Хотите увидеть сайт на другом языке?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Сменить язык
Содержание

Протокол удаленного рабочего стола (RDP) является одним из самых распространенных способов удаленного доступа к серверам и рабочим столам Windows. Он встроен в Windows, широко поддерживается сторонними клиентами и часто используется для администрирования, поддержки и удаленной работы.

Но когда вы публикуете удаленный доступ для пользователей (или клиентов), один вопрос быстро становится критически важным для подключения и безопасности: какие порты использует RDP? В этой статье мы разберем стандартные порты, "дополнительные" порты, которые могут появиться в зависимости от вашей конфигурации, и что делать, если вы хотите удаленный доступ без открытия порта 3389.

Порт RDP по умолчанию

По умолчанию, RDP использует TCP порт 3389.

Это стандартный порт прослушивания в Windows для подключений к удаленному рабочему столу, и это порт, который большинство брандмауэров и правил NAT перенаправляют, когда кто-то «открывает RDP для интернета». Microsoft также регистрирует 3389 для служб, связанных с RDP (ms-wbt-server), как для TCP, так и для UDP.

RDP всегда на порту 3389?

В большинстве случаев, да — но не всегда. 3389 является стандартным, что означает, что стандартная установка Windows с включенным удаленным рабочим столом будет слушать на этом порту, если администратор не изменит его. В реальных условиях вы часто увидите, что RDP перемещен на другой порт для снижения шума от автоматических сканирований.

Вы также увидите трафик RDP появиться использовать другие порты, когда он проксируется или туннелируется (например, через RD Gateway, VPN или портал удаленного доступа).

Ключевой момент: ваши пользователи могут "использовать RDP", не подключаясь напрямую к 3389, в зависимости от того, как публикуется удаленный доступ.

Почему RDP использует как TCP, так и UDP?

RDP исторически полагался на TCP для надежной доставки, но современный RDP также может использовать UDP (обычно на том же номере порта, 3389) для повышения отзывчивости. UDP помогает в сценариях, где важно минимизировать задержку — движения мыши, ввод текста, видео и аудио могут ощущаться более плавными, поскольку UDP избегает некоторых накладных расходов, которые вводит TCP, когда пакеты теряются или требуют повторной передачи.

На практике многие настройки используют TCP в качестве базового протокола и UDP для повышения производительности, когда сеть это позволяет. Если UDP заблокирован, RDP обычно все равно работает — просто с уменьшенной производительностью или с "задержкой" при плохих условиях сети.

UDP и дополнительное поведение портов

В дополнение к TCP 3389 RDP также может включать:

  • UDP 3389 – Используется RDP для улучшения отзывчивости и снижения задержки (когда транспорт UDP включен и разрешен).
  • TCP 443 – Используется при подключении через шлюз удаленного рабочего стола (RDP, инкапсулированный в HTTPS).
  • UDP 3391 – Обычно используется для “RDP через UDP” через RD Gateway (путь производительности через шлюз).
  • TCP 135 / 139 / 445 – Может появляться в определенных средах для связанных служб Windows и сценариев перенаправления (например, функций, зависящих от RPC/SMB).

Если ваша RDP-среда находится за межсетевым экраном, НАТ или шлюз безопасности, вам часто нужно будет проверить, какой путь RDP фактически используется (прямой 3389 против шлюза 443/3391) и убедиться, что политики совпадают.

Быстрый контрольный список брандмауэра для портов RDP

Чтобы избежать проб и ошибок при устранении неполадок, подтвердите, что вы разрешили TCP 3389 (и UDP 3389, если хотите получить наилучшие результаты). Если вы используете RD Gateway, убедитесь, что TCP 443 (и, при необходимости, UDP 3391) открыт на шлюзе, а не обязательно на целевом сервере.

Проблемы безопасности для бизнеса, использующего RDP

С точки зрения безопасности, публикация TCP 3389 в интернете является высокорисковым шагом. Он подвергается интенсивному сканированию, часто подвергается брутфорс-атакам и часто становятся целью во время кампаний по программам-вымогателям.

