Windows 11 Remote Desktop Port ändern und IP-Zugriffskontrolle konfigurieren

IT
: ENG, KOR, FRA, JPN, ZHO, RUS, SPA, ITA, POR, IND, THA, VIE

September 2025 Neuestes Update
(Diese Methode funktioniert auch für Windows 10)

Der Standard-Port 3389 ist unter Hackern weithin bekannt und kann leicht zum Angriffsziel werden. Ich empfehle Ihnen dringend, ihn zu einer anderen Portnummer zu ändern, um Ihr System sicher zu halten.

Wählen Sie eine Portnummer zufällig aus dem registrierten Portbereich (1024-49151), damit sie schwer zu erraten ist. In dieser Anleitung ändern wir den Remote Desktop-Port zu 49151.

Remote Desktop Port ändern

1. Remote Desktop-Funktion aktivieren

(Basierend auf Windows 11 24H2)

  1. Öffnen Sie die Windows-Einstellungen.
  2. Gehen Sie zu [System][Remotedesktop].
  3. Schalten Sie Remotedesktop auf Ein.

2. Remote Desktop Port ändern

  1. Drücken Sie Windows-Taste + R, um das Ausführen-Dialogfeld zu öffnen und geben Sie regedit ein, um den Registrierungs-Editor zu starten.

    • Sie können auch auf die Start-Schaltfläche klicken und regedit eingeben.

  2. Navigieren Sie zu diesem Pfad im Registrierungs-Editor:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

  3. Finden Sie den PortNumber-Eintrag und doppelklicken Sie darauf.

  4. Wählen Sie Dezimal und ändern Sie die Portnummer von 3389 zu 49151.

  5. Starten Sie Ihren PC neu, um die neue Portnummer anzuwenden.

3. Firewall-Konfiguration

Nachdem Sie den Remote Desktop-Port vom Standard 3389 zu Ihrem benutzerdefinierten Port geändert haben, müssen Sie eine neue eingehende Regel in der Windows-Firewall erstellen, um Remote-Verbindungen über den neuen Port zu ermöglichen.

  1. Drücken Sie Windows-Taste + R, um das Ausführen-Dialogfeld zu öffnen und geben Sie wf.msc ein.
    • Sie können auch auf die Start-Schaltfläche klicken und wf.msc eingeben.
  2. Klicken Sie auf Eingehende Regeln im linken Baum und dann auf Neue Regel im rechten Panel.
  3. Konfigurieren Sie den Assistenten für neue eingehende Regeln wie folgt:
    • Regeltyp: Port
    • Protokoll: TCP
    • Bestimmte lokale Ports: 49151
    • Aktion: Verbindung zulassen
    • Profil: Wählen Sie alle drei - Domäne, Privat und Öffentlich
    • Name: RDP (oder einen Namen Ihrer Wahl)
  4. Klicken Sie auf Fertig stellen, um die Einrichtung abzuschließen.

IP-Zugriffskontrolle konfigurieren

Die Änderung zu einem benutzerdefinierten Port allein kann keine vollständige Sicherheit garantieren. Angreifer können immer noch offene Ports durch Port-Scanning entdecken und Brute-Force-Angriffe versuchen. Um diese Risiken grundlegend zu blockieren, müssen Sie IP-basierte Zugriffskontrolle (ACL) einrichten, sodass nur vorab genehmigte IP-Adressen eine Verbindung herstellen können. Dies ist ein Kernelement einer mehrschichtigen Sicherheitsstrategie.

IP-Zugriffskontrolle (ACL) einrichten

  1. Drücken Sie Windows-Taste + R, um das Ausführen-Dialogfeld zu öffnen und geben Sie wf.msc ein.
    • Sie können auch auf die Start-Schaltfläche klicken und wf.msc eingeben.
  2. Klicken Sie auf Eingehende Regeln im linken Baum.
  3. Finden Sie die gerade erstellte Regel (RDP oder Ihr benutzerdefinierter Name) und doppelklicken Sie darauf.
  4. Wenn sich das Eigenschaftenfenster öffnet, klicken Sie oben auf die Registerkarte Bereich.
  5. Unter Remote-IP-Adresse ändern Sie die Option zu Diese IP-Adressen und klicken Sie auf Hinzufügen, um die Quell-IP einzugeben.
  6. Klicken Sie auf OK und schließen Sie das Fenster, um die IP-Zugriffskontrolle anzuwenden.

VPN verwenden

Wenn Sie noch stärkere Sicherheit als IP-Zugriffskontrolle wünschen, sollten Sie in Betracht ziehen, Remote Desktop-Verbindungen nur über VPN (Virtual Private Network) zu erlauben.

1. Grundkonzepte der VPN-Sicherheit

VPN erstellt einen verschlüsselten virtuellen Tunnel über das Internet und ermöglicht sicheren Zugang zu internen Netzwerken von außen. Wenn Sie VPN verwenden, können externe Benutzer nicht direkt auf RDP-Ports zugreifen und müssen sich zuerst mit dem VPN verbinden, bevor sie über Remote Desktop auf Computer im internen Netzwerk zugreifen können.

2. Vorteile der Sicherheitsverbesserung

  • Duale Authentifizierungsstruktur: VPN-Login → RDP-Login für mehrschichtige Sicherheit
  • Verschlüsselte Kommunikation: Alle Datenübertragungen sind zur Sicherheit verschlüsselt
  • IP-Adresse verbergen: Die tatsächliche RDP-Server-IP-Adresse bleibt von außen verborgen
  • Vollständige Zugriffssperre: Ohne VPN-Verbindung kann der RDP-Server nicht einmal erkannt werden

3. Hauptmethoden der VPN-Implementierung

Verwendung von Heimrouter-VPN-Funktionen

Die meisten modernen Router haben eingebaute VPN-Server-Funktionen, die es Ihnen ermöglichen, VPN ohne zusätzliche Kosten einzurichten. Sie können den VPN-Server auf der Router-Verwaltungsseite aktivieren und Benutzerkonten erstellen.

Kommerzielle VPN-Dienste

Verwenden Sie kommerzielle VPN-Dienste wie ExpressVPN, NordVPN oder Surfshark, um eine feste IP zu erhalten und RDP-Zugriff nur von dieser IP zu konfigurieren.

Cloud-VPN-Einrichtung

Verwenden Sie Cloud-Service-VPN-Lösungen wie AWS VPN Gateway oder Azure VPN Gateway, um professionelle VPN-Umgebungen zu erstellen.

Open-Source-VPN-Server-Einrichtung

Installieren Sie Open-Source-Lösungen wie OpenVPN, WireGuard oder SoftEther VPN auf separaten Servern, um maßgeschneiderte VPN-Umgebungen zu erstellen.

4. Empfohlener Ansatz

Für Privatanwender prüfen Sie zuerst, ob Ihr Router über eingebaute VPN-Funktionen verfügt. Für Geschäftsumgebungen ziehen Sie Cloud-VPN-Lösungen in Betracht. Nachdem Sie VPN eingerichtet haben, blockieren Sie vollständig den externen direkten Zugriff auf RDP-Ports in der Firewall und konfigurieren Sie den Zugriff nur über VPN, um das höchste Niveau der Remote Desktop-Sicherheit zu erreichen.