Tutoriales

Cómo cambiar puerto escritorio remoto en Windows

El escritorio remoto de Windows es una de las utilidades que más tiempo lleva implementada en el sistema. Esta función fue un antes y un después en la capacidad de asistencia de remota de un equipo, servidores incluidos utilizando la interfaz gráfica en lugar del terminal de comandos.

Cambiar puerto de escritorio remoto en Windows puede ser más que una mera manía por parte del usuario o administrador de sistemas. Una buena razón para hacerlo es evitar ataques externos al efectuar en cambio y moverlo a un puerto menos conocido para el hacker. Otra razón lógica para hacer esto es el hecho de utilizar un acceso secundario para equipos en una red LAN en donde este puerto ha esté siendo utilizado de forma exclusiva por un servidor u otro cliente que queramos aislar.

Qué es el escritorio remoto de Windows

Puerto escritorio remoto

El escritorio remoto fue una de las primeras formas de conexión remota bajo interfaz gráfica utilizada en equipos de consumo general y servidores. Previos a este método teníamos el inseguro Telnet por parte de Microsoft y SSD en los sistemas Unix/Linux, uno de los métodos más seguros. La diferencia entre ellos y escritorio remoto es que utilizaban el modo consola solamente.

La conexión mediante escritorio remoto, por tanto, nos permitirá efectuar una centralización de las aplicaciones en un sistema host en el que accederán otros clientes. Estos podrán utilizar estos recursos de forma remota como si estuvieran físicamente en el equipo servidor. Dicho de forma sencilla, el usuario que se conecte por escritorio remoto a otro nodo, podrá hacer casi todo lo que se podría hacer de forma local desde este:

  • Movernos por el explorador de archivos: una de las tareas básicas de realizar una conexión remota es navegar por carpetas para acceder a ficheros de configuración o para efectuar el mantenimiento del sistema de una forma amigable.
  • Ejecutar programas: al tener el control de la unidad remota, podemos ejecutar los programas que haya instalados en ella con interfaz gráfica. En el caso de Telnet o SSH es posible la ejecución, pero limitada a comandos.
  • Realizar tareas de administración: la posibilidad de ejecutar tareas implica acceder al terminal de comandos de la máquina remota y efectuar cuantas tareas estimemos oportunas. Si accedemos como usuario administrador tendremos los privilegios propios de este.
  • Reproducir contenido multimedia excepto juegos: además de programas también es posible ver contenido en vídeo o música sin problemas. Aunque sí estaremos limitados a la hora de jugar.
  • Copiar y pegar ficheros desde una ubicación a otra: otra función incluida en las opciones del escritorio remoto es pasar ficheros desde un equipo a otro.

Conexión, seguridad y puerto por defecto

Para efectuar la conexión por escritorio remoto solamente necesitamos tener activado dicho servicio en el equipo servidor.

A través de la configuración del sistema se podrá activar este acceso, incluso asignar determinados usuarios para que tenga el acceso. En este sentido el fundamento es el mismo que para los accesos en modo consola, con la autenticación de un usuario y contraseña accederemos al perfil local de dicho usuario en el nodo de destino.

La seguridad implementada en escritorio remoto es de tipo TLS, en donde la conexión desde el origen al destino viajará de forma encriptada. Al ser un sistema muy susceptible de ser atacado, se recomienda el uso de redes privadas virtuales (VPN) para añadir una capa más de cifrado a la conexión. Las VPN permiten crear una red LAN virtual sobre la red de Internet para proporcionar un acceso seguro y cifrado a equipos dentro de ella.

Desde su implementación el puerto escritorio remoto utilizado por defecto es el TCP/UDP 3389. Es el que se configura por defecto en el servidor a menos que mediante Port Triggering asignemos otro a nivel de enrutador. En un acceso local no vamos a necesitar abrir ningún tipo de puerto en el router o firewall, mientras que si pretendemos efectuar la conexión de forma remota desde Internet sí que se requerirá un Port Forwarding.

Cambiar puerto escritorio remoto

Supongamos que ha tenemos todo listo para efectuar la conexión y solamente nos queda cambiar puerto escritorio remoto. Y si suponemos mal, más abajo os dejaremos el correspondiente tutorial en donde vemos como configurar escritorio remoto, con asignación de usuarios y demás.

