Cómo modificar el puerto RDP en Windows Server

Con los servidores remotos más comunes que nunca, todos buscan maneras de mantener su acceso RDP más seguro. El puerto predeterminado 3389 es el objetivo de casi todos, y si lo dejas así, los hackers están a la caza del ataque. Por lo tanto, cambiar el puerto RDP no solo es una buena idea, sino casi imprescindible para mejorar la seguridad. Pero el problema es que Windows no lo hace obvio ni sencillo, especialmente si nunca lo has hecho. A veces parece que Windows quiere hacerlo lo más confuso posible. Pero no te preocupes, es factible y no necesitas ser un experto en administración de Windows para lograrlo. Una vez que cambias el puerto, a los hackers les resulta más difícil simplemente buscar el puerto 3389 abierto, y ahí es cuando aumentan tus posibilidades de evitar un ataque. En resumen, es un pequeño ajuste que te da tranquilidad, especialmente si tu servidor está conectado a internet las 24 horas, los 7 días de la semana.

Formas de cambiar el puerto RDP en un servidor Windows

Hay un par de maneras sencillas de cambiar el puerto RDP: mediante el Registro o PowerShell. Ambas funcionan bien, pero hay que tener cuidado, ya que manipular el Registro no es precisamente divertido si no se presta atención. En una configuración es muy fluido, en otra… bueno, a veces es un poco inestable. Simplemente recuerde reiniciar el servicio RDP después y actualizar las reglas del firewall. Este último paso suele ser un poco confuso, sobre todo si se olvidan las reglas del firewall o no se reinicia el servicio correctamente.

Método 1: Cambiar el puerto RDP mediante el Editor del Registro

Esta es la forma clásica. Es la más directa, pero hay que tener mucho cuidado, ya que editar el registro puede causar problemas si se realiza mal.¿Por qué funciona? Porque el número de puerto se almacena allí mismo, bajo la clave del registro; al cambiarlo, Windows debe escuchar en un puerto diferente las conexiones RDP entrantes. Se aplica siempre que se conecta remotamente, así que, una vez configurado correctamente, es como un pequeño bloqueo digital contra los escáneres que buscan el puerto 3389.

  1. Abra el menú Inicio, escriba Editor del Registro y ábralo. Si aparece el Control de cuentas de usuario (UAC), haga clic en .
  2. Vaya a esta dirección: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp. La forma más sencilla es expandir las carpetas paso a paso o pegarlo directamente en la barra de direcciones del Editor del Registro.
  3. A la derecha, busca PortNumber y haz doble clic en él para editarlo. Asegúrate de seleccionar Decimal en Base.
  4. Cambie los datos del valor al número de puerto que desee: simplemente elija un puerto libre al azar, como 3390 o 50000.(No elija algo que ya esté en uso).Por ejemplo, ingrese 3390.
  5. Haga clic en Aceptar y cierre el Editor del Registro.

Ahora bien, esto solo *configura* el puerto; no lo activa ni le indica a Windows que lo permita a través del firewall todavía. Por lo tanto, el siguiente paso es asegurarse de que Windows esté escuchando en el nuevo puerto y de que el firewall no lo esté bloqueando. Aquí es donde la mayoría de la gente tropieza.

Método 2: Cambiar el puerto RDP a través de PowerShell

Si te sientes más cómodo con la línea de comandos o buscas una forma más rápida, PowerShell es la solución. Es un poco más moderno y menos arriesgado que revisar manualmente el registro, pero aun así necesitas ejecutarlo como administrador, ya que altera la configuración del sistema.

  • Presione la Windowstecla, escriba Windows PowerShell, haga clic derecho y elija Ejecutar como administrador.
  • Si el Control de cuentas de usuario lo solicita, haga clic en .
  • Utilice este comando, reemplazando [Número de puerto] con su puerto personalizado, como 3390:

    • Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name 'PortNumber' -Value 3390

Después de ejecutar esto, recuerda: todavía debes actualizar tus reglas de firewall.

Cómo implementar los cambios en el puerto RDP

Cambiar el puerto por sí solo no soluciona el problema; debe indicarle a Windows que permita el tráfico en ese nuevo puerto. De lo contrario, su conexión remota simplemente se bloqueará. Esto es lo que debe hacer:

  1. Abra el Firewall de Windows Defender con seguridad avanzada. Puede hacerlo rápidamente presionando Windows + R, escribiendo firewall.cplo buscando Firewall de Windows Defender y presionando Intro.
  2. Haga clic en Reglas de entrada y luego seleccione Nueva regla.
  3. Seleccione «Puerto» como tipo de regla y haga clic en «Siguiente». Dado que se trata de tráfico TCP/UDP, seleccione «TCP». Ahora, seleccione «Puertos locales específicos» e introduzca el nuevo número de puerto.
  4. Haz clic en Siguiente y selecciona Permitir la conexión. Decide si esta regla se aplica a redes de dominio, privadas o públicas. Normalmente, «Privada» es suficiente si estás dentro de una LAN, pero si estás en una red remota, podrías necesitarla para las tres.
  5. Asígnele un nombre como «Puerto RDP personalizado» y pulse Finalizar. Repita los pasos, pero seleccione UDP si es necesario, especialmente si su configuración usa UDP para RDP.
  6. Por último, reinicie el servicio Servicios de Escritorio remoto : presione Windows + R, escriba services.msc, presione Enter, busque Servicios de Escritorio remoto, haga clic derecho y elija Reiniciar.

Sí, es un proceso. Pero en una de mis configuraciones, funcionó después de hacer todo eso; en otra, tuve que reiniciar dos veces, porque Windows a veces es terco. Lo principal es asegurarse de que el nuevo puerto esté permitido en el firewall y que el servicio se reinicie. Además, revise el puerto después de los cambios, ya que Windows no siempre es transparente con el nuevo puerto de escucha.

Cómo comprobar el puerto RDP en Windows Server

Después de todo el lío, conviene verificar los cambios. La forma más rápida es ejecutar PowerShell como administrador y ejecutar:

Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber"

Esto te indicará el número de puerto en el que Windows está escuchando actualmente. Asegúrate de que coincida con lo configurado. De lo contrario, podría significar que los cambios en el registro no se implementaron o que alguna otra política los está anulando.

Palabras finales

Una vez completados todos estos pasos, el puerto RDP cambiará del predeterminado a uno más complejo. Recuerda que el puerto debe estar abierto en el firewall y los servicios reiniciados; de lo contrario, tus sesiones remotas simplemente dejarán de funcionar. No sé por qué, pero en algunos servidores, se necesitan un par de reinicios para que todo funcione correctamente. En resumen, este pequeño ajuste puede mejorar considerablemente tu seguridad.

Resumen

  • Se modificó el registro o se utilizó PowerShell para configurar un nuevo puerto
  • Reglas de firewall actualizadas para permitir el tráfico en el nuevo puerto
  • Se reiniciaron los servicios de escritorio remoto para aplicar los cambios
  • Verifiqué el nuevo puerto con comandos de PowerShell

Resumen

Crucemos los dedos, esto ayudará a que alguien haga su configuración remota un poco más privada. No es una seguridad infalible, pero sin duda es una buena medida si quieres ponérselo un poco más difícil al escáner o al script kiddie promedio. Solo recuerda mantener un registro de tu puerto personalizado y actualizar las reglas de tu firewall cada vez que lo cambies.¡Mucha suerte y espero que funcione en tu equipo! ¡Al menos a mí me funcionó!

Cómo solucionar el bloqueo de Windows durante la reparación del disco
Cómo ajustar la configuración de la memoria virtual en Windows 11