他の言語でサイトを表示しますか?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
言語を変更する
目次

リモートデスクトッププロトコル(RDP)は、Windowsサーバーやデスクトップにリモートでアクセスする最も一般的な方法の一つです。Windowsに組み込まれており、サードパーティのクライアントによって広くサポートされており、管理、サポート、リモートワークに頻繁に使用されます。

しかし、ユーザー(または顧客)にリモートアクセスを公開する際、接続性とセキュリティに関して重要な質問がすぐに浮かび上がります。それは、RDPが使用するポートは何かということです。この記事では、デフォルトのポート、設定に応じて現れる可能性のある「追加」ポート、そしてポート3389を公開せずにリモートアクセスを希望する場合に何をすべきかを解説します。

デフォルトRDPポート

デフォルトでは、 RDP TCPポート3389を使用します。

それは、リモートデスクトップ接続のためのWindowsの標準リスニングポートであり、誰かが「インターネットにRDPを開く」ときにほとんどのファイアウォールやNATルールが転送するポートです。Microsoftは、TCPとUDPの両方のRDP関連サービス(ms-wbt-server)に対して3389も登録しています。

RDPは常にポート3389で動作していますか?

ほとんどの場合、はい—しかし常にそうとは限りません。3389はデフォルトであり、Remote Desktopが有効な標準のWindowsインストールは、管理者が変更しない限りそこをリッスンします。実際の環境では、基本的なノイズ削減のためにRDPが別のポートに移動されるのをよく見かけます。

RDPトラフィックも表示されます 現れる 他のポートを使用するためにプロキシまたはトンネルされているとき(たとえば、RD Gateway、VPN、またはリモートアクセスポータルを通じて)。

重要な点:ユーザーはリモートアクセスがどのように公開されているかに応じて、3389に直接接続することなく「RDPを使用している」可能性があります。

RDPはなぜTCPとUDPの両方を使用するのですか?

RDPは歴史的に信頼性のある配信のためにTCPに依存していましたが、現代のRDPは応答性を向上させるためにUDP(通常は同じポート番号3389)も使用できます。UDPは遅延を最小限に抑えることが重要なシナリオで役立ちます。マウスの動き、タイピング、ビデオ、音声は、UDPがTCPがパケットを失ったり再送信が必要な場合に導入するオーバーヘッドの一部を回避するため、よりスムーズに感じられることがあります。

実際には、多くのセットアップがTCPを基本として使用し、ネットワークが許可する場合にパフォーマンス向上のためにUDPを使用します。UDPがブロックされている場合、RDPは通常まだ機能しますが、パフォーマンスが低下したり、悪いネットワーク条件下で「遅延を感じる」ことがあります。

UDPおよび追加ポートの動作

加えて TCP 3389 RDPも関与する可能性があります:

  • UDP 3389 RDPによって応答性を向上させ、レイテンシを減少させるために使用されます(UDPトランスポートが有効で許可されている場合)。
  • TCP 443 – リモートデスクトップゲートウェイ(HTTPSでカプセル化されたRDP)を介して接続する際に使用されます。
  • UDP 3391 – 一般的に「UDP経由のRDP」としてRD Gatewayを介して使用されます(ゲートウェイを通るパフォーマンスパス)。
  • TCP 135 / 139 / 445 特定の環境で関連するWindowsサービスおよびリダイレクションシナリオ(例:RPC/SMB依存機能)に表示される場合があります。

ファイアウォールの背後にRDP環境がある場合、 NAT またはセキュリティゲートウェイ、実際に使用されているRDPパス(直接3389対ゲートウェイ443/3391)を検証し、ポリシーが一致していることを確認する必要があります。

RDPポートのためのクイックファイアウォールチェックリスト

トライアルアンドエラーのトラブルシューティングを避けるために、TCP 3389(および最高のパフォーマンスを望む場合はUDP 3389)を許可していることを確認してください。RD Gatewayを使用する場合は、ゲートウェイでTCP 443(およびオプションでUDP 3391)が開いていることを確認し、必ずしもターゲットサーバーで開いている必要はありません。

RDPを使用する企業のセキュリティ上の懸念

セキュリティの観点から、TCP 3389をインターネットに公開することは高リスクな行動です。これは頻繁にスキャンされます。 頻繁にブルートフォースされる ランサムウェアキャンペーンの標的にされることが一般的です。

これが実際の展開で重要な理由:

  • 単一の公開されたRDPエンドポイントは、常にパスワード推測のターゲットになる可能性があります。
  • RDPのセキュリティは、ハードニング(MFA、アカウントロックアウト、パッチ適用、VPN/ゲートウェイの使用、IP制限)に大きく依存しています。
  • 「3389を開くだけ」というのは、しばしば継続的なファイアウォールとエンドポイントのメンテナンスに変わります。
  • 環境が拡大するにつれて、サーバー全体で一貫した管理を強制することが難しくなります。

多くの組織にとって、目標は3389を露出させることなくリモートアクセスを提供することになります。

RDPを使用しなければならない場合の実践的な強化手順

RDPを避けられない場合は、MFAを要求し、NLAを有効にし、強力なロックアウトポリシーを施行し、VPNまたはIPホワイトリストによってアクセスを制限し、システムが完全にパッチ適用されていることを確認することで、露出を減らしてください。可能な場合は、RDPを3389を直接公開するのではなく、RD Gateway(443)の背後に配置してください。

より安全な代替手段:TSplus Remote Access

ポート3389を公共インターネットに対して閉じたままでリモートアクセスを希望する場合、 TSplus リモートアクセス 標準のウェブポートを使用して、ウェブポータルを通じてアプリケーションとデスクトップを公開する実用的なアプローチを提供します。

TSplusがより適した選択肢となる理由:

  • ポート3389をインターネットに公開する必要がない(ウェブアクセスには80/443を利用できます)
  • HTML5ウェブポータルを使用したブラウザベースのアクセスにより、クライアント側の複雑さを軽減します。
  • HTTPSと標準的なセキュリティプラクティスを、馴染みのあるウェブ面でより簡単に強制できます。
  • アプリケーションの公開(RemoteAppスタイル)やフルデスクトップに適しています。
  • アドオンとしてTwo-Factor Authenticationや追加の保護を強化できます。

リモートユーザーに信頼性を持ってサービスを提供する必要があるチームにとって、これは攻撃面を減らし、展開を簡素化するのに役立ちます。 ユーザーオンボーディング .

最終的な考え

TCP 3389はデフォルトのRDPポートであり、RDPはゲートウェイが関与する場合にUDP 3389、さらに443/3391を使用することがあります。また、特定のシナリオでは他のWindowsネットワーキングポートも使用されます。リモートアクセスがビジネスにとって重要な場合、3389を公開したままにしておくことが本当に望ましいかどうかを検討してください。

多くの組織は、ユーザーがHTTPS(443)を介して安全なポータルに接続し、内部のRDPレイヤーがプライベートに保たれるアプローチに移行しています。

リモートアクセスを提供するより安全な方法を探している場合、 TSplus リモートアクセス アプリやデスクトップをウェブを通じて公開し、インフラストラクチャをよりシンプルで安全に保つ手助けができます。

TSplus リモートアクセス 無料トライアル

デスクトップ/アプリアクセスのための究極のCitrix/RDS代替。安全で、コスト効果が高く、オンプレミス/クラウド

無料トライアルを開始

共有:

Facebook Twitter LinkedIn

さらなる読書

back to top of the page icon