Wilt u de site in een andere taal bekijken?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Taal wijzigen
Inhoudsopgave

Remote Desktop Protocol (RDP) is een van de meest voorkomende manieren om op afstand toegang te krijgen tot Windows-servers en -desktops. Het is ingebouwd in Windows, wordt breed ondersteund door derden-clients en wordt vaak gebruikt voor administratie, ondersteuning en remote werk.

Maar wanneer je remote access publiceert voor gebruikers (of klanten), wordt één vraag snel cruciaal voor connectiviteit en beveiliging: welke poorten gebruikt RDP? In dit artikel zullen we de standaardpoorten, de "extra" poorten die kunnen verschijnen afhankelijk van je setup, en wat te doen als je remote access wilt zonder poort 3389 bloot te stellen, uiteenzetten.

Standaard RDP-poort

Standaard RDP maakt gebruik van TCP-poort 3389.

Dat is de standaard luisterpoort op Windows voor Remote Desktop-verbindingen, en het is de poort die de meeste firewalls en NAT-regels doorsturen wanneer iemand "RDP naar het internet opent." Microsoft registreert ook 3389 voor RDP-gerelateerde diensten (ms-wbt-server) voor zowel TCP als UDP.

Is RDP Altijd op Poort 3389?

De meeste tijd wel—maar niet altijd. 3389 is de standaard, wat betekent dat een standaard Windows-installatie met Remote Desktop ingeschakeld daar zal luisteren, tenzij een beheerder het verandert. In echte omgevingen zie je vaak dat RDP naar een andere poort is verplaatst voor basisgeluidreductie tegen geautomatiseerde scans.

U zult ook RDP-verkeer zien verschijnen om andere poorten te gebruiken wanneer het wordt geproxied of getunneld (bijvoorbeeld via een RD Gateway, VPN of een remote access-portaal).

Het belangrijkste punt: uw gebruikers kunnen "RDP gebruiken" zonder rechtstreeks verbinding te maken met 3389, afhankelijk van hoe remote access wordt gepubliceerd.

Waarom gebruikt RDP zowel TCP als UDP?

RDP heeft historisch gezien op TCP vertrouwd voor betrouwbare levering, maar modern RDP kan ook UDP gebruiken (typisch op hetzelfde poortnummer, 3389) om de responsiviteit te verbeteren. UDP helpt in scenario's waar het minimaliseren van vertraging belangrijk is—muizenkeringen, typen, video en audio kunnen soepeler aanvoelen omdat UDP een deel van de overhead vermijdt die TCP introduceert wanneer pakketten verloren gaan of opnieuw verzonden moeten worden.

In de praktijk gebruiken veel configuraties TCP als basis en UDP als prestatieverbetering wanneer het netwerk dit toelaat. Als UDP is geblokkeerd, werkt RDP meestal nog steeds—alleen met verminderde prestaties of een "laggier" gevoel onder slechte netwerkcondities.

UDP en extra poortgedrag

Naast TCP 3389 RDP kan ook betrekking hebben op:

  • UDP 3389 – Gebruikt door RDP om de responsiviteit te verbeteren en de latentie te verminderen (wanneer UDP-vervoer is ingeschakeld en toegestaan).
  • TCP 443 – Gebruikt wanneer je verbinding maakt via Remote Desktop Gateway (RDP ingekapseld in HTTPS).
  • UDP 3391 – Vaak gebruikt voor “RDP over UDP” via RD Gateway (prestatiepad door de gateway).
  • TCP 135 / 139 / 445 – Kan voorkomen in bepaalde omgevingen voor gerelateerde Windows-services en omleidingsscenario's (bijv. RPC/SMB-afhankelijke functies).

Als uw RDP-omgeving achter een firewall zit, NAT , of beveiligingsgateway, moet je vaak valideren welk RDP-pad daadwerkelijk wordt gebruikt (direct 3389 vs. gateway 443/3391) en ervoor zorgen dat de beleidsregels overeenkomen.

