Windows Server远程桌面（RDP）安全优化

Windows Server远程桌面（RDP）安全优化（修改默认端口）

企业为支持远程办公开放 RDP 服务，但默认端口（3389）易被攻击工具扫描利用，且非工作时段的登录尝试可能引发安全风险。通过修改 RDP 默认端口并限制登录时段，可减少暴露面并规范访问行为，是远程桌面安全防护的核心措施。

本案例基于 Windows Server 系统，演示 RDP 服务的安全优化流程：

服务初始化与端口查看：通过系统属性开启远程桌面服务，使用netstat命令确认默认端口（3389）及服务运行状态。

端口修改与验证：

进入注册表（regedit），修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp路径下的PortNumber值为 33890（十进制），重启 Remote Desktop Services 服务使修改生效。

再次使用netstat验证新端口（33890）监听状态，确保修改成功。

防火墙规则配置：

创建入站规则放行新端口（33890），命名为 “Allow RDP (33890)”，同时禁用默认端口（3389）的入站规则，避免旧端口暴露。

（可选）结合组策略或第三方工具设置登录时段限制（如仅允许工作日 9:00-18:00 登录），进一步缩小攻击窗口。

**效果验证：**通过宿主机远程桌面连接工具输入 “服务器 IP:33890”，验证新端口登录功能正常，同时测试默认端口连接应被拒绝。

4.4.1 开启远程桌面服务

（1）右键此电脑图标，点击属性。

（2）点击远程设置，允许远程连接到此电脑。

（3）查看远程连接服务端口，确认服务启动成功，Windows远程桌面服务端口默认是3389，命令提示符窗口输入netstat -an -p tcp查看服务端口。

4.4.2 修改RDP默认端口

（1）运行窗口输入regedit，打开注册表编辑器，依次展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP - Tcp路径。

（2）在右侧窗口中找到「PortNumber」项，右键点击选择修改，将数值数据改为即十进制的33890，点击确定。

（3）重启RDP服务，运行窗口输入 ，打开服务窗口，找到Remote Desktop Services服务，右键点击选择重启。

（4）验证端口修改情况，命令提示符窗口输入netstat -an -p tcp命令，查看是否有33890端口。

4.4.3创建RDP新端口入站规则（33890）

（1）打开高级安全 Windows Defender 防火墙，进入入站规则页面，右键点击空白处，选择新建规则，选择端口，点击下一步。

（2）协议选择TCP，特定本地端口输入33890，点击下一步。

（3）其余操作默认即可，在名称处输入Allow RDP (33890)，点击完成。

（4）找到原默认的远程桌面（TCP - In）入站规则，右键点击选择禁用规则。

（5）测试登录windows server远程桌面，在宿主机上启动远程桌面连接，输入服务器IP地址和端口。

（6）登录成功界面展示。