Evitar el control remoto de Windows

Windows de forma predeterminada tiene un puerto abierto que permite el acceso al escritorio remoto, y por lo tanto el control de nuestro sistema operativo por otra persona que no somos nosotros. El control remoto de nuestro escritorio es una herramienta interesante si necesitamos asesoramiento técnico, siempre que sea permitido y realizado por personal confiable. Pero tener este puerto abierto, o con la configuración de puerto predeterminada, es una brecha de seguridad que puede ser aprovechada por hackers para control nuestro sistema de forma remota y obtener datos sensibles: datos de clientes, datos bancarios, instalar malware....

Escritorio remoto Windows

Windows de forma predeterminada permite este acceso a través del protocolo RDP (Remote Desktop Protocol) que corresponde al puerto TCP 3389.
Lo que te voy a mostrar en esta publicación es a cambiar el puerto de acceso, esto no impedirá que se pueda acceder de forma remota. Pero el atacante ya no podrá acceder a través del puerto conocido del protocolo RDP, y le colocaremos en un rango de puertos que por lo general sueles ser estar cerrados por los cortafuegos de los routers. Esta acción es reversible y si algun dia tenemos que permitir acceso al escritorio remoto, tendremos que proporcionar el numero de puerto que hemos cambiado.

Para cambiar el puerto RDP, tendremos que modificar el puerto TCP RDP predeterminado de nuestro ordenador Windows siguiendo una serie de pasos desde el editor del registro del PC.

Buscaremos en la barra de busqueda del menu de Windows:

  • regedit
     regedit 




Editor de registro


Nos fijaremos en el árbol de carpetas que se encuentra a la izquierda e iremos desplegando las distintas  subcarpetas hasta que lleguemos al registro que queremos modificar.

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>Terminal Server>WinStations>RDP-Tcp

  • HKEY_LOCAL_MACHINE
    • SYSTEM
      • CurrentControlSet
        • Control
          • Terminal Server
            • WinStations
              • RDP-Tcp

Cuando estemos dentro, habrá que buscar una entrada que pone
PortNumber. Una vez que la localicemos, habrá que hacer doble clic sobre ella para acceder. Por defecto, viene el puerto predeterminado en hexadecimal, por lo que tendremos que seleccionar la opción Decimal.

Cambiaremos el puerto predeterminado 3389, por otro puerto que se encuentre entre los rangos 49152 al 65535.
Os dejo un generador  de puertos aleatorios entre los rangos permitidos. Para generar otro puerto, actualizar la página.


Guardaremos nuestro nuevo puerto de acceso y los cambios se actualizarán en Windows cuando el sistema se haya reiniciado.