Czy chciałbyś zobaczyć stronę w innym języku?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Zmień język
Spis treści

Protokół Pulpitu Zdalnego (RDP) jest jednym z najczęściej stosowanych sposobów zdalnego dostępu do serwerów i komputerów stacjonarnych z systemem Windows. Jest wbudowany w system Windows, szeroko wspierany przez klientów firm trzecich i często używany do administracji, wsparcia i pracy zdalnej.

Ale gdy publikujesz zdalny dostęp dla użytkowników (lub klientów), jedno pytanie szybko staje się kluczowe dla łączności i bezpieczeństwa: jakie porty wykorzystuje RDP? W tym artykule omówimy domyślne porty, "dodatkowe" porty, które mogą się pojawić w zależności od twojej konfiguracji, oraz co zrobić, jeśli chcesz uzyskać zdalny dostęp bez narażania portu 3389.

Domyślny port RDP

Domyślnie, RDP używa portu TCP 3389.

To jest standardowy port nasłuchu w systemie Windows dla połączeń zdalnego pulpitu, a także port, który większość zapór sieciowych i reguł NAT przekazuje, gdy ktoś „otwiera RDP na internet.” Microsoft rejestruje również 3389 dla usług związanych z RDP (ms-wbt-server) zarówno dla TCP, jak i UDP.

Czy RDP jest zawsze na porcie 3389?

Większość czasu tak — ale nie zawsze. 3389 to domyślny port, co oznacza, że standardowa instalacja systemu Windows z włączonym Remote Desktop będzie nasłuchiwać na tym porcie, chyba że administrator to zmieni. W rzeczywistych środowiskach często można zobaczyć, że RDP jest przenoszone na inny port w celu podstawowej redukcji hałasu przeciwko automatycznym skanom.

Zobaczysz również ruch RDP pojawić aby używać innych portów, gdy jest proxy lub tunelowane (na przykład przez bramę RD, VPN lub portal dostępu zdalnego).

Kluczowa kwestia: twoi użytkownicy mogą "korzystać z RDP" bez bezpośredniego łączenia się z 3389, w zależności od tego, jak publikowany jest dostęp zdalny.

Dlaczego RDP używa zarówno TCP, jak i UDP?

RDP historycznie polegał na TCP dla niezawodnej dostawy, ale nowoczesny RDP może również używać UDP (zazwyczaj na tym samym numerze portu, 3389), aby poprawić responsywność. UDP pomaga w scenariuszach, w których minimalizacja opóźnienia ma znaczenie—ruchy myszy, pisanie, wideo i audio mogą wydawać się płynniejsze, ponieważ UDP unika części narzutu, który TCP wprowadza, gdy pakiety są utracone lub wymagają retransmisji.

W praktyce wiele konfiguracji używa TCP jako podstawy, a UDP jako zwiększenia wydajności, gdy sieć na to pozwala. Jeśli UDP jest zablokowane, RDP zazwyczaj nadal działa—po prostu z obniżoną wydajnością lub odczuciem "opóźnienia" w trudnych warunkach sieciowych.

Zachowanie portów UDP i dodatkowych

Oprócz TCP 3389 RDP może również obejmować:

  • UDP 3389 – Używane przez RDP w celu poprawy responsywności i zmniejszenia opóźnień (gdy transport UDP jest włączony i dozwolony).
  • TCP 443 – Używane, gdy łączysz się przez bramę pulpitu zdalnego (RDP enkapsulowane w HTTPS).
  • UDP 3391 – Często używane do „RDP przez UDP” za pośrednictwem bramy RD (ścieżka wydajności przez bramę).
  • TCP 135 / 139 / 445 – Może występować w niektórych środowiskach dla powiązanych usług systemu Windows i scenariuszy przekierowania (np. funkcje zależne od RPC/SMB).

Jeśli Twoje środowisko RDP znajduje się za zaporą, NAT lub brama zabezpieczeń, często będziesz musiał zweryfikować, która ścieżka RDP jest faktycznie używana (bezpośrednia 3389 vs. brama 443/3391) i upewnić się, że polityki się zgadzają.