Почему это важно в реальных развертываниях:

  • Один открытый RDP-эндпоинт может стать постоянной целью для подбора паролей.
  • Безопасность RDP в значительной степени зависит от усиления (MFA, блокировка учетной записи, обновления, использование VPN/шлюза, ограничения по IP)
  • “Просто откройте 3389” часто превращается в постоянное обслуживание брандмауэра и конечных точек
  • По мере роста окружений обеспечение единообразного контроля на серверах становится сложным.

Для многих организаций цель заключается в следующем: обеспечить удаленный доступ, не оставляя 3389 открытым.

Практические шаги по укреплению, если вы должны использовать RDP

Если вы не можете избежать RDP, уменьшите воздействие, требуя MFA, включая NLA, применяя строгие политики блокировки, ограничивая доступ через VPN или разрешенные IP, и обеспечивая полное обновление систем. Когда это возможно, разместите RDP за RD Gateway (443) вместо того, чтобы напрямую открывать 3389.

Более безопасная альтернатива: TSplus Remote Access

Если вы хотите удаленный доступ, сохраняя порт 3389 закрытым для публичного интернета, TSplus Удаленный доступ предоставляет практический подход: публикуйте приложения и рабочие столы через веб-портал, используя стандартные веб-порты.

Почему TSplus может быть лучшим выбором:

  • Не требует открытия порта 3389 для интернета (вы можете полагаться на 80/443 для веб-доступа)
  • Доступ через браузер с помощью HTML5 Web Portal, уменьшая сложность на стороне клиента
  • Можно легче применять HTTPS и стандартные практики безопасности на знакомой веб-площадке.
  • Хорошо подходит для публикации приложений (в стиле RemoteApp), а также полных рабочих столов.
  • Можно усилить с помощью дополнений, таких как Двухфакторная аутентификация и дополнительные защиты.

Для команд, которым необходимо надежно обслуживать удаленных пользователей, это помогает уменьшить поверхность атаки, упрощая развертывание и введение пользователя .

Итоговые мысли

TCP 3389 является стандартным портом RDP, и RDP также может использовать UDP 3389, а также 443/3391, когда задействован шлюз, наряду с другими портами сетевого взаимодействия Windows в определенных сценариях. Если удаленный доступ критически важен для бизнеса, подумайте, действительно ли вы хотите оставить 3389 открытым.

Многие организации переходят к подходу, при котором пользователи подключаются через HTTPS (443) к безопасному порталу, а внутренний слой RDP остается приватным.

Если вы ищете более безопасный способ предоставления удаленного доступа, TSplus Удаленный доступ может помочь вам публиковать приложения и рабочие столы через веб, сохраняя вашу инфраструктуру более простой и безопасной.

TSplus Бесплатная пробная версия удаленного доступа

Ультимативная альтернатива Citrix/RDS для доступа к рабочему столу/приложениям. Безопасно, экономично, на месте/в облаке

Начать бесплатную пробную версию

Поделиться:

Facebook Twitter LinkedIn

Ваша команда TSplus

Дальнейшее чтение

TSplus Remote Desktop Access - Advanced Security Software

Создание сервера удаленного рабочего стола: настройка, безопасность и масштабирование

Узнайте, как создать сервер удаленного рабочего стола с Windows Server RDS. Запланируйте роли, настройте лицензирование, обеспечьте безопасность с помощью RD Gateway и оптимизируйте производительность.

Читать статью →
TSplus Remote Desktop Access - Advanced Security Software

Топ-10 инструментов для удаленной работы для безопасного доступа, поддержки и сотрудничества

Сравните лучшие инструменты удаленной работы для бизнеса в 2026 году. Ознакомьтесь с функциями, примерами использования и ценностью, чтобы выбрать безопасные и эффективные решения для гибридных команд.

Читать статью →
back to top of the page icon