Ändern des RDP-Ports auf einem Windows Server VPS

Schnelle Zusammenfassung

1. Öffne regedit oder PowerShell als Administrator.

2. Ändere den Wert PortNumber in HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.

3. Erstelle eine eingehende Firewall-Regel, die den neuen TCP-Port erlaubt.

4. Starte den RDP-Dienst neu: Restart-Service -Name TermService -Force.

5. Verbinde dich erneut über mstsc mit der Syntax IP:NouveauPort.

🎯 Warum den Standard-RDP-Port (3389) ändern?

Der Port 3389 ist der erste Port, der von Bots gescannt wird, sobald eine IP-Adresse im Internet exponiert ist. Im Jahr 2024 zählte Shodan über 4,4 Millionen exponierte RDP-Instanzen: alle kontinuierlich Ziel automatisierter Angriffe.

Konkret kommen bei einem frisch bereitgestellten VPS die ersten Brute-Force-Versuche in weniger als 10 Minuten. Das Konto Administrator wird dabei prioritär getestet.

Den Port zu ändern reicht nicht aus, um einen VPS zu sichern. Es ist Sicherheit durch Obskurität: es reduziert den Lärm, nicht das Risiko. Kombiniere es mit:

• Der NLA-Authentifizierung (Network Level Authentication)

• Strengen Firewall-Regeln (IP-Einschränkung)

• Einem dedizierten Konto ohne Administratorrechte

• Eine Kontosperrpolitik

Es ist der erste Schritt, nicht der einzige.

⚠️ Bevor du beginnst: Voraussetzungen

Bevor du irgendetwas änderst, überprüfe diese Punkte:

• Administratorzugang zum VPS (aktive RDP-Sitzung oder OuiHeberg-Konsole)

• Deine laufende RDP-Sitzung nicht trennen: wende die Änderungen in der richtigen Reihenfolge an (zuerst Firewall, dann Registrierung)

• Wähle einen freien Port im Bereich 49152–65535 (dynamische Ports, weniger von Scannern angegriffen)

• Habe einen Notfallzugang: KVM/IPMI-Konsole oder die Notfallkonsole von OuiHeberg: unerlässlich, falls du dich aussperrst

⚠️ Wenn du vergisst, den neuen Port in der Firewall vor dem Neustart des RDP-Dienstes zu öffnen, verlierst du den Zugang. Halte die OuiHeberg-Konsole in einem Tab geöffnet.

🖥️ Methode 1: Über den Registrierungseditor (GUI)

Dies ist die klassische Methode, geeignet, wenn du dich mit PowerShell nicht wohlfühlst.

1. Öffne den Registrierungseditor

Drücke Win + R, tippe regedit, bestätige mit Enter.

2. Navigiere zum RDP-Schlüssel

Füge in die Adressleiste diesen Pfad ein:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

3. Ändere den Wert PortNumber

• Doppelklicke auf PortNumber

• Wähle Dezimal

• Ersetze 3389 durch deinen neuen Port (z.B.: 54321)

• Klicke auf OK

4. Schließe regedit

Die Änderung wird sofort gespeichert. Der RDP-Dienst muss neu gestartet werden, damit sie wirksam wird (siehe entsprechenden Abschnitt).

⚡ Methode 2: Über PowerShell (empfohlen)

Schneller, reproduzierbar und skriptfähig. Öffne PowerShell als Administrator und führe die folgenden Befehle aus.

Überprüfe den aktuellen RDP-Port:

Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name PortNumber

Ändere den RDP-Port (Beispiel: Port 54321):

Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name PortNumber -Value 54321

Überprüfe, ob die Änderung gespeichert wurde:

Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name PortNumber

Erstelle die Firewall-Regel mit einem einzigen Befehl:

New-NetFirewallRule -DisplayName "RDP Custom Port" -Direction Inbound -Protocol TCP -LocalPort 54321 -Action Allow

Entferne die alte RDP-Regel (optional, aber empfohlen):

Remove-NetFirewallRule -DisplayName "Remote Desktop - User Mode (TCP-In)"

Starte den RDP-Dienst ohne Neustart:

Restart-Service -Name TermService -Force 

🔥 Aktualisiere die Windows-Firewall-Regeln

Dies ist der kritischste Schritt. Wenn du den RDP-Dienst neu startest, ohne den neuen Port in der Firewall geöffnet zu haben, verlierst du sofort den Zugang.

