Hoe de RDP-poort op Windows Server te wijzigen

Nu externe servers steeds gebruikelijker worden, zoekt iedereen naar manieren om hun RDP-toegang veiliger te maken. De standaardpoort 3389 is vrijwel ieders doelwit, en als je dat zo laat, liggen hackers op de loer. Het wijzigen van je RDP-poort is dus niet alleen een goed idee, het is bijna een must-have voor een zekere mate van beveiligingsverbetering. Maar het addertje onder het gras is dat Windows dit niet bepaald duidelijk of eenvoudig maakt, vooral als je het nog nooit eerder hebt gedaan. Soms voelt het alsof Windows het zo verwarrend mogelijk wil maken. Maar maak je geen zorgen, het is haalbaar en je hoeft geen Windows-beheerder te zijn om het voor elkaar te krijgen. Zodra je de poort wijzigt, wordt het voor hackers moeilijker om alleen naar open poort 3389 te scannen, en dat is het moment waarop je kansen om een aanval te voorkomen toenemen. Kortom, het is een kleine aanpassing die je gemoedsrust oplevert, vooral als je server 24/7 online staat.

Manieren om de RDP-poort voor een Windows-server te wijzigen

Er zijn een paar eenvoudige manieren om de RDP-poort te wijzigen: via het register of PowerShell. Beide werken goed, maar je moet wel voorzichtig zijn, want rommelen met het register is niet bepaald leuk als je niet oplet. In de ene configuratie gaat het supervlot, in de andere…nou ja, soms is het een beetje onvoorspelbaar. Vergeet niet om je RDP-service daarna opnieuw te starten en de firewallregels bij te werken. Die laatste stap is voor veel mensen een struikelblok, vooral als ze de firewallregels vergeten of de service niet correct herstarten.

Methode 1: De RDP-poort wijzigen met de Register-editor

Dit is de klassieke manier. Het is de meest directe manier, maar je moet wel heel voorzichtig zijn, want als je het register bewerkt, kan dat problemen veroorzaken. Waarom werkt het? Omdat het poortnummer daar opgeslagen is, onder de registersleutel. Door het te wijzigen, geef je Windows in feite de opdracht om op een andere poort te luisteren naar inkomende RDP-verbindingen. Het is van toepassing elke keer dat je verbinding maakt op afstand, dus als het eenmaal correct is ingesteld, werkt het als een klein digitaal slotje tegen scanners die poort 3389 zoeken.

  1. Open het menu Start, typ Register-editor en open het. Als Gebruikersaccountbeheer (UAC) verschijnt, klikt u op Ja.
  2. Navigeer naar dit adres: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp. De gemakkelijkste manier is om uw mappen stapsgewijs uit te vouwen of het direct in de adresbalk van de Register-editor te plakken.
  3. Zoek aan de rechterkant naar PortNumber en dubbelklik erop om het te bewerken. Zorg ervoor dat je Decimaal selecteert onder Grondtal.
  4. Wijzig de Waardegegevens naar het gewenste poortnummer. Kies gewoon een willekeurige vrije poort, zoals 3390 of 50000.(Kies geen poort die al in gebruik is.) Voer bijvoorbeeld 3390 in.
  5. Klik op OK en sluit de Register-editor.

Dit *stelt* alleen de poort in – het activeert deze nog niet en geeft Windows nog niet de opdracht om deze door de firewall toe te laten. De volgende stap is dus controleren of Windows naar de nieuwe poort luistert en of de firewall deze niet blokkeert. Dit is waar de meeste mensen de mist in gaan.

Methode 2: De RDP-poort wijzigen via PowerShell

Als je liever met de opdrachtregel werkt of een snellere manier zoekt, is PowerShell de oplossing. Het is moderner en minder riskant dan handmatig door het register spitten, maar je moet het nog steeds als administrator uitvoeren, omdat het de systeeminstellingen verstoort.

  • Druk op de Windowstoets, typ Windows PowerShell, klik met de rechtermuisknop en kies Als administrator uitvoeren.
  • Als u hierom wordt gevraagd door Gebruikersaccountbeheer, klikt u op Ja.
  • Gebruik deze opdracht, waarbij u [Poortnummer] vervangt door uw eigen poort, bijvoorbeeld 3390:
  • Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name 'PortNumber' -Value 3390

Houd er rekening mee dat u na het uitvoeren hiervan nog steeds uw firewallregels moet bijwerken.

