Windows服务器日常管理中使用中，远程桌面协议RDP是重要工具，但是默认使用的3389端口也因公开广泛使用导致成为网络攻击者的场景目标。通过修改此默认端口，可以显著提升服务器的安全层级，降低针对端口自动化扫描和强制破解尝试。下面总结修改注册表、配置防火墙到最终测试完整流程，帮助大家稳固服务器的第一道防线。

前期准备：了解风险与备份

在开始修改之前，有两点至关重要。首先，请意识到修改远程桌面端口存在一定风险，倘若操作不当或修改后未正确配置防火墙，可能导致无法远程连接服务器。因此，对于物理服务器，请确保您能进行本地操作；对于云服务器，部分服务商（如华为云）建议先在控制台的安全组规则中放行新的端口，再进行修改，这能有效防止失联。其次，强烈建议您备份重要数据并创建系统还原点，以便在出现问题时能够恢复。

核心步骤：修改注册表

修改端口的核心操作在于编辑Windows注册表，您需要同时更改两个关键路径下的`PortNumber`值。

1.  打开注册表编辑器：按下 `Win + R` 组合键，输入 `regedit` 并回车。

2.  导航至第一条路径：在注册表编辑器中，依次展开文件夹，定位到：

`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp`。

在右侧窗格中，找到名为 `PortNumber` 的条目并双击它。

3.  修改端口值：在弹出的对话框中，首先选择「十进制」基数，然后将「数值数据」框中的默认值 `3389` 更改为您自定义的端口号（例如 `53389`）。端口号范围建议在2000-65535之间，并避免与已知的常见服务端口冲突。

4.  导航至第二条路径：接下来，继续定位到第二个注册表路径：

`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp`。

同样地，找到此路径下的 `PortNumber` 值，将其修改为与第一个路径完全相同的端口号（例如 `53389`）。

务必确保以上两处修改的端口号一致，否则远程桌面服务将无法正常工作。

关键配置：放行防火墙

仅仅修改注册表是不够的。Windows防火墙以及任何第三方防火墙软件仍然会默认阻止新的端口。因此，您需要在防火墙中为新的端口创建一条允许规则。

1.  打开高级安全防火墙：可以通过「控制面板」->「Windows防火墙」->「高级设置」进入。

2.  新建入站规则：在「入站规则」节点上右键点击，选择「新建规则...」。

3.  配置规则类型：在向导中，选择规则类型为「端口」。

4.  指定协议和端口：选择「TCP」协议，并选中「特定本地端口」，在框中填入您刚才设置的新端口号，例如 `53389`。

5.  设置操作：选择「允许连接」。

6.  完成配置：在后续的配置文件中，根据您的网络环境选择（通常可全选），最后为这条规则起一个易于识别的名称，例如「RDP-新端口」。

此外，对于云服务器用户，请务必登录您的云服务商管理控制台，检查该云服务器的安全组规则，确保其入站方向也允许这个新端口的TCP流量。

最终验证：重启与测试

所有配置完成后，需要重启远程桌面服务以使更改生效。您可以打开「服务」管理界面（通过运行 `services.msc`），找到「Remote Desktop Services」服务，右键选择「重新启动」。更为彻底的方法是直接重启整个服务器。

重启后，便是关键的测试环节。在另一台计算机上打开远程桌面连接客户端（mstsc），在计算机名称输入栏中，您需要按照 `服务器IP地址:新端口号` 的格式进行连接，例如：`192.168.1.100:53389`。如果能够成功连接并登录，则说明端口修改成功。

通过以上步骤，您已经成功地提升了Windows服务器的远程访问安全。然而，安全是一个多层次的过程，修改默认端口只是其中一步。为了进一步增强安全性，建议您结合使用强密码策略、启用网络级别身份验证（NLA），并考虑为管理账户设置多因素认证（MFA）。同时，定期检查系统日志，监控远程桌面的连接情况，也是维护服务器安全的重要习惯。