يستخدم توصيل الكمبيوتر الشخصي الذي يعمل بنظام Windows بجهاز كمبيوتر مضيف عن بُعد بروتوكول اتصال الشبكة الخاص بشركة Microsoft والمعروف باسم بروتوكول سطح المكتب البعيد (RDP).
TCP 3389 هو المنفذ الافتراضي المخصص لـ RDP على جهاز الكمبيوتر الخاص بك. لكن يجب عليك تغييره. إليك سبب إجراء التغيير وكيفية القيام بذلك وكيفية تكوين قواعد جدار حماية Windows لمنفذ RDP مخصص.
لماذا يجب عليك تغيير منفذ RDP
TCP 3389 ، منفذ RDP افتراضي لجميع الاتصالات البعيدة ، موجود على رادار المتسللين. هم يستخدمون هجمات القوة الغاشمة وطرق أخرى لتخمين بيانات اعتماد تسجيل الدخول للوصول إلى TCP 3389. بمجرد دخولهم ، يمكنهم سرقة أو تشفير البيانات الحساسة ، وتثبيت البرامج الضارة ، والقيام بأي شيء يخطر ببالهم على أجهزة الكمبيوتر البعيدة.
عندما تقوم بتغيير رقم منفذ RDP الافتراضي من 3389 إلى أي منفذ مجاني آخر ، يصبح من الصعب على المتسللين تخمين منفذ RDP الذي تستخدمه. ويكون تغيير منفذ RDP مفيدًا بشكل خاص عند إيقاف تشغيل المصادقة على مستوى الشبكة (NLA).
في بعض الأحيان ، يتم تكوين بعض جدران الحماية لحظر الاتصالات الواردة والصادرة من وإلى المنفذ 3389 افتراضيًا لمنع المتسللين من الوصول إلى المنفذ 3389. يمكن أن يكون تغيير منفذ RDP الافتراضي إحدى الطرق للتغلب على جدران الحماية هذه.
كيفية التحقق من رقم منفذ RDP الافتراضي لجهاز الكمبيوتر الخاص بك
يضعط شبابيك + X، وفتح المحطة الطرفية (المسؤول). الصق الأمر التالي في Windows PowerShell ، واضغط على يدخل.
Get-ItemProperty -Path 'HKLM: \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp' -name "PortNumber"
لقد وجدت منفذ RDP الافتراضي لجهاز الكمبيوتر الخاص بك.
كيفية تغيير منفذ RDP
يمكنك تغيير منفذ RDP TCP الافتراضي لجهاز الكمبيوتر الخاص بك إلى منفذ جديد عن طريق إجراء بعض التعديلات في محرر التسجيل. العملية بسيطة.
لكننا نوصيك بشدة أولاً عمل نسخة احتياطية من سجل ويندوز بحيث يمكنك استعادته بسرعة إذا حدث خطأ ما. هنا كيفية القيام بذلك.
يضعط شبابيك + ر لفتح يجري، واكتب "regedit" في مربع البحث. يضعط نعم لفتح محرر التسجيل.
انقر بزر الماوس الأيمن فوق حاسوب واختر يصدّر من قائمة السياق.
سيطلب تصدير ملف التسجيل اختيار الموقع واسم الملف لملفات التسجيل المصدرة. اختر موقعًا وقم بتصدير السجل باسم يمكنك تذكره بسهولة.
بمجرد الانتهاء من النسخ الاحتياطي لسجل Windows ، اتبع الخطوات المذكورة أدناه لتغيير منفذ RDP. في هذا المثال ، اخترنا المنفذ 51289 لجعله منفذ الاستماع RDP لخدمة سطح المكتب البعيد.
افتح محرر تسجيل Windows ، والصق الأمر التالي في شريط البحث. يضعط يدخل للوصول إلى إعدادات RDP-TCP.
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp
قم بالتمرير لأسفل في الشريط الجانبي الأيمن حتى تصل رقم المنفذ. انقر نقرًا مزدوجًا فوقه للتحرير. حدد ملف عدد عشري خيار الراديو في نافذة التحرير ، وأدخل رقم المنفذ الذي تريده (51289) في ملف بيانات القيمة مجال. انقر نعم لاستكمال.
أغلق محرر تسجيل Windows وأعد تشغيل الكمبيوتر. لقد نجحت في تغيير منفذ RDP الافتراضي لجهاز الكمبيوتر الخاص بك إلى 51289.
يمكنك أيضًا تغيير منفذ RDP الافتراضي الخاص بك بمساعدة أمر Windows PowerShell.
قم بتشغيل Windows المحطة الطرفية (المسؤول)، والصق أمر PowerShell التالي في نافذة الأوامر. ثم اضغط يدخل.
