdp порту. Нагадую, що порт rdp за замовчуванням 3389.

Вибираємо, що правило буде для порту

Протокол залишаємо TCP і вказуємо новий номер RDP порту.

Правило у нас буде що дозволяє RDP з'єднання по які стандартному порту

При необхідності задаємо потрібні мережеві профілі.

Ну і назвемо правило, зрозумілим для себе мовою.

Для підключення з клієнтських комп'ютерів Windows адресу пишіть із зазначенням порту. Наприклад, якщо порт Ви змінили на 12345, а адреса сервера (або просто комп'ютера, до якого підключаєтеся): myserver, то підключення по MSTSC буде виглядати так:
mstsc -v: myserver: 12345

або через командний рядок.

Як бачите змінити порт rdp зовсім не важке завдання, все теж саме можна зробити засобами групової політики.