ฉันควรเปิดพอร์ตใดเพื่ออนุญาตเดสก์ท็อประยะไกล


คำตอบ:


158

เดสก์ท็อประยะไกลต้องใช้พอร์ต TCP 3389 เพื่อเปิด

เป็นไปได้ที่จะเปลี่ยนพอร์ตที่ใช้โดยเซิร์ฟเวอร์เทอร์มินัล (หรือ PC ที่เข้าถึงได้) ดูบทความสนับสนุนของ Microsoft นี้: "วิธีเปลี่ยนพอร์ตการฟังสำหรับเดสก์ท็อประยะไกล"


10
คุณสามารถมีพอร์ตอื่นได้หากคุณใช้การส่งต่อพอร์ต พอร์ตส่วนตัวคือ 3389 ดังกล่าวข้างต้นเว้นแต่คุณจะเปลี่ยนและพอร์ตสาธารณะสามารถเป็นอะไรก็ได้ ฉันได้ตั้งค่าของฉันเป็น 10,000 ดังนั้นเมื่อฉันเชื่อมต่อโดยใช้การเชื่อมต่อเดสก์ท็อประยะไกลฉันต้องป้อน mycomputer.com:10000
Joseph

2
การเชื่อมโยงการปรับปรุงเพื่อให้บทความสนับสนุน MS: support.microsoft.com/en-us/help/306759 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumberสำหรับการอ้างอิงคีย์รีจิสทรีคือ
Mark Berry

@Markberry มันบอกว่า RDP tcp ... ฉันไม่ควรบล็อก 3389 ใน udp หรือไม่?
deadManN

@deadManN - ไฟร์วอลล์และเราเตอร์ส่วนใหญ่ปิดกั้นพอร์ตขาเข้าทั้งหมดยกเว้นว่าคุณจะเปิดดังนั้นถ้าคุณมีกฎนั้นเป็นค่าเริ่มต้นสำหรับ RDP คุณจะต้องเพิ่มข้อยกเว้นสำหรับ TCP 3389 เท่านั้น
Mark Berry

โปรดทราบว่า RDP โดยเฉพาะบนพอร์ตเริ่มต้น 3389 นั้นเป็นเป้าหมายของการแฮ็คมากขึ้นเช่นโดย GoldBrute นอกจากนี้ยังมีช่องโหว่ RDP สองรายการที่เปิดเผยในช่วงสองเดือนที่ผ่านมา: CVE-2019-0708 และ CVE-2019-9510 โปรแกรมแก้ไขไม่ใช้ RDP หรือใช้ 2FA สำหรับ RDP
Mark Berry

12

นอกจากการเปิดพอร์ต 3389 สำหรับ UDP และ TCP แล้วฉันยังต้องไปแก้ไขกฎไฟร์วอลล์ windows และตั้งค่าการแวะผ่านขอบเพื่ออนุญาต แบบนี้:

ป้อนคำอธิบายรูปภาพที่นี่


Windows รุ่นนี้เป็นรุ่นอะไรและคุณไปที่นั่นได้อย่างไร
Brian Z

2
@BrianZ นี่คือ Windows 7/8/10 และไปที่นั่นเพียงเปิดเมนู Start ค้นหา "ไฟร์วอลล์" และคลิกที่ "การตั้งค่าขั้นสูง" บนแผงด้านซ้ายคลิกที่Inbound Rulesแผงด้านซ้ายและบนแผงหลัก ค้นหาRemote Desktop - User Mode (TCP-In)และRemote Desktop - User Mode (UDP-In)อนุญาตการใช้การข้ามผ่านขอบทั้งสองอย่าง
Shayan

มันใช้งานได้สำหรับฉันหากไม่มีชุดนี้ทำไมคุณถึงผอมขนาดนี้จำเป็น
คืน

8

หากคุณไม่ต้องการใช้ 3389 จากภายนอกให้เปิดพอร์ตอื่นภายนอก แต่ให้ชี้ไปที่ 3389 บนที่อยู่ IP ของเครื่องที่คุณต้องการเปิด RDC สิ่งนี้มีประโยชน์สำหรับการกำหนดเส้นทางหลายระบบด้วย RDC มันก็ดีเพราะมันไม่จำเป็นต้องแก้ไขรีจิสตรี


