Hạ tầng & Máy chủ

Đổi port Remote Desktop trên Windows 10 tăng bảo mật RDP

Đăng vào bởi IDCViet Admin

Dùng remote desktop qua cổng 3389 mặc định trên Windows là thói quen phổ biến. Tuy nhiên, việc giữ nguyên cổng này khiến máy chủ hoặc máy tính cá nhân dễ bị tấn công dò port, đặc biệt khi dịch vụ mở ra Internet. Đổi sang port RDP tùy chọn, kết hợp cấu hình firewall hợp lý, giúp giảm rủi ro bảo mật mà vẫn duy trì hiệu quả truy cập.

Tại sao nên đổi port Remote Desktop trên Windows?

Remote Desktop Protocol (RDP) mang lại sự thuận tiện cho quản trị viên khi truy cập máy chủ hoặc máy tính cá nhân từ xa. Tuy nhiên, cổng mặc định 3389 là mục tiêu quen thuộc của botnet và hacker. Thống kê từ Shodan cho thấy, chỉ cần quét diện rộng, hàng triệu endpoint RDP mở port 3389 có thể bị phát hiện trong vài phút. Nếu không đổi port hoặc giới hạn truy cập, nguy cơ brute-force hoặc khai thác lỗ hổng tăng lên đáng kể. Ở môi trường doanh nghiệp Việt Nam, hạ tầng Cloud Server hay máy chủ vật lý thường mở sẵn 3389 cho quản trị tiện lợi nhưng việc đổi port + cấu hình firewall chưa được chú trọng, khiến nguy cơ bị khai thác càng cao. Ngoài cấu hình port, nên kết hợp xác thực mạnh, VPN hoặc hạn chế IP truy cập để tối ưu lớp bảo vệ.

Minh họa đổi port remote desktop, port 3389 trên Windows

Các bước đổi port Remote Desktop trên Windows 10

  • Sao lưu Registry trước khi thực hiện để đảm bảo có thể khôi phục khi thao tác sai.
  • Mở Registry Editor bằng cách nhấn Windows + R, nhập regedit, Enter.
  • Duyệt đến khóa: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.
  • Tìm PortNumber → Nhấn đúp → chọn Decimal, điền số port bạn muốn (khuyến nghị chọn 1025–65535, không đụng port phổ biến như 80, 443).
  • Nhấn OK, khởi động lại hệ thống. Từ nay, RDP lắng nghe trên port mới.

Lưu ý: Nên kiểm tra kỹ port đã chọn có đang bị dịch vụ khác chiếm dụng hay không (có thể kiểm tra với netstat -an trên máy chủ).

Ảnh minh họa registry editor đổi cổng RDP Windows

Cấu hình tường lửa cho port RDP mới

Việc đổi port RDP chỉ phát huy hiệu quả khi bạn cập nhật cả quy tắc firewall:

  1. Mở Windows Defender Firewall with Advanced Security: Windows + R → nhập wf.msc.
  2. Chọn Inbound RulesNew Rule.
  3. Chọn Port → Next.
  4. Chọn TCP hoặc UDP (nên làm cả hai) → chỉ định port mới.
  5. Next, chọn Allow the connection → Next.
  6. Chọn Profile (tùy môi trường, có thể chỉ chọn Domain/Private, loại trừ Public với server vật lý đặt chỗ hoặc dịch vụ colocation).
  7. Đặt tên rule, mô tả cho dễ quản trị.

Cần lặp lại các bước trên cho cả TCP và UDP nếu muốn truy cập ổn định nhất.

Kết nối tới Remote Desktop khi đã đổi port

Khi đã đổi port, cú pháp kết nối sẽ thành: IP:port. Ví dụ: 192.168.1.10:5555. Trên hộp thoại Remote Desktop Connection (mstsc.exe), nhập đầy đủ IP và port mới trong ô Computer.

Đừng quên kiểm tra lại quy tắc firewall ở cả chiều vào (inbound) lẫn chiều ra (outbound) nếu máy chủ đang ở môi trường có kiểm soát nghiêm ngặt, như cloud nội bộ/appliance bảo mật.

Mẹo bảo mật khi quản lý RDP trên server tại Việt Nam

  • Luôn thay đổi port mặc định RDP; kết hợp whitelist IP nếu có thể.
  • Tận dụng dịch vụ Private Cloud để giới hạn truy cập trực tiếp ra Internet.
  • Ưu tiên xác thực đa lớp, certificate hoặc VPN Gateway khi truy cập từ xa.
  • Đặt mật khẩu mạnh, bật giới hạn số lần đăng nhập sai, kiểm tra log đăng nhập thường xuyên.
  • Định kỳ kiểm tra và cập nhật bản vá bảo mật Windows Server.

Những lỗi thường gặp khi đổi port RDP

Có thể gặp các vấn đề như:

  • Quên mở port mới trên firewall nên không thể truy cập từ xa.
  • Chọn port trùng với dịch vụ khác (ví dụ 80 hoặc 443) dẫn đến xung đột.
  • Bị chặn bởi nhà mạng hoặc dịch vụ cấp mạng ngoài do port mới không nằm trong whitelist.

Một điểm dễ bị bỏ qua: Nếu server nằm trong môi trường thuê máy chủ hoặc private cloud, quản trị viên nên kiểm tra chính sách firewall của trung tâm dữ liệu/layer ngoài cùng song song với policy trên hệ điều hành.

FAQ: Đổi port RDP có ảnh hưởng gì và làm sao quản lý hiệu quả?

  • Đổi port RDP chỉ là một lớp bảo mật bổ sung, không thay thế cho các biện pháp như VPN hoặc xác thực mạnh.
  • Bạn hoàn toàn quản lý port này từ xa nếu có kết nối SSH hoặc bảng điều khiển outband (ví dụ, giải pháp KVM do IDCViet tích hợp hệ thống cung cấp).
  • Bạn nên lưu lại thông tin cổng RDP mới phòng trường hợp quên sau khi đổi, tránh mất quyền truy cập.

Sau khi đổi port, kiểm tra như thế nào?

Dùng nmap, telnet hoặc dịch vụ web kiểm tra port mở trên IP máy chủ để xác nhận port mới đã được áp dụng, đồng thời không còn để lộ 3389 ra ngoài. Đừng quên kiểm tra truy cập nội bộ và ngoài Internet (nếu có).

Tham khảo: quantrimang.com

Đổi port Remote Desktop giúp tăng cường bảo mật cho máy chủ Windows. Nếu bạn vận hành server đặt tại IDCViet hoặc trên cloud, thao tác này càng quan trọng. Gặp vướng mắc về policy firewall, VPN hay tích hợp an toàn truy cập quản trị, hãy liên hệ qua idcviet.vn, gọi 0913320866 hoặc email [email protected] để được trợ giúp kỹ thuật chuẩn xác.

IDCViet Admin