los Protocolo de escritorio remoto (RDP) se utiliza para acceder de forma remota al escritorio de una computadora o un servidor Windows. Por defecto, TCP 3389 se utiliza para la conexión remota. Si su computadora / servidor está conectado directamente a Internet (VDS / VPS) y tiene una dirección IP pública, entonces, por razones de seguridad, es recomendable cambiar el número de puerto RDP predeterminado.
El hecho es que la mayoría de las herramientas de piratería pueden intentar usar el ataque de fuerza bruta contra su infraestructura RDP a través del número de puerto RDP predeterminado. También existe un alto riesgo de explotación de vulnerabilidades de día cero contra RDP. Durante el año pasado, Microsoft ha corregido hasta 2 vulnerabilidades críticas en RDP (BlueKeep y BlueKeep-2) que podrían explotarse mediante la ejecución remota de código.
¿Cómo cambiar el número de puerto RDP predeterminado en Windows 10?
Veamos cómo cambiar el puerto RDP predeterminado en Windows 10. La configuración del puerto RDP se establece en el Número de puerto en la clave de registro HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server WinStations RDP-Tcp. Para cambiar manualmente el número de puerto RDP:
- Ejecute el Editor del registro (regedit.exe) con permisos de administrador;
- Vaya a la clave de registro HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server WinStations RDP-Tcp;
- Cambie el valor DWORD del Número de puerto parámetro en formato decimal. Por ejemplo, especifique el número de puerto 41212;
- Abra la consola de administración de servicios (services.msc) y reinicie el servicio de Servicios de escritorio remoto.
Insinuación. También puede cambiar el número de puerto RDP desde el símbolo del sistema:
reg add "HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v PortNumber /t REG_DWORD /d 41212 /f
o con PowerShell:
Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TCP" -Name PortNumber -Value 41212
Si tiene Windows Defender Firewall con seguridad avanzada habilitada en su computadora, debe permitir el tráfico TCP entrante al nuevo número de puerto RDP. Puede crear una nueva regla para el tráfico entrante al puerto 41212 a través del wf.msc consola gráfica o desde la línea de comandos:
netsh advfirewall firewall add rule name="RDP new port" dir=in action=allow protocol=TCP localport=41212
Después de eso, puede conectarse a su computadora con Windows a través de un puerto RDP no estándar. Por ejemplo, si usa el cliente de Conexión de escritorio remoto de Windows integrado (mstsc.exe), debe especificar un nuevo número de puerto RDP en los dos puntos después de la dirección del nombre de host (IP) de la computadora o usar este comando:
mstsc /v:192.168.10.10:41212
Configurar el reenvío de puertos de escritorio remoto
También puede cambiar el número de puerto RDP en el que se puede acceder a su computadora externamente usando reenvío de puertos técnica. Esos, cuando se conecta a su computadora desde Internet, necesita conectarse a su puerta de enlace al puerto especificado, y el dispositivo de puerta de enlace reenviará automáticamente este tráfico al puerto RDP 3389 de su computadora de intranet.
Los ajustes específicos que debe realizar dependen del dispositivo que actúa como puerta de entrada a Internet. Por ejemplo, la dirección IP de su computadora con Windows es 192.168.1.15 y desea configurar el reenvío de puerto externo (PAT) 41212 al puerto RDP estándar 3389.
Puede usar la siguiente configuración para diferentes tipos de dispositivos para crear una regla de reenvío de puertos RDP.
Para Linux Gateway con firewall iptables:
iptables -t nat -A PREROUTING -p tcp --dport 41212 -i eth0 -j DNAT --to-destination 192.168.1.15:3389
Para Windows Gateway Server:
netsh interface portproxy add v4tov4 listenport=41212 listenaddress=88.88.88.88 connectport=3389 connectaddress=192.168.1.15
Para enrutadores Cisco:
Ip nat inside source static tcp 192.168.1.15 3389 88.88.88.88:41212
Para dispositivos Microtik:
add chain=dstnat action=dst-nat to-addresses=192.168.1.15 to-ports=3389 protocol=tcp in-interface=ether2 dst-port=41212