Cambiare la porta RDP su un VPS Windows Server

Riepilogo rapido

1. Apri regedit o PowerShell come amministratore.

2. Modifica il valore PortNumber in HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.

3. Crea una regola del firewall in entrata che consenta il nuovo porto TCP.

4. Riavvia il servizio RDP: Restart-Service -Name TermService -Force.

5. Riconnettiti tramite mstsc con la sintassi IP:NouveauPort.

🎯 Perché cambiare la porta RDP predefinita (3389)?

La porta 3389 è la prima porta scansionata dai bot non appena un indirizzo IP è esposto su Internet. Nel 2024, Shodan registrava oltre 4,4 milioni di istanze RDP esposte: tutte continuamente mirate da attacchi automatizzati.

Concretamente, su un VPS appena distribuito, i primi tentativi di brute force arrivano in meno di 10 minuti. L'account Administrator è testato per primo.

Cambiare la porta non è sufficiente per mettere in sicurezza un VPS. È sicurezza per oscurità: riduce il rumore, non il rischio. Combinalo con:

• Autenticazione NLA (Network Level Authentication)

• Regole del firewall rigorose (restrizione per IP)

• Un account dedicato senza diritti di amministratore

• Una politica di blocco dell'account

È il primo passo, non l'unico.

⚠️ Prima di iniziare: requisiti

Prima di toccare qualsiasi cosa, verifica questi punti:

• Accesso amministratore al VPS (sessione RDP attiva o console OuiHeberg)

• Non interrompere la tua sessione RDP in corso: applica le modifiche nell'ordine corretto (firewall prima, poi registro)

• Scegliere una porta libera nell'intervallo 49152–65535 (porte dinamiche, meno mirate dai scanner)

• Avere un accesso di emergenza: console KVM/IPMI o la console di emergenza OuiHeberg: indispensabile se ti blocchi

⚠️ Se dimentichi di aprire la nuova porta nel firewall prima di riavviare il servizio RDP, perdi l'accesso. Tieni aperta la console OuiHeberg in una scheda.

🖥️ Metodo 1: Tramite l'editor del registro (GUI)

È il metodo classico, adatto se non ti senti a tuo agio con PowerShell.

1. Aprire l'editor del registro

Premi Win + R, digita regedit, conferma con Invio.

2. Navigare verso la chiave RDP

Nella barra degli indirizzi, incolla questo percorso:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

3. Modificare il valore PortNumber

• Fai doppio clic su PortNumber

• Seleziona Decimale

• Sostituisci 3389 con la tua nuova porta (es. : 54321)

• Clicca su OK

4. Chiudere regedit

La modifica viene salvata immediatamente. Il servizio RDP deve essere riavviato affinché venga presa in considerazione (vedi sezione dedicata).

⚡ Metodo 2: Tramite PowerShell (raccomandato)

Più veloce, ripetibile e scriptabile. Apri PowerShell come amministratore ed esegui i comandi qui sotto.

Verificare la porta RDP attuale:

Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name PortNumber

Cambiare la porta RDP (esempio: porta 54321):

Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name PortNumber -Value 54321

Verificare che la modifica sia stata registrata correttamente:

Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name PortNumber

Crea la regola del firewall in un solo comando:

New-NetFirewallRule -DisplayName "RDP Custom Port" -Direction Inbound -Protocol TCP -LocalPort 54321 -Action Allow

Elimina la vecchia regola RDP (opzionale ma raccomandato):

Remove-NetFirewallRule -DisplayName "Remote Desktop - User Mode (TCP-In)"

Riavvia il servizio RDP senza riavvio:

Restart-Service -Name TermService -Force 

🔥 Aggiornare le regole del firewall di Windows

È il passo più critico. Se riavvii il servizio RDP senza aver aperto la nuova porta nel firewall, perdi immediatamente l'accesso.

