window系统中的远程终端服务,能够方便服务器运维人员进行服务器的维护,目前国内很多VPS或者云服务器的提供商基本都是默认3389端口的远程终端服务,与此同时也成了黑客入侵服务器主机的通道,入侵者可以利用一些暴力破解或者社会工程学等等的手段得到管理员账号和密码并入侵主机。
黑客攻击原理
黑客通常会先对服务扫描端口,如果发现有3389端口的,就会通过某些工具进行暴力破解,如果破解成功获得了远程登录服务器的账号和密码之后就可以轻易进入远程服务器。(弱口令的服务器轻易就被暴力破解)
服务器3389端口解决方案
远程终端服务基于端口3389的,需要修改远程登录服务的默认端口,就避免黑客的直接扫描和暴力破解。同时,我要把远程登录服务的端口设置为其他的端口,这样不影响我们原来的对服务器的运维操作的便利。一旦修改成功之后,3389的端口就是关闭的状态,所以这里就不需要去特意关闭3389的端口,比如使用IP安全策略和防火墙。
下面我们通过修改默认端口3389,防范黑客通过3389终端服务入侵服务器。
特别注意:
1.修改成新的端口号要注意确保新的端口号不会被windows防火墙,ip安全策略或者第三方防火墙软件(比如安全狗)等阻断,否则在重启服务器之后就无法进行远程登录。
2.在当前还是使用3389端口进行远程登录的时候,不能再修改新的端口号的操作前,就使用防火墙工具添加3389的阻止规则。否则就直接断开远程终端服务的连接。
操作指引
a.开始 — 运行 — 输入regedit.exe — 确定
b.打开注册表后,找到【HKEY_LOCAL_MACHINE】,打开下面的【SYSTEM】
c.打开【SYSTEM】后,找到【CurrentControlSet】下面的【Control】。
d.然后展开【Control】,找到下面的【Terminal Server】,然后展开【Terminal Server】,找到下面的【Wds】和【WinStations】。
e.找到【Wds】下面的【tcp】和【WinStations】下面的【RDP-Tcp】。
f.查看这两个选项tcp和RDP-Tcp的端口号,也就是PortNumber,把默认的3389改成1899(这里可以是其他端口号)
g.重启服务器完成3389端口的修改。
注意:
1.修改成新的端口号要注意确保新的端口号不会被windows防火墙,ip安全策略或者第三方防火墙软件(比如安全狗)等阻断,否则在重启服务器之后就无法进行远程登录。
2.在当前还是使用3389端口进行远程登录的时候,不能再修改新的端口号的操作前,就使用防火墙工具添加3389的阻止规则。否则就直接断开远程终端服务的连接。
其他:或者直接搜索 PortNumber ,这样会简单点,不用逐级展开。
找到对应的两处PortNumber 修改其值。注意这里是两处PortNumber都要修改,不然端口号的修改无法实现。
