Hvordan ændrer jeg RDP-porten sikkert i Windows 11?

3389. Blot fire cifre - men nævner du dem for en sikkerhedsekspert, får du givetvis et dybt suk til svar

Standardporten for Remote Desktop Protocol (RDP) er nemlig et af de mest scannede mål på hele internettet, og bots står nærmest i kø for at gætte sig til dine logonoplysninger. Har du derfor en Windows-maskine, som skal kunne tilgås eksternt, er første instinkt ofte: »Lad os da bare ændre porten!«

Det er imidlertid lettere sagt end gjort - og i værste fald kan en forhastet ændring medføre, at du låser dig selv ude eller åbner nye sikkerhedshuller. I denne guide viser vi dig trin for trin, hvordan du sikkert skifter RDP-porten i Windows 11, uden at gå på kompromis med driftsstabilitet og supportmuligheder. Undervejs får du også konkrete tips til hærdning, overvågning og fejlfinding, så portskiftet kun bliver ét lag ud af mange i et stærkt forsvar.

Er du klar til at sende port 3389 på pension og give ubudne gæster hårdere modstand? Så læs med - og husk, at du altid kan rulle ændringen tilbage, hvis noget går galt.

Hvordan ændrer jeg RDP-porten sikkert i Windows 11?

Før du går i gang: risici, forberedelser og portvalg

Når du ændrer den port, som Remote Desktop Protocol (RDP) lytter på, flytter du ganske enkelt tjenesten fra den velkendte 3389/TCP til et andet portnummer. Det betyder, at automatiserede scanners og simple angrebsscripts, der kun afsøger standardporten, ikke finder din maskine lige så let. Det er dog kun “security through obscurity” - en angriber kan stadig opdage den nye port ved en fuld portscanning. Se portskiftet som ét lag i en lagdelt forsvarsstrategi, ikke som en komplet sikring.

Hvornår giver det mening at ændre porten?

  • Du skal have RDP åbent mod internettet (fx til fjernsupport), men har ikke mulighed for VPN eller RD Gateway.
  • Du oplever støj i loggene fra brute-force angreb på 3389.
  • Du vil begrænse automatiserede angreb, men forstår at det ikke erstatter stærk autentificering.

Forudsætninger før du begynder

  1. Lokal/konsole-adgang: Sørg for, at du fysisk eller via en out-of-band-løsning kan tilgå maskinen, hvis RDP dør efter ændringen.
  2. Administratorrettigheder: Du skal kunne redigere registreringsdatabasen og firewall-regler.
  3. Sikkerhedskopi eller gendannelsespunkt: Opret et System Restore Point eller tag et image, så du kan rulle tilbage hurtigt.

Sådan vælger du en ny port

Krav Forklaring
Ikke-reserveret Vælg et nummer mellem 1025-65535, som ikke er registreret til andre tjenester.
Ingen konflikt lokalt Tjek med netstat -ano eller Get-NetTCPConnection i PowerShell, at porten ikke allerede er i brug.
Forudsigelighed vs. tilfældighed Undgå “populære” alternative RDP-porte (fx 3390), da de ofte scannes. Brug gerne et tilfældigt tal, fx 51234.
Konsekvens i miljøet Hvis flere servere ændres, så dokumentér og standardisér portvalg.

Tjek at porten er ledig

Kør eksempelvis:

PowerShell> Test-NetConnection -ComputerName localhost -Port 51234
Hvis TcpTestSucceeded = False, er porten umiddelbart fri. Gentag testen efter selve ændringen for at bekræfte, at RDP nu lytter der.

Planlæg ændringen og rollback

  • Skemalæg et servicevindue: Undgå at ændre porten lige før vigtige møder eller uden for bemandet tid.
  • Dokumentér: Notér den nye port, tidspunktet for ændringen og hvad der er ændret (registry key, firewall-regel, router-NAT).
  • Rollback-plan: Gem de oprindelige indstillinger (typisk port 3389) og beskyt dem mod fejlredigering. Vær klar til at:
    • Gendanne registreringsdatabasenøglen.
    • Genindlæse gamle firewall-regler.
    • Rulle router-portforward tilbage.
  • Test lokalt først: Log in fra samme subnet inden du tester udefra - det er hurtigere at fejlfinde uden NAT/firewall-faktorer.

