Adakah anda ingin melihat laman web dalam bahasa yang berbeza?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Tukar bahasa
Indeks Kandungan

Protokol Desktop Jauh (RDP) adalah salah satu cara yang paling umum untuk mengakses pelayan dan desktop Windows dari jauh. Ia terbina dalam Windows, disokong secara meluas oleh klien pihak ketiga, dan sering digunakan untuk pentadbiran, sokongan, dan kerja jarak jauh.

Tetapi apabila anda menerbitkan akses jauh kepada pengguna (atau pelanggan), satu soalan dengan cepat menjadi kritikal untuk sambungan dan keselamatan: port apa yang digunakan oleh RDP? Dalam artikel ini, kami akan membincangkan port lalai, port "tambahan" yang boleh muncul bergantung kepada persediaan anda, dan apa yang perlu dilakukan jika anda ingin akses jauh tanpa mendedahkan port 3389.

Port RDP Lalai

Secara lalai, RDP menggunakan port TCP 3389.

Itu adalah port pendengar standard di Windows untuk sambungan Remote Desktop, dan ia adalah port yang paling banyak diteruskan oleh firewall dan peraturan NAT apabila seseorang "membuka RDP ke internet." Microsoft juga mendaftar 3389 untuk perkhidmatan berkaitan RDP (ms-wbt-server) untuk TCP dan UDP.

Adakah RDP Sentiasa pada Port 3389?

Kebanyakan masa, ya—tetapi tidak selalu. 3389 adalah lalai, yang bermaksud pemasangan Windows standard dengan Remote Desktop diaktifkan akan mendengar di sana kecuali seorang pentadbir mengubahnya. Dalam persekitaran dunia sebenar, anda sering akan melihat RDP dipindahkan ke port yang berbeza untuk pengurangan bunyi asas terhadap imbasan automatik.

Anda juga akan melihat trafik RDP muncul untuk menggunakan port lain apabila ia diproksi atau ditunnel (contohnya melalui RD Gateway, VPN, atau portal akses jauh).

Titik utama: pengguna anda mungkin "menggunakan RDP" tanpa menyambung ke 3389 secara langsung, bergantung pada cara akses jauh diterbitkan.

Mengapa RDP Menggunakan TCP dan UDP?

RDP secara historis bergantung pada TCP untuk penghantaran yang boleh dipercayai, tetapi RDP moden juga boleh menggunakan UDP (biasanya pada nombor port yang sama, 3389) untuk meningkatkan responsif. UDP membantu dalam senario di mana meminimumkan kelewatan adalah penting—pergerakan tetikus, menaip, video, dan audio boleh terasa lebih lancar kerana UDP mengelakkan beberapa beban yang diperkenalkan oleh TCP apabila paket hilang atau perlu dihantar semula.

Dalam praktiknya, banyak pengaturan menggunakan TCP sebagai dasar dan UDP sebagai peningkatan prestasi apabila rangkaian membenarkannya. Jika UDP disekat, RDP biasanya masih berfungsi—hanya dengan prestasi yang berkurang atau rasa "terlambat" di bawah keadaan rangkaian yang buruk.

Tingkah Laku UDP dan Port Tambahan

Selain daripada TCP 3389 RDP juga boleh melibatkan:

  • UDP 3389 – Digunakan oleh RDP untuk meningkatkan responsif dan mengurangkan latensi (apabila pengangkutan UDP diaktifkan dan dibenarkan).
  • TCP 443 – Digunakan apabila anda menyambung melalui Gerbang Desktop Jauh (RDP yang dibungkus dalam HTTPS).
  • UDP 3391 – Lazim digunakan untuk “RDP melalui UDP” melalui RD Gateway (laluan prestasi melalui gerbang).
  • TCP 135 / 139 / 445 – Mungkin muncul dalam persekitaran tertentu untuk perkhidmatan Windows yang berkaitan dan senario pengalihan (contohnya, ciri bergantung kepada RPC/SMB).

Jika persekitaran RDP anda berada di belakang firewall, NAT atau gerbang keselamatan, anda sering perlu mengesahkan laluan RDP yang sebenarnya digunakan (langsung 3389 vs. gerbang 443/3391) dan memastikan dasar sepadan.

