Wer den klassischen RDP-Port 3389 in Windows 10 ändern möchte, um z. B. eine Terminal-Sitzung über Port-Freigabe an seinem Router nutzen zu können, dem wird anhand folgender Methode, die entsprechende Client-Einstellung veranschaulicht.


Voraussetzungen wie in diesem Beispiel:

Hinweis: Es empfiehlt sich bei Remote-Zugriffen eine Authentifizierung auf Netzwerkebene. Eine VPN-Verbindung ist hier die sichere Wahl. Folgende Anleitung richtet sich an Bastler und stellt keine empfohlene Lösung für einen dauerhaften Remote-Zugriff auf private Client-Hardware dar. Die Umsetzung geschieht auf eigene Gefahr.


Den Port zu ändern kann eine Methode sein, um zumindest den Schwierigkeitsgrad für Angreifer zu erhöhen.

Ähnlich wie beim Einbruchschutz eines Hauses, gibt die Höhe der Sicherheits-Kennziffer nicht etwa an, ob ein Einbruch unmöglich, sondern in welchem Zeitraum dieser möglich ist. Entsprechend unattraktiv wird das Vorhaben für den Einbrecher, bzw. ermöglicht je nach Zeitspanne, entsprechende Reaktionen oder Gegenmaßnahmen seitens des Eigentümers; Des Wohneigentums, oder eben einer EDV-Anlage.

Zunächst öffnen wir die Registry

Registrierung über das Startmenü

Und navigieren zu folgendem Schlüssel

Computer\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\WinStations\RDP-Tcp

RegKey RDP Port
Nummer des RDP-Port innerhalb der Windows Registrierung anpassen

Die Eigenschaften des Dword-Eintrages “PortNumber” rufen wir per Doppelklick auf und lassen uns den Wert als Dezimalzahl anzeigen

RDP Port Nummer in Dezimal

Dort können wir einen fast beliebigen Wert eintragen. Natürlich macht es Sinn, keine standardisierte Port-Nummer eines anderen Netzwerkprotokolls zu verwenden. Eine Liste entsprechender Ports, findet sich etwa bei Wikipedia – Liste Standardisierter Ports. Die 5389 ist eine Möglichkeit.

Ruft man nun die Microsoft Remotedesktopverbindung auf

mstsc
Ausführen der Remotedesktopverbindung

Würde man das Ziel anhand der IP oder des Namens des Clients eintragen,..

Lokales RDP-Ziel ergänzt um die Portangabe

.. ergänzt um den geänderten Port; Eingabe wie folgt:

IP:Port

Würde eine entsprechende Freigabe, z. B. anhand einer Fritz!Box 7490 von AVM bestehen, s. Bsp.:

RDP Port-Freigabe FritzBox 7490

Könnte man die RDP-Verbindung per externer IP erreichen. Sofern, der Port in der Windows Firewall freigegeben ist.

Um eine solche Firewall-Freigabe einzurichten, öffnen wir die erweiterten Eigenschaften der Windows Defender Firewall / Ordnerpfad: Systemsteuerung\System und Sicherheit\Windows Defender Firewall

Windows Firewall
Erweiterte Einstellungen der Windows Firewall
Neue Firewall-Regel anlegen – Inbound / Eingehend

Und erstellen eine neue Regel, anhand folgender Vorgaben

neu vergebene Port muss in der Firewall angelegt werden
RDP folgt dem TCP Protokoll
betreffend dem aktiven Netzwerkprofil
Die Verbindung muss in diesem Fall zugelassen werden

Eine weitere Möglichkeit ist die Anpassung, bzw. Freigabe des Ports per administrativer Commando-Zeile (sofern Port = 5389):

netsh advfirewall firewall add rule name="Allow TCP 5389" dir=in action=allow protocol=TCP localport=5389

Natürlich muss unter den Systemeigenschaften der Remoteverbindung noch der Dienst zugelassen sein.

Obligatorisches Zulassen der Remoteverbindungen

und es muss Nutzer geben, die diesen Dienst nutzen dürfen. Deren Zugehörigkeit zur Gruppe der Remotedesktopnutzer wird in der Computerverwaltung (compmgmt.msc), an folgender Stelle definiert

Gruppe der RDP-Benutzer; Nutzer hinzufügen

Anschließend könnte man das ganze noch testen, indem man etwa auf seinem Mobilgerät die App Microsoft RD installierte; erhältlich für Android und iOS
Eine erfolgreiche Verbindung könnte mit entsprechend angelegtem RDP-Profil (Externe IP gefolgt vom RDP-Port) folgendermaßen aussehen

MS RD Profil
Erfolgreiche Microsoft RemoteDesktop-Verbindung auf einem Android Smartphone

Wer sich nun fragt, wie man unterwegs die externe IP seines Heimanschlusses erfährt, dem sei eine DynDNS Adresse empfohlen, wie es sie kostenfrei, bei verschiedenen Hosting-Anbietern im Netz zu erwerben gibt. Beispiele für solche Anbieter ist no-ip, der bereits in vielen Routern pre-configured und bei einer Domain kostenfrei ist.

Für beide und weitere andere Anbieter haben AVM’s FritzBoxen bereits eine Konfigurationsmaske in petto. Unter entsprechend benanntem Reiter..

DYNDNS an FritzBox

..lassen sich bequem Abgleiche zwischen Domain-Namen und der externen IP-Adresse des eigenen WAN-Anschlusses des Providers erreichen. Da sich bei Privatanschlüssen in der Regel mindestens alle 24 Stunden eine neue externe IP dank Trennung der Internetleitung durch den Provider einstellt.

Ein externer Zugriff über das Mobil Netz, mithilfe eines entsprechenden LTE Routers, ist übrigens aufgrund der Art der zugewiesenen IP Adressen des Mobilfunkbetreibers nicht möglich.