Шукати:
Как изменить порт RDP на Windows Server 2016

Как защитить Важный сервер в локальной сети, что Вы скажете на этом счет, да можно настроить брандмауэер, а можно изменить дефолтный RDP порт по умолчанию на принятый только Вами для серверов. Потому все кто приходят к Вам в отдел работать или попадают в сеть то используют дефолтные оснастки, а все что по дефолту — это значит что злоумышленник уже прошел один рубеж защиты.

Я всегда в подконтрольной среде придерживаюсь правила изменения дефолтных настроек подключения на свои выработанные правила. Вот к примеру порт для удаленного подключения RDP использует протокол TCP/3389.

Запуск Win + R → cmd.exe → mstsc server и некто инициировал подключение к серверу, а если это не прокатит то этого некто данное введет в заблуждение/непонимание, как так.

Шаги изменения дефолтного порта для RDP подключения.

Шаг №1: Включаю возможность удаленного подключения к системе по протоколу RDP

Win + X → Command Prompt (Admin)

1C:\Windows\system32>reg add “HKLM\System\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f

Шаг №2: Изменяю дефолтный RDP порт:

12345C:\Windows\system32>reg query “HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v PortNumber HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp PortNumber REG_DWORD 0xd3d
  • Значение 0xd3d — соответствует порту номером 3389
123C:\Windows\system32>reg add “HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v PortNumber /t REG_DWORD /d 0xea60 /f The operation completed successfully.
  • Значение 0xea60 — соответствует порту номером 60000

При выборе нового порта для подключения необходимо помнить о том, что существует несколько категорий портов в разбивке по их номерам:

  • Номера от 0 до 10213 — известные порты, которые назначаются и контролируются организацией IANA (Internet Assigned Numbers Authority). Как правило, их используют различные системные приложения ОС.
  • Порты от 1024 до 49151 — зарегистрированные порты, назначаемые IANA. Их позволяется использовать для решения частных задач.
  • Номера портов от 49152 до 65535 — динамические (приватные) порты, которые могут использоваться любыми приложениями или процессами для решения рабочих задач.
На заметку: Я не использую Windows брандмауэер, а потому отключаю его:netsh advfirewall set allprofiles state off

Настройки безопасности к серверам, рабочим станциям, телефонам, принтерам у меня всегда разбивается по VLAN(нам) и Access портам — так надежнее.

После того, как произвели изменения порта для активации настройки системой ее нужно перезагрузить.

1C:\Windows\system32>shutdown /r /t 3

После проверяю, что порт открыт и ожидает подключения:

123456789C:\Windows\system32>netstat -a | findstr :60000 TCP 0.0.0.0:60000 srv-backup:0 LISTENING TCP [::]:60000 srv-backup:0 LISTENING UDP 0.0.0.0:60000 *:* UDP [::]:60000 *:*

Итого заметка работоспособна. Да и безопасность налицо. На этом я прощаюсь с уважением автор блога Олло Александр aka ekzorchik.

Терминальный сервер в Server 2012 R2

Задача: разобрать как развернуть терминальный сервер на базе Server 2012 R2 Std

Заметка шпаргалка для самого себя в первую очередь.

Посмотрим что такого значимого изменилось со времен Server 2008 R2 Ent по организации terminal server в новой редакции Server 2012 R2 Std.

Как всегда дальнейшие действия будут проходить в англоязычном дистрибутиве, имеется система Windows Server 2012 R2 Std (English), авторизуюсь на ней под локальной учетной записью Администратора и следую нижеуказанным шагам.