Når ovenstående er på plads, er du klar til selve proceduren - som vi gennemgår trin for trin i næste afsnit.

Trin-for-trin: Sådan ændrer du RDP-porten i Windows 11

Følg nedenstående vejledning trin for trin. Når du er færdig, vil din Windows 11-maskine lytte på den nye RDP-port, og du vil have de nødvendige ændringer i både firewall og router - samt en klar plan for rollback.

  1. Aktivér (eller kontrollér) Remote Desktop og NLA
    1. Åbn Indstillinger ▸ System ▸ Fjernskrivebord og sæt “Fjernskrivebord” til Til.
    2. Sørg for, at “Kræv enhedsgodkendelse på netværket” (NLA) er markeret. NLA blokerer anonyme forbindelser.
    3. Notér det lokale computernavn - du skal bruge det til lokale tests senere.
  2. Skift porten i Registreringsdatabasen
    1. Åbn Registreringseditor (regedit.exe) som administrator.
    2. Navigér til:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
    3. Dobbeltklik på PortNumber (DWORD).
      Indstil “Basis” til Decimal, skriv din nye port (f.eks. 49215) og tryk OK.
    4. Luk Registreringseditoren.

    Tip: Gem gerne en .reg-fil med den oprindelige værdi (3389) til hurtig rollback.

  3. Genstart Remote Desktop Services eller genstart pc’en
    • Hurtigt: Åbn Tjenester, find Remote Desktop Services, højreklik og vælg Genstart.
    • Konservativt: Genstart hele pc’en for at sikre, at alle afhængige tjenester genindlæses.
  4. Opdater Windows Firewall
    1. Åbn Windows Sikkerhed ▸ Firewall & netværksbeskyttelse ▸ Avancerede indstillinger.
    2. Tilføj indgående regler for både TCP og UDP på den nye port:
      • Regeltype: PortNæste
      • Protokol: TCP (gentag for UDP) ▸ Angiv porten ▸ Næste
      • Handling: Tillad ▸ Profil: Efter behov (privat/offentlig) ▸ Navn: “RDP (New Port 49215)”
    3. Deaktiver eller slet de gamle RDP-regler for port 3389 for at undgå åbenlyse angreb mod standardporten.

    PowerShell-variant: New-NetFirewallRule -DisplayName "RDP 49215 TCP" -Direction Inbound -Protocol TCP -LocalPort 49215 -Action Allow

  5. Opdater router / NAT-portforward
    1. Log ind på din router eller firewall.
    2. Slet eksisterende portforward for 3389.
    3. Opret ny portforward for <ny port> → LAN-IP-adressen på din Windows 11-maskine (TCP og evt. UDP).
    4. Hvis din internetudbyder har eget udstyr, skal ændringen evt. laves begge steder.
  6. Test lokalt
    1. Åbn en kommandoprompt og kør:
      netstat -an | findstr :49215
      Der bør stå LISTENING på både TCP og UDP.
    2. Start Fjernskrivebord på en klient i samme LAN og forbind til:
      COMPUTERNAVN:49215 eller LAN-IP:49215.
    3. Log ind og verificér, at sessionen fungerer som før.
  7. Test eksternt
    1. Brug en computer på et eksternt netværk (mobil hotspot, nabo-Wi-Fi o.l.).
    2. Forbind til din offentlige IP eller DNS-navn med porten i kolonnotation:
      myhome.example.net:49215.
    3. Bekræft, at forbindelsen etableres og at NLA stadig kræver legitim logon.
  8. Dokumentér ændringen og forbered rollback
    • Gem dato, klokkeslæt, ny port, påvirkede firewalls og routere.
    • Bevar .reg-kopi med den gamle værdi og noter gamle firewall/NAT-regler.
    • Audit-log og hændelseslog bør overvåges nøje de første dage for fejl eller angreb.

    Rollback: Hvis noget går galt, tilbagefør registrerings- og firewallændringerne, genstart Remote Desktop Services, og ret portforward til 3389 igen.

Du har nu flyttet RDP til en ikke-standard port, opdateret alle relevante sikkerhedslag og testet, at forbindelsen fungerer både internt og eksternt.

