Dopo aver trascorso giorni ad analizzare le segnalazioni degli utenti sui forum IT e a testare varie configurazioni in scenari reali, ho redatto questa guida completa su come cambiare la porta RDP in Windows 11. Che tu sia un amministratore di sistema che sta mettendo in sicurezza la propria infrastruttura o un utente esperto che desidera ridurre il traffico di scansione, comprendere questo processo è essenziale, ma non è sempre la soluzione migliore per tutti.

Riepilogo rapido:

La porta RDP predefinita è la TCP 3389, spesso presa di mira da scansioni automatizzate.
Cambiare porta richiede modifiche al registro, configurazione del firewall e riavvio del sistema.
La sola modifica della porta non offre una reale sicurezza: combinala con NLA, VPN e autenticazione forte.
Il processo richiede 10-15 minuti ma può interrompere le connessioni esistenti se non pianificato con attenzione.
Soluzioni alternative come HelpWire eliminano del tutto la configurazione delle porte.

Indice

Per impostazione predefinita, Desktop remoto di Windows è in ascolto sulla porta TCP 3389. Quando ti connetti usando mstsc.exe o un altro client RDP, quel client punta alla porta 3389 sul PC remoto.

Tre motivi comuni per modificare questa impostazione predefinita:

Sicurezza tramite oscurità – I bot e gli scanner prendono di mira in modo massiccio la porta 3389, quindi spostare RDP su una porta atipica riduce il rumore di fondo. Tuttavia, non è un sostituto di solide pratiche di sicurezza.

Evitare conflitti – Altri software, in particolare gli strumenti di virtualizzazione, potrebbero già utilizzare la porta 3389.

Requisiti dei criteri di rete – Alcuni ambienti regolamentati impongono assegnazioni di porte personalizzate per la conformità.

Nota di sicurezza critica: Modificare la porta non cifra il traffico né impedisce attacchi mirati. Abbina sempre una porta personalizzata ad autenticazione forte, Autenticazione a livello di rete (NLA), VPN o servizi gateway per una sicurezza reale.

Prerequisiti

Prima di iniziare:

Devi aver effettuato l’accesso come amministratore
Desktop remoto deve essere abilitato sul PC Windows 11
Esegui il backup del Registro di sistema prima di iniziare—modificarlo può influire sul comportamento del sistema

Dalle mie prove, l’approccio basato sul registro di sistema rimane il metodo più affidabile in tutte le edizioni di Windows 11 (Pro, Enterprise, Education). Ecco cosa faccio:

Esegui prima il backup del registro di sistema. Non lo sottolineerò mai abbastanza. Ho visto amministratori perdere l’accesso perché hanno saltato questo passaggio.
Apri l’Editor del Registro di sistema premendo Win + R, digitando regedit e premendo Invio.
Passare alla chiave di configurazione RDP:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Modifica il valore di PortNumber:
• Fai doppio clic su PortNumber.
• Imposta la base su Decimale (è qui che molti sbagliano: la lasciano su esadecimale).
• Inserisci il nuovo numero di porta (in genere uso porte nell’intervallo 49152-65535 per evitare conflitti).
• Fai clic su OK.
Riavvia la macchina. A volte funziona un semplice riavvio del servizio, ma ho riscontrato che un riavvio completo garantisce che tutto si inizializzi correttamente.

Quando gestisco più macchine, PowerShell è il mio metodo di riferimento. Ecco lo script che uso:

# Definisci la nuova porta
$newPort = 3391

# Aggiorna il registro
Set-ItemProperty -Path ‘HKLM:\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp’ -Name “PortNumber” -Value $newPort

# Verifica la modifica
$currentPort = (Get-ItemProperty -Path ‘HKLM:\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp’ -Name “PortNumber”).PortNumber
Write-Host “La porta RDP è ora impostata su: $currentPort”

Dopo averlo eseguito, è comunque necessario riavviare affinché le modifiche abbiano effetto completo.

Ecco dove vedo che le persone sbagliano più spesso: modificano il Registro di sistema ma si dimenticano del firewall. Il tuo servizio RDP ascolterà sulla nuova porta, ma Windows Firewall bloccherà tutte le connessioni in ingresso.

Metodo GUI:

Apri Windows Defender Firewall con sicurezza avanzata.
Seleziona Regole in entrata, quindi fai clic su Nuova regola.
Scegli Porta, poi TCP, e specifica il nuovo numero di porta.
Consenti la connessione.
Applica a tutti i profili di rete (o solo a quelli specifici in base al tuo ambiente).
Assegnagli un nome descrittivo, ad esempio “RDP Custom Port 3391”.

New-NetFirewallRule -DisplayName “Porta RDP personalizzata” -Direction Inbound -Protocol TCP -LocalPort 3391 -Action Allow -Profile Any

In genere creo regole sia per TCP che per UDP quando utilizzo le funzionalità moderne di RDP, sebbene TCP sia il requisito minimo.

Dopo aver apportato queste modifiche e riavviato, testo sempre da un’altra macchina prima di considerare il lavoro concluso:

Apri Connessione Desktop remoto (mstsc.exe).
Nel campo Computer, inserisci: hostname:port oppure IP:port
• Esempio: 192.168.1.100:3391.
Verifica di riuscire a connetterti correttamente.

