Windows 7/Vista/XP/2003等系統中的遠端終端服務是一項功能非常強大的服務，同時也成了入侵者長駐主機的通道，入侵者可以利用一些手段得到管理員賬號和密碼併入侵主機。下面，我們來看看如何通過修改預設埠，防範黑客入侵。

　　遠端終端服務基於埠3389。入侵者一般先掃描主機開放埠，一旦發現其開放了3389埠，就會進行下一步的入侵，所以我們只需要修改該務預設埠就可以避開大多數入侵者的耳目。

　　步驟：開啟“開始→執行”，輸入“regedit”，開啟登錄檔，進入以下路徑：

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp]，看見PortNamber值了嗎？其預設值是3389，修改成所希望的埠即可，例如8080，注意使用十進位制。見下圖：

　　再開啟[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp]，將PortNumber的值（預設是3389）修改成埠8080，注意使用十進位制。

　　網上很多教程到此就結束了。的確，如果是XP或2003系統，這樣客戶端就可以通過8080埠進行遠端桌面連線。但是，在Vista和Win 7下，光修改以上兩處的埠為8080，客戶端是無法進行遠端桌面連線的。究其原因，原來Vista和Win 7加強了自帶防火牆的功能。下面是一張已經將遠端桌面的本地埠修改為8080後的截圖，原本預設本地埠為3389：

　　從入站規則裡的防火牆策略裡，如果不手動修改防火牆策略的埠為8080，是不能發現有任何一條防火牆策略的本地埠為8080的。也就是說，在入站規則裡，如果不開啟對8080埠的放行，防火牆會預設拒絕外界訪問8080埠，這也是客戶端不能成功進行遠端桌面連線的原因。

　　入站規則裡的遠端桌面策略預設是不能修改的，所以只有通過修改登錄檔的方式來修改防火牆策略。開啟[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/services/SharedAccess/Defaults/FirewallPolicy/FirewallRules]，將RemoteDesktop-In-TCP的值中包含3389的資料改成8080，並儲存。

　　再開啟[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/services/SharedAccess/Parameters/FirewallPolicy/FirewallRules]，將RemoteDesktop-In-TCP的值中包含3389的資料改成8080，並儲存。

　　修改完畢，重新啟動電腦才會生效，那麼以後遠端登入的時候使用埠8080就可以了。

　　具體的訪問的方法是IP:埠號，如192.168.100.100：8080，如下圖：

　　如果要想通過外網（網際網路）來進行遠端桌面連線，則還需在路由器上進行埠對映，如下圖：

　　但是，還有個問題得解決，就是要想通過Internet來進行遠端桌面，必須得知道遠端路由器的公網IP地址，只有在指導這個公網IP地址的情況下，以上的埠隱射才有意義。不過好在現在大部分路由器生產廠商都在路由器里加入了動態DNS 的支援，你可以到花生殼(www.oray.net )上申請一個免費的域名，然後將路由器獲得的動態公網IP地址與固定的域名進行繫結，這樣通過ping域名來獲取遠端路由器的公網IP地址，最後成功實現Internet的遠端桌面連線。

　　通過Internet域名方式進行遠端桌面連線：