Windows 7/Vista/XP/2003等系统中的远程终端服务是一个非常强大的服务,也成为了入侵者停留在主机上的通道。入侵者可以通过一些手段获取管理员账号和密码,入侵主机。现在,我们来看看如何通过修改默认端口来防止黑客。
远程终端服务基于端口3389。一般入侵者会先扫描主机开放的端口,一旦发现3389端口开放,下一步就会入侵,所以我们只需要修改这个服务的默认端口就可以避开大多数入侵者的耳目。
步骤:打开“开始运行”,输入“regedit”,打开注册表,输入以下路径:
【HKEY _本地_机器/系统/当前控制集/控制/终端服务器/WDS/rdpwd/TDS/TCP】,看到端口号的值了吗?默认值为3389,只需将其修改为所需的端口,例如8080。注意十进制。见下图:
再次打开【HKEY _本地_机器/系统/当前控制集/控制/终端服务器/winstates/RDP-TCP】,将端口号(默认为3389)的值改为端口8080。注意十进制。
这是很多在线教程的结尾。的确,如果是XP或2003系统,那么客户端可以通过端口8080连接到远程桌面。但是在Vista和Win 7下,客户端只要把上面两个地方的端口改成8080就无法连接远程桌面了。原因是Vista和Win 7加强了自己防火墙的功能。下面是远程桌面的本地端口修改为8080后的截图。原来的默认本地端口是3389:
从入站规则中的防火墙策略来看,如果不手动将防火墙策略的端口修改为8080,就找不到任何防火墙策略的本地端口是8080。也就是说,在入站规则中,如果没有开启8080端口的释放,防火墙会默认拒绝外部对8080端口的访问,这也是客户端无法成功连接远程桌面的原因。
默认情况下,无法修改入站规则中的远程桌面策略,因此只能通过修改注册表来修改防火墙策略。打开【HKEY _本地_机器/系统/当前控制集/服务/共享访问/默认值/防火墙策略/防火墙规则】,将RemoteDesktop-In-TCP的值中包含3389的数据修改为8080,保存。
打开【HKEY _本地_机器/系统/当前控制集/服务/共享访问/参数/防火墙策略/防火墙规则】,将RemoteDesktop-In-TCP的值中包含3389的数据修改为8080,保存。
修改后重启电脑后生效,以后可以使用8080端口远程登录。
具体接入方式为IP:端口号,如192.168.100.100: 8080,如下图所示:
如果要通过外部网络(互联网)连接到远程桌面,还需要映射路由器上的端口,如下图所示:
但是还有一个问题需要解决,就是如果要通过互联网进行远程桌面,必须知道远程路由器的公有IP地址。只有在这个公共IP地址的指引下,上述端口才有意义。幸运的是,现在大多数路由器厂商都在路由器上增加了动态DNS的支持。可以在花生壳(www.oray.net)上申请一个免费域名,然后将路由器获得的动态公网IP地址与固定域名绑定,这样就可以ping通域名获得远程路由器的公网IP地址,最终成功实现互联网的远程桌面连接。
通过Internet域名的远程桌面连接:
