هل ترغب في رؤية الموقع بلغة مختلفة؟

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
تغيير اللغة
جدول المحتويات

بروتوكول سطح المكتب البعيد (RDP) هو واحد من أكثر الطرق شيوعًا للوصول إلى خوادم Windows وسطح المكتب عن بُعد. إنه مدمج في Windows، ومدعوم على نطاق واسع من قبل عملاء الطرف الثالث، وغالبًا ما يُستخدم للإدارة والدعم والعمل عن بُعد.

لكن عندما تنشر الوصول عن بُعد للمستخدمين (أو العملاء)، تصبح هناك مسألة واحدة بسرعة حاسمة للاتصال والأمان: ما هي المنافذ التي يستخدمها RDP؟ في هذه المقالة، سنقوم بتفصيل المنافذ الافتراضية، والمنافذ "الإضافية" التي قد تظهر اعتمادًا على إعدادك، وماذا تفعل إذا كنت ترغب في الوصول عن بُعد دون تعريض المنفذ 3389.

المنفذ الافتراضي لـ RDP

بشكل افتراضي، RDP يستخدم منفذ TCP 3389.

هذا هو منفذ الاستماع القياسي على نظام ويندوز لاتصالات سطح المكتب البعيد، وهو المنفذ الذي تقوم معظم جدران الحماية وقواعد NAT بإعادة توجيهه عندما "يفتح شخص ما RDP للإنترنت". كما تسجل مايكروسوفت 3389 لخدمات RDP ذات الصلة (ms-wbt-server) لكل من TCP وUDP.

هل RDP دائمًا على المنفذ 3389؟

في معظم الأوقات، نعم—لكن ليس دائماً. 3389 هو الافتراضي، مما يعني أن تثبيت ويندوز القياسي مع تمكين Remote Desktop سيستمع هناك ما لم يغيره المسؤول. في البيئات الواقعية، سترى غالباً أن RDP تم نقله إلى منفذ مختلف لتقليل الضوضاء الأساسية ضد الفحوصات الآلية.

سترى أيضًا حركة مرور RDP يظهر لاستخدام منافذ أخرى عند توجيهها أو نفقها (على سبيل المثال من خلال بوابة RD أو VPN أو بوابة الوصول عن بُعد).

النقطة الرئيسية: قد يكون مستخدموك "يستخدمون RDP" دون الاتصال بـ 3389 مباشرة، اعتمادًا على كيفية نشر الوصول عن بُعد.

لماذا يستخدم RDP كل من TCP وUDP؟

تاريخياً، اعتمد RDP على TCP للتسليم الموثوق، ولكن يمكن أن يستخدم RDP الحديث أيضاً UDP (عادةً على نفس رقم المنفذ، 3389) لتحسين الاستجابة. يساعد UDP في السيناريوهات التي يكون فيها تقليل التأخير مهماً—حركات الماوس، الكتابة، الفيديو، والصوت يمكن أن تبدو أكثر سلاسة لأن UDP يتجنب بعض الأعباء التي يقدمها TCP عندما تُفقد الحزم أو تحتاج إلى إعادة الإرسال.

في الممارسة العملية، تستخدم العديد من الإعدادات بروتوكول TCP كقاعدة أساسية وبروتوكول UDP كتعزيز للأداء عندما يسمح الشبكة بذلك. إذا تم حظر UDP، فإن RDP عادةً ما يعمل—فقط مع أداء مخفض أو شعور "بالتأخير" في ظل ظروف الشبكة السيئة.

سلوك منفذ UDP والإضافات

بالإضافة إلى TCP 3389 يمكن أن يتضمن RDP أيضًا:

  • UDP 3389 – يُستخدم بواسطة RDP لتحسين الاستجابة وتقليل الكمون (عندما يكون نقل UDP مفعلًا ومسموحًا به).
  • TCP 443 – يُستخدم عند الاتصال من خلال بوابة سطح المكتب البعيد (RDP محاط بـ HTTPS).
  • UDP 3391 – يُستخدم عادةً لـ "RDP عبر UDP" عبر بوابة RD (مسار الأداء من خلال البوابة).
  • TCP 135 / 139 / 445 – قد تظهر في بيئات معينة لخدمات Windows ذات الصلة وسيناريوهات إعادة التوجيه (مثل، الميزات المعتمدة على RPC/SMB).

إذا كان بيئة RDP الخاصة بك خلف جدار ناري، NAT أو بوابة الأمان، ستحتاج غالبًا إلى التحقق من مسار RDP الذي يتم استخدامه فعليًا (مباشر 3389 مقابل بوابة 443/3391) والتأكد من تطابق السياسات.

