Windows 10 作業系統密技 (Windows 10 Tips and Tricks)

3種方式,變更Windows 10 遠端桌面連線預設 「TCP 3389」連接埠

在「隨時遠端連線到自己電腦,Windows 10 「遠端桌面」連線設定」分享在Windows 10中要如何開啟「」功能,以預設的連接埠3389教學如何設定轉Port,讓外面可以順利連接到電腦。不過遠端桌面連接埠3389屬於大家都知道的項目,因此以安全性來說其實不太好。本篇老貓就分享3種方式,來修改Windows遠端桌面連線連接埠3389的方式提供參考。

「遠端桌面」方便但也伴隨著危險

遠端桌面有許多種方式,老貓是先以 10內建的方式來分享,通常只要照著後台的設定點幾下就能完成。但這簡單的動作,也代表著其他人都知道,因此要找漏洞來利用相較下較為容易。目前遠端桌面的連線預設連接埠為3389,屬於Windows常見的連接埠。因此對於惡意想要攻擊、連線的人來說,只要知道這台電腦的連接埠3389是打開的,就會找一些機會來進行攻擊。如果你的電腦又不常更新,使用舊版的遠端桌面RDP,或者沒有安裝防火牆、防毒軟體,再加上用非常容易的密碼,就更有機會被入侵。

有興趣的使用者可以google「3389 攻擊」,就可以查到許多資訊,從殭屍病毒、勒索病毒,甚至一些漏洞攻擊與入侵都是從這個連接埠進來。對於比較進階的使用者來說,老貓會建議下一步就是更改遠端桌面常用的TCP 3389連接埠,更改到其他的連接埠,降低風險。在此,老貓提供3種方式修改遠端桌面的3389連接埠設定,前2種都是屬於更改電腦端設定。而第3種適合使用路由器轉Port的使用者,在不更改電腦所有設定下就能搞定。在port設定的數值來說,最多可以設定到65535。

▼ 點選「Windows 設定 → 系統 → 遠端桌面」後,點選「進階設定」。

▼ 在「進階設定」頁面中,下方就會顯示「目前的遠端桌面連接埠 3389」,就可以了解到目前的設定值為3389

方法一:更改登錄檔PortNumber數值

這種方式為微軟 Microsoft的建議方式,主要使用透過登錄編輯程式來修改登錄檔。在執行視窗下輸入「regedit」來開啟登錄編輯程式。接下來找詢機碼「HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp」找到「PortNumber」後,直接右鍵點2下或點左鍵選擇修改。原始數值資料為「d3d」為十六進位,此時在右方底數切換為十進位後,就會顯示成我們看得懂的「3389」數值。此時,只要修改成想要的數字儲存後,再重新開機就能設定成功嚕

▼ 按下「Windows鍵 + R鍵」後開啟執行視窗,接著輸入「regedit」後按確定。

▼ 開啟「登錄編輯程式」,左側有許多選項,接下來請找到「HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp」。

▼ 在「HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp」下,請找到「PortNumber」選項來點2下開啟。

▼ 預設是顯示左圖的十六進位,此時點一下十進位就會變成3389,當輸入要更改的數值後,再點選確定鍵。

▼ 請先確定登錄檔的資料是否有正確改到新的數值。

▼ 再回到進階設定頁面中,從這裡可以看到「目前的遠端桌面連接埠 9089」已被設定成功。但是,請記得要重新開機才會以新的連接埠啟動

方法二:使用軟體RDP Wrapper Library來修改

預設Windows 10的遠端桌面連線,包含在電腦前的使用者,同一個時間只能有一位使用電腦。若要多人同時使用電腦的話,在「Windows 10 開啟多人同時遠端桌面連線,最新1903、1909版適用」老貓有介紹分享。在那一篇的內容上是以「RDP Wrapper Library v1.6.2」軟體來進行操作,不過在開啟「RDPConf.exe」的時候,會看到左側有一個「RDP Port:3389」,在此欄直接更改數值後按下Apply套用後重新開機就能順利設定完成。這種方式完全不用更改登錄檔就能完成,相較下簡單許多,建議在設定多人連線時順便動個手更改即可。

▼ 軟體請在「Windows 10 開啟多人同時遠端桌面連線,最新1903、1909版適用」這篇文章中自行下載,當開啟「RDPConf.exe」後,就會看到左側數值為3389。

▼ 接下來要做的,只要更改成新的連接埠數值後點下下方的Apply套用鍵,就能設定完成。不過請注意,設定完後也要重新開機才能正確套用新的連接埠數值

方法三:不更動電腦設定值,從路由器動手修改設定

如果被遠端桌面連線的電腦是放置在一個特定的區網下,上頭有一個路由器裝置,可能是中華電信Hinet光世代,或者是自行購買的路由器,操作上是透過轉連接埠(轉Port)的方式來達到遠端桌面功能。方法三就是在路由器上進行設定,達到外連進來不是透過3389方式來連線。在路由器設定轉連接埠的功能來說,通常有2種常見方式。第1種就是直接設定轉1組連接埠轉特定主機,也就是說當外頭連線進來時,只要是預到特定的連接埠,就轉發向區網內的特定主機。例如在外頭連到這台路由器時,發現是從連接埠3389進來時,就直接轉往給需要遠端桌面連線的電腦,此時也是會以3389來進行連線。