Suggerimento pro: Usa netstat -an | findstr "LISTENING" per confermare che il sistema stia effettivamente in ascolto sulla nuova porta prima di eseguire la risoluzione dei problemi lato client.

Dopo anni passati a configurare le porte RDP, a occuparmi dell’attraversamento NAT dei router e a risolvere problemi con le regole del firewall, ho iniziato a consigliare un approccio diverso per molti utenti: software di accesso remoto dedicato che gestisce la connettività in automatico.

HelpWire è una delle soluzioni che ho testato approfonditamente e che elimina completamente il problema della configurazione delle porte:

Perché consiglio HelpWire:

Nessuna configurazione: Non sono necessarie modifiche al registro, regole del firewall o inoltro delle porte.
Supporto multipiattaforma: Funziona su Windows, macOS e Linux.
Sicurezza integrata: Connessioni crittografate senza bisogno di una VPN.
Gratuito da usare: Nessun problema di licenze per piccole implementazioni.

Quando HelpWire ha più senso rispetto all’uso di porte RDP personalizzate:

Devi supportare utenti su sistemi operativi diversi.
Non è fattibile configurare un’infrastruttura VPN.
Stai offrendo supporto remoto, non accesso remoto continuativo per il lavoro.
Vuoi evitare del tutto l’inoltro delle porte sul router.
Hai bisogno di una soluzione che “funzioni e basta” per utenti non tecnici.

Continuo a usare RDP con porte personalizzate per la gestione dei server in ambienti controllati, ma per l’accesso remoto generale, soprattutto quando si supportano utenti finali o si lavora tra piattaforme diverse, HelpWire elimina completamente l’onere della configurazione.

HelpWire 4.6

Alternativa gratuita a RDP — potenzia la tua assistenza remota.

Visita il sito

Prezzo: Gratis

Sistemi supportati: Windows, macOS, Linux

La modifica delle porte è una piccola parte di una strategia di sicurezza più ampia. Ecco cosa considero non negoziabile:

Abilita l’autenticazione a livello di rete (NLA) – Dovrebbe essere già attiva per impostazione predefinita in Windows 11, ma verifica che lo sia. NLA richiede l’autenticazione prima di stabilire una sessione, impedendo molti attacchi automatizzati.
Implementare politiche di blocco degli account – Imposto il blocco degli account dopo 5 tentativi non riusciti, con un periodo di attesa di 30 minuti.
Usa una VPN per l’RDP esposto a Internet – Se l’accesso remoto deve passare attraverso Internet pubblica, lo metto sempre dietro una VPN. Il cambio di porta non impedisce agli aggressori sofisticati di individuare il tuo servizio.
Abilita la registrazione di audit – Tieni traccia dei tentativi di accesso non riusciti e delle connessioni riuscite. Rivedo questi log settimanalmente.
Valuta Remote Desktop Gateway – Per ambienti aziendali, RD Gateway fornisce un controllo degli accessi centralizzato e non richiede di aprire le porte RDP direttamente su Internet.

Problema: Impossibile connettersi dopo aver cambiato la porta

Innanzitutto, verifica che la regola del firewall sia corretta e attiva.
Controlla di specificare la porta nella stringa di connessione (nome host:porta).
Conferma che il servizio RDP sia stato riavviato correttamente dopo la modifica al Registro di sistema.

Problema: I tentativi di connessione raggiungono ancora la porta 3389

Alcuni client RDP memorizzano in cache le impostazioni di connessione, cancella le credenziali salvate.
Assicurati di specificare esplicitamente il numero di porta.
Verifica se hai più adattatori di rete con configurazioni diverse.

Problema: Accesso remoto completamente perso

Ecco perché ho sempre accesso fisico o fuori banda prima di apportare modifiche.
Avvia in Modalità provvisoria se necessario e annulla la modifica al Registro di sistema.
Come ultima risorsa, ripristina dal backup del Registro di sistema.

Dopo innumerevoli configurazioni, ecco la mia valutazione: cambiare la porta RDP riduce il rumore delle scansioni automatizzate, ma deve far parte di una sicurezza a più livelli, non una soluzione a sé stante.

Per le piccole imprese, consiglio HelpWire per il suo approccio a configurazione zero e il supporto multipiattaforma. Per le aziende, porte RDP personalizzate con VPN e NLA funzionano bene.

Abbina la tua soluzione alle tue reali esigenze, non a ciò che le guide dicono che “dovresti” fare.

Inizia con un accesso remoto sicuro:

Approccio tradizionale: Modifica la porta RDP + abilita NLA + implementa una VPN.
Alternativa moderna: Prova HelpWire per un accesso remoto a configurazione zero su più piattaforme.

Scegli il percorso che ha senso per la tua situazione specifica e dai sempre priorità alla sicurezza reale rispetto all’apparenza di sicurezza.

Come cambiare la porta di Desktop remoto su Windows 11: Guida completa

Comprendere la porta RDP e perché cambiarla

1. Il metodo del Registro: passo dopo passo

2. Approccio PowerShell all'automazione

2. Configurazione del firewall di Windows (La parte che la maggior parte delle guide tralascia)

Verifica della tua configurazione

Quando la configurazione delle porte diventa un grattacapo: l’alternativa HelpWire

Le migliori pratiche di sicurezza che applico effettivamente

Risoluzione dei problemi comuni che ho riscontrato

La mia raccomandazione finale