Set-ItemProperty -Path "HKLM: \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp \" -اسم PortNumber -Value 51289
تم تغيير منفذ RDP الافتراضي على جهاز الكمبيوتر الشخصي الذي يعمل بنظام Windows إلى منفذ RDP غير قياسي: 51289. سيستخدم جهاز الكمبيوتر الخاص بك الآن منفذ 51289 للاتصال بسطح المكتب البعيد.
كيفية اختيار الرقم الصحيح لمنفذ RDP مخصص
يوجد 65.535 رقم منفذ. تستخدم تطبيقات TCP / IP الشائعة أرقام المنافذ من 0 إلى 1023 ، والتي تسمى المنافذ المعروفة جيدًا. على سبيل المثال ، يتم استخدام رقم المنفذ 443 للمصادقة القائمة على الشهادات (HTTPS).
لذلك يُنصح بعدم تغيير منفذ RDP على Windows إلى أي رقم من 0 إلى 1023.
تُعرف المنافذ من 49152 إلى 65535 باسم المنافذ الديناميكية ويتم استخدامها بشكل شائع من قبل العملاء لإجراء اتصال بالخادم. نتيجة لذلك ، يفضل العديد من الأشخاص اختيار رقم منفذ من 49152 إلى 65535 لتجنب التعارض مع أي خدمات معروفة أو مخصصة.
تكوين جدار حماية Windows لمنفذ RDP مخصص
الآن بعد أن قمت بتغيير رقم منفذ RDP الافتراضي على جهاز الكمبيوتر الخاص بك ، يجب عليك إنشاء قواعد جدار حماية Windows لرقم منفذ RDP المخصص.
إذا لم تفعل ذلك ، فقد يمنعك مدافع جدار حماية Windows من استخدام خدمات سطح المكتب البعيد باستخدام منفذ RDP المخصص.
قم بتشغيل Windows Terminal (Admin) واكتب ما يلي في موجه الأوامر. ثم اضغط يدخل.
New-NetFirewallRule -DisplayName 'RDPPORT_TCP' -الملف الشخصي 'عام' -الاتجاه الوارد -السماح الإجراء -البروتوكول TCP -LocalPort 51289
الآن ، الصق الأمر التالي واضغط يدخل.
New-NetFirewallRule -DisplayName 'RDPPORT_UDP' -الملف الشخصي 'عام' -الاتجاه الوارد -السماح الإجراء -Protocol UDP -LocalPort 51289
أعد تشغيل جهاز الكمبيوتر الخاص بك وقم بتشغيل ميزة سطح المكتب البعيد على جهاز الكمبيوتر الخاص بك. سيستخدم منفذ RDP المخصص للاستماع.
كيفية تحسين أمان RDP
يحاول المتسللون باستمرار استغلال نقاط الضعف في RDP. يعد تغيير منفذ RDP الافتراضي طريقة واحدة فقط لتعزيز أمان منفذ RDP.
فيما يلي بعض أفضل نصائح أمان RDP لمنع أ هجوم بروتوكول سطح المكتب البعيد.
- يجب أن يستخدم كل حساب له حق الوصول إلى سطح مكتب بعيد كلمات مرور قوية ومصادقة متعددة العوامل.
- تقدم Microsoft تصحيحات لنقاط الضعف المعروفة ، لذا يجب عليك التأكد من تحديث نظام التشغيل لديك دائمًا.
- استخدم بوابة RDP لإضافة طبقة من الأمان إلى جلسات سطح المكتب البعيد.
- حافظ على تمكين المصادقة على مستوى الشبكة (NLA).
- تقييد المستخدمين الذين يمكنهم تسجيل الدخول باستخدام ميزة سطح المكتب البعيد.
أيضًا ، يجب عليك تنفيذ ملف مبدأ الامتياز الأقل يوفر للمستخدمين عن بُعد الحد الأدنى من مستوى الوصول إلى البيانات والموارد. نتيجة لذلك ، يمكنك الحد من الضرر الذي يمكن أن يسببه مجرمو الإنترنت في حالة وصولهم غير المصرح به إلى شبكة مؤسسة.
قم بتغيير منفذ RDP للبقاء محميًا
مع تزايد عدد الشركات التي تتبنى نموذج العمل عن بُعد ، زاد عدد الاتصالات عن بُعد بشكل كبير. وبالتالي ، يستهدف المتسللون منفذ بروتوكول سطح المكتب البعيد الافتراضي للوصول إلى شبكات المؤسسة.
يعد تغيير منفذ RDP إستراتيجية ممتازة لإبقاء منفذ RDP مخفيًا عن المتسللين ، حيث يستهدف المتسللون عادةً منفذ سطح المكتب البعيد الافتراضي. بالإضافة إلى ذلك ، يجب عليك زيادة أمان منفذ RDP الخاص بك لجعل منفذ RPD الخاص بك غير قابل للوصول إلى المتسللين.