Bạn có muốn xem trang web bằng một ngôn ngữ khác không?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Thay đổi ngôn ngữ
Mục lục

Giao thức Desktop từ xa (RDP) là một trong những cách phổ biến nhất để truy cập các máy chủ và máy tính để bàn Windows từ xa. Nó được tích hợp sẵn trong Windows, được hỗ trợ rộng rãi bởi các khách hàng bên thứ ba, và thường được sử dụng cho quản trị, hỗ trợ và làm việc từ xa.

Nhưng khi bạn công bố quyền truy cập từ xa cho người dùng (hoặc khách hàng), một câu hỏi nhanh chóng trở nên quan trọng đối với khả năng kết nối và bảo mật: RDP sử dụng những cổng nào? Trong bài viết này, chúng tôi sẽ phân tích các cổng mặc định, các cổng "thêm" có thể xuất hiện tùy thuộc vào cấu hình của bạn, và những gì cần làm nếu bạn muốn truy cập từ xa mà không lộ cổng 3389.

Cổng RDP Mặc định

Mặc định, RDP sử dụng cổng TCP 3389.

Đó là cổng lắng nghe tiêu chuẩn trên Windows cho các kết nối Remote Desktop, và đó là cổng mà hầu hết các tường lửa và quy tắc NAT chuyển tiếp khi ai đó "mở RDP ra internet." Microsoft cũng đăng ký 3389 cho các dịch vụ liên quan đến RDP (ms-wbt-server) cho cả TCP và UDP.

RDP có luôn bật trên cổng 3389 không?

Hầu hết thời gian, có, nhưng không phải lúc nào cũng vậy. 3389 là mặc định, có nghĩa là một cài đặt Windows tiêu chuẩn với Remote Desktop được kích hoạt sẽ lắng nghe ở đó trừ khi một quản trị viên thay đổi. Trong các môi trường thực tế, bạn thường thấy RDP được chuyển sang một cổng khác để giảm tiếng ồn cơ bản chống lại các quét tự động.

Bạn cũng sẽ thấy lưu lượng RDP xuất hiện để sử dụng các cổng khác khi nó đang được proxy hoặc tunnel (ví dụ thông qua một RD Gateway, VPN, hoặc một cổng truy cập từ xa).

Điểm chính: người dùng của bạn có thể đang “sử dụng RDP” mà không kết nối trực tiếp đến 3389, tùy thuộc vào cách mà remote access được công bố.

Tại sao RDP sử dụng cả TCP và UDP?

RDP lịch sử đã dựa vào TCP để đảm bảo việc truyền tải đáng tin cậy, nhưng RDP hiện đại cũng có thể sử dụng UDP (thường trên cùng một số cổng, 3389) để cải thiện khả năng phản hồi. UDP giúp trong các tình huống mà việc giảm thiểu độ trễ là quan trọng—các chuyển động chuột, gõ phím, video và âm thanh có thể cảm thấy mượt mà hơn vì UDP tránh được một số chi phí mà TCP giới thiệu khi các gói tin bị mất hoặc cần phải truyền lại.

Trên thực tế, nhiều cấu hình sử dụng TCP làm cơ sở và UDP như một cách tăng cường hiệu suất khi mạng cho phép. Nếu UDP bị chặn, RDP thường vẫn hoạt động—chỉ với hiệu suất giảm hoặc cảm giác "chậm chạp" hơn trong điều kiện mạng kém.

Hành vi Cổng UDP và Bổ sung

Ngoài việc TCP 3389 RDP cũng có thể liên quan đến:

  • UDP 3389 – Được sử dụng bởi RDP để cải thiện độ nhạy và giảm độ trễ (khi giao thức UDP được kích hoạt và cho phép).
  • TCP 443 – Được sử dụng khi bạn kết nối qua Cổng Remote Desktop (RDP được đóng gói trong HTTPS).
  • UDP 3391 – Thường được sử dụng cho “RDP qua UDP” thông qua RD Gateway (đường dẫn hiệu suất qua cổng).
  • TCP 135 / 139 / 445 – Có thể xuất hiện trong một số môi trường cho các dịch vụ Windows liên quan và các kịch bản chuyển hướng (ví dụ: các tính năng phụ thuộc vào RPC/SMB).

Nếu môi trường RDP của bạn nằm sau một tường lửa, NAT , hoặc cổng bảo mật, bạn thường cần xác thực đường dẫn RDP nào thực sự được sử dụng (trực tiếp 3389 so với cổng 443/3391) và đảm bảo các chính sách khớp nhau.