Senarai Semak Firewall Pantas untuk Port RDP

Untuk mengelakkan penyelesaian masalah secara percubaan dan kesilapan, sahkan bahawa anda telah membenarkan TCP 3389 (dan UDP 3389 jika anda mahukan prestasi terbaik). Jika anda menggunakan RD Gateway, pastikan TCP 443 (dan secara pilihan UDP 3391) dibuka pada gateway, bukan semestinya pada pelayan sasaran.

Kebimbangan Keselamatan untuk Perniagaan yang Menggunakan RDP

Dari sudut pandang keselamatan, menerbitkan TCP 3389 ke internet adalah langkah berisiko tinggi. Ia sering dipindai dengan teliti, sering dipaksa secara paksa , dan sering menjadi sasaran semasa kempen ransomware.

Mengapa ini penting dalam pelaksanaan sebenar:

  • Sebuah titik akhir RDP yang terdedah boleh menjadi sasaran tekaan kata laluan yang berterusan.
  • Keamanan RDP sangat bergantung pada penguatan (MFA, penguncian akaun, pempatchan, penggunaan VPN/gerbang, sekatan IP)
  • “Cuma buka 3389” sering menjadi penyelenggaraan firewall dan endpoint yang berterusan
  • Seiring dengan pertumbuhan persekitaran, menguatkuasakan kawalan yang konsisten di seluruh pelayan menjadi sukar.

Bagi banyak organisasi, matlamatnya adalah: menyediakan akses jauh tanpa mendedahkan 3389.

Langkah Pengukuhan Praktikal Jika Anda Harus Menggunakan RDP

Jika anda tidak dapat mengelakkan RDP, kurangkan pendedahan dengan memerlukan MFA, mengaktifkan NLA, menguatkuasakan dasar penguncian yang kuat, mengehadkan akses melalui VPN atau whitelist IP, dan memastikan sistem dipasang sepenuhnya. Jika boleh, letakkan RDP di belakang RD Gateway (443) dan bukannya mendedahkan 3389 secara langsung.

Alternatif yang Lebih Selamat: TSplus Remote Access

Jika anda ingin akses jauh sambil menutup port 3389 kepada internet awam, TSplus Remote Access memberikan pendekatan praktikal: menerbitkan aplikasi dan desktop melalui portal web menggunakan port web standard.

Mengapa TSplus mungkin lebih sesuai:

  • Tidak memerlukan pendedahan port 3389 kepada internet (anda boleh bergantung pada 80/443 untuk akses web)
  • Akses berasaskan pelayar dengan Portal Web HTML5, mengurangkan kerumitan di pihak klien
  • Boleh menguatkuasakan HTTPS dan amalan keselamatan standard dengan lebih mudah di permukaan web yang dikenali.
  • Berfungsi dengan baik untuk menerbitkan aplikasi (gaya RemoteApp) serta desktop penuh
  • Boleh diperkukuh dengan add-on seperti Two-Factor Authentication dan perlindungan tambahan

Bagi pasukan yang perlu melayani pengguna jarak jauh dengan boleh dipercayai, ini membantu mengurangkan permukaan serangan sambil memudahkan penyebaran dan pengenalan pengguna .

Pemikiran Akhir

TCP 3389 adalah port RDP lalai—dan RDP juga boleh menggunakan UDP 3389, serta 443/3391 apabila gerbang terlibat, bersama dengan port rangkaian Windows lain dalam senario tertentu. Jika akses jauh adalah kritikal untuk perniagaan, pertimbangkan sama ada anda benar-benar ingin membiarkan 3389 terdedah.

Banyak organisasi beralih kepada pendekatan di mana pengguna menyambung melalui HTTPS (443) ke portal yang selamat dan lapisan RDP dalaman kekal peribadi.

Jika anda sedang mencari cara yang lebih selamat untuk menyediakan akses jauh, TSplus Remote Access boleh membantu anda menerbitkan aplikasi dan desktop melalui web sambil memastikan infrastruktur anda lebih mudah dan lebih selamat.

Ujian Percubaan Percuma Akses Jauh TSplus

Alternatif Citrix/RDS terbaik untuk akses desktop/aplikasi. Selamat, kos efektif, di premis/cloud

Mula Percubaan Percuma

Kongsi:

Facebook Twitter LinkedIn

Pasukan TSplus anda

Bacaan lanjut

back to top of the page icon