Windows Server Remote Desktop – Port ändern zur Sicherheit

Microsoft

Nachdem ich mein eigenen kleinen Homeserver konfiguriert habe und letztendlich beschlossen habe, dass ich als Haupt-Betriebssystem Windows Server 2012 benutzen werde und ausschließlich über den Remote Desktop arbeite, stellte ich mir unter anderem die Frage, wie ich den Port ändern kann. Eine Portänderung kann unter Umständen sehr sinnvoll und auch sicher sein.

Die Portänderung für den Remote Desktop hatte ich primär erstmal aus dem Grund getätigt, um etwas Sicherheit zu erzeugen und stellte anschließend zufällig fest, dass diese Änderung auch noch diverse andere Vorteile schafft.

Da ich Windows Server 2012 ausschließlich wegen dem Hyper-V Feature nutze, laufen bei mir auf dem kleinen Homeserver nicht nur ein Windows Betriebssystem, sondern insgesamt drei. Um via Remote zugreifen zu können, muss man unter Umständen erstmal den Port 3389 (TCP) freigeben.

Über die erweiterte Windows Firewall muss man ebenfalls den Remote Dienst freigeben mit dem Port 3389. Sonst kann man sich unter Umständen erstmal gar nicht von seinem Desktop PC via Remote zugreifen.

Wie schon erwähnt hatte ich aber mehrere Windows Betriebssysteme installiert und da schon der Port 3389 für Windows Server 2012 verwendet wurde, musste ich überlegen, wie ich das gebacken bekomme, dass man auf jedem Windows Betriebssystem via Remote zugreifen kann.

Die Lösung ist ganz einfach, wenn man sie erstmal kennt. Man ändert einfach den Port ab, sodass keine Windows Installation auf demselben Port zugreifen möchte / soll.

Wie man das macht, ist eigentlich ganz einfach:

Windows Server - Remote Desktop Port ändern

Zuerst muss man den Registrierungs-Editor öffnen. Das macht man, indem man „Ausführen“ öffnet (WINTASTE + R) und anschließend „regedit“ eingibt.

Anschließend öffnet sich ein Fenster mit in der Regel fünf Ordner anzeigend. Dort muss man sich erstmal rum klicken, um an der entsprechende Datei zu gelangen. Der Pfad lautet:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp

Dort findet man eine Datei mit dem Namen „PortNumber“ vor. Diesen Eintrag rechtsklickt man und klickt anschließend auf „Ändern“. Als erstes wird der Hexadezimal Wert angezeigt. Mit einem Klick auf Dezimal sieht man dann die Portnummer 3389. Nun kann man den Port in eine beliebige Zahl abändern. Beispielsweise in „1337“.

Hat man eine Zahl, also einen Port festgelegt, gibt man die Zahl ein und klickt auf „Ok“. Anschließend muss man Windows neustarten, damit die Änderung wirksam wird.

Nach dem Neustart wird dann erstmal fest vorgegeben, welcher Port von dem Remote Desktop benutzt werden soll. Jedoch muss man noch manuell eine „Eingehende Regel“ bei der Windows Firewall erstellen und den TCP Port (1337) freigeben. Unter Umständen dann auch noch diese Einstellung im Router vornehmen und schon kann man sich mit dem neuen Port verbinden.

Mit allen Windows Betriebssysteme verbinden:
Es erhöht nicht nur ein bisschen die Sicherheit, sondern kann auch noch mehrere Windows Betriebssysteme zum Verbinden benutzen. Dazu wiederholt man den obigen Schritt einfach mit der anderen Windows Installation und wählt (logischerweise) einen anderen Port aus. Anschließend diese Änderung wieder in der Firewall und falls nötig auch im Router übernehmen.

Schon kann man sich auch mit der zweiten Windows Installation per Remote Desktop verbinden lassen.

Per Remote Desktop verbinden lassen:
Wer als Einsteiger gerade diesen Text ließt und nicht wirklich weiß, wie man sich dann doch ordnungsgemäß verbindet, gebe ich mit auf dem Weg, dass man am Ende der IP-Adresse / Domain dann „:1337“ (1337 mit eigene Portnummer ersetzen) verbindet. Je nach dem welchen Port man welcher Macadresse (Windows Installation) zugeordnet hat, kann beispielsweise :1337 mein Windows Server 2012 sein, :1338 Windows 7 und :1339 Windows 8.1.

