Windows Server入门系列23 增强远程桌面的安全性

远程桌面虽然为管理员带来了便利，但同时也带来了安全隐患，通过远程桌面进行***是一种惯用的***手段。

可以通过两方面的措施来增强远程桌面的安全性。

一是管理好用户密码， 尤其是管理员账号的密码要遵循一定的安全策略。关于密码管理，在后面将专门讲述。

二是修改远程桌面的默认端口号TCP3389，很多***都是通过扫描3389端口来实现***，因而将3389修改为1024~65535之间的一个任意端口，将很好地避免被***扫描。

1. 修改默认端口号

可以通过修改注册表的方式来修改远程桌面的端口号，比如要将端口号改为TCP6000。

在注册表中展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Terminal Server\WinStations\RDP-Tcp]，将右侧名为PortNumber的键值的值（默认是3389）修改成6000即可。

修改之后，需要执行“netstat -an”命令确认端口号是否修改成功，如图3-40所示，命令执行后显示TCP 6000端口正处于LISTENING监听状态，表示已经修改成功。

如果执行命令后发现开放的仍然是TCP 3389端口，那么只需将远程桌面服务先暂时关闭，然后再重新启用即可。

2. 设置服务器端防火墙

修改了端口号之后，注意还要配置服务器端的防火墙，允许发往TCP6000端口的数据通过。对于Windows2003系统，可以在防火墙的“例外”中添加一条例外规则，

对于Windows Server 2008 R2系统，则需要在防火墙的高级设置中添加一条入站规则。以下为操作步骤：

① 在“规则类型”中选择“端口”。

② 在“协议和端口”中指定TCP 6000端口。

③ 在“操作”中选择“允许连接”。

④ 在“配置文件”中将规则应用于所有的网络类型。

⑤ 在“名称”中为规则起一个名字，如“rdp”。

3. 客户端配置

在客户端要连接远程桌面时，注意必须要在IP地址的后面指明端口号6000，否则客户端仍然会使用默认的3389端口进行连接。