リモートデスクトップの標準ポート3389は、広く知られているためセキュリティリスクを伴います。このポート番号を変更することで、不正アクセスからシステムを保護し、セキュリティを強化できます。
この記事では、Windows 11およびWindows 10でリモートデスクトップの待機ポート番号をレジストリ操作で変更する具体的な手順を解説します。
手順に従うことで、安全なリモートデスクトップ環境を構築することが可能です。
【要点】リモートデスクトップのポート番号を変更しセキュリティを強化する手順
- レジストリのバックアップ: 万が一のトラブルに備え、レジストリ全体または関連キーを事前に保存します。
- レジストリエディターでのポート変更: リモートデスクトップサービスが使用する接続ポートを新しい番号に設定します。
- Windows Defender ファイアウォールの設定: 新しいポートでの通信を許可する受信規則を追加し、既存の規則を調整します。
ADVERTISEMENT
目次
リモートデスクトップポート変更の目的と前提
リモートデスクトップ接続は、遠隔地からPCを操作する便利な機能です。しかし、標準の待機ポート番号である3389は、多くのユーザーに知られています。
そのため、このポートは悪意のある攻撃者による標的になりやすいというセキュリティ上の懸念があります。ポート番号を変更することは、攻撃者がサービスを特定しにくくする有効な手段です。
セキュリティ層を強化し、不正なアクセス試行からシステムを保護することにつながります。この操作には管理者権限が必要です。
レジストリの編集はシステムに大きな影響を与えるため、慎重な作業が求められます。Windows 11とWindows 10で基本的な概念は共通しています。
ポート変更によるセキュリティ強化の仕組み
標準ポート3389は、ポートスキャンなどの攻撃で容易に検出されます。ポート番号を変更すると、攻撃者は特定のリモートデスクトップサービスを探すために手間がかかります。
これは、侵入を試みる攻撃者にとっての障壁となり、セキュリティリスクを低減する効果が期待できます。ポート番号の変更は、多層防御の最初の一歩です。
リモートデスクトップの待機ポートをレジストリで変更する手順
リモートデスクトップのポート番号を変更するには、レジストリエディターでの設定と、Windows Defender ファイアウォールでの規則追加が必要です。
以下の手順に沿って、慎重に作業を進めてください。
レジストリのバックアップ
レジストリを編集する前に、必ずバックアップを作成してください。これにより、万が一設定を誤った場合でも元の状態に復元できます。
レジストリ全体または関連キーのみをバックアップすることが可能です。
- レジストリエディターを開く
スタートボタンを右クリックし、「ファイル名を指定して実行」を選択します。名前に「regedit」と入力し、「OK」をクリックします。ユーザーアカウント制御のダイアログが表示された場合は、「はい」をクリックして許可します。 - レジストリキーの選択
レジストリエディターの左ペインで、以下のパスに移動します。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
このキーを選択します。 - レジストリのバックアップを実行する
「ファイル」メニューをクリックし、「エクスポート」を選択します。エクスポート範囲で「選択されたブランチ」が選ばれていることを確認します。任意の場所に保存名を入力し、「保存」をクリックします。これにより、RDP-TcpキーとそのサブキーがREGファイルとして保存されます。
リモートデスクトップポート番号の変更
レジストリエディターで、リモートデスクトップサービスが使用するポート番号を変更します。新しいポート番号は、1024から65535の範囲で、他のサービスと重複しない番号を選びましょう。
一般的に、49152から65535の範囲は動的ポートとして使用されますが、固定ポートとして指定することも可能です。
- レジストリキーに移動する
レジストリエディターで、以下のパスに移動します。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp - PortNumberの値を開く
右ペインにある「PortNumber」をダブルクリックします。 - ポート番号を変更する
「DWORD 値の編集」ダイアログが表示されます。「表記」で「10進数」を選択します。新しいポート番号を「値のデータ」に入力します。例えば、「3389」を「50000」などの未使用の番号に変更します。「OK」をクリックして変更を保存します。 - レジストリエディターを閉じる
すべての変更が完了したら、レジストリエディターを閉じます。
Windows Defender ファイアウォールの設定変更
ポート番号を変更しただけでは、ファイアウォールが新しいポートからの接続をブロックします。新しいポート番号を許可する規則を追加する必要があります。
また、既存の3389ポートの規則は無効化または削除することを推奨します。
- Windows Defender ファイアウォールを開く
スタートボタンを右クリックし、「設定」を選択します。「プライバシーとセキュリティ」をクリックし、「Windowsセキュリティ」をクリックします。「ファイアウォールとネットワーク保護」をクリックします。「セキュリティが強化されたWindows Defender ファイアウォール」をクリックします。Windows 10の場合は、スタートメニューから「Windows管理ツール」を開き、「セキュリティが強化されたWindows Defender ファイアウォール」を選択します。 - 新しい受信規則を作成する
左ペインの「受信の規則」をクリックします。右ペインの「操作」メニューから「新しい規則」を選択します。「新規の受信の規則ウィザード」が起動します。 - 規則の種類を選択する
「ポート」を選択し、「次へ」をクリックします。 - プロトコルとポートを指定する
「TCP」を選択し、「特定のローカルポート」に先ほどレジストリで設定した新しいポート番号を入力します。「次へ」をクリックします。 - 接続を許可する
「接続を許可する」を選択し、「次へ」をクリックします。 - プロファイルを指定する
適用するネットワークプロファイル(ドメイン、プライベート、パブリック)を選択します。通常はすべてにチェックを入れても問題ありませんが、環境に応じて適切に設定してください。「次へ」をクリックします。 - 規則に名前を付ける
