Windows 11 远程桌面端口更改与IP访问控制配置

IT
目录

2025年9月最新更新
(此方法同样适用于Windows 10)

默认端口3389为恶意用户广泛熟知,很容易成为攻击目标。我强烈建议您将其更改为其他端口号以保护系统安全。

请从注册端口范围(1024-49151)中随机选择端口号,使其难以被猜测。在本指南中,我们将远程桌面端口更改为49151。

远程桌面端口更改

1. 启用远程桌面功能

(基于Windows 11 24H2版本)

  1. 打开Windows设置。
  2. 转到 [系统][远程桌面]
  3. 远程桌面 设置为 开启

2. 更改远程桌面端口

  1. 按下 Windows键 + R 打开运行对话框,输入 regedit 启动注册表编辑器。

    • 您也可以点击开始按钮并输入 regedit

  2. 在注册表编辑器中导航到此路径:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

  3. 找到 PortNumber 条目并双击它。

  4. 选择 十进制 并将端口号从3389更改为 49151

  5. 重启电脑以应用新的端口号。

3. 防火墙配置

将远程桌面端口从默认的3389更改为自定义端口后,您需要在Windows防火墙中创建新的入站规则,以允许通过新端口进行远程连接。

  1. 按下 Windows键 + R 打开运行对话框,输入 wf.msc
    • 您也可以点击开始按钮并输入 wf.msc
  2. 点击左侧树形菜单中的 入站规则,然后点击右侧面板中的 新建规则
  3. 按照以下设置配置新入站规则向导:
    • 规则类型:端口
    • 协议:TCP
    • 特定本地端口49151
    • 操作:允许连接
    • 配置文件:选择所有三个 - 域、专用和公用
    • 名称:RDP(或您喜欢的任何名称)
  4. 点击 完成 以完成设置。

IP访问控制配置

仅更改为自定义端口无法保证完整的安全性。攻击者仍可能通过端口扫描检测到开放端口并尝试暴力破解攻击。要从根本上阻止这些风险,您需要设置基于IP的访问控制(ACL),以便只有预先批准的IP地址才能连接。这是多层安全策略的核心要素。

设置IP访问控制(ACL)

  1. 按下 Windows键 + R 打开运行对话框,输入 wf.msc
    • 您也可以点击开始按钮并输入 wf.msc
  2. 点击左侧树形菜单中的 入站规则
  3. 找到您刚创建的规则(RDP或您的自定义名称)并双击它。
  4. 当属性窗口打开时,点击顶部的 作用域 选项卡。
  5. 远程IP地址 下,将选项更改为 这些IP地址 并点击 添加 来输入源IP。
  6. 点击 确定 并关闭窗口以应用IP访问控制。

使用VPN

如果您希望获得比IP访问控制更强的安全性,请考虑仅允许通过 VPN(虚拟专用网络) 进行远程桌面连接。

1. VPN安全的基本概念

VPN在互联网上创建加密的虚拟隧道,允许从外部安全访问内部网络。当您使用VPN时,外部用户无法直接访问RDP端口,必须首先连接到VPN,然后才能通过远程桌面访问内部网络上的计算机。

2. 安全增强效果

  • 双重认证结构:VPN登录 → RDP登录的分层安全
  • 加密通信:所有数据传输都经过加密以确保安全
  • IP地址隐藏:实际RDP服务器的IP地址对外部保持隐藏
  • 完全访问阻断:没有VPN连接时甚至无法检测到RDP服务器

3. 主要VPN实施方法

使用家用路由器VPN功能

大多数现代路由器都具有内置VPN服务器功能,允许您无需额外费用设置VPN。您可以在路由器管理页面中激活VPN服务器并创建用户账户。

商业VPN服务

使用ExpressVPN、NordVPN或Surfshark等商业VPN服务获取固定IP,并配置仅从该IP允许RDP访问。

云VPN设置

使用云服务VPN解决方案,如AWS VPN Gateway或Azure VPN Gateway,来构建专业级VPN环境。

开源VPN服务器设置

在独立服务器上安装OpenVPN、WireGuard或SoftEther VPN等开源解决方案,以构建定制VPN环境。

4. 推荐方法

对于个人用户,首先检查您的 路由器是否具有内置VPN功能。对于企业环境,请考虑 云VPN解决方案。设置VPN后,在防火墙中完全阻止对RDP端口的外部直接访问,并配置仅通过VPN访问,以实现最高级别的远程桌面安全性。