最近微软的系统接二连三的爆出了RDP漏洞,每个都是致命的,一个不小心就可能中招。但是在企业局域网中运维为了方便连接服务器都是开启了远程桌面。开启了远程桌面后使用的默认的3389端口,都知道这个是远程连接的默认端口,所以就比较危险。建议开启了远程桌面后把默认的3389端口修改为其他的端口,端口的修改范围(2000---65535)挑一个自己喜欢的,确认没有被本机使用的端口,以免端口重复导致业务受阻。建议选择一个大数值的端口号但是不要超过65535
端口的修改涉及到修改远程桌面的默认端口和防火墙默认策略的端口;
0x01 修改远程桌面默认端口(3389)
Windows 默认的端口只能通过注册表来修改,远程桌面的默认端口(3389)在注册表中一共需要修改两处;(要看清楚两处注册表的路径不一样)
第一处路径如下:
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp”
在右侧找到PortNamber,可以看见其默认值是3389,双击编辑PortNamber选择十进制,然后将默认的3389端口号修改成所喜欢的端口;
第二处路径如下:
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
同第一处,在右侧找到PortNamber,可以看见其默认值是3389,双击编辑PortNamber选择十进制,然后将默认的3389端口号修改成所喜欢的端口;
到此,端口号修改完成,重启电脑 或 右键“计算机”,点击“管理”,弹出的窗口左侧选“服务和应用程序”-->"服务",找到“Remote Desktop Services”,右击,选择“重新启动”,即可使更改后的端口生效。
如果用户计算机的防火墙是关闭的,那么现在就可以在另外一台电脑上通过远程桌面连接电脑了。如果防火墙是开启状态那么久继续往下看修改防火墙远程桌面(3389)的默认策略;
0x02 修改防火墙远程桌面(3389)的默认策略
在服务器上通常为了安全,都会保留防火墙的开启状态。因此还需要修改防火墙的入站规则。找到“windows 防火墙”,此时防火墙处于开启状态。点击右侧“高级设置”-->“入站规则”,将滚动条到底,即可看见名称为“远程桌面(TCP-In)”的入站规则,可以看见其默认端口是“3839”,但是这里无法直接更改,需要到注册表进行更改。
同样防火墙远程桌面的(3389)默认策略也是需要在注册表中修改两处;(要看清楚两处注册表的路径不一样)
第一处路径如下:
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Defaults\FirewallPolicy\FirewallRules”
在右侧找到RemoteDesktop-UserMode-In-TCP,双击编辑RemoteDesktop-UserMode-In-TCP,然后将LPort=3389端口号修改成所喜欢的端口;
第二处路径如下:
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules”
同第一处,在右侧找到RemoteDesktop-UserMode-In-TCP,双击编辑RemoteDesktop-UserMode-In-TCP,然后将LPort=3389端口号修改成所喜欢的端口;