Jaké porty používá RDP? Výchozí port RDP 3389 a běžné alternativy

Protokol vzdálené plochy (RDP) je jedním z nejběžnějších způsobů, jak vzdáleně přistupovat k serverům a desktopům se systémem Windows. Je zabudován do systému Windows, široce podporován klienty třetích stran a často používán pro administraci, podporu a vzdálenou práci.

Ale když publikujete vzdálený přístup pro uživatele (nebo zákazníky), jedna otázka se rychle stává kritickou pro konektivitu a bezpečnost: jaké porty používá RDP? V tomto článku si podrobně rozebereme výchozí porty, "další" porty, které se mohou objevit v závislosti na vaší konfiguraci, a co dělat, pokud chcete vzdálený přístup, aniž byste vystavili port 3389.

Výchozí port RDP

Ve výchozím nastavení, RDP používá port TCP 3389.

To je standardní port pro naslouchání na Windows pro připojení k Remote Desktop a je to port, který většina firewallů a pravidel NAT přesměrovává, když někdo „otevře RDP na internet.“ Microsoft také registruje 3389 pro služby související s RDP (ms-wbt-server) pro TCP i UDP.

Je RDP vždy na portu 3389?

Většinu času ano – ale ne vždy. 3389 je výchozí, což znamená, že standardní instalace Windows s povoleným Remote Desktop tam bude naslouchat, pokud to administrátor nezmění. V reálných prostředích často uvidíte, že RDP je přesunuto na jiný port pro základní snížení hluku proti automatizovaným skenům.

Uvidíte také RDP provoz. objevit používat jiné porty, když je to zprostředkováno nebo tunelováno (například prostřednictvím RD Gateway, VPN nebo portálu pro vzdálený přístup).

Hlavní bod: vaši uživatelé mohou „používat RDP“ aniž by se přímo připojovali na 3389, v závislosti na tom, jak je vzdálený přístup publikován.

Proč RDP používá jak TCP, tak UDP?

RDP historicky spoléhal na TCP pro spolehlivé doručení, ale moderní RDP může také používat UDP (typicky na stejném čísle portu, 3389) pro zlepšení odezvy. UDP pomáhá v situacích, kde je důležité minimalizovat zpoždění—pohyb myši, psaní, video a audio mohou působit plynuleji, protože UDP se vyhýbá některým zátěžím, které TCP zavádí, když jsou pakety ztraceny nebo je potřeba je znovu odeslat.

V praxi mnoho nastavení používá TCP jako základ a UDP jako zrychlení výkonu, když to síť umožňuje. Pokud je UDP blokováno, RDP obvykle stále funguje—jen s nižším výkonem nebo s "lagovějším" pocitem za špatných podmínek sítě.

UDP a chování dalších portů

Kromě TCP 3389 RDP může také zahrnovat:

• UDP 3389 – Používáno RDP k zlepšení odezvy a snížení latence (pokud je povolen a povolen přenos UDP).
• TCP 443 – Používá se při připojení přes Remote Desktop Gateway (RDP zapouzdřený v HTTPS).
• UDP 3391 – Běžně používané pro „RDP přes UDP“ prostřednictvím RD Gateway (výkonnostní cesta přes bránu).
• TCP 135 / 139 / 445 – Může se objevit v určitých prostředích pro související služby Windows a scénáře přesměrování (např. funkce závislé na RPC/SMB).

Pokud vaše RDP prostředí stojí za firewallem, NAT nebo bezpečnostní brány, často budete muset ověřit, který RDP přístup se skutečně používá (přímý 3389 vs. brána 443/3391) a zajistit, aby politiky odpovídaly.

Rychlý kontrolní seznam firewallu pro RDP porty

Abychom se vyhnuli problémům s pokusy a omyly, potvrďte, že jste povolili TCP 3389 (a UDP 3389, pokud chcete nejlepší výkon). Pokud používáte RD Gateway, ujistěte se, že je na bráně otevřen TCP 443 (a volitelně UDP 3391), nikoli nutně na cílovém serveru.

Bezpečnostní obavy pro firmy používající RDP

Z pohledu bezpečnosti je publikování TCP 3389 na internet vysoce rizikový krok. Je intenzivně skenován, často napadáno hrubou silou a běžně cílené během kampaní ransomware.

Proč je to důležité v reálných nasazeních:

• Jedno vystavené RDP koncové zařízení se může stát neustálým cílem pro hádání hesel.
• Bezpečnost RDP silně závisí na zpevnění (MFA, uzamčení účtu, záplaty, používání VPN/brány, omezení IP)
• „Stačí otevřít 3389“ se často mění na průběžnou údržbu firewallu a koncových bodů.
• Jak prostředí rostou, prosazování konzistentních kontrol napříč servery se stává obtížným.

Pro mnoho organizací se cílem stává: poskytovat vzdálený přístup, aniž by byl port 3389 vystaven.

Praktické kroky k zpevnění, pokud musíte používat RDP

Pokud se nemůžete vyhnout RDP, snižte vystavení vyžadováním MFA, povolením NLA, prosazováním silných politik zámku, omezením přístupu pomocí VPN nebo povolením IP a zajištěním, že jsou systémy plně aktualizovány. Když je to možné, umístěte RDP za RD Gateway (443) místo přímého vystavení 3389.

Bezpečnější alternativa: TSplus Remote Access

Pokud chcete vzdálený přístup, zatímco port 3389 zůstane uzavřený pro veřejný internet, TSplus Remote Access poskytuje praktický přístup: publikujte aplikace a pracovní plochy prostřednictvím webového portálu pomocí standardních webových portů.

Proč může být TSplus lepší volbou:

• Není nutné vystavovat port 3389 internetu (můžete se spolehnout na 80/443 pro webový přístup)
• Přístup založený na prohlížeči pomocí HTML5 Web Portalu, který snižuje složitost na straně klienta
• Může snadněji vynucovat HTTPS a standardní bezpečnostní praktiky na známém webovém rozhraní.
• Dobře funguje pro publikování aplikací (ve stylu RemoteApp) i pro plné plochy.
• Lze posílit pomocí doplňků, jako je dvoufaktorová autentizace a další ochrany.

Pro týmy, které potřebují spolehlivě obsluhovat vzdálené uživatele, to pomáhá snížit útočnou plochu a zjednodušit nasazení a uživatelská příprava .

Závěrečné myšlenky

TCP 3389 je výchozí port RDP – a RDP může také používat UDP 3389, plus 443/3391, když je zapojen brána, spolu s dalšími porty Windows pro síťování v konkrétních scénářích. Pokud je vzdálený přístup kritický pro podnikání, zvažte, zda opravdu chcete mít port 3389 vystavený.

Mnoho organizací přechází na přístup, kde se uživatelé připojují přes HTTPS (443) k zabezpečenému portálu a interní vrstva RDP zůstává soukromá.

Pokud hledáte bezpečnější způsob, jak poskytovat vzdálený přístup, TSplus Remote Access může vám pomoci publikovat aplikace a pracovní plochy prostřednictvím webu, zatímco vaše infrastruktura zůstane jednodušší a bezpečnější.