เปลี่ยนพอร์ต Remote Desktop บน Windows 10

ผมเคยแนะนำวิธีการเปิดใช้งานเดสก์ท็อประยะไกล (Remote Desktop) บน Windows 10 ไปแล้วก่อนหน้านี้ (อ่านได้ที่ เปิด Remote Desktop บน Windows 10) สำหรับบทความนี้ผมจะแนะนำวิธีเพิ่มความปลอดภัยในการใช้งานเดสก์ท็อประยะไกลโดยการเปลี่ยนพอร์ตที่มันใช้ทำงานครับ

ดังที่ทราบกันว่า เดสก์ท็อประยะไกลบน Windows 10 และเวอร์ชันก่อนหน้า (รวมถึง Windows Server) นั้นจะทำงานบนพอร์ตหมายเลข 3389* โดยเริ่มต้น (Default) แต่เนื่องจากมันเป็นหมายเลขพอร์ตซึ่งเป็นที่ทราบกันทั่วไป จึงทำให้มีความเสี่ยงที่อาจถูกแฮกเกอร์หรือผู้ไม่ประสงค์ดีใช้เป็นช่องทางในการโจมตีหรือก่อกวนระบบได้

สำหรับวิธีการป้องกันการโจมตีหรือก่อกวนการบริการเดสก์ท็อประยะไกล ทำได้โดยการเปลี่ยนหมายเลขพอร์ตการทำงานเป็นพอร์ตหมายเลขอื่นที่ไม่ใช้ค่าเริ่มต้น เช่น เปลี่ยนเป็นพอร์ต 3399 อย่างไรก็ตาม หลังจากทำการเปลี่ยนพอร์ตการทำงานของเดสก์ท็อประยะไกล คุณจะต้องทำการเพิ่มกฏขาเข้า (Inbound) บน Windows Firewall เพื่ออนุญาตให้ทราฟิกบนพอร์ตใหม่ผ่านเข้าเครื่องได้ด้วย

เพื่อความเข้าใจที่ถูกต้องและตรงกัน > การเปลี่ยนหมายเลขพอร์ตการทำงานนั้นช่วยเพิ่มความปลอดภัยในการใช้งานเดสก์ท็อประยะไกลบน Windows ได้ แต่ ไม่ได้รับประกันว่าจะป้องกันการโจมตีได้ 100% นะครับ

ข้อควรระวัง!
การแก้ไขรีจีสทรี่ผิดพลาดอาจทำให้ Windows เสียหายได้ ดังนั้นให้ทำการสำรองรีจีสทรี่และเก็บไว้ในที่ปลอดภัยก่อนลงมือแก้ไข เพื่อให้สามารถทำการเรียกคืนรีจิสทรี่ได้ในกรณี Windows มีปัญหาการทำงาน

เปลี่ยนพอร์ต Remote Desktop บน Windows 10

วิธีการเปลี่ยนหมายเลขพอร์ตการทำงานของเดสก์ท็อประยะไกลนั้นทำได้โดยการแก้ไขรีจีสทรีด้วยโปรแกรม Registry editor (Regedit.exe) ตามขั้นตอนดังนี้

ข้อควรทราบ: ทั้งการเปลี่ยนพอร์ตการทำงานของเดสก์ท็อประยะไกลและการคอนฟิก Windows Firewall จะทำบนเครื่อง Windows ปลายทาง

1. เปิดโปรแกรม Registry Editor โดยกดแป้นพิมพ์ Windows + R จากนั้นพิมพ์ regedit.exe ในช่อง Open เสร็จแล้วคลิก OK หรือกดปุ่ม Enter (คลิก Yes บนหน้า User Account Control – ถ้ามี)

2. บนหน้าต่าง Registry Editor ให้ท่องไปยังงรีจิสทรี่คีย์ต่อไปนี้
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp

รูปที่ 1

3. ในบานหน้าต่างด้านขวา (รูปที่ 1) ให้ดับเบิลคลิก PortNumber

4. บนหน้า Edit DWORD (32-bit) Value ในหัวข้อ Base เลือกเป็น Decimal จากนั้นในช่อง Value data: ให้ใส่หมายเลขพอร์ตใหม่ที่ต้องการ เช่น 3399 (คุณสามารถใช้พอร์ตหมายเลขใดก็ได้เพียงแค่ระวังไม่ให้ชนกับพอร์ตของบริการอื่น-ถ้ามี ที่ให้บริการบนเครื่อง) เสร็จแล้วคลิก OK แล้วปิดโปรแกรม Registry editor (ยังไม่ต้องทำการเริ่มต้นระบบใหม่ครับ)