Sobra decir que el puerto escritorio remoto que debemos modificar es el del equipo al cual queremos acceder, no el del equipo cliente.

Dicho esto, la localización del puerto escritorio remoto por defecto está en un lugar bastante problemático de cara a un usuario con conocimientos básicos del sistema. Concretamente es una clave de registro la que hay que modificar. Y nos preguntamos si a estas alturas no podría existir una solución más accesible para cualquier usuario desde la configuración avanzada. Pues parece que no.

Puerto escritorio remoto paso01

De hecho, si nos vamos precisamente a la configuración avanzada de escritorio remoto en nuestra fe por buscar un método simple, nos encontraremos efectivamente con un apartado de Puerto de escritorio remoto. Ahí se nos especifica cuál es el puerto configurado actualmente.

En una opción justo debajo nos da acceso básicamente a un tutorial propio de Microsoft para modificar dicho puerto. De hecho, es la única forma disponible, veámosla paso a paso.

Cambio de puerto escritorio remoto en el registro

El procedimiento consiste en acceder al registro con permisos de administrador y modificar una entrada de registro concreta. El procedimiento será exactamente igual en todas las versiones de Windows.

En primer lugar, vamos a abrir la herramienta Ejecutar de Windows. Para ello vamos a pulsar la combinación de teclas Win + R.

Puerto escritorio remoto paso02

En esta pequeña ventana debemos colocar:

regedit

Debemos pulsar Enter para ejecutar la instancia y automáticamente nos aparecerá el pantallazo para aceptar los permisos de administrador para acceder al registro.

Llegados al punto en el que tenemos una aplicación abierta en pantalla, vamos a colocar en la barra de direcciones la siguiente:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber

Puerto escritorio remoto paso03

En primera instancia no vamos a acceder directamente a esta clave de registro, sino que debemos dirigirnos al árbol de directorios de la parte izquierda y pinchar sobre el último desplegado en la ruta, es decir, RDP-Tcp.

PortNumber no tiene pérdida, ya que las claves están ordenadas por el abecedario.

A continuación, pulsamos con botón derecho sobre esta entrada y elegimos Modificar…

Puerto escritorio remoto paso04

Una nueva ventana nos aparecerá en donde hay habilitada una línea para modificar datos. Claro que ahí no pone por ningún lado 3389, esto es porque debemos de activar la casilla de Decimal para traducir el número a este formato.

Puerto escritorio remoto paso05

Una vez hayamos colocado el puerto escritorio remoto concreto con el que deseamos establecer la comunicación, debemos pulsar en aceptar para que los cambios surtan efecto.

Puerto escritorio remoto paso06

Suponemos que a estas alturas el usuario tendrá claro cuál elegir, pero de no ser así es necesario tener en cuenta que existen distintas categorías entre los puertos de un router. El rango de operación será desde el 0 hasta el 65535.

Entre ellos, tenemos tres rangos:

  • Puertos bien conocidos: desde 0 a 1023, son puertos reservados para el sistema operativo y protocolos de red básicos como HTTP, SMTP, etc. De estos no debemos coger ninguno.
  • Puertos registrados: van desde el 1024 al 49151, y pueden ser utilizados por cualquier aplicación. Existe una lista estandarizada llamada IANA en donde se muestran los puertos más utilizados por ciertas aplicaciones, en las que se incluye el puerto escritorio remoto por defecto.
  • Puertos dinámicos: el resto desde el 49152 hasta 65535 que se asignan de forma dinámica a las aplicaciones cliente al iniciar la conexión. También se puede utilizar uno de estos si lo deseamos.

Para finalizar y confirmar el cambio de puerto debemos reiniciar el equipo.

Verificar que el puerto escritorio remoto se ha cambiado

Si aún no estamos seguro de si el puerto se ha modificado debidamente, podemos comprobar esto en la configuración avanzada de escritorio remoto.

Puerto escritorio remoto paso07

Para ello basta con escribir Configuración de Escritorio Remoto en el buscador de inicio y acceder a la misma.

Puerto escritorio remoto paso08

Con dicha función habilitada nos aparecerá más abajo la opción de Configuración Avanzada, así que accedemos.

