การกำหนดค่าการเปลี่ยนพอร์ต Remote Desktop ของ Windows 11 และการควบคุมการเข้าถึง IP

IT
สารบัญ

อัปเดตล่าสุดกันยายน 2025
(วิธีนี้ใช้งานได้กับ Windows 10 ด้วย)

พอร์ตเริ่มต้น 3389 เป็นที่รู้จักกันแพร่หลายในหมู่แฮกเกอร์และสามารถเป็นเป้าหมายของการโจมตีได้อย่างง่ายดาย
การใช้หมายเลขพอร์ตที่แตกต่างเป็นแนวปฏิบัติด้านความปลอดภัยที่จำเป็นเพื่อปกป้องระบบของคุณ

เลือกหมายเลขพอร์ตแบบสุ่มจากช่วงพอร์ตที่ลงทะเบียน (1024-49151) เพื่อทำให้ยากต่อการเดา
คู่มือนี้ใช้พอร์ต 49151 เป็นตัวอย่าง

1. เปิดใช้งานฟีเจอร์ Remote Desktop

(อิงตาม Windows 11 24H2)

  1. เปิด Windows Settings
  2. ไปที่ [System][Remote Desktop]
  3. เปิด Remote Desktop เป็น On

2. เปลี่ยนพอร์ต Remote Desktop

  1. กด Windows Key + R เพื่อเปิดไดอะล็อก Run และพิมพ์ “regedit” เพื่อเปิด Registry Editor

    • คุณยังสามารถคลิกปุ่ม Start และพิมพ์ “regedit

  2. นำทางไปยังเส้นทางนี้ใน Registry Editor:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

  3. ค้นหาเอนทรี PortNumber และดับเบิลคลิก

  4. เลือก Decimal และเปลี่ยนหมายเลขพอร์ตจาก 3389 เป็น 49151

  5. รีสตาร์ต PC ของคุณเพื่อนำหมายเลขพอร์ตใหม่มาใช้

3. การกำหนดค่า Firewall

หลังจากเปลี่ยนพอร์ต remote desktop จากค่าเริ่มต้น 3389 เป็นพอร์ตกำหนดเองของคุณ
คุณต้องสร้าง inbound rule ใหม่ใน Windows Firewall เพื่อให้การเชื่อมต่อระยะไกลผ่านพอร์ตใหม่

  1. กด Windows Key + R เพื่อเปิดไดอะล็อก Run และพิมพ์ “wf.msc
    • คุณยังสามารถคลิกปุ่ม Start และพิมพ์ “wf.msc
  2. คลิก Inbound Rules ในทรีด้านซ้ายแล้วคลิก New Rule ในแผงด้านขวา
  3. กำหนดค่า New Inbound Rule Wizard ดังนี้:
    • Rule Type: Port
    • Protocol: TCP
    • Specific Local Ports: 49151
    • Action: Allow the connection
    • Profile: เลือกทั้งสาม - Domain Private และ Public
    • Name: RDP (หรือชื่อที่คุณต้องการ)
  4. คลิก Finish เพื่อเสร็จสิ้นการตั้งค่า

การกำหนดค่าการควบคุมการเข้าถึง IP

การเปลี่ยนเป็นพอร์ตกำหนดเองเพียงอย่างเดียวไม่สามารถรับประกันความปลอดภัยที่สมบูรณ์ได้
ผู้โจมตียังสามารถตรวจจับพอร์ตที่เปิดผ่านการสแกนพอร์ตและพยายามโจมตี brute force
เพื่อปิดกั้นความเสี่ยงเหล่านี้อย่างมูลฐาน คุณต้องตั้งค่าการควบคุมการเข้าถึงตาม IP (ACL) เพื่อให้เฉพาะที่อยู่ IP ที่ได้รับอนุมัติล่วงหน้าเท่านั้นที่สามารถเชื่อมต่อได้
นี่เป็นองค์ประกอบหลักของกลยุทธ์ความปลอดภัยแบบหลายชั้น

การตั้งค่าการควบคุมการเข้าถึง IP (ACL)