Danh sách kiểm tra tường lửa nhanh cho các cổng RDP

Để tránh việc khắc phục sự cố thử và sai, hãy xác nhận rằng bạn đã cho phép TCP 3389 (và UDP 3389 nếu bạn muốn hiệu suất tốt nhất). Nếu bạn sử dụng RD Gateway, hãy đảm bảo TCP 443 (và tùy chọn UDP 3391) được mở trên cổng, không nhất thiết phải trên máy chủ mục tiêu.

Mối quan tâm về bảo mật cho các doanh nghiệp sử dụng RDP

Từ góc độ bảo mật, việc công khai TCP 3389 ra internet là một động thái có rủi ro cao. Nó bị quét rất nhiều, thường xuyên bị tấn công brute-force , và thường là mục tiêu trong các chiến dịch ransomware.

Tại sao điều này quan trọng trong các triển khai thực tế:

  • Một điểm cuối RDP lộ ra có thể trở thành mục tiêu đoán mật khẩu liên tục.
  • Bảo mật RDP phụ thuộc nhiều vào việc tăng cường (MFA, khóa tài khoản, vá lỗi, sử dụng VPN/cổng, hạn chế IP)
  • “Chỉ cần mở 3389” thường trở thành việc bảo trì tường lửa và điểm cuối liên tục.
  • Khi các môi trường phát triển, việc thực thi các kiểm soát nhất quán trên các máy chủ trở nên khó khăn.

Đối với nhiều tổ chức, mục tiêu trở thành: cung cấp truy cập từ xa mà không để 3389 lộ ra.

Các bước tăng cường thực tiễn nếu bạn phải sử dụng RDP

Nếu bạn không thể tránh RDP, hãy giảm thiểu sự tiếp xúc bằng cách yêu cầu MFA, kích hoạt NLA, thực thi các chính sách khóa mạnh, hạn chế truy cập qua VPN hoặc danh sách trắng IP, và đảm bảo các hệ thống được cập nhật đầy đủ. Khi có thể, hãy đặt RDP sau một RD Gateway (443) thay vì phơi bày 3389 trực tiếp.

Một Giải Pháp An Toàn Hơn: TSplus Remote Access

Nếu bạn muốn truy cập từ xa trong khi giữ cổng 3389 đóng với internet công cộng, TSplus Remote Access cung cấp một cách tiếp cận thực tiễn: xuất bản ứng dụng và máy tính để bàn thông qua một cổng web sử dụng các cổng web tiêu chuẩn.

Tại sao TSplus có thể là sự lựa chọn tốt hơn:

  • Không cần mở cổng 3389 ra internet (bạn có thể dựa vào 80/443 để truy cập web)
  • Truy cập dựa trên trình duyệt với Cổng Web HTML5, giảm thiểu độ phức tạp phía khách hàng
  • Có thể thực thi HTTPS và các thực hành bảo mật tiêu chuẩn dễ dàng hơn trên một bề mặt web quen thuộc.
  • Hoạt động tốt cho việc xuất bản ứng dụng (kiểu RemoteApp) cũng như máy tính để bàn đầy đủ.
  • Có thể được tăng cường với các tiện ích bổ sung như Xác thực Hai yếu tố và các biện pháp bảo vệ bổ sung.

Đối với các nhóm cần phục vụ người dùng từ xa một cách đáng tin cậy, điều này giúp giảm bề mặt tấn công trong khi đơn giản hóa việc triển khai và hướng dẫn người dùng .

Suy nghĩ cuối cùng

TCP 3389 là cổng RDP mặc định - và RDP cũng có thể sử dụng UDP 3389, cộng với 443/3391 khi có cổng gateway, cùng với các cổng mạng Windows khác trong các tình huống cụ thể. Nếu remote access là quan trọng cho doanh nghiệp, hãy xem xét liệu bạn có thực sự muốn giữ 3389 được mở hay không.

Nhiều tổ chức chuyển sang cách tiếp cận mà người dùng kết nối qua HTTPS (443) đến một cổng an toàn và lớp RDP nội bộ vẫn giữ tính riêng tư.

Nếu bạn đang tìm kiếm một cách an toàn hơn để cung cấp quyền truy cập từ xa, TSplus Remote Access có thể giúp bạn xuất bản ứng dụng và máy tính để bàn qua web trong khi giữ cho cơ sở hạ tầng của bạn đơn giản và an toàn hơn.

Bản dùng thử miễn phí của TSplus Remote Access

Giải pháp thay thế Citrix/RDS tối ưu cho truy cập desktop/ứng dụng. An toàn, tiết kiệm chi phí, tại chỗ/cloud

Bắt đầu một Thử nghiệm Miễn phí

Chia sẻ:

Facebook Twitter LinkedIn

Nhóm của bạn TSplus

Đọc thêm

back to top of the page icon