Puerto escritorio remoto paso09

Abajo del todo nos dirá el puerto actual que tenemos configurado.

Añadir nuevas reglas en el firewall de Windows para permitir las conexiones

Todavía no hemos terminado, ya que queda la importante tarea de habilitar las conexiones entrantes por parte del cliente con el nuevo puerto que hayamos configurado.

Esto lo podremos realizar en el propio firewall de Windows, concretamente en Windows Defender Firewall con seguridad avanzada, o mucho más rápido desde el terminal de comandos de Windows. Así que procedamos de esta forma.

Lo primero que debemos hacer es abrir símbolo del sistema o Power Shell con permisos de administrador. Para ello simplemente buscamos CMD o símbolo del sistema en inicio y pulsamos sobre la opción de Ejecutar como Administrador.

Puerto escritorio remoto paso10

A continuación, necesitaremos escribir estos cuatro comandos en el terminal, uno por uno y pulsando Enter para ejecutarlos.

netsh advfirewall firewall delete rule name="Escritorio remoto - Modo usuario (TCP de entrada)"
netsh advfirewall firewall delete rule name="Escritorio remoto - Modo usuario (UDP de entrada)"

Con esto borraremos las entradas actuales por defecto.

netsh advfirewall firewall add rule name="Escritorio remoto - Modo usuario (TCP de entrada)" dir=in action=allow program=%SystemRoot%\System32\svchost.exe profile=any localport=3399 protocol=tcp
netsh advfirewall firewall add rule name="Escritorio remoto - Modo usuario (UDP de entrada)" dir=in action=allow program=%SystemRoot%\System32\svchost.exe profile=any localport=3399 protocol=udp

Con estos otros añadiremos las entradas con el puerto actualizado para permitir el acceso exterior, tanto en LAN como en WAN

En donde viene puesto el número de puerto, cada cual colocará el que haya configurado en el apartado anterior.

Puerto escritorio remoto paso11

Tras esto no se requiere ningún tipo de reinicio, ya que las reglas quedan grabadas inmediatamente y es posible acceder con el nuevo puerto como ahora verificaremos.

Si la conexión que pretendemos efectuar es de forma remota a través de Internet, tendremos que abrir el puerto que hayamos configurado en nuestro enrutador. Ya no serviría el 3389 por defecto.

Cómo acceder a escritorio remoto con otro puerto

Dejamos ya la parte del servidor para ver cómo accederíamos desde el cliente al equipo con el nuevo puerto configurado.

Para ello, lo único que debemos cambiar, o mejor dicho, añadir a la dirección IP del servidor o el nombre de red, es el puerto. Para ello escribimos la IP o nombre junto a “:” y el puerto en número decimal. Así:

192.168.1.12:3399

Con tu puerto y tu dirección, sea local o remota.

Puerto escritorio remoto paso12

Tan pronto como nos pida usuario y contraseña sabremos que el recurso está disponible.

Conclusiones acerca de cómo cambiar puerto escritorio remoto

Hasta aquí llega todo lo que tenemos que hacer para cambiar puerto escritorio remoto. Como veis no es un trabajo demasiado complicado salvo saber el lugar concreto donde tocar y por supuesto el detalle de actualizar las reglas del Firewall para permitir conexiones.

En otras versiones de Windows es posible que aún permita acceso sin actualizar las reglas del firewall, sinceramente no lo hemos probado, pero en Windows 10 y Server se debe hacer. Sin más, os dejamos con algunos post relacionados con las conexiones remotas.

Si has tenido algún problema con estos dos pasos a realizar y no puedes conectarte, plantéanos la duda en los comentarios. Es posible que a otros les pase y así podemos ayudarlos.

José Antonio Castillo

Graduado en Ingeniería en Tecnologías Industriales. Amante de la informática, el gaming y casi cualquier deporte de motor.
Los datos de carácter personal que nos facilite mediante este formulario quedarán registrados en un fichero de Miguel Ángel Navas Carrera, con la finalidad de gestionar los comentarios que realizas en este blog. La legitimación se realiza a través del consentimiento del interesado. Si no se acepta no podrás comentar en este blog. Puedes consultar Política de privacidad. Puede ejercitar los derechos de acceso, rectificación, cancelación y oposición en [email protected]
Botón volver arriba