  1. กด Windows Key + R เพื่อเปิดไดอะล็อก Run และพิมพ์ “wf.msc
    • คุณยังสามารถคลิกปุ่ม Start และพิมพ์ “wf.msc
  2. คลิก Inbound Rules ในทรีด้านซ้าย
  3. ค้นหา rule ที่คุณเพิ่งสร้าง (RDP หรือชื่อกำหนดเองของคุณ) และดับเบิลคลิก
  4. เมื่อหน้าต่าง Properties เปิดขึ้น ให้คลิกแท็บ Scope ที่ด้านบน
  5. ภายใต้ Remote IP address ให้เปลี่ยนตัวเลือกเป็น These IP addresses และคลิก Add เพื่อใส่ source IP
  6. คลิก OK และปิดหน้าต่างเพื่อนำการควบคุมการเข้าถึง IP มาใช้

การใช้ VPN

หากคุณต้องการความปลอดภัยที่แข็งแกร่งกว่าการควบคุมการเข้าถึง IP ให้พิจารณาอนุญาตการเชื่อมต่อ remote desktop ผ่าน VPN (Virtual Private Network) เท่านั้น

1. แนวคิดพื้นฐานของความปลอดภัย VPN

VPN สร้างอุโมงค์เสมือนที่เข้ารหัสผ่านอินเทอร์เน็ตที่ให้การเข้าถึงเครือข่ายภายในอย่างปลอดภัยจากภายนอก เมื่อคุณใช้ VPN ผู้ใช้ภายนอกไม่สามารถเข้าถึงพอร์ต RDP โดยตรงและต้องเชื่อมต่อกับ VPN ก่อนเพื่อเข้าถึงคอมพิวเตอร์ในเครือข่ายภายในผ่าน remote desktop

2. ประโยชน์ของการเพิ่มความปลอดภัย

  • โครงสร้างการยืนยันตัวตนแบบคู่: การเข้าสู่ระบบ VPN → การเข้าสู่ระบบ RDP เพื่อความปลอดภัยหลายชั้น
  • การสื่อสารที่เข้ารหัส: การส่งข้อมูลทั้งหมดถูกเข้ารหัสเพื่อความปลอดภัย
  • การซ่อนที่อยู่ IP: ที่อยู่ IP ของเซิร์ฟเวอร์ RDP ที่แท้จริงยังคงถูกซ่อนจากภายนอก
  • การปิดกั้นการเข้าถึงโดยสมบูรณ์: หากไม่มีการเชื่อมต่อ VPN เซิร์ฟเวอร์ RDP ไม่สามารถตรวจจับได้

3. วิธีการใช้งาน VPN หลัก

การใช้ฟีเจอร์ VPN ของ Router บ้าน

Router สมัยใหม่ส่วนใหญ่มีฟังก์ชั่นเซิร์ฟเวอร์ VPN ในตัวที่ให้คุณตั้งค่า VPN โดยไม่มีค่าใช้จ่ายเพิ่มเติม คุณสามารถเปิดใช้งานเซิร์ฟเวอร์ VPN ในหน้าจัดการ router และสร้างบัญชีผู้ใช้

บริการ VPN เชิงพาณิชย์

ใช้บริการ VPN เชิงพาณิชย์เช่น ExpressVPN, NordVPN, หรือ Surfshark เพื่อรับ IP คงที่และกำหนดค่าการเข้าถึง RDP เฉพาะจาก IP นั้น

การตั้งค่า VPN บนคลาวด์

ใช้โซลูชั่น VPN ของบริการคลาวด์เช่น AWS VPN Gateway หรือ Azure VPN Gateway เพื่อสร้างสภาพแวดล้อม VPN ระดับมืออาชีพ

การตั้งค่าเซิร์ฟเวอร์ VPN โอเพ่นซอร์ส

ติดตั้งโซลูชั่นโอเพ่นซอร์สเช่น OpenVPN, WireGuard, หรือ SoftEther VPN บนเซิร์ฟเวอร์แยกต่างหากเพื่อสร้างสภาพแวดล้อม VPN กำหนดเอง

4. แนวทางที่แนะนำ

สำหรับผู้ใช้ส่วนบุคคล ให้ตรวจสอบก่อนว่า router ของคุณมีฟีเจอร์ VPN ในตัวหรือไม่
สำหรับสภาพแวดล้อมธุรกิจ ให้พิจารณา โซลูชั่น VPN บนคลาวด์
หลังจากตั้งค่า VPN ให้ปิดกั้นการเข้าถึงภายนอกโดยตรงไปยังพอร์ต RDP ใน firewall อย่างสมบูรณ์และกำหนดค่าการเข้าถึงผ่าน VPN เท่านั้นเพื่อให้ได้ความปลอดภัยของ remote desktop ในระดับสูงสุด