検索
特集/連載

いまさら聞けない「RDP」と「ポート」の関係と、ポート番号の変更方法リモートデスクトップの基礎を学ぶ

リモートデスクトップを使用する場合、知っておくべきなのが「ポート」だ。Windows環境でのポート番号の具体的な変更手順を分かりやすく説明する。変更のメリットと注意点も併せて紹介する。

Share
Tweet
LINE
Hatena

関連キーワード

リモートデスクトップ | Windows


 リモートデスクトップは、離れた場所にあるコンピュータのOSに接続し、遠隔操作を可能にする仕組みだ。企業においては、社外や遠隔地から業務に必要なPCにアクセスするための手段として利用されている。MicrosoftのクライアントOS「Windows」では、リモートデスクトップのための通信プロトコルとして「リモートデスクトッププロトコル」(RDP)を使用する。

 RDPは通常3389番ポートを使用して接続を確立する。通常の使用においてポート番号を気にする必要はないが、変更すべきケースも存在する。IT担当者なら、RDPのポートと番号の変更が必要な理由、および変更手順を知っておくことが重要だ。

RDPのポートとは? 変更方法は?

 前述の通り、RDPが利用するデフォルトのポートは3389番ポートだ。Windows標準のアプリケーション「リモートデスクトップ接続」を開いて他のコンピュータに接続しようとすると、3389番ポートを介して接続が開始される。初期設定では、RDPによるポート利用は「Windows Defender ファイアウォール」によってブロックされており、使用にはファイアウォールのルールを変更する必要がある。

なぜポート番号を変更するのか?

 IT管理者として、リモートデスクトップで使用するポートを変更したい場合がある。ポートの変更は、PCもしくはサーバ上で直接実行する。

 RDPはデフォルトで3389番ポートを使用しているため、スキャンツールを用いれば開いているポートを比較的簡単に特定できる。これは攻撃者にとっても同様で、社内ネットワークへの侵入経路を探す際に、スキャンを使って悪用できるポートを探す。ポート番号を変更することで、攻撃者に見つかるリスクをある程度抑えることが可能だ。

 注意点として、ポート番号を変更したからといって、完全に保護されるわけではない。単に発見されにくくなるだけだ。VPN(仮想プライベートネットワーク)や多要素認証(MFA)の導入、強力なパスワードポリシーの適用など、適切な対策を講じない限り、ポートの開放は推奨されない。

コンピュータのポート番号を変更する方法

 RDPが使用するポート番号を変更するには、システムに関するさまざまな設定情報が格納されている「レジストリ」に変更を加える必要がある。RDPポートの変更手順は、Windows搭載PCでも、サーバOS「Windows Server」搭載サーバでも同一だ。手順は以下の通り。

  1. 「Windows」(Windowsロゴ)キーと「R」キーを同時押しして「ファイル名を指定して実行」ダイアログを開く
  2. 「regedit」と入力し、「OK」をクリックして「レジストリエディター」を開く。
    • 注意点として、レジストリに変更を加える前に、必ずバックアップを作成すること。レジストリエディターを開き、「ファイル」「エクスポート」と進んで、バックアップ用の「.reg」ファイルを外部ストレージやクラウドストレージなど、使用中のコンピュータとは別の場所に保存する。
  3. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcpに進む
    • レジストリキー「PortNumber」が見つかる。
  4. PortNumberをダブルクリックすると編集ダイアログボックスが開く。
    • 「表記」で「10進数」を選択すると、「値のデータ」に現在のポート番号(デフォルトでは3389)が表示される。
  5. 値のデータを、任意のポート番号に変更する。
  6. 「OK」をクリックして、変更を保存する。
  7. 「コマンドプロンプト」を開き、コマンド「net stop termservice && net start termservice」を実行する。
    • これによりRDPを基にした、Microsoftのリモートデスクトップ機能「リモートデスクトップサービス」(RDS)が再起動する。コンピュータを再起動してもよい。

 レジストリでRDPが使用するポート番号を変更したら、接続できるか確認しよう。確認には、同一ネットワーク上の別のPCを使用して、上の手順でポート番号を変更したPCもしくはサーバへのリモートデスクトップ接続を試みる。

 リモートデスクトップ接続を開き、接続先のコンピュータのIPアドレス、「:」(コロン)、変更後のポート番号の順で入力する。「『IPアドレス』:『ポート番号』」の形式だ。ちなみにポート番号を変更しない場合は、デフォルトのポート番号3389を入力する。

 最後に、注意点は次の通り。

  • 2つのアプリケーションが1つのポートを使用して起きる競合状態を回避するため、他のアプリケーションが既に使用しているポートの使用は避ける
  • ポートの使用を許可するよう、ファイアウォールのルールを変更する
  • ポート番号を変更すると、RDPが使用しているポートの特定が難しくなる
  • ポート番号を変更しても、セキュリティが本質的に向上するわけではない
  • ポートをインターネット上に直接公開することは推奨されない
  • レジストリを変更する前に必ずバックアップを作成する

翻訳・編集協力:雨輝ITラボ(リーフレイン)

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る