Kleiner Tipp:
Sollte man ein Router mit der DynDNS Funktion besitzen, beispielsweise die FRITZ!Box, kann sich dort ein Dienst einrichten. Dann kann man außerhalb seiner Domäne / Heimnetzwerkes jederzeit auf seiner Windows Installation (ohne lästige Programme wie TeamViewer) zugreifen. Dazu einfach die Domain und dahinter die Portnummer angeben. Zum Beispiel „Gedankenausbruch.de:1337“. So habe ich das übrigens auch gemacht, aber natürlich nicht mit dieser Domain. ;)


  • Veröffentlicht von

    Raphael ist Autor und Inhaber von Gedankenausbruch.com. Bei Anregungen, Fragen oder Problemen gerne und zu jederzeit erreichbar. Wenn du zum Beitrag eine Frage hast, veröffentliche einfach ein Kommentar. Per E-Mail werden wir darüber informiert und werden schnellstmöglich antworten.

    7 Kommentare » Schreibe einen Kommentar

    1. Hallo, grundsätzlich eine schöne Anleitung, danke. Sicherheit gewinnt ein System damit aber nur zum Schein – es gibt Portscanner, welche diese Änderung in minimaler Zeit aufdecken. So etwas aus Sicherheitsgründen zu tun bedeutet, auf „security by obscurity“ zu setzen, ein Konzept, welches nicht funktioniert bzw. höchstens unbedarfte Gelegenheitseinbrecher abhält..

      Eine annehmbare Sicherheit wird erst über VPN-Tunnel erreicht, jeder gute Heimnetz-Router kann das. Hinter einem VPN braucht man dann allerdings auch keine umgebogenen Ports mehr… ;-)

      • Hi,

        natürlich gibt es Port-Scanner. Dazu muss man erstmal die IP-Adresse beziehungsweise die Adresse vom D/DNS kennen. Wenn man die Adresse erstmal überhaupt hat, kann man es noch erschwere, indem man den Port ändert.

        Mit dieser Methode kann man wenigstens schon mal die Bots und „Unwissenden“ etwas dämpfen. Grundsätzlich lässt mal bei solchen Sachen nie etwas „per Default“.

        • Naja, die IP-Adresse muss man *immer* kennen, egal ob nun mit Standard-Ports oder nicht. Auch dafür gibt es Scanner.
          Dass man Dinge grundsätzlich nicht „per default“ lässt, solltest Du lieber nicht zu laut sagen, denn in größeren und/oder professionellen Netzwerken kann Dir damit ganz schnell alles auf die Füße fallen. ;-)

          Ein Umbiegen von Ports ist einfach kein Sicherheitskonzept, auch wenn es, wie erwähnt, vor laienhaftem „Angriff“ schützen kann.

          • Ich als Nutzer kenne meine IP, ja.

            Da sich meine IP (dynamischen Anschluss) jeden Tag ändert, wäre es doch etwas problematisch, die IP-Adresse jedes Mal herauszufinden und dann obendrauf noch den Zugang zu kompromittieren.

            In diesem Artikel geht es ja nur darum, dass ich auf dem HomeServer – der zu Hause steht – außerhalb meines Netzwerks zugreifen kann mit meinem Wunsch-Port.

            Wenn man nun irgendein Windows Server bei einem Anbieter (zum Beispiel OVH) stehen hat, dann sollte man sicherlich mehr Vorsichtsmaßnahmen treffen, als nur den Port zu ändern.

    2. Ich möchte meinen Microsoft Windows Server gegen Hacker absichern, was kann ich sinnvolles tun?danke

      • Hallo Kamal,
        erstmal kannst du den Port abändern, wie es in dem Beitrag schon erwähnt wurde. Somit benutzt man unter Umständen nicht nur die IP-Adresse vom Server, sondern auch irgendeine beliebige Portnummer am Ende der IP-Adresse.

        Desweiteren immer darauf achten, dass du die neuesten Updates installierst und den Server auch Server belässt. Beispielsweise nicht auf „gefährliche Webseiten“ und Co. damit aufrufen oder auch irgendwelche nicht zu 100% vertrauenswürdige Programme / Software ausführen beziehungsweise installieren.

        Am besten verweigerst du den Zugriff auch noch von draußen aus und richtest dir einen VPN-Zugang ein. Von draußen verbindest du dich über den VPN und dann zum Server hin.

    Schreibe einen Kommentar

    Pflichtfelder sind mit * markiert.


    banner