Подробный гайд: Создание правила в брандмауэре Windows 11 для RDP

Пошаговая настройка правила брандмауэра Windows 11 для RDP: открытие порта 3389, PowerShell, меры безопасности и проверка подключения.

2026.04.21                  

Подробный гайд: Создание правила в брандмауэре Windows 11 для RDPПодробный гайд: Создание правила в брандмауэре Windows 11 для RDP Ниже представлена пошаговая инструкция по настройке правила брандмауэра для удалённого рабочего стола (RDP, порт 3389) в Windows 11.

Важные предупреждения перед началом

  1. Безопасность: Открытие порта 3389 в интернет без дополнительной защиты (NLA, двухфакторная аутентификация) — серьёзный риск.
  2. Рекомендация: Используйте RDP только в доверенной локальной сети.
  3. NLA: Обязательно включите «Проверку подлинности на уровне сети» (Network Level Authentication) в настройках удалённого доступа.

Способ 1: Через графический интерфейс (Брандмауэр Защитника Windows)

Шаг 1: Откройте брандмауэр

  1. Нажмите Win + R, введите wf.msc и нажмите Enter.
  2. Или: Панель управленияСистема и безопасностьБрандмауэр Защитника WindowsДополнительные параметры.

Шаг 2: Создайте входящее правило

  1. В левой панели выберите Правила для входящих подключений.
  2. В правой панели нажмите Создать правило....

Шаг 3: Настройте тип правила

  1. Выберите Для портаДалее.
2. Укажите:
  • Протокол: TCP
  • Определённые локальные порты: 3389
  1. Нажмите Далее.

Шаг 4: Разрешите подключение

  1. Выберите Разрешить подключениеДалее.
2. Отметьте профили, для которых применяется правило:
  • Частная (рекомендуется)
  • Публичная (не рекомендуется!)
  • Доменная (если в домене)
  1. Нажмите Далее.

Шаг 5: Задайте имя правила

  1. Имя: RDP - Custom Rule (или любое удобное)
  2. Описание: Разрешение входящих подключений RDP на порт 3389
  3. Нажмите Готово.

Способ 2: Через PowerShell (администратор)

Откройте PowerShell от имени администратора и выполните:

# Создание правила для частного профиля
New-NetFirewallRule -DisplayName "RDP - Custom Rule" `
    -Direction Inbound `
    -Protocol TCP `
    -LocalPort 3389 `
    -Action Allow `
    -Profile Private `
    -Description "Разрешение входящих подключений RDP" `
    -Enabled True

Дополнительные команды:

# Проверить созданное правило
Get-NetFirewallRule -DisplayName "RDP - Custom Rule" | Format-List *

# Разрешить только с определённого IP-адреса
New-NetFirewallRule -DisplayName "RDP - Restricted IP" `
    -Direction Inbound `
    -Protocol TCP `
    -LocalPort 3389 `
    -Action Allow `
    -RemoteAddress 192.168.1.100 `
    -Profile Private

# Заблокировать публичный профиль для RDP
Set-NetFirewallRule -DisplayName "RDP - Custom Rule" -Profile Private,Domain

Способ 3: Через командную строку (netsh)

netsh advfirewall firewall add rule name="RDP - Custom Rule" dir=in action=allow protocol=TCP localport=3389 profile=private enable=yes

Дополнительные меры безопасности

1. Включите NLA (Проверка подлинности на уровне сети)

  1. Win + Rsysdm.cpl → вкладка Удалённый доступ
  2. Убедитесь, что стоит галочка:

- Разрешить подключения только с компьютеров, на которых работает удалённый рабочий стол с проверкой подлинности на уровне сети

2. Смените стандартный порт RDP (опционально)

Это не замена безопасности, а лишь «скрытие» сервиса.

  1. Откройте редактор реестра: Win + Rregedit
2. Перейдите к:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
  1. Измените параметр PortNumber (в десятичном формате) на нужный, например 3390
  2. Создайте новое правило брандмауэра для нового порта
  3. Перезагрузите компьютер.

Подключение теперь: mstsc /v:IP_адрес:3390

3. Ограничьте доступ по IP-адресам

В мастере создания правила на шаге «Область» укажите только доверенные удалённые IP-адреса.

4. Используйте группу безопасности

Если в домене — применяйте правила через групповые политики (GPO) для централизованного управления.

Проверка работы

# Проверка, слушает ли система порт 3389
Get-NetTCPConnection -LocalPort 3389 -ErrorAction SilentlyContinue

# Проверка правила
Test-NetConnection -ComputerName localhost -Port 3389

# Просмотр активных правил
Get-NetFirewallRule | Where-Object {$_.DisplayName -like "*RDP*"} | Format-Table DisplayName, Enabled, Profile, Action

Устранение неполадок

Проблема Решение
Не подключается с другого ПК Проверьте профиль сети (частная/публичная), отключите временно антивирус
Правило не применяется Убедитесь, что правило включено и соответствует активному сетевому профилю
Порт закрыт Проверьте, не блокирует ли сторонний антивирус/файрвол
Ошибка аутентификации Включите NLA, проверьте учётные данные и права пользователя

Чек-лист безопасности

  • [ ] Правило применено только к профилю «Частная» или «Доменная»
  • [ ] Включена проверка подлинности на уровне сети (NLA)
  • [ ] Используется сложный пароль для учётной записи
  • [ ] По возможности — доступ ограничен по IP-адресам
  • [ ] Регулярно обновляется система

Совет:

  • Для максимальной безопасности используйте шлюз удалённых рабочих столов (RD Gateway) с прямым открытием порта 3389 в интернет.
×

Полный размер Слайдшоу Предыдущий Следующий