### Windows 2012 修改 3389 端口详解
#### 背景介绍
在 IT 行业中,为了提高系统的安全性,经常需要对远程桌面连接使用的默认端口进行更改。Windows Server 2012 R2 默认情况下使用 3389 端口提供远程桌面服务 (RDP)。然而,由于 3389 端口被广泛知晓且经常受到攻击,因此更改该端口可以作为一种有效的安全措施来增强系统的防护能力。
#### 改变 3389 端口的步骤
根据官方文档中的指导,更改 Windows 2012 R2 的远程桌面侦听端口主要涉及两个关键步骤:
1. **注册表编辑:**通过修改注册表中的特定键值,将 RDP 服务侦听的端口从默认的 3389 更改为自定义端口。
2. **防火墙设置:**在完成端口更改后,还需要确保新的端口已在 Windows 防火墙中被正确开放,以便外部连接可以正常建立。
#### 步骤一:修改注册表
1. **打开注册表编辑器:**
- 按下 `Win + R` 键打开“运行”对话框;
- 输入 `regedit` 并回车以启动注册表编辑器。
2. **定位至相应键:**
- 导航到以下路径:
```
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp
```
3. **修改端口号:**
- 在右侧窗口找到 `PortNumber` 键;
- 双击该键,在弹出的对话框中将数值数据修改为新端口号,例如 `2289`;
- 确认更改并关闭注册表编辑器。
4. **重启 RDP 服务:**
- 打开命令提示符或 PowerShell;
- 输入 `net stop TermService` 命令停止 RDP 服务;
- 再次输入 `net start TermService` 命令重新启动服务。
#### 步骤二:配置防火墙
1. **打开防火墙规则管理器:**
- 在搜索栏中输入 `Windows Defender Firewall with Advanced Security` 并打开该程序;
- 或者通过控制面板中的“系统与安全”选项进入。
2. **添加入站规则:**
- 在左侧菜单选择“入站规则”,然后点击右侧的“新建规则”;
- 选择“端口”作为规则类型,点击下一步继续;
- 在协议类型中选择 TCP,并指定特定本地端口为刚刚设置的新端口(如 `2289`);
- 选择“允许连接”,并勾选所有配置文件,点击下一步;
- 为新规则命名并描述,完成创建过程。
3. **验证更改:**
- 使用新的端口号尝试远程登录服务器,以确认更改是否生效。
#### 注意事项
- 在修改端口之前,强烈建议备份注册表以防万一出现问题时可以恢复。
- 如果遇到权限问题,可能需要以管理员身份运行注册表编辑器。
- 不要忘记删除防火墙中原有的针对 3389 端口的规则,以免引起不必要的冲突。
- 在进行任何更改之前,请确保了解其潜在风险,并采取适当的预防措施。
通过以上步骤,您可以成功地将 Windows 2012 R2 的远程桌面服务端口从默认的 3389 更改为其他任意可用端口,从而显著提高系统的安全性。这不仅可以帮助您抵御针对默认端口的攻击,还可以更好地管理和保护您的网络资源。
