Vuoi vedere il sito in un'altra lingua?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Cambia lingua
Indice

Il Protocollo Desktop Remoto (RDP) è uno dei modi più comuni per accedere ai server e ai desktop Windows da remoto. È integrato in Windows, ampiamente supportato da client di terze parti e frequentemente utilizzato per amministrazione, supporto e lavoro remoto.

Ma quando pubblichi l'accesso remoto agli utenti (o clienti), una domanda diventa rapidamente critica per la connettività e la sicurezza: quali porte utilizza RDP? In questo articolo, analizzeremo le porte predefinite, le porte "extra" che possono apparire a seconda della tua configurazione e cosa fare se desideri l'accesso remoto senza esporre la porta 3389.

Porta RDP predefinita

Per impostazione predefinita, RDP utilizza la porta TCP 3389.

Questa è la porta di ascolto standard su Windows per le connessioni Remote Desktop, ed è la porta che la maggior parte dei firewall e delle regole NAT inoltrano quando qualcuno "apre RDP a Internet". Microsoft registra anche 3389 per i servizi correlati a RDP (ms-wbt-server) sia per TCP che per UDP.

RDP è sempre sulla porta 3389?

La maggior parte delle volte, sì—ma non sempre. 3389 è il valore predefinito, il che significa che un'installazione standard di Windows con Remote Desktop abilitato ascolterà lì a meno che un amministratore non lo cambi. In ambienti reali, spesso vedrai RDP spostato su una porta diversa per una riduzione del rumore di base contro le scansioni automatizzate.

Vedrai anche il traffico RDP apparire per utilizzare altre porte quando viene proxy o tunnelizzato (ad esempio attraverso un RD Gateway, VPN o un portale di accesso remoto).

Il punto chiave: i tuoi utenti potrebbero "utilizzare RDP" senza connettersi direttamente a 3389, a seconda di come viene pubblicato l'accesso remoto.

Perché RDP utilizza sia TCP che UDP?

RDP si è storicamente basato su TCP per una consegna affidabile, ma l'RDP moderno può anche utilizzare UDP (tipicamente sullo stesso numero di porta, 3389) per migliorare la reattività. UDP aiuta in scenari in cui minimizzare il ritardo è importante: i movimenti del mouse, la digitazione, il video e l'audio possono sembrare più fluidi perché UDP evita parte del sovraccarico che TCP introduce quando i pacchetti vengono persi o necessitano di ritrasmissione.

In pratica, molte configurazioni utilizzano TCP come base e UDP come potenziamento delle prestazioni quando la rete lo consente. Se UDP è bloccato, RDP di solito funziona ancora, ma con prestazioni ridotte o una sensazione di "ritardo" in condizioni di rete scadenti.

Comportamento della porta UDP e aggiuntiva

In aggiunta a TCP 3389 RDP può anche comportare:

  • UDP 3389 – Utilizzato da RDP per migliorare la reattività e ridurre la latenza (quando il trasporto UDP è abilitato e consentito).
  • TCP 443 – Utilizzato quando ci si connette tramite Gateway Desktop Remoto (RDP incapsulato in HTTPS).
  • UDP 3391 – Comunemente utilizzato per "RDP su UDP" tramite RD Gateway (percorso di prestazioni attraverso il gateway).
  • TCP 135 / 139 / 445 – Potrebbe apparire in determinati ambienti per servizi Windows correlati e scenari di reindirizzamento (ad es., funzionalità dipendenti da RPC/SMB).

Se il tuo ambiente RDP si trova dietro un firewall, NAT o gateway di sicurezza, dovrai spesso convalidare quale percorso RDP viene effettivamente utilizzato (diretto 3389 vs. gateway 443/3391) e assicurarti che le politiche corrispondano.

Checklist rapida del firewall per le porte RDP

Per evitare la risoluzione dei problemi tramite tentativi ed errori, conferma di aver consentito TCP 3389 (e UDP 3389 se desideri le migliori prestazioni). Se utilizzi RD Gateway, assicurati che TCP 443 (e opzionalmente UDP 3391) sia aperto sul gateway, non necessariamente sul server di destinazione.

Preoccupazioni di sicurezza per le aziende che utilizzano RDP

Dal punto di vista della sicurezza, pubblicare TCP 3389 su Internet è una mossa ad alto rischio. Viene scansionato intensamente, frequentemente attaccato da brute force e comunemente preso di mira durante le campagne di ransomware.

Perché questo è importante nelle implementazioni reali:

  • Un singolo endpoint RDP esposto può diventare un obiettivo costante per il tentativo di indovinare la password.
  • La sicurezza RDP dipende fortemente dal rafforzamento (MFA, blocco dell'account, patching, utilizzo di VPN/gateway, restrizioni IP)
  • “Aprire semplicemente 3389” spesso si trasforma in una manutenzione continua del firewall e degli endpoint.
  • Con la crescita degli ambienti, l'applicazione di controlli coerenti tra i server diventa difficile.

Per molte organizzazioni, l'obiettivo diventa: fornire accesso remoto senza lasciare 3389 esposto.

Passi pratici di indurimento se devi utilizzare RDP

Se non puoi evitare RDP, riduci l'esposizione richiedendo MFA, abilitando NLA, imponendo politiche di blocco rigorose, limitando l'accesso tramite VPN o whitelist di IP e assicurandoti che i sistemi siano completamente aggiornati. Quando possibile, posiziona RDP dietro un RD Gateway (443) invece di esporre direttamente 3389.

Un'alternativa più sicura: TSplus Remote Access

Se desideri l'accesso remoto mantenendo la porta 3389 chiusa a Internet pubblico, TSplus Remote Access fornisce un approccio pratico: pubblica applicazioni e desktop tramite un portale web utilizzando porte web standard.

Perché TSplus può essere una scelta migliore:

  • Non richiede l'esposizione della porta 3389 a Internet (puoi fare affidamento su 80/443 per l'accesso web)
  • Accesso basato su browser con il Portale Web HTML5, riducendo la complessità lato client
  • Può applicare HTTPS e pratiche di sicurezza standard più facilmente su una superficie web familiare
  • Funziona bene per la pubblicazione di applicazioni (stile RemoteApp) così come per desktop completi.
  • Può essere rinforzato con add-on come l'autenticazione a due fattori e protezioni aggiuntive.

Per i team che devono servire utenti remoti in modo affidabile, questo aiuta a ridurre la superficie di attacco semplificando il deployment e formazione degli utenti .

Considerazioni finali

TCP 3389 è la porta RDP predefinita e RDP può anche utilizzare UDP 3389, oltre a 443/3391 quando è coinvolto un gateway, insieme ad altre porte di rete Windows in scenari specifici. Se l'accesso remoto è fondamentale per l'attività, considera se desideri davvero mantenere esposta la porta 3389.

Molte organizzazioni adottano un approccio in cui gli utenti si connettono tramite HTTPS (443) a un portale sicuro e il layer RDP interno rimane privato.

Se stai esplorando un modo più sicuro per fornire accesso remoto, TSplus Remote Access può aiutarti a pubblicare app e desktop tramite il web mantenendo la tua infrastruttura più semplice e sicura.

TSplus Remote Access Prova Gratuita

Alternativa definitiva a Citrix/RDS per accesso a desktop/app. Sicuro, conveniente, on-premises/cloud

Inizia una prova gratuita

Condividi :

Facebook Twitter LinkedIn

Il tuo team TSplus

Ulteriori letture

back to top of the page icon