Über die grafische Benutzeroberfläche (Windows Defender Firewall):

1. Öffne Windows Defender Firewall mit erweiterten Sicherheitsfunktionen (wf.msc)

2. Klicke auf Eingehende Regeln → Neue Regel

3. Wähle Port → TCP → gib deinen neuen Port ein (z.B.: 54321)

4. Wähle Verbindung zulassen → auf alle Profile anwenden → benenne die Regel

5. Klicke auf Fertigstellen

Über PowerShell (bereits in Methode 2 enthalten):

New-NetFirewallRule -DisplayName "RDP Custom Port" -Direction Inbound -Protocol TCP -LocalPort 54321 -Action Allow

Blockiere den alten Port 3389 (empfohlen):

New-NetFirewallRule -DisplayName "Block RDP Default Port" -Direction Inbound -Protocol TCP -LocalPort 3389 -Action Block

💡 Denke auch daran, die Regeln auf deiner OuiHeberg-Infrastruktur zu überprüfen. Wenn eine externe Firewall die Ports filtert, muss der neue Port dort ebenfalls geöffnet sein. Siehe unser Handbuch Windows Server Firewall konfigurieren für Details.

🔄 Starte den RDP-Dienst neu

Drei Optionen, von der schnellsten bis zur sichersten:

Option 1: PowerShell (kein Neustart, empfohlen):

Restart-Service -Name TermService -Force

Option 2: Dienstmanager:

1. Drücke Win + R → tippe services.msc

2. Finde Remote Desktop Services

3. Rechtsklick → Neustarten

Option 3: Vollständiger Neustart des Servers:

Die sicherste Option, wenn du sicherstellen möchtest, dass alles sauber ist. Verwende Restart-Computer oder das Startmenü.

✅ Überprüfe, ob die Änderung aktiv ist

Bevor du deine Sitzung schließt, bestätige, dass der neue Port tatsächlich lauscht.

Methode 1: netstat (CMD oder PowerShell):

netstat -an | findstr :54321

Du solltest eine Zeile mit 0.0.0.0:54321 im Status LISTENING sehen.

Methode 2: Windows-Einstellungen:

Einstellungen → System → Remotedesktop → Erweiterte Einstellungen → der angezeigte Port sollte dem neuen entsprechen.

Methode 3: Verbindungstest:

Öffne von einem anderen Rechner mstsc und verbinde dich über IP:54321. Wenn das RDP-Anmeldefenster erscheint, ist alles in Ordnung.

📸 [Platzhalter Screenshot: Ergebnis von netstat -an, das den neuen Port im Status LISTENING zeigt]

🔗 Mit dem neuen Port verbinden

Die Syntax ändert sich leicht je nach verwendetem Client.

Windows: mstsc:

Gib im Feld "Computer" ein: 203.0.113.10:54321

Um die Verbindung in einer .rdp-Datei zu speichern: Optionen anzeigen → Speichern unter.

macOS: Microsoft Remote Desktop:

Ändere die Verbindung → Feld Port → gib 54321 ein.

Linux: Remmina:

In den Verbindungseinstellungen, Feld Port → 54321.

Linux: rdesktop:

rdesktop -u Administrator -p 54321 203.0.113.10:54321

Für weitere Details zur ersten Verbindung siehe unser Handbuch Verbinden mit Ihrem Windows VPS über RDP.

🛡️ Weiter gehen: RDP vollständig sichern

Den Port zu ändern ist ein Anfang. Hier sind die Dinge, die wirklich einen Unterschied machen.

Aktiviere NLA (Network Level Authentication):

Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name UserAuthentication -Value 1

NLA zwingt die Authentifizierung vor der Etablierung der RDP-Sitzung: es blockiert Angriffe, die die Aushandlungsphase ausnutzen.

Erstelle ein dediziertes RDP-Benutzerkonto:

Exponiere niemals das Konto Administrator über RDP. Erstelle ein dediziertes Konto mit eingeschränkten Rechten, das der Gruppe "Remotedesktopbenutzer" hinzugefügt wird.

Beschränke den RDP-Zugang nach IP:

In der Firewall-Regel verwende den Parameter -RemoteAddress, um nur deine bekannten IPs zuzulassen:

New-NetFirewallRule -DisplayName "RDP Custom Port IP Restricted" -Direction Inbound -Protocol TCP -LocalPort 54321 -RemoteAddress 203.0.113.5 -Action Allow

Aktiviere die Kontosperrpolitik:

Über secpol.msc → Kontorichtlinien → Kontosperrpolitik → maximal 5 Versuche.

