Haluaisitko nähdä sivuston eri kielellä?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Vaihda kieltä
Sisällysluettelo

Etätyöpöytäprotokolla (RDP) on yksi yleisimmistä tavoista käyttää Windows-palvelimia ja -työpöytiä etäyhteydellä. Se on sisäänrakennettu Windowsiin, kolmansien osapuolten asiakaspalvelut tukevat sitä laajasti, ja sitä käytetään usein hallintaan, tukeen ja etätyöhön.

Mutta kun julkaiset etäyhteyden käyttäjille (tai asiakkaille), yksi kysymys muuttuu nopeasti kriittiseksi yhteyden ja turvallisuuden kannalta: mitä portteja RDP käyttää? Tässä artikkelissa käymme läpi oletusportit, "lisä" portit, jotka voivat ilmestyä asetuksestasi riippuen, ja mitä tehdä, jos haluat etäyhteyden ilman, että portti 3389 on avoinna.

Oletus RDP-portti

Oletusarvoisesti, RDP käyttää TCP-porttia 3389.

Se on Windowsin standardikuuntelusatama etätyöpöytäyhteyksille, ja se on satama, jota useimmat palomuurit ja NAT-säännöt ohjaavat, kun joku "avataan RDP:lle internetiin." Microsoft rekisteröi myös 3389 RDP:hen liittyville palveluille (ms-wbt-server) sekä TCP:lle että UDP:lle.

Onko RDP aina portissa 3389?

Useimmiten, kyllä—mutta ei aina. 3389 on oletus, mikä tarkoittaa, että standardi Windows-asennus, jossa etätyöpöytä on käytössä, kuuntelee siellä, ellei ylläpitäjä muuta sitä. Reaaliaikaisissa ympäristöissä näet usein RDP:n siirrettynä eri porttiin perusmelun vähentämiseksi automatisoituja skannauksia vastaan.

Näet myös RDP-liikennettä näkyä käyttää muita portteja, kun sitä välitetään tai tunnelointia (esimerkiksi RD Gatewayn, VPN:n tai etäyhteysportaalin kautta).

Avainkohta: käyttäjäsi saattavat "käyttää RDP:tä" ilman suoraa yhteyttä 3389:ään, riippuen siitä, miten etäyhteys on julkaistu.

Miksi RDP käyttää sekä TCP:tä että UDP:tä?

RDP on historiallisesti luottanut TCP:hen luotettavan toimituksen varmistamiseksi, mutta nykyaikainen RDP voi myös käyttää UDP:tä (yleensä samalla porttinumerolla, 3389) parantaakseen reagointikykyä. UDP auttaa tilanteissa, joissa viiveen minimointi on tärkeää—hiiren liikkeet, kirjoittaminen, video ja ääni voivat tuntua sujuvammilta, koska UDP välttää osan niistä ylimääräisistä kustannuksista, joita TCP tuo mukanaan, kun paketteja katoaa tai ne tarvitsevat uudelleenlähetyksen.

Käytännössä monet asetukset käyttävät TCP:tä perustana ja UDP:tä suorituskyvyn parantamiseksi, kun verkko sen sallii. Jos UDP on estetty, RDP toimii yleensä silti—vain vähentyneellä suorituskyvyllä tai "hidastuneella" tunteella huonojen verkkotilanteiden aikana.

UDP ja lisäporttikäyttäytyminen

Lisäksi TCP 3389 RDP voi myös sisältää:

  • UDP 3389 – Käytetään RDP:n toiminnan parantamiseen ja viiveen vähentämiseen (kun UDP-siirto on käytössä ja sallittu).
  • TCP 443 – Käytetään, kun yhdistät Remote Desktop Gatewayn (RDP, joka on kapseloitu HTTPS:ään) kautta.
  • UDP 3391 – Yleisesti käytetään "RDP over UDP" RD Gatewayn kautta (suorituskykypolku portin kautta).
  • TCP 135 / 139 / 445 – Saattaa esiintyä tietyissä ympäristöissä liittyville Windows-palveluille ja uudelleenohjaustilanteille (esim. RPC/SMB-riippuvaiset ominaisuudet).

Jos RDP-ympäristösi sijaitsee palomuurin takana, NAT tai turvallisuusportti, sinun on usein tarpeen vahvistaa, mikä RDP-polku on oikeasti käytössä (suora 3389 vs. portti 443/3391) ja varmistaa, että politiikat vastaavat.

