Windows Server Remote Desktop – Port ändern zur Sicherheit

Windows

Nachdem ich mein eigenen kleinen Homeserver konfiguriert habe und letztendlich beschlossen habe, dass ich als Haupt-Betriebssystem Windows Server 2012 benutzen werde und ausschließlich über den Remote Desktop arbeite, stellte ich mir unter anderem die Frage, wie ich den Port ändern kann. Eine Portänderung kann unter Umständen sehr sinnvoll und auch sicher sein.

Die Portänderung für den Remote Desktop hatte ich primär erstmal aus dem Grund getätigt, um etwas Sicherheit zu erzeugen und stellte anschließend zufällig fest, dass diese Änderung auch noch diverse andere Vorteile schafft.


Da ich Windows Server 2012 ausschließlich wegen dem Hyper-V Feature nutze, laufen bei mir auf dem kleinen Homeserver nicht nur ein Windows Betriebssystem, sondern insgesamt drei. Um via Remote zugreifen zu können, muss man unter Umständen erstmal den Port 3389 (TCP) freigeben.

Über die erweiterte Windows Firewall muss man ebenfalls den Remote Dienst freigeben mit dem Port 3389. Sonst kann man sich unter Umständen erstmal gar nicht von seinem Desktop PC via Remote zugreifen.

Wie schon erwähnt hatte ich aber mehrere Windows Betriebssysteme installiert und da schon der Port 3389 für Windows Server 2012 verwendet wurde, musste ich überlegen, wie ich das gebacken bekomme, dass man auf jedem Windows Betriebssystem via Remote zugreifen kann.


Die Lösung ist ganz einfach, wenn man sie erstmal kennt. Man ändert einfach den Port ab, sodass keine Windows Installation auf demselben Port zugreifen möchte / soll.

Wie man das macht, ist eigentlich ganz einfach:

Windows Server - Remote Desktop Port ändern


Zuerst muss man den Registrierungs-Editor öffnen. Das macht man, indem man „Ausführen“ öffnet (WINTASTE + R) und anschließend „regedit“ eingibt.

Anschließend öffnet sich ein Fenster mit in der Regel fünf Ordner anzeigend. Dort muss man sich erstmal rum klicken, um an der entsprechende Datei zu gelangen. Der Pfad lautet:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp

Dort findet man eine Datei mit dem Namen „PortNumber“ vor. Diesen Eintrag rechtsklickt man und klickt anschließend auf „Ändern“. Als erstes wird der Hexadezimal Wert angezeigt. Mit einem Klick auf Dezimal sieht man dann die Portnummer 3389. Nun kann man den Port in eine beliebige Zahl abändern. Beispielsweise in „1337“.


Hat man eine Zahl, also einen Port festgelegt, gibt man die Zahl ein und klickt auf „Ok“. Anschließend muss man Windows neustarten, damit die Änderung wirksam wird.

Nach dem Neustart wird dann erstmal fest vorgegeben, welcher Port von dem Remote Desktop benutzt werden soll. Jedoch muss man noch manuell eine „Eingehende Regel“ bei der Windows Firewall erstellen und den TCP Port (1337) freigeben. Unter Umständen dann auch noch diese Einstellung im Router vornehmen und schon kann man sich mit dem neuen Port verbinden.

Mit allen Windows Betriebssysteme verbinden:
Es erhöht nicht nur ein bisschen die Sicherheit, sondern kann auch noch mehrere Windows Betriebssysteme zum Verbinden benutzen. Dazu wiederholt man den obigen Schritt einfach mit der anderen Windows Installation und wählt (logischerweise) einen anderen Port aus. Anschließend diese Änderung wieder in der Firewall und falls nötig auch im Router übernehmen.


Schon kann man sich auch mit der zweiten Windows Installation per Remote Desktop verbinden lassen.

Per Remote Desktop verbinden lassen:
Wer als Einsteiger gerade diesen Text ließt und nicht wirklich weiß, wie man sich dann doch ordnungsgemäß verbindet, gebe ich mit auf dem Weg, dass man am Ende der IP-Adresse / Domain dann „:1337“ (1337 mit eigene Portnummer ersetzen) verbindet. Je nach dem welchen Port man welcher Macadresse (Windows Installation) zugeordnet hat, kann beispielsweise :1337 mein Windows Server 2012 sein, :1338 Windows 7 und :1339 Windows 8.1.

Kleiner Tipp:
Sollte man ein Router mit der DynDNS Funktion besitzen, beispielsweise die FRITZ!Box, kann sich dort ein Dienst einrichten. Dann kann man außerhalb seiner Domäne / Heimnetzwerkes jederzeit auf seiner Windows Installation (ohne lästige Programme wie TeamViewer) zugreifen. Dazu einfach die Domain und dahinter die Portnummer angeben. Zum Beispiel „newsportal.koeln:1337“. So habe ich das übrigens auch gemacht, aber natürlich nicht mit dieser Domain. ;)



Anmerkungen zum Beitrag? Hinweis an die Redaktion senden.