查看与修改windows远程桌面端口

概述

本文主要介绍如何查看和修改Windows实例远程桌面的端口。

 Windows远程桌面的默认端口为3389。基于安全性考虑，部分用户有修改默认端口的需要，以减少通过远程桌面恶意攻击和扫描服务器的。

一、查看 Windows远程桌面端口

方法一

1.按键盘“win+R”组合键，输入 cmd，打开命令行窗口。

2.执行如下命令，查看进程信息。

tasklist /svc | find "Ter"

本示例中查看到 TermService 的PID是1084。

3.执行如下命令，查看 TermService 使用的端口。

netstat -ano | find "1084"

本示例中的端口号为8848

方法二

1.按键盘“win+R”组合键，输入 regedit，打开注册表编辑器。

2.打开以下路径：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp

然后查找 PortNumber 的子键值，如下图所示。

3.打开以下路径：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp

然后查找 portnumber 的值（一般情况下与 PortNumber 子键值两个值是相同的），即为远程服务的端口。

方法三

1.按键盘“win+R”组合键，输入 cmd 打开命令行窗口。

2.执行如下命令，返回注册表的子项下的项和下一层子项的列表。

reg query "hklmSYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTds" /s    

 查看到 PortNumber 的16进制值为0x2290，相当于10进制的8848。

3.执行如下命令，查看RDP-Tcp的 PortNumber 值。

reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v portnumber

查看到 PortNumber 的16进制值为0x2290，相当于10进制的8848。

修改 Windows远程桌面端口

1.按键盘“win+R”组合键，输入 regedit，打开注册表编辑器。

2.打开以下路径：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWdsrdpwdTdstcp

然后查找 PortNumber 的子键值。修改该值为您需要的端口。

3.打开以下路径：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-Tcp

，然后查找 PortNumber 的子键值。修改该值为您需要的端口。

放通防火墙修改后远程桌面对应端口

1.按键盘“win+R”组合键，输入 wf.msc，打开”高级安全 Windows Defender 防火墙”。

2.点击“入站规则”--“新建规则”，规则步骤如图：

补充：常见高危端口

危险端口主要有TCP协议：135、139、445、593、1025、2745、3127、3389、6129端口，UDP协议：137、138端口。

• 远程管理服务：远程运维是企业IT运维人员的日常工作，而多数远程管理服务都是攻击者的首选目标，直接开放风险巨大。建议部署运维审计系统（如华为UMA1000），并通过VPN接入内网后登录。如未部署运维审计系统，请务必选择安全的加密应用，如SSHv2。
• 局域网服务：这些服务端口安全漏洞多，常被攻击者利用，造成严重的安全事件。此类服务主要应用于企业内网访问，完全可以在出口防火墙上封禁。一般情况下，企业自建DNS服务器仅限于解析自有域名，不会对外开放，因此可以在互联网出口防火墙上封禁DNS服务。
• 互联网服务：SMTP、POP3、IMAP等邮件协议在设计之初没有内置安全性，请使用SSL/TLS加密保护。同样，如果需要对外提供Web服务，请使用HTTPS协议替代HTTP。
• 数据库：所有的数据库端口都不应该对外开放。
• 木马常用端口：攻击者在主机中植入木马以后，会在失陷主机中开放后门端口。常用的后门端口很多，如123、1234、12345、666、4444、3127、31337、27374等。在病毒爆发时期，请封禁此类端口。