قائمة التحقق السريعة لجدار الحماية لبوابات RDP

لتجنب استكشاف الأخطاء وإصلاحها عن طريق التجربة والخطأ، تأكد من أنك قد سمحت بـ TCP 3389 (و UDP 3389 إذا كنت تريد أفضل أداء). إذا كنت تستخدم بوابة RD، تأكد من أن TCP 443 (و UDP 3391 اختياريًا) مفتوح على البوابة، وليس بالضرورة على الخادم المستهدف.

مخاوف الأمان للشركات التي تستخدم RDP

من منظور أمني، فإن نشر TCP 3389 على الإنترنت هو خطوة عالية المخاطر. يتم فحصه بشكل مكثف، تتعرض بشكل متكرر لهجمات القوة الغاشمة ، وغالبًا ما تكون مستهدفة خلال حملات الفدية.

لماذا هذا مهم في النشر الفعلي:

  • يمكن أن يصبح نقطة نهاية RDP واحدة مكشوفة هدفًا دائمًا لتخمين كلمات المرور.
  • يعتمد أمان RDP بشكل كبير على تعزيز (MFA، قفل الحساب، التحديثات، استخدام VPN/البوابة، قيود IP)
  • فتح 3389 غالبًا ما يتحول إلى صيانة مستمرة لجدار الحماية ونقاط النهاية
  • مع تزايد البيئات، يصبح من الصعب فرض ضوابط متسقة عبر الخوادم.

بالنسبة للعديد من المنظمات، يصبح الهدف هو: تقديم الوصول عن بُعد دون ترك 3389 مكشوفًا.

خطوات تقوية عملية إذا كنت مضطرًا لاستخدام RDP

إذا لم تتمكن من تجنب RDP، قلل من التعرض من خلال طلب MFA، وتمكين NLA، وفرض سياسات قفل قوية، وتقييد الوصول عبر VPN أو السماح بالوصول عن طريق IP، والتأكد من أن الأنظمة محدثة بالكامل. عند الإمكان، ضع RDP خلف بوابة RD (443) بدلاً من تعريض 3389 مباشرة.

بديل أكثر أمانًا: TSplus Remote Access

إذا كنت تريد الوصول عن بُعد مع إبقاء المنفذ 3389 مغلقًا على الإنترنت العام، TSplus الوصول عن بُعد يوفر نهجًا عمليًا: نشر التطبيقات وسطح المكتب من خلال بوابة ويب باستخدام منافذ الويب القياسية.

لماذا يمكن أن تكون TSplus خيارًا أفضل:

  • لا يتطلب فتح المنفذ 3389 على الإنترنت (يمكنك الاعتماد على 80/443 للوصول عبر الويب)
  • الوصول المستند إلى المتصفح مع بوابة الويب HTML5، مما يقلل من تعقيد جانب العميل
  • يمكن تطبيق HTTPS وممارسات الأمان القياسية بشكل أسهل على واجهة ويب مألوفة
  • يعمل بشكل جيد لنشر التطبيقات (على نمط RemoteApp) بالإضافة إلى أجهزة الكمبيوتر المكتبية الكاملة
  • يمكن تعزيزها مع الإضافات مثل المصادقة الثنائية وحمايات إضافية

للفرق التي تحتاج إلى خدمة المستخدمين عن بُعد بشكل موثوق، يساعد هذا في تقليل سطح الهجوم مع تبسيط النشر و توجيه المستخدم .

الأفكار النهائية

TCP 3389 هو منفذ RDP الافتراضي - وقد يستخدم RDP أيضًا UDP 3389، بالإضافة إلى 443/3391 عند وجود بوابة، جنبًا إلى جنب مع منافذ الشبكة الأخرى في سيناريوهات محددة. إذا كانت الوصول عن بُعد أمرًا حيويًا للأعمال، فكر فيما إذا كنت تريد حقًا إبقاء 3389 مكشوفًا.

تنتقل العديد من المنظمات إلى نهج حيث يتصل المستخدمون عبر HTTPS (443) إلى بوابة آمنة ويظل طبقة RDP الداخلية خاصة.

إذا كنت تستكشف طريقة أكثر أمانًا لتقديم الوصول عن بُعد، TSplus الوصول عن بُعد يمكن أن تساعدك في نشر التطبيقات وسطح المكتب عبر الويب مع الحفاظ على بنية تحتية أبسط وأكثر أمانًا.

تجربة مجانية للوصول عن بسبب TSplus

بديل نهائي لـ Citrix/RDS للوصول إلى سطح المكتب/التطبيق. آمن وفعال من حيث التكلفة، محلي/سحابي

ابدأ تجربة مجانية

مشاركة:

فيسبوك تويتر لينكدإن

فريق TSplus الخاص بك

المزيد من القراءة

back to top of the page icon