Snelle firewall checklist voor RDP-poorten

Om trial-and-error probleemoplossing te voorkomen, bevestig dat je TCP 3389 (en UDP 3389 als je de beste prestaties wilt) hebt toegestaan. Als je RD Gateway gebruikt, zorg er dan voor dat TCP 443 (en optioneel UDP 3391) open is op de gateway, niet noodzakelijk op de doelsserver.

Beveiligingszorgen voor bedrijven die RDP gebruiken

Vanuit een beveiligingsperspectief is het publiceren van TCP 3389 op het internet een risicovolle zet. Het wordt intensief gescand, frequentelijk brute-forced , en vaak doelwit tijdens ransomwarecampagnes.

Waarom dit belangrijk is in echte implementaties:

  • Een enkele blootgestelde RDP-eindpunt kan een constant doelwit voor wachtwoordgissingen worden.
  • RDP-beveiliging is sterk afhankelijk van verharding (MFA, accountvergrendeling, patching, VPN/gatewaygebruik, IP-beperkingen)
  • “Open gewoon 3389” verandert vaak in voortdurende firewall- en endpointonderhoud.
  • Naarmate omgevingen groeien, wordt het moeilijk om consistente controles over servers af te dwingen.

Voor veel organisaties wordt het doel: lever remote access zonder 3389 bloot te stellen.

Praktische Verstevigingsstappen Als U RDP Moet Gebruiken

Als je RDP niet kunt vermijden, verminder dan de blootstelling door MFA te vereisen, NLA in te schakelen, sterke vergrendelingsbeleid af te dwingen, toegang te beperken via VPN of IP-whitelisting, en ervoor te zorgen dat systemen volledig zijn gepatcht. Plaats RDP indien mogelijk achter een RD Gateway (443) in plaats van 3389 direct bloot te stellen.

Een Veiliger Alternatief: TSplus Remote Access

Als u externe toegang wilt terwijl poort 3389 gesloten blijft voor het openbare internet, TSplus Remote Access biedt een praktische benadering: publiceer applicaties en desktops via een webportaal met behulp van standaard webpoorten.

Waarom TSplus een betere keuze kan zijn:

  • Vereist geen blootstelling van poort 3389 aan het internet (je kunt vertrouwen op 80/443 voor webtoegang)
  • Browsergebaseerde toegang met het HTML5 Webportaal, waardoor de complexiteit aan de clientzijde wordt verminderd
  • Kan HTTPS en standaard beveiligingspraktijken gemakkelijker afdwingen op een vertrouwde weboppervlakte.
  • Werkt goed voor het publiceren van applicaties (RemoteApp-stijl) evenals volledige desktops
  • Kan worden versterkt met add-ons zoals Two-Factor Authentication en aanvullende bescherming.

Voor teams die op betrouwbare wijze externe gebruikers moeten bedienen, helpt dit de aanvalsvector te verkleinen terwijl de implementatie wordt vereenvoudigd en gebruikersonboarding .

Eindgedachten

TCP 3389 is de standaard RDP-poort—en RDP kan ook UDP 3389 gebruiken, plus 443/3391 wanneer een gateway betrokken is, samen met andere Windows-netwerkpoorten in specifieke scenario's. Als externe toegang cruciaal is voor uw bedrijf, overweeg dan of u 3389 echt blootgesteld wilt houden.

Veel organisaties stappen over op een benadering waarbij gebruikers via HTTPS (443) verbinding maken met een veilig portaal en de interne RDP-laag privé blijft.

Als je op zoek bent naar een veiligere manier om remote access te leveren, TSplus Remote Access kan u helpen bij het publiceren van apps en desktops via het web, terwijl uw infrastructuur eenvoudiger en veiliger blijft.

TSplus Gratis proefversie voor externe toegang

Ultimate Citrix/RDS-alternatief voor desktop/app-toegang. Veilig, kosteneffectief, on-premises/cloud

Start een gratis proefperiode

Delen:

Facebook Twitter LinkedIn

Jouw TSplus Team

Verder lezen

back to top of the page icon