window系统中的远程终端服务是一项功能非常强大的服务，同时也成了入侵者长驻主机的通道，入侵者可以利用一些手段得到管理员账号和密码并入侵主机。下面，我们来看看如何通过修改默认端口，任何防范黑客通过3389终端服务入侵。

众所周知，远程终端服务基于端口3389。入侵者一般先扫描主机开放端口，一旦发现其开放了3389端口，就会进行下一步的入侵，所以我们只需要修改该务默认端口就可以避开大多数入侵者的耳目。

攻击原理:黑客先扫描开放开启了3389端口的服务器—然后通过一些黑客软件批量暴力破解服务器的登录密码。

知道了原理我们就有了防御的对策小残在这里总结一下几种方法：

1.更改远程连接终端服务的默认3389端口

（1. 可以通过注册表修改3389终端端口:步骤：

开始—运行—输入regedit.exe（regedit.exe这个是注册表）—确定（很快注册表编辑器就会跳出来） 
然后查找3389： 

请按以下步骤查找: 
HKEY_LOCAL_MACHINE-–SYSTEM—CurrentControlSet—Control—Terminal Server–WinStations—RDP-Tcp 
最后修改3389： 
我们找到rdp-tcp后就会在注册表的右边查找PortNumber（在PortNumber后面有3389的一串数字！）

然后在点PortNumber（右键）这个时候会出来一个提示框—-点修改—-点10进制—-修改3389为你想要的数字比如1314什么的—-再点16进制（系统会自动转换）—-最后确定！这样就ok了。

其实如果你觉得这样操作很复杂的话可以打开注册表后直接搜索PortNumber 然后即可一步到位找到

这样3389端口已经修改了，但还要重新启动主机，这样3389端口才算修改成功！如果不重新启动3389还是修改不了的！重其起后下次就可以用新端口（1314）进入了！ 

到这里就已经成功修改好了默认的3389端口了这样就可以从而阻断黑客扫描默认的3389连接我们的服务器

2.加强服务器帐号密码

（1.window计算机的默认帐号是administrator基本是众所周知的事情了,当然这也给黑客有机可乘。

所以就需要修改默认的administrator帐号

我可以先将administrator帐号删除然后在添加一个新的帐号。

防止3389终端服务被恶意利用的方法还有很多小残这里到的到只是常规的防御方法

还有比较极端的方法比如:设置只允许指定的IP连接

或者利用一些第三方软件设置只允许指定的计算机名称或者特征电脑远程连接 

如果需要了解的可以在文章下方告诉我,小残看到后会第一时间回复。

可以通过服务器自带的终端日志记录来揪出入侵者的IP地址以及登录服务器的时间

1、在一个位置上建立一个存放日志和监控程序的目录，
2、在其目录下建立一个名为RDPlog.txt的文本文件
3、在其目录下建立一个名为RDPlog.bat的批处理文件，内容为：

4、进入系统管理工具中的“终端服务器配置”，进入到默认RDP-Tcp属性中
5、切换到“环境”页下，启用“用户登录时启用下列程序”
6、例如我们在C:\Program Files\目录下创建的RDPlog.bat则在程序路径和文件名处填写：C:\Program Files\RDPlog.bat  并在起始于填写：C:\Program Files\
完成以上的配置步骤后，当再次登录服务器时就会记录当前登录者的时间和IP

PS:为了以免入侵者发现最好将文件设置费C盘下的其他目录,且把目录和文件设置成隐藏

当无法进入服务器取证的时候可以将服务器重做系统后在进入查看。