Windows - Lösungen, Rezepte, Tipps

Wie ändert man den Standard-RDP-Port und warum?

Warum sollte man den Standard-RDP-Port 3389 ändern?

Server oder auch Rechner, die im Internet hängen, sind zwangläufig ein Angriffsziel für jegliche Zwecke - ist der entsprechende Port (3389) offen wird dieser sehr oft aufgerufen, um eine Verbindung aufzubauen und mit Brute-Force evtl. das Administrator-Konto zu knacken (entsprechend sollte das verwendete Administrator-Passwort auch nicht trivial sein).

Als weitere Verkomplizierung sollte nicht der Standard-Port verwendet werden. Das ist an sich kein richtiger Schutz, denn mit entsprechenden Port-Scanner kann natürlich auch der alternativ verwendete Port entdeckt werden - aber es macht es für die Masse der Angreifer schwieriger und wie bei einem Hauseinbruch auch - je schwieriger desto höher die Wahrscheinlichkeit, dass der Einbruch abgebrochen wird (höhere Wahrscheinlichkeit entdeckt zu werden, aber auch höherer Einsatz von Resourcen) und vermutlich gibt es leichtere Angriffsziele.

Wie ändert man den Standard-RDP-Port?

Bei einem Rechner in der Ferne ist es problematisch den RDP-Port zu ändern. Ein Fehler und schon kommt man evtl. nicht mehr auf den Rechner drauf - denn man muss auch daran denken, dass die Firewall und evtl. der Router entsprechend konfiguriert ist, eingehenden Traffic auf dem Wunsch-Port durchzulassen:

  • Der Wunsch-Port wird in der Registry im Schlüssel [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp] und Wert [PortNumber] eingetragen (Standard: 3389) - der Wunschport sollte vielleicht nicht mit bestehenden Standard-Ports kollidieren (also nicht HTTP - Port 80 / oder HTTPs - Port: 443 etc. verwenden ;-)) und ACHTUNG: Die Eingabe ist standard-mäßig in Hexadezimal (also vielleicht vor der Eingabe auf Dezimal umstellen ;-)
  • Der Wunschport muss dann als eingehende Regel in der Windows Firewall konfiguriert werden (sonst wird das nichts mit der Verbindung)
  • Der Wunschport muss evtl. auch im Router als eingehende Regel (Portfreischaltung) konfiguriert werden (sonst wird das auch nichts mit der Verbindung)

Da RDP standard-mäßig mit Port 3389 zugreift muss bei der Herstellung der Verbindung der Port mit Postfix :<Wunschport> angegeben werden, also statt mit <Domain-Name bzw. IP-Adresse> muss man sich mit <Domain-Name / IP-Adresse>:<Wunschport> verbinden.

Die Änderungen bzgl. des Wunschports werden erst mit einem Neustart gültig.