Tramite l'interfaccia grafica (Windows Defender Firewall):

1. Apri Windows Defender Firewall con funzionalità avanzate di sicurezza (wf.msc)

2. Clicca su Regole di traffico in entrata → Nuova regola

3. Seleziona Porta → TCP → inserisci la tua nuova porta (es. : 54321)

4. Scegli Consenti connessione → applica a tutti i profili → nomina la regola

5. Clicca su Fine

Tramite PowerShell (già incluso nel metodo 2):

New-NetFirewallRule -DisplayName "RDP Custom Port" -Direction Inbound -Protocol TCP -LocalPort 54321 -Action Allow

Blocca la vecchia porta 3389 (raccomandato):

New-NetFirewallRule -DisplayName "Block RDP Default Port" -Direction Inbound -Protocol TCP -LocalPort 3389 -Action Block

💡 Pensa anche a controllare le regole a livello della tua infrastruttura OuiHeberg. Se un firewall esterno filtra le porte, la nuova porta deve essere aperta anche lì. Consulta la nostra guida configurare il firewall di Windows Server per i dettagli.

🔄 Riavviare il servizio RDP

Tre opzioni, dalla più veloce alla più sicura:

Opzione 1: PowerShell (senza riavvio, raccomandato):

Restart-Service -Name TermService -Force

Opzione 2: Gestore dei servizi:

1. Premi Win + R → digita services.msc

2. Trova Servizi Desktop Remoto (Remote Desktop Services)

3. Clic destro → Riavvia

Opzione 3: Riavvio completo del server:

La più sicura se vuoi assicurarti che tutto sia pulito. Usa Restart-Computer o il menu Start.

✅ Verificare che la modifica sia attiva

Prima di chiudere la tua sessione, conferma che la nuova porta stia effettivamente ascoltando.

Metodo 1: netstat (CMD o PowerShell):

netstat -an | findstr :54321

Devi vedere una riga con 0.0.0.0:54321 in stato LISTENING.

Metodo 2: Impostazioni di Windows:

Impostazioni → Sistema → Desktop remoto → Impostazioni avanzate → la porta visualizzata deve corrispondere alla nuova.

Metodo 3: Test di connessione:

Da un'altra postazione, apri mstsc e connettiti tramite IP:54321. Se appare la finestra di connessione RDP, è tutto a posto.

📸 [Placeholder screenshot: risultato di netstat -an che mostra la nuova porta in stato LISTENING]

🔗 Connettersi con la nuova porta

La sintassi cambia leggermente a seconda del client utilizzato.

Windows: mstsc:

Nella casella "Computer", inserisci: 203.0.113.10:54321

Per salvare la connessione in un file .rdp: Mostra opzioni → Salva con nome.

macOS: Microsoft Remote Desktop:

Modifica la connessione → campo Porta → inserisci 54321.

Linux: Remmina:

Nelle impostazioni della connessione, campo Porta → 54321.

Linux: rdesktop:

rdesktop -u Administrator -p 54321 203.0.113.10:54321

Per ulteriori dettagli sulla connessione iniziale, consulta la nostra guida connettersi al tuo VPS Windows tramite RDP.

🛡️ Andare oltre: Sicurezza completa di RDP

Cambiare la porta è un inizio. Ecco cosa fa davvero la differenza.

Attivare NLA (Network Level Authentication):

Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name UserAuthentication -Value 1

NLA richiede l'autenticazione prima dell'instaurazione della sessione RDP: blocca gli attacchi che sfruttano la fase di negoziazione.

Creare un utente RDP dedicato:

Non esporre mai l'account Administrator in RDP. Crea un account dedicato con diritti limitati, aggiunto al gruppo "Utenti Desktop Remoto".

Limitare l'accesso RDP per IP:

Nella regola del firewall, utilizza il parametro -RemoteAddress per consentire solo i tuoi IP noti:

New-NetFirewallRule -DisplayName "RDP Custom Port IP Restricted" -Direction Inbound -Protocol TCP -LocalPort 54321 -RemoteAddress 203.0.113.5 -Action Allow

Attivare la politica di blocco dell'account:

Tramite secpol.msc → Politiche di account → Politica di blocco dell'account → massimo 5 tentativi.

