Cambiar el puerto predefinido de escritorio remoto de Windows (RDP)

Un paso recomendable si vamos a utilizar Escritorio Remoto de Windows y sobre todo, si vamos a exponer el cliente hacia fuera de nuestra red local, es modificar el puerto de escucha de RDP (Remote Desktop Protocol). Veamos lo sencillo que es.

Esto no hará -ni mucho menos- que tu conexión sea invulnerable, aunque sí dificultará en cierta medida la actividad de algunos escaneos de red externos que van directamente al 3389.

Al conectarnos a un equipo basado en Windows, ya sea de uso doméstico o alguna versión Windows Server, si lo hacemos mediante el cliente de escritorio remoto lo normal es que utilicemos el puerto estándar de rdp, que es 3389

Cambiar el puerto predefinido de escucha en RDP

Lo primero es abrir el Editor del registro de Windows, pulsando WINDOWS + X y escribiendo regedit en el cuadro de diálogo de ejecutar, seguido de Intro.

Una vez allí, buscaremos la ruta que facilito a continuación. Es posible pegarla en la barra superior (en versiones recientes) o puedes usar F3 o el árbol de navegación para localizarla.

Equipo\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Mucho cuidado con los cambios que haces en el registro de Windows, puedes causar daño irreparable al sistema. Es conveniente hacer una copia de seguridad antes.

Si nos situamos sobre RDP-Tcp y nos fijamos en la zona derecha (2) aparecerá un registro DWORD llamado PortNumber que vamos a modificar. Doble clic sobre él, cambiamos la base a Decimal y escribimos el número de puerto deseado.

Pulsaremos aceptar y habremos terminado. Será necesario reiniciar el servicio de escritorio remoto o bien cerrar sesión.

NOTA: es recomendable, desde mi punto de vista, utilizar un puerto dinámico / privado que no esté registrado por IANA. Es decir, un puerto superior a 49151.

Conectar a escritorio remoto usando un puerto diferente

Ahora que hemos configurado nuestra escucha de escritorio remoto en un puerto no estándar, vamos a conectarnos usando el nuevo puerto de la siguiente manera.

• Abriremos el menú de búsqueda y pondremos «Escritorio remoto«, o bien ejecutar y luego mstsc, seguido de Intro.
• En la ventana de conexión, donde escribimos la dirección IP o el nombre de host remoto, escribiremos al final de la linea lo siguiente:

:<puerto>

Como en:

192.168.1.69:3389

Una vez hemos especificado el puerto ya podemos conectarnos.

Esto funciona independientemente del cliente de escritorio remoto que utilicemos, lo define el servidor remoto.

Conectar a escritorio remoto mediante linea de comandos es otra opción si preferimos el CMD o Powershell.

MSTSC /v:192.168.1.35:44699

Consideraciones finales

Hemos visto lo fácil que resulta cambiar el puerto de escucha del RDP en Windows y como podemos conectar desde el cliente de escritorio remoto a un puerto determinado.

Esto puede sernos de utilidad para dificultar las labores de enumeración de los atacantes, pero nunca debería ser nuestra única linea de defensa, dado que por sí mismo no ofrece protección alguna.

Algunos ejemplos de lo que podrías usar para robustecer tus conexiones remotas:

• Instalar un appliance físico de seguridad doméstica, como Firewalla
• Instalar un aplicativo IDS (Intrusion Detection System) en tu red

Tanto si estas opciones son viables para ti como si no, te interesará revisar los logs de tu servidor RDP para ver qué clientes se conectan a él.