Windows系统服务器远程桌面端口查看和修改方法

如何查看Windows远程桌面的端口:

1.通过命令查看,点击 开始 – 运行 – 输入 cmd,确认 后打开命令窗口,执行如下命令:

tasklist /svc | find "Ter"

可以看到 TermService 的进程 ID 是 1764。

再执行如下命令:

netstat -ano | find "1764"

即可看到服务所使用的端口,如下图所示是 3389

2.打开注册表查看,在 运行 中输入 regedit 打开注册表编辑器。

查看HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp  PortNumber 子键的值,如

还需要查看 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 下 portnumber 的值,两个值正常是相同的,就是远程服务的端口。

如何修改Windows远程桌面的端口:

1.开始 – 运行 中输入 regedit 打开注册表编辑器。

2.依次展开 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp” 注册表项。其下的 PortNumber 键值所对应的端口号就是远程桌面端口,将其修改为用户需要的端口即可,如下图所示:

3.再依次展开注册表中 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp” 注册表项。同样按照上面的方法将 PortNumber 键值进行更改保存,如下图所示:

注意:修改后需要检查防火墙、tcp/ip筛选中是否有安全规则限制,并需要重启服务器后生效。

 

linux服务器远程端口修改方法:

linux服务器更改SSH远程端口教程

Windows服务器更换DNS教程

Windows服务器更换DNS教程

教程开始:

点击开始–控制面板–网络和共享中心–适配器设置–当前使用的网络适配器

在对应的适配器上右键属性,选择IPV4,然后点击属性,进入到IPV4地址管理界面

点击下方的“高级”

点击DNS–添加DNS即可,然后点击下方“确定”保存设置

电信114.114.114.114

阿里223.5.5.5

百度180.76.76.76

 

附:

宝塔linux面板服务器更换DNS教程:https://www.homedt.cn/1275.html

Windows系列服务器被入侵排查思路

1.深入分析,查找入侵原因

1.1 检查帐户和弱口令

1、查看服务器已有系统或应用帐户是否存在弱口令

检查说明:主要检查系统管理员帐户、网站后台帐户、数据库帐户以及其他应用程序(FTP、Tomcao、phpMyAdmin 等)帐户是否存在弱口令
检查方法:根据实际情况自行确认。
风险性:高

2、查看下服务器内是否有非系统和用户本身创建的帐户

检查说明:一般黑客创建的异常账户帐户名会在本地用户组显示出来
检查方法:打开 cmd 窗口,输入 lusrmgr.msc 命令,查看是否有新增的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。
风险性:高

3、检查是否存在隐藏帐户名

检查说明:黑客为了逃避检查,往往会在您服务器内创建隐藏用户,隐藏账户在本地用户内是查看不到的
检查方法:
1)、在桌面打开运行(可使用快捷键 win+R),输入 regedit,即可打开注册表编辑器:
2)、选择 HKEY_LOCAL_MACHINE/SAM/SAM,默认无法查看该选项内容,右键菜单选择权限,打开权限管理窗口;
3)、选择当前用户(一般为 administrator),将权限勾选为完全控制,然后确定。关闭注册表编辑器;
4)、再次打开注册表编辑器,即可选择 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users;
5)、在 Names 项下可以看到实例所有用户名,如出现本地账户中没有的账户,即为隐藏账户,在确认为非系统用户的前提下,可删除此用户
或者您也可以通过下载 LD_check 安全工具检查是否有隐藏账户。
风险性:高

1.2 检查恶意进程和端口

1、检查是否存在恶意进程在系统后台运行

检查说明:攻击者在入侵系统后,往往会运行恶意进程与外部进行通信,通过分析外联的进程,即可以找出入侵的控制进程
检查方法:
1)、登录服务器,单击开始>运行;
2)、输入 cmd,然后输入 netstat –nao 查看下服务器是否有未被授权的端口被监听;
3)、打开任务管理器,检查对应的 pid 进程号所对应的进程是否为正常进程,如通过 pid 号查看下运行文件的路径,删除对应路径文件。 或者您也可以通过微软官方提供的 Process Explorer 工具进行排查。
风险性:高

1.3 检查恶意程序及启动项

1、检查服务器内部是否有异常的启动项

检查说明:攻击者在入侵系统后,往往会把恶意程序放到启动项中开机执行
检查方法:
1)、登录服务器,单击开始>所有程序>启动。
2)、默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。
3)、点击开始菜单>运行,输入 msconfig,查看是否存在命名异常的启动项目,有的话您将启动项目的勾选去掉,并到命令中显示的路径删除文件。
4)、点击开始>运行,输入 regedit,打开注册表,查看开机启动项是否正常,特别一下如下三个注册表项:
HKEY_CURRENT_USER/software/micorsoft/windows/currentversion/run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。
风险性:高

2、查看正在连接的会话

检查说明:检查计算机与网络上的其它计算机之间的会话或计划任务
检查方法:
1)、登录服务器,单击开始>运行;
2)、输入 cmd,然后输入 C:\net use 或 at,检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接
风险性:中

1.4 检查第三方软件漏洞

1、如果您服务器内有运行对外应用软件(WWW、FTP 等),请您对软件进行配置,限制应用程序的权限,禁止目录浏览或文件写权限

2. 如何恢复网站或系统?

1、系统确认被入侵后,往往系统文件会被更改和替换,此时系统已经变得不可信,最好的方法就是重新安装系统,同时给新系统安装所有补丁
2、改变所有系统账号的密码为复杂密码(至少与入侵前不一致);
3、修改默认远程桌面端口,操作如下:
1)单击开始>运行,然后输入 regedit。
2)打开注册表,进入如下路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
3)KEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp
4)修改下右侧的 PortNamber 值。
4、配置安全组防火墙只允许指定 IP 才能访问远程桌面端口;
5、定期备份重要业务数据和文件;
6、定期更新操作系统及应用程序组件版本(如 FTP、Struts2 等),防止被漏洞利用;

服务器速度慢有哪些原因?

写这篇文章主要是在昨天晚上一个客户找我说他服务器添加文章速度慢,大概需要等待几秒钟。

Windows 2008标准版 64位

E3-1230处理器

16G内存

1T硬盘

当时进去检查系统各项软硬件都是正常的,网络连接也没有问题。然后在第二天处理时候,顺手在控制面板设置了电源模式为“高性能”模式。让客户测试,测试结果完全正常了。

事后分析主要原因在于,Windows电源管理可以直接控制硬盘的转速。系统安装好一般默认的选项是“平衡”此种模式在系统不需要大量读写硬盘时会显著降低硬盘的转速以节能并且延长硬盘寿命。

设置地址:开始-控制面板-电源管理-高性能

Windows电源管理
Windows电源管理

下图为磁盘健康检测

 

硬盘检测
硬盘检测

一般来说速度慢除了设置原因还有以下几种:

1.网络连接速度

2.磁盘健康问题

3.服务器性能低

4.安全防护软件拖慢处理速度

还有许多未知原因,具体情况需要具体排查。问题千种万种,我们只需要按照现象去找本质原因即可。