1、修改目的
近年来利用弱口令爆破远程桌面服务3389端口号然后种植木马病毒的案例越来越多,近期的勒索病毒也是利用弱口令爆破远程桌面服务3389端口号进行木马病毒种植。基于安全性考虑,需要对系统的远程桌面服务进行关闭,对于必须使用远程桌面服务的设备必须修改远程桌面服务默认端口号,避免非法用户通过端口扫描、系统漏洞入侵以及使用3389端口的木马病毒入侵。
2、修改方法
2.1、方法一
通过手工修改注册表中RDP服务的端口好的方法实现修改RDP的端口号,适用于设备数量较少的场景。
2.1.1、步骤一
打开系统运行对话框(按组合件win+R或者在系统“菜单”—“附件”—“运行”),输入 “regedit”回车打开注册表编辑器。
图一
图二
图三
2.1.2、步骤二
按照以下路径打开TCP,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp ,双击文件右侧“PortNumber”,切换到十进制,默认是3389,将他修改为其他端口号,比如8888,6666等等,确定。
2.1.3、步骤三
按照以下路径打开RDP-Tcp,HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp,修改PortNamber的值(该值需与步骤二中TCP端口值一致),方法同上。
2.1.4、步骤四
修改完以上两处后重启系统即可完成。
3.1.5、步骤五
打开远程桌面连接对话框,输入对端设备ip地址和刚才修改后的端口号即可访问(端口号一定是英文状态下输入)。
2.2、方法二
通过编辑好的批处理脚本运行实现修改RDP的端口号,适用于设备数量较多的场景。
2.2.1、步骤一
编辑批处理脚本:新建一个后缀是txt的文本文档,然后粘贴一下代码到文本文档中,保存后将该文本文档的后缀修改为bat(修改文件后缀的方法见第三章注意事项)。
@echo off
color f0
echo 修改远程桌面3389端口(支持Windows 2003 2008 2008R2 2012 2012R2 7 8 10 )
echo 自动添加防火墙规则
echo %date% %time%
echo 荔枝2199
set /p c= 请输入新的端口:
if “%c%”==”” goto end
goto edit
:edit
netsh advfirewall firewall add rule name=”Remote PortNumber” dir=in action=allow protocol=TCP localport=”%c%”
netsh advfirewall firewall add rule name=”Remote PortNumber” dir=in action=allow protocol=TCP localport=”%c%”
reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp” /v “PortNumber” /t REG_DWORD /d “%c%” /f
reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v “PortNumber” /t REG_DWORD /d “%c%” /f
echo 修改成功
echo 重启后生效,按任意键重启
pause
shutdown /r /t 0
exit
:end
echo 修改失败
pause
2.2.2、步骤二
将步骤一中编辑好的后缀为bat的文件拷贝到需要修改端口好的设备上,右击以管理员权限运行,提示点“是”,在弹出的对话框中输入想要修改的端口号后回车,然后输入任意键重启设备即可生效。
2.2.3、步骤三
打开远程桌面连接对话框,输入对端设备ip地址和刚才修改后的端口号即可访问(端口号一定是英文状态下输入)。
3、注意事项
(1)修改完端口号后必须重启系统才能使修改完的操作生效。
(2)修改完后使用远程桌面连接是需要在地址后面加端口号且端口号必须是英文 状态下输入,如192.168.1.2:4001
(3)使用批处理脚本修改端口号时请保存并关闭其他操作,修改后按任意键结束 时系统会自动重启。
(4)批处理文件获取:提取码:ttrp