Правила брандмауэра удаленного рабочего стола Windows Server 2012 при использовании альтернативного порта

В Windows Server 2012 есть два правила брандмауэра, связанных с удаленным рабочим столом - 1 для TCP, другое для UDP. Оба правила указывают %SystemRoot%\system32\svchost.exe на вкладке "Программы и службы". Оба правила включены.

Этот сервер находится на Amazon EC2, и группа безопасности по умолчанию, которую создает Amazon, содержит только 1 правило для удаленного рабочего стола - TCP на порт 3389. Для UDP нет никаких правил. Почему?

Я хочу переключиться на альтернативный порт RD (скажем, 4389).

Я попытался создать новое правило брандмауэра Windows для порта 4389, но когда я указал %SystemRoot%\system32\svchost.exe в "Программы и службы / Эта программа:", я получил это предупреждение:

Поэтому я выбрал "Все программы, которые соответствуют указанным условиям", что по умолчанию означает "Все программы и службы".

Был ли это правильный выбор (чтобы пропустить вперед - он работает для того, что я хочу, но я все еще не уверен, что это было то, что я должен был выбрать)? Другие варианты (я не пробовал их из-за страха быть заблокированным):

1) Проигнорируйте предупреждение и оставьте %SystemRoot%\system32\svchost.exe в "Программы и службы / Эта программа:"

2) Нажмите "Настройки" рядом с "Указать службы..." и выберите "Применить к этой услуге", затем выберите "Службы удаленного рабочего стола" в списке:

Затем я изменил номер порта RD в реестре на 4389, создал дополнительное правило TCP для порта 4389 в правиле безопасности Amazon EC2, перезагрузил экземпляр Windows и все, кажется, работает.

Но нужно ли мне также создавать правила брандмауэра Windows и Amazon EC2 для UDP на 4389?