Hoe de wijzigingen in de RDP-poort te implementeren

Alleen de poort wijzigen is niet voldoende: u moet Windows vertellen dat er verkeer op die nieuwe poort moet worden toegestaan. Anders blijft uw externe verbinding hangen. Dit moet u doen:

  1. Open Windows Defender Firewall met geavanceerde beveiliging. U kunt dit snel doen door op te drukken Windows + R, Windows Defender Firewallfirewall.cpl te typen of te zoeken en op Enter te drukken.
  2. Klik op Inkomende regels en selecteer vervolgens Nieuwe regel.
  3. Kies ‘Poort’ als regeltype en klik op ‘Volgende’. Omdat dit TCP/UDP-verkeer betreft, selecteert u ‘TCP’. Selecteer nu ‘Specifieke lokale poorten’ en typ uw nieuwe poortnummer.
  4. Klik op Volgende en selecteer vervolgens De verbinding toestaan. Bepaal of deze regel van toepassing is op domein-, privé- of openbare netwerken. Privé is meestal voldoende als u zich binnen een LAN bevindt, maar als u extern bent, hebt u het mogelijk voor alle drie nodig.
  5. Geef het een naam, bijvoorbeeld ‘RDP Custom Port’, en klik op ‘Voltooien’. Herhaal de stappen, maar kies indien nodig voor UDP, vooral als je configuratie UDP voor RDP gebruikt.
  6. Start ten slotte de Remote Desktop Services- service opnieuw op: druk op Windows + R, typ services.msc, druk op Enter, zoek Remote Desktop Services, klik met de rechtermuisknop en kies Opnieuw opstarten.

Ja, het is een beetje een proces. Maar in één van mijn installaties werkte het na al die moeite. In een andere moest ik twee keer opnieuw opstarten, omdat Windows soms koppig kan zijn. Het belangrijkste is om ervoor te zorgen dat je nieuwe poort door de firewall wordt doorgelaten en dat de service opnieuw wordt opgestart. Controleer je poort bovendien dubbel na wijzigingen, want Windows is niet altijd openhartig over de nieuwe luisterpoort.

De RDP-poort op Windows Server controleren

Na al dat gedoe is het goed om je wijzigingen te controleren. Dit is de snelste manier: start PowerShell als beheerder en voer het volgende uit:

Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber"

Dit geeft aan welk poortnummer Windows momenteel gebruikt. Zorg ervoor dat dit overeenkomt met wat u hebt ingesteld. Zo niet, dan kan het zijn dat de registerwijzigingen niet zijn doorgevoerd of dat een ander beleid dit overschrijft.

Laatste woorden

Zodra je al deze stappen hebt doorlopen, wordt je RDP-poort gewijzigd van de standaardpoort naar iets minder bekends. Houd er rekening mee dat de poort open moet staan in de firewall en dat de services opnieuw moeten zijn opgestart, anders werken je externe sessies gewoon niet meer. Ik weet niet waarom, maar op sommige servers duurt het een paar keer herstarten voordat alles werkt. Maar over het algemeen kan deze kleine aanpassing je beveiliging aanzienlijk verbeteren.

Samenvatting

  • Register gewijzigd of PowerShell gebruikt om een nieuwe poort in te stellen
  • Bijgewerkte firewallregels om verkeer op de nieuwe poort toe te staan
  • De externe bureaubladservices opnieuw opgestart om de wijzigingen toe te passen
  • De nieuwe poort geverifieerd met PowerShell-opdrachten

Afronding

Ik hoop dat dit iemand helpt om zijn of haar externe configuratie wat meer privacy te geven. Het is geen waterdichte beveiliging, maar zeker een goede stap als je het de gemiddelde scanner of scriptkiddie wat lastiger wilt maken. Vergeet niet om je aangepaste poort bij te houden en je firewallregels elke keer dat je deze wijzigt bij te werken. Veel succes en ik hoop dat het op jouw machine werkt – bij mij in ieder geval wel!