Win­dows Ser­ver Remo­te Desk­top – Port ändern zur Sicherheit

Windows

Nach­dem ich mein eige­nen klei­nen Home­ser­ver kon­fi­gu­riert habe und letzt­end­lich beschlos­sen habe, dass ich als Haupt-Betriebs­sys­tem Win­dows Ser­ver 2012 benut­zen wer­de und aus­schließ­lich über den Remo­te Desk­top arbei­te, stell­te ich mir unter ande­rem die Fra­ge, wie ich den Port ändern kann. Eine Por­t­än­de­rung kann unter Umstän­den sehr sinn­voll und auch sicher sein.

Die Por­t­än­de­rung für den Remo­te Desk­top hat­te ich pri­mär erst­mal aus dem Grund getä­tigt, um etwas Sicher­heit zu erzeu­gen und stell­te anschlie­ßend zufäl­lig fest, dass die­se Ände­rung auch noch diver­se ande­re Vor­tei­le schafft.

Da ich Win­dows Ser­ver 2012 aus­schließ­lich wegen dem Hyper‑V Fea­ture nut­ze, lau­fen bei mir auf dem klei­nen Home­ser­ver nicht nur ein Win­dows Betriebs­sys­tem, son­dern ins­ge­samt drei. Um via Remo­te zugrei­fen zu kön­nen, muss man unter Umstän­den erst­mal den Port 3389 (TCP) freigeben.

Über die erwei­ter­te Win­dows Fire­wall muss man eben­falls den Remo­te Dienst frei­ge­ben mit dem Port 3389. Sonst kann man sich unter Umstän­den erst­mal gar nicht von sei­nem Desk­top PC via Remo­te zugreifen.

Wie schon erwähnt hat­te ich aber meh­re­re Win­dows Betriebs­sys­te­me instal­liert und da schon der Port 3389 für Win­dows Ser­ver 2012 ver­wen­det wur­de, muss­te ich über­le­gen, wie ich das geba­cken bekom­me, dass man auf jedem Win­dows Betriebs­sys­tem via Remo­te zugrei­fen kann.

Die Lösung ist ganz ein­fach, wenn man sie erst­mal kennt. Man ändert ein­fach den Port ab, sodass kei­ne Win­dows Instal­la­ti­on auf dem­sel­ben Port zugrei­fen möch­te / soll.

Wie man das macht, ist eigent­lich ganz einfach:

Windows Server - Remote Desktop Port ändern

Zuerst muss man den Regis­trie­rungs-Edi­tor öff­nen. Das macht man, indem man „Aus­füh­ren” öff­net (WINTASTE + R) und anschlie­ßend „rege­dit” eingibt.

Anschlie­ßend öff­net sich ein Fens­ter mit in der Regel fünf Ord­ner anzei­gend. Dort muss man sich erst­mal rum kli­cken, um an der ent­spre­chen­de Datei zu gelan­gen. Der Pfad lautet:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp

Dort fin­det man eine Datei mit dem Namen „PortN­um­ber” vor. Die­sen Ein­trag rechts­klickt man und klickt anschlie­ßend auf „Ändern”. Als ers­tes wird der Hexa­de­zi­mal Wert ange­zeigt. Mit einem Klick auf Dezi­mal sieht man dann die Port­num­mer 3389. Nun kann man den Port in eine belie­bi­ge Zahl abän­dern. Bei­spiels­wei­se in „1337”.

Hat man eine Zahl, also einen Port fest­ge­legt, gibt man die Zahl ein und klickt auf „Ok”. Anschlie­ßend muss man Win­dows neu­star­ten, damit die Ände­rung wirk­sam wird.

Nach dem Neu­start wird dann erst­mal fest vor­ge­ge­ben, wel­cher Port von dem Remo­te Desk­top benutzt wer­den soll. Jedoch muss man noch manu­ell eine „Ein­ge­hen­de Regel” bei der Win­dows Fire­wall erstel­len und den TCP Port (1337) frei­ge­ben. Unter Umstän­den dann auch noch die­se Ein­stel­lung im Rou­ter vor­neh­men und schon kann man sich mit dem neu­en Port verbinden.

Mit allen Win­dows Betriebs­sys­te­me verbinden:
Es erhöht nicht nur ein biss­chen die Sicher­heit, son­dern kann auch noch meh­re­re Win­dows Betriebs­sys­te­me zum Ver­bin­den benut­zen. Dazu wie­der­holt man den obi­gen Schritt ein­fach mit der ande­ren Win­dows Instal­la­ti­on und wählt (logi­scher­wei­se) einen ande­ren Port aus. Anschlie­ßend die­se Ände­rung wie­der in der Fire­wall und falls nötig auch im Rou­ter übernehmen.

Schon kann man sich auch mit der zwei­ten Win­dows Instal­la­ti­on per Remo­te Desk­top ver­bin­den lassen.

Per Remo­te Desk­top ver­bin­den lassen:
Wer als Ein­stei­ger gera­de die­sen Text ließt und nicht wirk­lich weiß, wie man sich dann doch ord­nungs­ge­mäß ver­bin­det, gebe ich mit auf dem Weg, dass man am Ende der IP-Adres­se / Domain dann „:1337″ (1337 mit eige­ne Port­num­mer erset­zen) ver­bin­det. Je nach dem wel­chen Port man wel­cher Mac­adres­se (Win­dows Instal­la­ti­on) zuge­ord­net hat, kann bei­spiels­wei­se :1337 mein Win­dows Ser­ver 2012 sein, :1338 Win­dows 7 und :1339 Win­dows 8.1.

Klei­ner Tipp:
Soll­te man ein Rou­ter mit der DynDNS Funk­ti­on besit­zen, bei­spiels­wei­se die FRITZ!Box, kann sich dort ein Dienst ein­rich­ten. Dann kann man außer­halb sei­ner Domä­ne / Heim­netz­wer­kes jeder­zeit auf sei­ner Win­dows Instal­la­ti­on (ohne läs­ti­ge Pro­gram­me wie Team­View­er) zugrei­fen. Dazu ein­fach die Domain und dahin­ter die Port­num­mer ange­ben. Zum Bei­spiel „newsportal.koeln:1337”. So habe ich das übri­gens auch gemacht, aber natür­lich nicht mit die­ser Domain. ;)

Anmer­kun­gen zum Bei­trag? Hin­weis an die Redak­ti­on sen­den.