En el siguiente artículo vamos a ver como cambiar el puerto RDP ‘Remote Desktop Protocol’.

 

 

Antes de continuar con esta guía, la pregunta que se estarían haciendo es : ¿Por qué cambiar el número de puerto del RDP ?

 

 

¿Por qué cambiar el número de puerto del RDP ?

 

 

Según varios informes de seguridad entre ellos el de ESET correspondiente a septiembre del presente año, la tasa de incremento de acceso no autorizado usando como vector la Conexión a Escritorio Remoto fue de un 8,400% entre el primer trimestre de 2020 y el cuarto trimestre de 2021. En números netos vienen a ser 1970 millones de intentos de conexión a ¡166,37 MIL MILLONES!

 

 

 

 

Si desean leer el informe completo realizado por el equipo de investigación de ESET, lo pueden leer Aquí.

 

 

Con estos antecedentes, la modificación del número de puerto del RDP es una de las medidas a considerar para mitigar este tipo de ataques, más aun en entornos empresariales donde la exposición a ataques informáticos es mucho mayor y son el objetivo principal para los ciberdelincuentes. Habiendo dicho esto, es imperante resaltar la importancia de las herramientas de administración centralizada de activos informáticos en el entorno empresarial, en este caso específico del Microsoft Endpoint Configuration Manager -A.K.A MECM, SCCM, CONFIGMNGR.

 

 

Bueno, el por qué y el para qué del SCCM será análisis en otro post.

 

 

Cambiando el Número de Puerto del RDP desde SCCM vía Task Sequence.

 

 

De forma predeterminada el puerto RDP es el 3389, estos valores son almacenados en la siguiente ruta del REGEDIT:

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

 

 

Regedit: RDP-PortNumber

 

 

Cuando accedemos remotamente a un equipo Windows, escogemos la aplicación Conexión a Escritorio Remoto, la misma que nos sirve como interfaz de conexión entre el equipo local y el equipo objetivo. La aplicación hace la petición de acceso al número de puerto que está registrado por defecto (3389).

 

 

Ahora bien, ingresamos al Configuration Manager  a la siguiente ruta:

 

 

Software Library\Overview\Operating Systems\Task Sequences

 

 

 

 

Damos clic derecho en el área de trabajo (espacio en blanco) dentro del módulo de Task Sequences y escogemos Create Task Sequences

 

 

 

 

Dentro de las opciones que nos da el wizard, escogemos Create a new custom task sequence

 

 

 

 

 

Para identificar el TS le pones nombre y su descripción, como lo muestra la imagen, puedes poner el nombre y descripción de tu elección, damos en siguiente (Next), nos aparecerá un resumen de la configuración, luego, escogemos siguiente (Next) y finalizamos la configuración inicial. 

 

 

Una vez creada la TS, vamos a editar y agregar los comandos correspondientes para su ejecución y validación:

• Damos clic derecho y escogemos editar (Edit)
• En el menú escogemos agregar (Add) -> General -> Run Command Line

 

 

 

Agregando la línea de comando para cambiar la entrada del Regedit

 

Dentro del campo de texto agregamos el siguiente comando:

REG ADD "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /V "PORTNUMBER" /T REG_DWORD /D 35000 /F

Evaluación de entrada de registro antes de ejecución del comando

Ahora bien, en un ambiente de producción donde hay decenas o miles de equipos con configuraciones distintas, es recomendable realizar una evaluación del Regedit antes que se ejecute el comando:

• Accedemos a Options
• Luego damos clic en Add Condition
• Damos clic en Registry Setting
• Y dejamos con el siguiente parámetro de validación

Root key	HKEY_LOCAL_MACHINE
Key	System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Condition	not equals
Value name	PortNumber
Value type	REG_DWORD
Value	35000

  En pocas palabras, la validación que se le está configurando le dice al SCCM :

  “Oye SCCM primero valida si el número de puerto en el Regedit NO es igual a 35000, si es verdadero, ejecuta el comando y cambia el número, caso contrario NO ejecutar.”  

Despliegue del Task Sequence

Una vez creada la TS vamos a desplegarla a una colección de equipos:

 

• Damos clic derecho en el TS “Change_RDP”  
• Escogemos Deploy
• Se nos levanta el wizard para el despliegue
• Damos clic en el botón “Browse” y escogemos la colección de equipos a la cual queremos se ejecute el TS
• Escogemos la colección objetivo, en este caso nuestra colección se llama “Ring 1” y damos en “Next”

 

 

¿CÓMO DESPLEGAR?

Dependiendo de la necesidad para que se implemente algún cambio en los equipos en producción, el propósito del despliegue deberá ser “Available”  o “Required” :

• Available: Permite que el equipo o el usuario al cual se le haga el despliegue esté disponible en el Software Center y se instalará en el momento que el usuario decida instalarse.
• Required: Esta opción permite que el despliegue se ejecute sin necesidad de alguna acción del usuario, simplemente se ejecutará una vez le llegue la política según sus parámetros. De igual forma aparecerá en el Software Center.

Para efectos prácticos en este ejemplo, vamos a realizar el despliegue con propósito “Available” .

• Damos en “Next” y en el resto de configuraciones (no modificamos ni un parámetro)
• Finalizamos 

 

Una vez desplegado el TS, vamos al Software Center y lo ejecutamos

 

Ahora validamos que el puerto RDP haya sido cambiado al número 35000

 

AHORA ¿CÓMO ME CONECTO ?

Hay que tener presente que una vez se cambia el número de puerto, se debe apuntar desde el asistente de Escritorio Remoto al nuevo puerto, tal como lo muestra la imagen.

 

Esto sería todo, hay otras formas de cambiar el número de puerto RDP, que se tratarán en otro artículo, como por ejemplo a través del Directorio Activo.