規則の名前(例:「RDPカスタムポート」)と説明を入力し、「完了」をクリックします。 - 既存の3389ポート規則を無効化または削除する
「受信の規則」の一覧から「リモートデスクトップ(TCP受信)」または類似の名前でポート3389を使用している規則を探します。その規則を右クリックし、「規則の無効化」を選択します。完全に削除する場合は「削除」を選択します。 - PCを再起動する
すべての変更を反映させるため、PCを再起動します。
ポート変更後の注意点とよくあるトラブル
ポート番号の変更はセキュリティを強化しますが、設定ミスがあると接続できなくなる場合があります。以下の点に注意し、トラブル発生時の対処法を確認してください。
変更後のリモートデスクトップ接続ができない
ポート変更後にリモートデスクトップに接続できない場合、いくつかの原因が考えられます。
最も一般的なのは、ファイアウォール設定の不備か、ポート番号の入力ミスです。また、ルーターのポートフォワーディング設定も確認が必要です。
- ファイアウォール規則の再確認
「セキュリティが強化されたWindows Defender ファイアウォール」を開き、作成した受信規則が有効になっているか確認します。規則の詳細を開き、プロトコルとポート番号が正確か再確認してください。新しいポート番号の規則が「許可」になっていることも重要です。 - レジストリのポート番号確認
レジストリエディターを開き、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcpパスにある「PortNumber」の値が正しいか確認します。10進数で入力した値が反映されているか確認してください。 - ルーターのポートフォワーディング設定
外部ネットワークから接続する場合、ルーターで新しいポート番号のポートフォワーディング設定が必要です。ルーターの設定画面にアクセスし、新しいポート番号をPCのIPアドレスに転送するように設定します。設定が不十分だと、外部からの接続はできません。 - 接続元のポート指定
リモートデスクトップ接続クライアントから接続する際は、接続先にIPアドレスまたはホスト名の後にコロンと新しいポート番号を指定します。例:192.168.1.100:50000
Windows 10との操作の違い
Windows 11とWindows 10でリモートデスクトップのポートを変更する基本的な手順は同じです。しかし、一部のUIやメニュー名にわずかな違いがあります。
例えば、「設定」アプリのレイアウトや、「Windowsセキュリティ」へのアクセス方法が異なります。Windows 10では、スタートメニューから「Windows管理ツール」を経由して「セキュリティが強化されたWindows Defender ファイアウォール」を開くことが多いです。
レジストリエディターの操作自体は両OSで全く同じです。
ポート番号の重複と競合
選択した新しいポート番号が、PC上で既に別のアプリケーションやサービスによって使用されている場合、ポートの競合が発生します。これにより、リモートデスクトップサービスが正常に起動しなかったり、他のサービスが機能しなくなったりする可能性があります。
ポート番号を選択する際は、一般的なサービスが使用するポートや、他のインストール済みアプリケーションが使用するポートを避けることが重要です。netstat -anoコマンドをコマンドプロンプトで実行し、現在使用されているポートを確認できます。
ADVERTISEMENT
標準ポートとカスタムポートの比較
リモートデスクトップの標準ポート3389と、レジストリで変更したカスタムポートには、それぞれメリットとデメリットがあります。以下に比較を示します。
| 項目 | 標準ポート (3389) | カスタムポート(変更後) |
|---|---|---|
| セキュリティ | 広く知られており、攻撃の標的になりやすい | 攻撃者から特定されにくく、セキュリティが向上する |
| 利便性 | ポート指定なしで接続でき、設定が簡単 | 接続時にポート番号の指定が必要で、設定に手間がかかる |
| 設定の複雑さ | 特別な設定は不要 | レジストリ編集とファイアウォール設定が必要 |
| リスク | ポートスキャンやブルートフォース攻撃の対象になりやすい | 設定ミスによる接続不可のリスクがあるが、不正アクセスリスクは低い |
まとめ
この記事で解説したレジストリ操作とWindows Defender ファイアウォールの設定により、リモートデスクトップの待機ポート番号を3389から変更できました。
ポート番号の変更は、リモートデスクトップ接続のセキュリティを向上させる重要な対策の一つです。設定が完了したら、必ず新しいポート番号を使用してリモートデスクトップ接続が正常に行えるか確認しましょう。
この変更と合わせて、強力なパスワード設定や多要素認証の導入も検討し、より安全なリモートワーク環境を構築してください。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Windows・PCの人気記事ランキング
- 【Edge】起動時や新しいタブを「Google」にする設定!ニュースを消してシンプルにする方法
- 【直し方】F7でカタカナにならない!ファンクションキーが効かず音量などが変わる時のFnロック解除法
- 【Windows】サブモニターが映らない!HDMIを挿しても「信号なし」になる時の認識・設定手順
- 【Windows】パスワードなしで起動!PIN入力を省略して自動ログイン(サインイン)させる設定手順
- 【Windows】画面がチカチカ・点滅する!グラフィックドライバの更新と設定の見直し
- 【Windows】デスクトップのアイコンが「白い紙」になった!アイコンキャッシュを削除して元に戻すコマンド
- 【PC周辺】2台のモニターで壁紙を「別々」にする方法!Windows11での配置と調整
- 【Windows】デスクトップアイコンの「緑のチェック」は何?OneDriveの同期マークを非表示にする方法
- Windows 11を極限まで軽量化する「不要な標準サービス」停止リスト|PCの動作を爆速化する設定手順とリスク管理の全貌
- 【Windows】Cドライブが赤い!空き容量不足を解消して数GBを一瞬で空ける4つの最強クリーンアップ術