Windows 11: Modifica porta Desktop Remoto e configurazione controllo accesso IP

IT
: ENG, KOR, DEU, FRA, JPN, ZHO, RUS, SPA, POR, IND, THA, VIE

Aggiornamento Settembre 2025
(Questo metodo funziona anche per Windows 10)

La porta predefinita 3389 è ampiamente conosciuta dagli aggressori e può facilmente diventare un bersaglio di attacchi. Vi raccomando vivamente di cambiarla con un altro numero di porta per mantenere sicuro il vostro sistema.

Scegliete un numero di porta casualmente dall’intervallo delle porte registrate (1024-49151) per renderla difficile da indovinare. In questa guida cambieremo la porta del Desktop Remoto a 49151.

Modifica della porta Desktop Remoto

1. Abilitare la funzionalità Desktop Remoto

(Basato su Windows 11 24H2)

  1. Aprire le Impostazioni di Windows.
  2. Andare a [Sistema][Desktop remoto].
  3. Attivare Desktop remoto spostandolo su Attivo.

2. Cambiare la porta Desktop Remoto

  1. Premere Tasto Windows + R per aprire la finestra di dialogo Esegui e digitare regedit per avviare l’Editor del Registro.

    • È anche possibile fare clic sul pulsante Start e digitare regedit.

  2. Navigare a questo percorso nell’Editor del Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

  3. Trovare la voce PortNumber e fare doppio clic su di essa.

  4. Selezionare Decimale e cambiare il numero di porta da 3389 a 49151.

  5. Riavviare il PC per applicare il nuovo numero di porta.

3. Configurazione del Firewall

Dopo aver modificato la porta del Desktop Remoto dalla porta predefinita 3389 alla vostra porta personalizzata, dovete creare una nuova regola in entrata nel Firewall di Windows per consentire connessioni remote attraverso la nuova porta.

  1. Premere Tasto Windows + R per aprire la finestra di dialogo Esegui e digitare wf.msc.
    • È anche possibile fare clic sul pulsante Start e digitare wf.msc.
  2. Fare clic su Regole connessioni in entrata nell’albero sinistro e poi fare clic su Nuova regola nel pannello destro.
  3. Configurare la Procedura guidata Nuova regola connessioni in entrata come segue:
    • Tipo di regola: Porta
    • Protocollo: TCP
    • Porte locali specifiche: 49151
    • Azione: Consenti la connessione
    • Profilo: Selezionare tutti e tre - Dominio, Privato e Pubblico
    • Nome: RDP (o qualsiasi nome preferiate)
  4. Fare clic su Fine per completare la configurazione.

Configurazione del controllo accesso IP

Cambiare a una porta personalizzata da sola non può garantire sicurezza completa. Gli aggressori possono ancora rilevare porte aperte attraverso scansioni di porte e tentare attacchi brute force. Per bloccare fondamentalmente questi rischi, dovete impostare controllo accesso basato su IP (ACL) in modo che solo indirizzi IP pre-approvati possano connettersi. Questo è un elemento centrale della strategia di sicurezza a livelli.

Impostazione del controllo accesso IP (ACL)

  1. Premere Tasto Windows + R per aprire la finestra di dialogo Esegui e digitare wf.msc.
    • È anche possibile fare clic sul pulsante Start e digitare wf.msc.
  2. Fare clic su Regole connessioni in entrata nell’albero sinistro.
  3. Trovare la regola appena creata (RDP o il vostro nome personalizzato) e fare doppio clic su di essa.
  4. Quando si apre la finestra Proprietà, fare clic sulla scheda Ambito in alto.
  5. Sotto Indirizzo IP remoto, cambiare l’opzione a Questi indirizzi IP e fare clic su Aggiungi per inserire l’IP sorgente.
  6. Fare clic su OK e chiudere la finestra per applicare il controllo accesso IP.

Utilizzare VPN

Se desiderate una sicurezza ancora più forte del controllo accesso IP, considerate di consentire connessioni Desktop Remoto solo attraverso VPN (Virtual Private Network).

1. Concetti base della sicurezza VPN

VPN crea un tunnel virtuale crittografato su Internet consentendo accesso sicuro alle reti interne dall’esterno. Quando utilizzate VPN, gli utenti esterni non possono accedere direttamente alle porte RDP e devono prima connettersi al VPN prima di accedere ai computer sulla rete interna via Desktop Remoto.

2. Benefici del miglioramento della sicurezza

  • Struttura di autenticazione doppia: Login VPN → Login RDP per sicurezza a livelli
  • Comunicazione crittografata: Tutta la trasmissione dati è crittografata per sicurezza
  • Nascondimento indirizzo IP: L’indirizzo IP reale del server RDP rimane nascosto dall’esterno
  • Blocco accesso completo: Senza connessione VPN il server RDP non può nemmeno essere rilevato

3. Principali metodi di implementazione VPN

Utilizzare funzioni VPN del router domestico

La maggior parte dei router moderni hanno funzioni server VPN integrate consentendovi di impostare VPN senza costi aggiuntivi. Potete attivare il server VPN nella pagina di amministrazione del router e creare account utente.

Servizi VPN commerciali

Utilizzate servizi VPN commerciali come ExpressVPN, NordVPN o Surfshark per ottenere un IP fisso e configurare accesso RDP solo da quell’IP.

Configurazione VPN cloud

Utilizzate soluzioni VPN di servizi cloud come AWS VPN Gateway o Azure VPN Gateway per costruire ambienti VPN di livello professionale.

Configurazione server VPN open source

Installate soluzioni open source come OpenVPN, WireGuard o SoftEther VPN su server separati per costruire ambienti VPN personalizzati.

4. Approccio raccomandato

Per utenti personali, controllate prima se il vostro router ha funzioni VPN integrate. Per ambienti aziendali, considerate soluzioni VPN cloud. Dopo aver impostato VPN, bloccate completamente l’accesso diretto esterno alle porte RDP nel firewall e configurate accesso solo attraverso VPN per raggiungere il più alto livello di sicurezza Desktop Remoto.