Efterfølgende sikkerhed, drift og fejlfinding

At gemme RDP-tjenesten bag en ikke-standard port reducerer de automatiserede scannere, men er ikke i sig selv et effektivt forsvar mod målrettede angreb. For at sikre din Windows 11-maskine på længere sigt bør du implementere flere lag af beskyttelse:

  1. Stærke adgangskoder & kontolåsning
    Anvend komplekse adgangskoder eller pass-phrases og aktivér Account Lockout Policy, så en konto låses efter f.eks. 5 mislykkede forsøg.
  2. Network Level Authentication (NLA)
    NLA kræver, at brugeren godkendes, før sessionen oprettes. Det sparer både ressourcer og lukker for visse brute-force-angreb.
  3. Begræns RDP-gruppen
    Fjern brugere, der ikke absolut behøver RDP-adgang. Opret om muligt en separat lokal RDP-gruppe i stedet for at bruge Administrators.
  4. Lad være med at logge på som administrator
    Opret standard-konti til daglig brug og anvend Run as eller UAC-opskalering, når administratorrettigheder er nødvendige.
  5. MFA (Multi-Factor Authentication)
    En ekstra faktor reducerer risikoen markant. Azure AD-tilsluttede enheder kan fx bruge Windows Hello for Business eller app-baserede godkendelser.
  6. RD Gateway eller VPN
    Placér RDP bag en VPN-tunnel eller en Remote Desktop Gateway, så porten slet ikke er eksponeret mod internettet.
  7. IP-allowlisting og geo-blokering
    Begræns adgangen til bestemte IP-adresser eller lande i firewall eller på gateway-niveau for at skære størstedelen af støjen væk.

Drift - Hold øje, før det går galt

Opgave Hvorfor er det vigtigt? Værktøj/funktion
Logning af RDP-hændelser Identificér brute-force-forsøg, mislykkede logins og usædvanlige tidsrum. Event Viewer → Windows Logs > Security (Event ID 4624, 4625, 4778, 4779) + Microsoft-Windows-TerminalServices-*
Overvågning & alarmering Reager proaktivt på gentagne fejl eller nye IP-adresser. Windows Defender Firewall med avanceret sikkerhed, SIEM som Azure Sentinel eller open-source syslog/Splunk.
Automatiske opdateringer Lukker kendte sårbarheder - også i RDP-komponenterne. Windows Update for Business, WSUS eller klassisk Windows Update.
Regelmæssige audits Tjek om politikker, firewall-regler og brugerrettigheder stadig følger “mindste rettighed”. Security baselines, PowerShell-scripts, Policy Analyzer.

Fejlfinding - Når forbindelsen pludselig dør

Nedenfor er en mini-tjekliste, du kan løbe igennem, før panikken breder sig:

  1. Kan du pinge eller køre Test-NetConnection -ComputerName HOST -Port NYPORT?
    Nej ➜ sandsynlig firewall-blokering eller portforward mangler.
  2. Tjek Windows Firewall-reglerne
    Er både Indgående og Udgående regler sat til den nye port og med korrekt profil (Privat/Offentlig)?
  3. Portkonflikt
    Brug netstat -ano | findstr :NYPORT. Lytter en anden proces? Skift port eller stop tjenesten.
  4. Dobbelt NAT eller ISP-router
    Hvis du har flere routere, skal portforward konfigureres på dem alle, ellers når trafikken aldrig frem.
  5. DNS eller IP-adresse
    Har den offentlige IP ændret sig? Fejl i dynDNS? Prøv at forbinde direkte til IP’en.

Rollback til port 3389: Skulle alt fejle, så husk din dokumenterede tilbagerulningsplan:

  1. Log ind lokalt eller via KVM/iDRAC/IPMI.
  2. Åbn Registreringsdatabasen og sæt PortNumber tilbage til 3389.
  3. Start Remote Desktop Services forfra eller genstart maskinen.
  4. Gendan de oprindelige firewall- og portforward-regler.

Når du igen har forbindelse, så fejlsøg årsagen, før du gentager ændringen. Husk: Dokumentation + test + overvågning = færre nedetider.

Indholdsfortegnelse