Правила брандмауэра удаленного рабочего стола Windows Server 2012 при использовании альтернативного порта

В Windows Server 2012 есть 2 правила брандмауэра, относящиеся к удаленному рабочему столу: одно для TCP, другое для UDP. Оба правила определяют % SystemRoot% \ system32 \ svchost.exe на вкладке «Программы и службы». Оба правила включены.

Этот сервер находится на Amazon EC2, и группа безопасности по умолчанию, которую создает Amazon, содержит только одно правило для удаленного рабочего стола - TCP на порт 3389. Нет правила для UDP - почему?

Я хочу переключиться на альтернативный порт RD (скажем, 4389).

Я попытался создать новое правило брандмауэра Windows для порта 4389, но когда я указал % SystemRoot% \ system32 \ svchost.exe на "Программы и службы / Эта программа:" Я получил это предупреждение:

Поэтому я выбрал «Все программы, соответствующие указанным условиям», что по умолчанию означает «Все программы и службы».

Был ли это правильный выбор (пропустить вперед - он работает для того, что я хочу, но я все еще не уверен, что это было то, что я должен был выбрать)? Другие варианты (я не пробовал их из-за страха заблокироваться):

1) Игнорировать предупреждение и уйти % SystemRoot% \ system32 \ svchost.exe на "Программы и услуги / Эта программа:"

2) Нажмите «Настройки» рядом с «Указать службы ..» и выберите «Применить к этой службе», затем выберите «Службы удаленных рабочих столов» в списке:

Затем я изменил номер порта RD в реестре на 4389, создал дополнительное правило TCP для порта 4389 в правиле безопасности Amazon EC2, перезагрузил экземпляр Windows, и, похоже, все работает.

Но нужно ли мне также создать брандмауэр Windows и правило Amazon EC2 для UDP на 4389?