Запускаю оснастку «Server Manager» — Win + X → Control Panel — Administrative Tools, после в оснастке добавляю роль: — Dashboard — Add roles and features , Next — отмечаю галочкой: Role-based or feature-based installation, Next — указываю что наделять дополнительным функционалом буду текущий сервер:

Select a server from the server pool: srv-serv (10.7.8.173), Next

Отмечаю роль в списке имеющих место быть развернутыми: Remote Desktop Services, Next

Из компонентов (Features) отмечаю: Role Administration Tools — Remote Desktop Services Tools —

  • Remote Desktop Licensing Diagnoser Tools
  • Remote Desktop Licensing Tools

и нажимаю Next, Next — затем отмечаю галочками сервисы которые нужны для будущего терминального сервера, в моем случае мне необходимо:

  • Remote Desktop Licensing
  • Remote Desktop Session Host

и нажимаю Next, отмечаю галочкой что после инсталляции роли сервер (систему) можно автоматически перезапустить: Restart the destination server automatically if required, Install

После перезагрузки, авторизуюсь в системе и донастраиваю указываю ключи активации с целью возможности удаленного подключения пользователей в размере купленной лицензии или использования ключей найденных на просторах интернета (но так нужно делать только в рамках тестирования, в своих экспериментах, а не для корпоративного использования).

  • Login: Administrator
  • Pass: 712mbddr@

Запускаю оснастку управления лицензированием для службы удаленных рабочих столов:
Win + X → Control Panel — Administrative Tools — Remote Desktop Services — Remote Desktop Licensing Manager, разворачиваю All Servers — SRV-SERV и через правый клик мышью по именованию данного хоста выбираю пункт из меню: Activate Server , Next ,

В качестве метода активации выбираю: Connection method: Automatic connection (recommended), Next

Указываю контактную информацию по компании на которую оформлен ключ, поля: First name (ekzorchik), Last name (ekzorchik), Company (ekzorchik), Country or Region (Russian) и нажимаю Next

На следующем шаге указываю расширенную контактную информацию EmailOrganizational unit, Company address, City, State/province, Postal code (на данном шаге я ничего не указывал), Next, а после отмечаю галочкой Start Install Licenses Wizard now и нажимаю Next, Next

Далее выбираю тип купленной лицензии — у меня, как и ранее я публиковал в заметке для Server 2008 R2 это код (Номер лицензионного соглашения) именуемый, как Enterprise Agreement (к примеру наиболее распространенные в интернета: 6565792, 5296992, 3325596 и нажимаю Next, указываю номер лицензионного соглашения:

  • License program: Enterprise Agreement
  • Agreement number: 6565792

и нажимаю Next, затем указываю в рамках какого продукта данный номер применим и на кого: либо на учетную запись, либо на компьютер:

  • License program: Enterprise Agreement
  • Product version: Windows Server 2012
  • License type: RDS Per User Call
  • Quantity: 999

и нажимаю Next, если Вы видите также как и Я надпись: The requested licenses have been successfully installed, то значит Вы активировал Ваш терминальный сервер, по такому принципу как я разобрал выше проделывается и для лицензий на компьютера. После нажимаем кнопку Finish.

Итоговый вид оснастки RD Licensing Manager должен принять следующий вид:

Т.к. текущий терминальный сервер не в домене, то чтобы к нему подключиться я создал тестового пользователя и дам ему доступ для удаленного подключения:

Win + X — Command Prompt (Admin)

C:\Windows\system32>net user alektest Aa1234567 /add

C:\Windows\system32>net localgroup "Remote Desktop Users" alektest /add

Отлично теперь попробую подключиться с рабочей станции под управлением Windows 7 Профессиональная SP1 к данному терминальному серверу:

Пуск — Все программы — Стандартные — Подключение к удаленному рабочему столу

Компьютер: указываю IP&DNS адрес терминального сервера, в моем случае IP адрес: 10.7.8.173 и нажимаю «Подключить» — Другая учетная запись —

Login: .\10.7.8.173

Pass: Aa1234567

и нажимаю OK, отмечаю галочкой что не нужно в дальнейшем выводить предупреждение о проверки подлинности удаленного сервера и нажимаю «Да» и подключение успешно проходит, проверить это можно открыв на терминальном сервере консоль командной строки и обратиться в выводу утилиты qwinsta:

Win + X — Command Prompt (Admin)

C:\Windows\system32\qwinsta

подключение можно через консоль:

C:\Windows\system32>logoff 2 /V /VM

You are about to logoff alektest (session 2) from machine ,

continue (n=no)?yes

Что могу сказать пока ничего такого сверхнового по сравнению с терминальным сервером на базе Server 2008 R2 Ent я не заметил, скорее всего все скажется когда буду использовать более плотнее.