รูปที่ 2

คอนฟิก Windows Firewall

หลังจากทำการเปลี่ยนพอร์ตการทำงานของเดสก์ท็อประยะไกลแล้ว จะต้องทำการเพิ่มกฏขาเข้า (Inbound Rule) บน Windows Firewall ตามขั้นตอนดังนี้

1. เปิด Windows Firewall with Advanced Security โดยกดแป้นพิมพ์ Windows + R จากนั้นพิมพ์ wf.msc (ต้องป้อนนามสกุล .msc ด้วยนะครับ) ในช่อง Open เสร็จแล้วคลิก OK หรือกดปุ่ม Enter

ทิป: สามารถเปิด Windows Firewall with Advanced Security ได้โดยการค้นหา firewall ด้วย Cortana

2. บนหน้าต่าง Windows Firewall with Advanced Security ให้คลิกขวาบน Inbound Rules แล้วเลือก New Rule

รูปที่ 3

3. บนหน้า Rule Type ในหัวข้อ What type of rule would you like to create? ให้เลือก Port จากนั้นคลิก Next

รูปที่ 4

4. บนหน้า Protocol and Ports ในหัวข้อ Does the rule apply to TCP or UDP? ให้เลือก TCP จากนั้นในหัวข้อ Does the rule apply to all local ports or specific local ports? ให้เลือก Specific local ports แล้วป้อนหมายเลขพอร์ตการทำงานของเดสก์ท็อประยะไกล (ตามที่กำหนดด้านบน) เช่น 3399 เสร็จแล้วคลิก Next

รูปที่ 5

5. บนหน้า Action ในหัวข้อ What action should be taken when a connection matched the specific conditions ให้เลือก Allow the connection เสร็จแล้วคลิก Next

รูปที่ 6

6. บนหน้า Profile ในหัวข้อ When does the rule apply? ให้เลือกโปรไฟล์ที่ต้องการให้กฏมีผลบังคับใช้ (ไม่แนะนำให้เลือก Public ครับ) เสร็จแล้วคลิก next

รูปที่ 7

7. บนหน้า Name ให้ป้อนชื่อกฏในช่อง Name เช่น Remote Desktop (Port Number 3399) เสร็จแล้วคลิก Finish จากนั้นปิดหน้าต่าง Windows Firewall with Advanced Security แล้วทำการเริ่มต้นระบบใหม่เพื่อให้การเปลี่ยนแปลงมีผล

รูปที่ 8

การ Remote Desktop ไปยัง Windows 10 หลังการเปลี่ยนพอร์ต

การใช้งานเดสก์ท็อประยะไกลบนพอร์ตที่กำหนดมาให้โดยเริ่มต้น (3389) นั้น คุณสามารถทำการเชื่อมต่อโดยเพียงแค่ระบุชื่อหรือหมายเลขไอพีของเครื่องพีซีเท่านั้นโดยไม่ต้อระบุหมายเลขพอร์ต แต่หลังจากทำการเปลี่ยนหมายเลขพอร์ตการทำงานแล้ว เมื่อทำการเชื่อมต่อด้วยเดสก์ท็อประยะไกล คุณจะต้องระบุหมายเลขพอร์ตด้วย ตามขั้นตอนดังนี้

1. คลิกขวาบนเมนู Start แล้วคลิก Run (หรือกดปุ่ม Windows + R) จากนั้นพิมพ์ mstsc เสร็จแล้วคลิก OK

2. บนหน้า Remote Desktop Connection ในช่อง Computer ให้ป้อนชื่อหรือหมายเลขไอพีของเครื่องพีซีปลายทางที่ต้องการเชื่อมต่อด้วยเดสก์ท็อประยะไกล ตามด้วยเครื่องหมาย colon (:) และหมายเลขพอร์ตการทำงานเดสก์ท็อประยะไกล เช่น saranituspc:3399 จากนั้นคลิก Connect แล้วป้อนชื่อผู้ใช้และรหัสผ่าน หลังจากทำการเชื่อมต่อเสร็จสมบูรณ์คุณจะสามารถใช้งานเครื่องพีซีปลายทางได้ตามปกติ

รูปที่ 9

แหล่งอ้างอิง
Microsoft

*ไมโครซอฟท์กำหนดให้พอร์ตหมายเลข 3389 เป็นพอร์ตสำหรับบริการ Terminal Server มาตั้งแต่ Windows 2000 – อ้างอิง Microsoft – Port Assignments for Commonly-Used Services

ประวัติการปรับปรุง
25 กุมภาพันธ์ 2561: ปรับปรุงเนื้อหา
25 ธันวาคม 2559: เผยแพร่ครั้งแรก