7

ข้อยกเว้นเดียวกับคำตอบก่อนหน้า (3389) คือเมื่อใช้ Small Business Server ผ่าน Remote Web Workplace

ในกรณีนี้เซิร์ฟเวอร์ NAT จะทำการเชื่อมต่อระหว่างคุณกับเซิร์ฟเวอร์พอร์ต 80 (HTTP) หรือ 443 (HTTPS) จากนั้นเชื่อมต่อกับคอมพิวเตอร์ภายใน ดังนั้นจำเป็นต้องมีเพียง 80/443


4

พอร์ตอะไรที่ฉันควรจะเปิดให้สก์ท็อประยะไกล - คำตอบ: ไม่มี
การเปิด RDC สู่อินเทอร์เน็ตเป็น BAD IDEA สแกนเนอร์พอร์ตจะรับที่เปิด 3389 ได้อย่างรวดเร็วและพยายามที่จะทำลายการเข้าสู่ระบบของคุณ https://www.grc.com/port_3389.htm


4
ยุติธรรมพอ แต่การเปิดพอร์ตไปยังที่อยู่ IP ที่เฉพาะเจาะจงนั้นไม่ได้เป็นการปฏิบัติที่ไม่ดีเลยเลยไม่ได้ระบุว่าการเปิดให้ประชาชนทั่วไปมีความตั้งใจ
ลุคอัลเดอร์ตัน

2

หากความปลอดภัยเกี่ยวข้องและคุณมีเราเตอร์ที่ใช้ Linux (เช่น OpenWrt) ดังนั้นอย่าเพิ่มรายการ NAT ใด ๆ สำหรับ 3389 ในกรณีนี้

ใช้เราเตอร์ของคุณเป็นเซิร์ฟเวอร์กระโดดและสร้างพอร์ต SSH ไปข้างหน้า

  1. sshd ของเราเตอร์ของคุณฟังพอร์ต 22 สำหรับเครือข่าย LAN
  2. นอกจากนี้ยังฟังพอร์ต A สำหรับเครือข่าย WAN (หนึ่งที่เปิดเผยเท่านั้น) ที่มีการตรวจสอบคีย์สาธารณะเท่านั้นจึงไม่มีความพยายามรหัสผ่านที่ดุร้าย
  3. สร้างคู่กุญแจสาธารณะ / ส่วนตัวใส่คู่ส่วนตัวบนอุปกรณ์ไคลเอนต์ของคุณคัดลอกสาธารณะลงบนเราเตอร์ของคุณ (ลงในไฟล์ authorized_keys)
  4. สร้างอุโมงค์จากอุปกรณ์ไคลเอนต์ของคุณ: ssh -p [พอร์ต A] -L: [พอร์ต B]: RDP-box: 3389 root @ เราเตอร์ (คุณสามารถบันทึกสิ่งนี้ในการกำหนดค่า SSH หรือส่วนกำหนดค่าเทอร์มินัลเพื่อใช้งานได้ง่ายในอนาคต)
  5. เชื่อมต่อ RDP จาก localhost: [พอร์ต B]

1

คุณควรเปิด TCP และ UDP 3389 (เว้นแต่คุณจะระบุพอร์ตที่กำหนดเอง)

ในขณะที่คำตอบที่ยอมรับ (เฉพาะ TCP 3389) ที่ใช้ถูกต้องในเวลานั้นจะไม่ทันสมัย ในปี 2012 Microsoft ได้แนะนำ UDP transport ของ RDP ทั้งนี้ขึ้นอยู่กับเครือข่ายของคุณนี้สามารถปรับปรุงประสิทธิภาพของเซสชัน RDP ของคุณอย่างมาก ดูลิงก์นี้โดย Microsoft สำหรับคำอธิบายโดยละเอียดเพิ่มเติม: https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/RemoteFX-for-WAN-Overview-of-Intelligent-and-Adaptive-Transports/ba- P / 247,478


0

เราสามารถตั้งค่าหมายเลขพอร์ต RDP แบบกำหนดเองโดยใช้พา ธ ต่อไปนี้ >> เซิร์ฟเวอร์ HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal \ WinStations \ RDP-Tcp

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.