Szybka lista kontrolna zapory dla portów RDP

Aby uniknąć rozwiązywania problemów metodą prób i błędów, upewnij się, że zezwoliłeś na TCP 3389 (i UDP 3389, jeśli chcesz uzyskać najlepszą wydajność). Jeśli używasz RD Gateway, upewnij się, że TCP 443 (i opcjonalnie UDP 3391) jest otwarte na bramie, a niekoniecznie na docelowym serwerze.

Obawy dotyczące bezpieczeństwa dla firm korzystających z RDP

Z punktu widzenia bezpieczeństwa, publikowanie TCP 3389 w internecie to ruch wysokiego ryzyka. Jest intensywnie skanowane, często atakowane siłą brute force i często atakowane podczas kampanii ransomware.

Dlaczego to ma znaczenie w rzeczywistych wdrożeniach:

  • Pojedynczy wystawiony punkt końcowy RDP może stać się stałym celem zgadywania haseł.
  • Bezpieczeństwo RDP w dużej mierze zależy od wzmocnienia (MFA, zablokowanie konta, łatanie, użycie VPN/bramy, ograniczenia IP)
  • „Po prostu otwórz 3389” często przekształca się w bieżące utrzymanie zapory i punktów końcowych.
  • W miarę jak środowiska rosną, egzekwowanie spójnych kontroli na serwerach staje się trudne.

Dla wielu organizacji celem staje się: dostarczenie zdalnego dostępu bez narażania portu 3389.

Praktyczne kroki wzmacniające, jeśli musisz używać RDP

Jeśli nie możesz uniknąć RDP, zmniejsz narażenie, wymagając MFA, włączając NLA, egzekwując silne zasady blokady, ograniczając dostęp przez VPN lub białe listy IP oraz zapewniając, że systemy są w pełni zaktualizowane. Gdy to możliwe, umieść RDP za bramą RD (443) zamiast bezpośrednio narażać 3389.

Bezpieczniejsza alternatywa: TSplus Remote Access

Jeśli chcesz uzyskać dostęp zdalny, jednocześnie trzymając port 3389 zamknięty dla publicznego internetu, TSplus Zdalny Dostęp oferuje praktyczne podejście: publikuj aplikacje i pulpity za pośrednictwem portalu internetowego, korzystając z standardowych portów internetowych.

Dlaczego TSplus może być lepszym wyborem:

  • Nie wymaga udostępniania portu 3389 w internecie (możesz polegać na 80/443 do dostępu przez sieć).
  • Dostęp oparty na przeglądarce za pomocą portalu internetowego HTML5, redukując złożoność po stronie klienta
  • Można łatwiej egzekwować HTTPS i standardowe praktyki bezpieczeństwa na znanej powierzchni internetowej.
  • Dobrze działa w przypadku publikowania aplikacji (w stylu RemoteApp) oraz pełnych pulpitów.
  • Może być wzmocnione dodatkami takimi jak Two-Factor Authentication i dodatkowymi zabezpieczeniami.

Dla zespołów, które muszą niezawodnie obsługiwać zdalnych użytkowników, pomaga to zmniejszyć powierzchnię ataku, jednocześnie upraszczając wdrożenie i wprowadzenie użytkownika .

Ostateczne myśli

TCP 3389 jest domyślnym portem RDP — a RDP może również używać UDP 3389, a także 443/3391, gdy zaangażowany jest brama, wraz z innymi portami sieciowymi Windows w określonych scenariuszach. Jeśli zdalny dostęp jest kluczowy dla biznesu, zastanów się, czy naprawdę chcesz pozostawić 3389 otwarty.

Wiele organizacji przechodzi na podejście, w którym użytkownicy łączą się przez HTTPS (443) z bezpiecznym portalem, a wewnętrzna warstwa RDP pozostaje prywatna.

Jeśli szukasz bezpieczniejszego sposobu na zapewnienie dostępu zdalnego, TSplus Zdalny Dostęp może pomóc w publikowaniu aplikacji i pulpitów przez internet, jednocześnie upraszczając i zabezpieczając infrastrukturę.

TSplus Darmowy okres próbny dostępu zdalnego

Ostateczna alternatywa dla Citrix/RDS w zakresie dostępu do pulpitu/aplikacji. Bezpieczne, opłacalne, lokalne/chmurowe

Rozpocznij bezpłatny okres próbny

Udostępnij:

Facebook Twitter LinkedIn

Twój zespół TSplus

Dalsza lektura

back to top of the page icon