Windows 7/Vista/XP/2003等系統(tǒng)中的遠(yuǎn)程終端服務(wù)是一項(xiàng)功能非常強(qiáng)大的服務(wù)，同時也成了入侵者長駐主機(jī)的通道，入侵者可以利用一些手段得到管理員賬號和密碼并入侵主機(jī)。下面，我們來看看如何通過修改默認(rèn)端口，防范黑客入侵。

　　遠(yuǎn)程終端服務(wù)基于端口3389。入侵者一般先掃描主機(jī)開放端口，一旦發(fā)現(xiàn)其開放了3389端口，就會進(jìn)行下一步的入侵，所以我們只需要修改該務(wù)默認(rèn)端口就可以避開大多數(shù)入侵者的耳目。

　　步驟：打開“開始→運(yùn)行”，輸入“regedit”，打開注冊表，進(jìn)入以下路徑：

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp]，看見PortNamber值了嗎？其默認(rèn)值是3389，修改成所希望的端口即可，例如8080，注意使用十進(jìn)制。見下圖：

　　再打開[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp]，將PortNumber的值（默認(rèn)是3389）修改成端口8080，注意使用十進(jìn)制。

　　網(wǎng)上很多教程到此就結(jié)束了。的確，如果是XP或2003系統(tǒng)，這樣客戶端就可以通過8080端口進(jìn)行遠(yuǎn)程桌面連接。但是，在Vista和Win 7下，光修改以上兩處的端口為8080，客戶端是無法進(jìn)行遠(yuǎn)程桌面連接的。究其原因，原來Vista和Win 7加強(qiáng)了自帶防火墻的功能。下面是一張已經(jīng)將遠(yuǎn)程桌面的本地端口修改為8080后的截圖，原本默認(rèn)本地端口為3389：

　　從入站規(guī)則里的防火墻策略里，如果不手動修改防火墻策略的端口為8080，是不能發(fā)現(xiàn)有任何一條防火墻策略的本地端口為8080的。也就是說，在入站規(guī)則里，如果不開啟對8080端口的放行，防火墻會默認(rèn)拒絕外界訪問8080端口，這也是客戶端不能成功進(jìn)行遠(yuǎn)程桌面連接的原因。

　　入站規(guī)則里的遠(yuǎn)程桌面策略默認(rèn)是不能修改的，所以只有通過修改注冊表的方式來修改防火墻策略。打開[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/services/SharedAccess/Defaults/FirewallPolicy/FirewallRules]，將RemoteDesktop-In-TCP的值中包含3389的數(shù)據(jù)改成8080，并保存。

　　再打開[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/services/SharedAccess/Parameters/FirewallPolicy/FirewallRules]，將RemoteDesktop-In-TCP的值中包含3389的數(shù)據(jù)改成8080，并保存。

　　修改完畢，重新啟動電腦才會生效，那么以后遠(yuǎn)程登錄的時候使用端口8080就可以了。

　　具體的訪問的方法是IP:端口號，如192.168.100.100：8080，如下圖：

　　如果要想通過外網(wǎng)（互聯(lián)網(wǎng)）來進(jìn)行遠(yuǎn)程桌面連接，則還需在路由器上進(jìn)行端口映射，如下圖：

　　但是，還有個問題得解決，就是要想通過Internet來進(jìn)行遠(yuǎn)程桌面，必須得知道遠(yuǎn)程路由器的公網(wǎng)IP地址，只有在指導(dǎo)這個公網(wǎng)IP地址的情況下，以上的端口隱射才有意義。不過好在現(xiàn)在大部分路由器生產(chǎn)廠商都在路由器里加入了動態(tài)DNS的支持，你可以到花生殼(www.oray.net)上申請一個免費(fèi)的域名，然后將路由器獲得的動態(tài)公網(wǎng)IP地址與固定的域名進(jìn)行綁定，這樣通過ping域名來獲取遠(yuǎn)程路由器的公網(wǎng)IP地址，最后成功實(shí)現(xiàn)Internet的遠(yuǎn)程桌面連接。

　　通過Internet域名方式進(jìn)行遠(yuǎn)程桌面連接：