3389端口是Windows操作系统中远程桌面服务的默认端口，它允许用户通过网络远程连接到另一台计算机，并控制它的桌面环境。虽然远程桌面服务给远程办公、系统管理带来了便利，但同时也可能带来安全问题。未授权的用户可能会尝试连接到3389端口，从而对系统安全构成威胁。

那么，我们应该如何限制3389端口，以保护我们的系统安全呢？

一、修改注册表

1. 打开注册表编辑器

在键盘上同时按下“Win + R”键，打开“运行”对话框，输入“regedit”并按回车键，打开注册表编辑器。

2. 找到并展开以下路径：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

3. 在右侧窗格中找到名为“PortNumber”的注册表项，双击打开。

4. 将“数值数据”修改为非默认的端口号，如“6666”。

5. 修改完毕后，点击“确定”保存设置。

6. 重启计算机使设置生效。

二、防火墙设置

1. 打开防火墙设置

在开始菜单中搜索并打开“防火墙和安全”或“Windows Defender 防火墙”。

2. 点击“允许应用或功能通过Windows Defender 防火墙”选项。

3. 点击“更改设置”按钮（需要管理员权限）。

4. 在“入站规则”和“出站规则”中，分别添加新的规则，设置端口号为3389，协议为TCP，操作为“阻止”。

5. 完成后，点击“确定”保存设置。

三、组策略设置

1. 打开组策略编辑器

在开始菜单中搜索并打开“组策略编辑器”。

2. 依次展开以下路径：

计算机配置\Windows 设置\安全设置\本地策略\用户权限指派

3. 双击“拒绝远程桌面连接”策略项。

4. 点击“添加用户或组”，将需要限制远程桌面连接的用户或组添加到列表中。

5. 完成后，点击“确定”保存设置。

6. 重启计算机使设置生效。

四、修改系统文件

1. 打开系统文件保护工具

在开始菜单中搜索并打开“系统文件保护”。

2. 点击“配置”选项卡，找到名为“RDP-Tcp”的项。

3. 双击打开，将“PortNumber”修改为非默认端口号，如“6666”。

4. 修改完毕后，点击“确定”保存设置。

5. 重启计算机使设置生效。

通过以上几种方法，我们可以有效地限制3389端口的访问，提高系统的安全性。但需要注意的是，修改端口号或设置防火墙规则时，要确保不影响正常业务和办公需求。同时，定期检查系统安全，及时更新补丁，也是维护系统安全的重要措施。