sdx15 - stock.adobe.com

Was ist der Standard-Port für RDP und wie ändert man ihn?

Müssen Administratoren den RDP-Port ändern, sollten sie sich mit dem Windows-Registrierungs-Editor auskennen. Sie müssen wissen, wie sie damit die RDP-Einstellungen ändern können.

Das Remote Desktop Protocol (RDP) verwendet einen bestimmten Port, um eine Verbindung zu herstellen, wenn Administratoren und Benutzer eine Verbindung zu Servern und Endpunkten herstellen müssen. In der Regel muss sich die IT-Abteilung nicht um diesen Port kümmern.

Manchmal müssen IT-Administratoren den Port jedoch anzeigen und ändern. Daher ist es wichtig zu wissen, welcher Port standardmäßig für RDP verwendet wird, warum er möglicherweise geändert werden muss und wie dies durchgeführt wird.

Auf welchem Port läuft RDP standardmäßig?

Der Standardport für RDP ist 3389, das bedeutet, dass beim Öffnen der Remotedesktop-Anwendung und beim Versuch, eine Verbindung zu einem Server herzustellen, die Datenübertragung über Port 3389 initiiert wird. Standardmäßig ist der RDP-Port durch die Windows-Firewall blockiert. Um eine Verbindung herzustellen, müssen Sie daher die Firewall-Regeln ändern.

Warum sollte ein Desktop-Administrator den RDP-Port ändern wollen?

Es gibt Situationen, in denen Sie als Desktop-Administrator den RDP-Port ändern möchten. Dies kann direkt auf dem Computer oder dem Server erfolgen.

Wenn RDP den Standardport 3389 verwendet, ist es für Angreifer einfach, den offenen Port mit automatisierten Scans zu finden. Wenn Angreifer nach einem Weg suchen, sich Zugang zu verschaffen, verwenden sie automatisierte Scans, um nach offenen Ports zu suchen, die sie möglicherweise ausnutzen können. Durch das Ändern des Standardports in einen nicht standardmäßigen RDP-Port wird es für böswillige Akteure etwas schwieriger, diesen zu finden.

Bitte beachten Sie: Das Ändern des Ports schützt nicht vor Angriffen, sondern macht es lediglich etwas schwieriger, den Port zu finden. Es ist keine gute Idee, einen RDP-Port ohne weitere Sicherheitsmaßnahmen wie VPNs, Multifaktor-Authentifizierung und starke Passwörter im Internet offen zu lassen.

So ändern Sie den Standard-RDP-Port auf Windows-Servern und -Desktops

Um den Port zu ändern, den RDP auflistet, müssen Sie Änderungen in der Windows-Registrierung vornehmen. Der Vorgang ist für Windows Server und Windows-Desktops identisch:

Windows-Registrierungs-Editor aufrufen.
Abbildung 1: Das Dialogfeld „Ausführen“, über das Sie den Windows-Registrierungs-Editor aufrufen.

1. Öffnen Sie den Windows-Registrierungs-Editor, indem Sie die Tastenkombination Win + R verwenden, um das Dialogfeld Ausführen aufzurufen (Abbildung 1).

2. Geben Sie regedit“ ein und klicken Sie auf „OK“.

3. Vor Änderungen an der Registrierung sollten Sie eine Sicherungskopie der Registry erstellen. Auf diese Weise können Sie das System leicht wiederherstellen, falls etwas schiefgeht. Im Registrierungs-Editor, gehen Sie zu Datei/Exportieren und speichern eine Kopie der .reg-Datei an einem sicheren Ort.

4. Navigieren Sie zu

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

und suchen Sie den Schlüssel PortNumber. Dieser Schlüssel zeigt die aktuelle Portnummer an, derzeit 3389.

5. Doppelklicken Sie auf den Schlüssel PortNumber, um das Bearbeitungsdialogfeld zu öffnen. Der Wert wird im Hexadezimalformat angezeigt. Wenn Sie auf das Optionsfeld Dezimal klicken, wird die Portnummer im Dezimalformat angezeigt (Abbildung 2).

RDP-Port ändern im Registrierungs-Editor.
Abbildung 2: Den RDP-Port ändern Sie im Registrierungs-Editor.

6. Ändern Sie den Wert in die Portnummer, unter der RDP aufgeführt werden soll.

7. Klicken Sie auf OK, um die Änderungen in der Registrierung zu speichern.

8. Starten Sie den RDP-Dienst neu. Öffnen Sie dazu eine Eingabeaufforderung und führen Sie den folgenden Befehl aus:

net stop termservice

net start termservice

Wenn Sie den RDP-Dienst nicht neu manuell starten möchten, können Sie auch einfach den Computer neu starten.

Nachdem der RDP-Port in der Registrierung geändert wurde, müssen Sie nun überprüfen, ob Sie eine Verbindung über den neuen RDP-Port herstellen können. Zum Testen benötigen Sie einen anderen Computer, der sich im selben Netzwerk befindet. Verwenden Sie diesen Computer, um die Verbindung zu dem Server oder Computer herzustellen, dessen Portnummern Sie in den vorherigen Schritten geändert haben.

Am einfachsten können Sie dies testen, indem Sie eine Remote-Desktop-Verbindung über die Remotedesktop-Anwendung auf diesem Computer initiieren.

Abbildung 3: Zielcomputer mit dem neu definierten Port.
Abbildung 3: Starten einer RDP-Verbindung zum Zielcomputer mit dessen IP-Adresse und dem neu definierten Port.

Öffnen Sie die Remote-Desktop-Anwendung und geben Sie die IP-Adresse des Computers ein, mit dem Sie eine Verbindung herstellen möchten, gefolgt von einem Doppelpunkt und der neuen Portnummer. Wenn Sie die Portnummer nicht festlegen, wird versucht, eine Verbindung über die Standardportnummer 3389 herzustellen.

Die Struktur sollte wie folgt aussehen: <IP-Adresse>:<Portnummer>. In Abbildung 3 lautet die IP-Adresse des Computers 192.168.10.1 und die Portnummer 63389. Die Struktur ist also wie folgt: 192.168.10.1:63389.

Bei der Änderung des RDP-Ports sind einige bewährte Methoden zu beachten:

1. Verwenden Sie keinen Port, der bereits von einer anderen Anwendung genutzt wird. Dadurch werden Konflikte vermieden, die entstehen können, wenn zwei Anwendungen versuchen, denselben Port abzuhören.

2. Damit Remote-Desktop-Anwendungen eine Verbindung zum RDP-Port herstellen können, ist eine Firewall-Regel erforderlich, die Verbindungen über den RDP-Port zulässt.

3. Durch das Ändern des Standard-RDP-Ports wird es für andere Benutzer schwieriger, den Port zu finden, auf dem RDP ausgeführt wird.

4. Das Ändern des Standard-RDP-Ports macht RDP jedoch nicht sicherer und es ist nicht empfehlenswert, RDP-Ports direkt für das Internet zu öffnen.

5. Bei jeder Arbeit mit der Windows-Registrierung sollte eine Sicherungskopie erstellt werden.

Erfahren Sie mehr über Netzwerksoftware