Nopea palomuurin tarkistuslista RDP-portteja varten

Vältäksesi kokeilu- ja virhemenetelmällä tapahtuvaa vianetsintää, varmista, että olet sallinut TCP 3389 (ja UDP 3389, jos haluat parhaan suorituskyvyn). Jos käytät RD Gatewayta, varmista, että TCP 443 (ja valinnaisesti UDP 3391) on avoinna portilla, ei välttämättä kohdepalvelimella.

RDP:n käyttävien yritysten turvallisuushuolenaiheet

Turvallisuuden kannalta TCP 3389:n julkaiseminen internetiin on korkean riskin siirto. Sitä skannataan voimakkaasti, usein brute-forced ja yleisesti kohdistettu kiristysohjelmakampanjoiden aikana.

Miksi tämä on tärkeää todellisissa käyttöönottoissa:

  • Yksi altistettu RDP-päätepiste voi muuttua jatkuvaksi salasanan arvaamisen kohteeksi.
  • RDP:n turvallisuus riippuu voimakkaasti koventamisesta (MFA, tilin lukitus, päivitykset, VPN/porttipalvelimen käyttö, IP-rajoitukset)
  • "Vain avaa 3389" muuttuu usein jatkuvaksi palomuurin ja päätepisteen ylläpidoksi.
  • Kun ympäristöt kasvavat, johdonmukaisen valvonnan ylläpitäminen palvelimien välillä muuttuu vaikeaksi.

Monille organisaatioille tavoite on: tarjota etäyhteys ilman, että 3389 on altistettu.

Käytännön koventamistoimenpiteet, jos sinun on pakko käyttää RDP

Jos et voi välttää RDP:tä, vähennä altistumista vaatimalla MFA:ta, ottamalla käyttöön NLA:n, valvomalla tiukkoja lukituspolitiikkoja, rajoittamalla pääsyä VPN:n tai IP-valkoisten listojen avulla ja varmistamalla, että järjestelmät on täysin päivitetty. Mahdollisuuksien mukaan sijoita RDP RD Gatewayn (443) taakse sen sijaan, että altistaisit 3389 suoraan.

Turvallisempi vaihtoehto: TSplus Remote Access

Jos haluat etäyhteyden pitäen portin 3389 suljettuna julkiselta internetiltä, TSplus Etäyhteys tarjoaa käytännöllisen lähestymistavan: julkaise sovelluksia ja työpöytiä verkkoportaalin kautta käyttäen standardeja verkkosatamia.

Miksi TSplus voi olla parempi vaihtoehto:

  • Ei vaadi portin 3389 altistamista internetille (voit luottaa 80/443 verkkopääsyyn)
  • Selaimeen perustuva pääsy HTML5-verportaalin avulla, mikä vähentää asiakaspään monimutkaisuutta
  • Voidaan valvoa HTTPS:ää ja standardeja turvallisuuskäytäntöjä helpommin tutulla verkkopinnalla.
  • Toimii hyvin sovellusten julkaisemiseen (RemoteApp-tyyli) sekä täydellisiin työpöytiin.
  • Voidaan vahvistaa lisäosilla, kuten Two-Factor Authentication ja lisäsuojauksilla.

Tiimeille, jotka tarvitsevat luotettavaa etäkäyttäjien palvelemista, tämä auttaa vähentämään hyökkäyspintaa samalla kun käyttöönotto yksinkertaistuu ja käyttäjän perehdytys .

Lopulliset ajatukset

TCP 3389 on oletusarvoinen RDP-portti—ja RDP voi myös käyttää UDP 3389:ää, sekä 443/3391, kun portaalin käyttö on mukana, yhdessä muiden Windows-verkkoprotokollien kanssa tietyissä tilanteissa. Jos etäyhteys on liiketoiminnan kannalta kriittinen, mieti, haluatko todella pitää 3389 avoimena.

Monet organisaatiot siirtyvät lähestymistapaan, jossa käyttäjät yhdistävät HTTPS:n (443) kautta turvalliseen portaaliin ja sisäinen RDP-kerros pysyy yksityisenä.

Jos etsit turvallisempaa tapaa tarjota etäyhteyttä, TSplus Etäyhteys voi auttaa sinua julkaisemaan sovelluksia ja työpöytiä verkon kautta samalla kun pidät infrastruktuurisi yksinkertaisempana ja turvallisempana.

TSplus Etäkäyttö Ilmainen Kokeilu

Viimeisin Citrix/RDS-vaihtoehto työpöytä/sovelluskäyttöön. Turvallinen, kustannustehokas, paikallinen/pilvi

Aloita ilmainen kokeilu

Jaa:

Facebook Twitter LinkedIn

Sinun TSplus tiimisi

Lisätietoja

back to top of the page icon