▼ 以 D-Link DIR-880L 「連接埠轉送」設定頁面來看,可以看到是設定一組連接埠來轉送,也就是文中的第1種方式。

至於第2種方式,比較進階可以設定2組連接埠,1組是由外部連接的連接埠,另1組是內部電腦主機設備的連接埠;只要連接到對外的連接埠,就會自動轉到內部電腦主機的3389。例如老貓對外連接埠設定為9089,主機的設定同樣為3389。但到時候從外頭連線時,完全不用理內部的電腦主機連接埠,只要連線到對外IP的9089連接埠即可完成對應到內部電腦的3389。如此一來,可以用最簡單的方式從外頭避掉常用的遠端桌面連線的3389設定。

▼ 若切換至「虛擬伺服器」頁面,則可以設定外埠連線的連接埠,以及轉往內部的連接埠。

對於本來就需要設定路由器的使用者來說,這種設定方式最為簡單,可以避免到外部的網路攻擊。只是老貓提醒一點,如此一來在「外部」是無法透過3389來連線,但在區網內這台電腦的遠端桌面連接埠仍然是3389。因此,若以區網內其他台電腦做為跳板,或者故意要攻擊的話,這台電腦也是有機會被攻陷。對於最簡單設定的方法三來說,老貓也提出這種疑慮,提供設定的使用者參考。以安全性來說,會是方法一、方法二會較佳,如果要再套用方法三也沒什麼問題。以上方式,提供各位使用者好好評估看是哪一種會較適合自己使用。

▼ 以另一台 NETGEAR Nighthawk R8000 來舉例,在「連接埠轉送/連接埠觸發」的頁面來說,就可以看到也能設定內部與外部的連接埠設定(此例外部連接為3391)。

▼ 如果是以中華電信小烏龜的設定來說,在Port Forwarding頁面,也能設定外部與內部連接埠的數值。關於要如何進入中華電信的工程模式,可以參考:2020年中華電信 Hinet 路由器小烏龜 登入帳密 ,更多設定細節在這裡

改Port之後,要留意系統防火牆的設定

以上3種方式設定完遠端桌面連接埠後,之後在在輸入主機IP時,記得在IP後面加上「:連接埠」。不過當輸入後會發現遠端連線失敗,圈圈轉了很久還是無法成功。這部分的原因並不是改port失敗,有很大的機會是因為我們改用的port數值被Windows 10電腦系統的防火牆擋下來了。對於常在更新的電腦系統來說,對於安全性要求會越來越高,因此,除了常用的3389以及相關連接埠外,通常都是關閉的狀態。以此例來說,老貓將port從3389改成9089,但電腦內原本就沒有使用port 9089,因此當連進電腦時都會被防火牆攔截阻止下來。因此,我們所要做的是,就是在電腦端開啟新增的port 9089來使用。換句話說,設定什麼port,就在防火牆上開啟什麼port。

▼ 在測試遠端桌面連線時,可以先使用區網方式來進行連線測試,在IP後方也請記得加上新的連接埠。如果沒加,會自動以預設3389來進行連線。

▼ 如果在連線時等候時間太久,有個原因是可能是因為Windows 防火牆的設定,擋下其他Windows不知道的連接埠來保護系統安全。若要使用,就必須手動進行設定。

如果說將防火牆整個關閉,也不會發生這個問題,但是以安全性來說實在不建議。因此,老貓會介紹不關閉防火牆,新增新規則來開port,讓遠端桌面連線可以使用其他連接埠。在設定上來說,請開啟「設定 → 網路和網際網路 → 狀態 → Windows 防火牆」後會開啟「防火牆與網路保護」,下方會有「進階設定」選項,開啟後會出現「具有進階安全性的Windows Defender防火牆」,接下來就是用這項介面來進行細節設定。但如果是從這頁面中找尋「遠端桌面-使用者模式 (TCP-in)」會發現是鎖死3389預設連接埠,因此必須得手動新增才行。只要點選右方的「新增規則」後,跟著畫面設定新的連接埠後確認,就能以新設定的連接埠來操作遠端桌面連線功能。

▼ 請開啟「設定 → 網路和網際網路」。

▼ 請點選 「狀態 → Windows 防火牆」。

▼ 點選「防火牆與網路保護」下方的「進階設定」。

▼ 之後會開啟「具有進階安全性的Windows Defender防火牆」,我們接下來就要進行防火牆的開port設定。

▼ 點選左側的「輸入規則」,中間部分會列出目前相關資訊。

▼ 我們可以先查看「遠端桌面-使用者模式 (TCP-in)」。

▼ 點開「遠端桌面-使用者模式 (TCP-in)」後,會看到此項服務會以預設3389來連線,且無法進行手動修改。

▼ 如果對安全性要求再高一些,可以規定從哪一些IP連線進來的才能執行遠端桌面連線程式。

▼ 在防火牆的手動開port設定來說,請點選左側「輸入規則」後,點選右側「新增規則」。

▼ 我們需求為開連接埠(開port),因此選擇第2項「連接埠」。

▼ 上方選擇「TCP」,下方輸入我們自行設定的新連接埠,在此老貓是輸入剛剛設定的9089。

▼ 在動作方面,選擇「允許連線」。

▼ 在設定檔選項中,右側可以依情況來挑選,在此老貓是全部選取。

▼ 在名稱設定方面,為了之後好找到這項規則,老貓輸入為「遠端桌面port9089專用」。

▼ 在輸入規則中,就可以看到剛剛設定的「遠端桌面port9089專用」順利啟動,接下來就能以9089來進行遠端桌面連線。

【參考資訊】老貓遠端桌面相關文章:

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

*