VPN + RDP:

L'opzione più sicura: non esporre affatto RDP su Internet. Connettiti prima alla VPN, poi in RDP sull'IP privato.

Per approfondire la configurazione del firewall, consulta la nostra guida completa: configurare il firewall di Windows Server su un VPS.

🚨 Risoluzione dei problemi: Problemi comuni

1. Connessione impossibile dopo il cambio di porta

Causa probabile: la regola del firewall non è stata creata o non è attiva.

Controlla le regole esistenti:

Get-NetFirewallRule | Where-Object { $_.DisplayName -like "*RDP*" }

Ricrea la regola se necessario:

New-NetFirewallRule -DisplayName "RDP Custom Port" -Direction Inbound -Protocol TCP -LocalPort 54321 -Action Allow

2. Porta già utilizzata da un altro servizio

Controlla se la porta è libera prima di utilizzarla:

netstat -an | findstr :54321

Se appare già una riga, scegli un'altra porta nell'intervallo 49152–65535.

3. Il servizio RDP non si riavvia

Controlla i log degli eventi per identificare l'errore:

Get-EventLog -LogName System -Source "TermService" -Newest 10

Guarda anche in Visualizzatore eventi → Registri di Windows → Sistema → filtra per la sorgente "TermService".

4. Il firewall esterno blocca la nuova porta

Se utilizzi un VPS OuiHeberg, verifica che la porta sia effettivamente aperta a livello di infrastruttura nel tuo spazio clienti. Il firewall di Windows e il firewall di rete sono due strati distinti.

5. Hai dimenticato la nuova porta RDP

Recuperala direttamente dal registro:

Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name PortNumber

❓ FAQ

Quale porta scegliere per sostituire il 3389?

Scegli una porta nell'intervallo 49152–65535 (porte dinamiche IANA). Queste porte sono raramente scansionate dai bot. Evita porte conosciute come 443, 8080 o 22. Una porta come 54321 o 59876 è perfetta.

Cambiare la porta RDP è sufficiente per mettere in sicurezza il mio VPS?

No. Riduce il volume degli attacchi automatizzati, ma uno scanner mirato troverà la porta in pochi minuti. Combina questo cambiamento con NLA attivato, un account dedicato non amministratore, una restrizione di accesso per IP e una politica di blocco dell'account.

Come mi connetto in RDP con una porta personalizzata?

Su Windows, usa mstsc con la sintassi IP:PORT nel campo "Computer" (es. : 203.0.113.10:54321). Su macOS con Microsoft Remote Desktop, modifica il campo Porta nelle impostazioni della connessione. Su Linux, Remmina offre un campo Porta dedicato.

È necessario riavviare il server dopo il cambiamento?

No, un riavvio completo non è necessario. È sufficiente riavviare il servizio RDP con Restart-Service -Name TermService -Force. La modifica è immediatamente attiva.

È possibile cambiare la porta RDP senza accesso amministratore?

No. La modifica del registro e la creazione di regole del firewall richiedono diritti di amministratore locali. Senza questi diritti, i comandi falliranno con un errore di accesso negato.

Come verificare che la nuova porta RDP sia aperta?

Esegui netstat -an | findstr :54321 in CMD o PowerShell. Se vedi 0.0.0.0:54321 LISTENING, il servizio sta ascoltando su quella porta. Puoi anche testare da una postazione esterna con mstsc inserendo IP:54321.

🔗 Fonti utili

• Cambia la porta di ascolto RDP: Microsoft Learn

• New-NetFirewallRule: Documentazione PowerShell Microsoft

• Lavorare con le voci di registro in PowerShell: Microsoft Learn

• Panoramica dei Servizi Desktop Remoto: Microsoft Learn

• Risoluzione generale dei problemi RDP: Microsoft Learn

Hai bisogno di un VPS Windows performante? Scopri le nostre offerte VPS Windows.