VPN + RDP:

Die sicherste Option: Exponiere RDP überhaupt nicht im Internet. Verbinde dich zuerst mit dem VPN und dann über RDP mit der privaten IP.

Für weitere Informationen zur Konfiguration der Firewall siehe unser umfassendes Handbuch: Windows Server Firewall auf einem VPS konfigurieren.

🚨 Fehlersuche: Häufige Probleme

1. Verbindung nach Portänderung nicht möglich

Wahrscheinliche Ursache: Die Firewall-Regel wurde nicht erstellt oder ist nicht aktiv.

Überprüfe die vorhandenen Regeln:

Get-NetFirewallRule | Where-Object { $_.DisplayName -like "*RDP*" }

Erstelle die Regel bei Bedarf neu:

New-NetFirewallRule -DisplayName "RDP Custom Port" -Direction Inbound -Protocol TCP -LocalPort 54321 -Action Allow

2. Port bereits von einem anderen Dienst verwendet

Überprüfe, ob der Port frei ist, bevor du ihn verwendest:

netstat -an | findstr :54321

Wenn bereits eine Zeile erscheint, wähle einen anderen Port im Bereich 49152–65535.

3. Der RDP-Dienst startet nicht neu

Überprüfe die Ereignisprotokolle, um den Fehler zu identifizieren:

Get-EventLog -LogName System -Source "TermService" -Newest 10

Sieh auch im Ereignisprotokoll → Windows-Protokolle → System → filtere nach der Quelle "TermService".

4. Die externe Firewall blockiert den neuen Port

Wenn du einen OuiHeberg-VPS verwendest, überprüfe, ob der Port auf der Infrastruktur in deinem Kundenbereich geöffnet ist. Die Windows-Firewall und die Netzwerkfirewall sind zwei separate Schichten.

5. Du hast den neuen RDP-Port vergessen

Hole ihn direkt aus der Registrierung:

Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name PortNumber

❓ FAQ

Welchen Port sollte ich wählen, um 3389 zu ersetzen?

Wähle einen Port im Bereich 49152–65535 (dynamische IANA-Ports). Diese Ports werden selten von Bots gescannt. Vermeide bekannte Ports wie 443, 8080 oder 22. Ein Port wie 54321 oder 59876 ist perfekt geeignet.

Reicht es aus, den RDP-Port zu ändern, um meinen VPS zu sichern?

Nein. Es reduziert das Volumen automatisierter Angriffe, aber ein gezielter Scanner findet den Port in wenigen Minuten. Kombiniere diese Änderung mit aktivierter NLA, einem dedizierten Nicht-Administrator-Konto, einer IP-Zugriffsbeschränkung und einer Kontosperrpolitik.

Wie verbinde ich mich über RDP mit einem benutzerdefinierten Port?

Unter Windows verwende mstsc mit der Syntax IP:PORT im Feld "Computer" (z.B.: 203.0.113.10:54321). Auf macOS mit Microsoft Remote Desktop ändere das Feld Port in den Verbindungseinstellungen. Unter Linux bietet Remmina ein spezielles Feld für den Port.

Ist ein Neustart des Servers nach der Änderung erforderlich?

Nein, ein vollständiger Neustart ist nicht erforderlich. Es genügt, den RDP-Dienst mit Restart-Service -Name TermService -Force neu zu starten. Die Änderung ist sofort aktiv.

Kann man den RDP-Port ohne Administratorzugang ändern?

Nein. Die Änderung der Registrierung und die Erstellung von Firewall-Regeln erfordern lokale Administratorrechte. Ohne diese Rechte schlagen die Befehle mit einem Zugriffsverweigerungsfehler fehl.

Wie überprüfe ich, ob der neue RDP-Port geöffnet ist?

Führe netstat -an | findstr :54321 in CMD oder PowerShell aus. Wenn du 0.0.0.0:54321 LISTENING siehst, lauscht der Dienst tatsächlich auf diesem Port. Du kannst auch von einem externen Rechner mit mstsc testen, indem du IP:54321 eingibst.

🔗 Nützliche Quellen

• Ändern des RDP-Hörports: Microsoft Learn

• New-NetFirewallRule: Microsoft PowerShell-Dokumentation

• Arbeiten mit Registrierungseinträgen in PowerShell: Microsoft Learn

• Überblick über die Remotedesktopdienste: Microsoft Learn

• Allgemeine RDP-Fehlerbehebung: Microsoft Learn

Brauchst du einen leistungsstarken Windows VPS? Entdecke unsere Angebote für Windows VPS.