RDP-poortgids: Windows Remote Desktop op poort 3389

Met RDP kan een gebruiker via het netwerk communiceren met een extern Windows-bureaublad. De client maakt verbinding met de RDP-service, onderhandelt over beveiligingsinstellingen, authenticeert de gebruiker en wisselt vervolgens toetsenbord-, muis-, beeldscherm-, klembord-, audio- en apparaatomleidingsgegevens uit, afhankelijk van het beleid.

Moderne RDP kan authenticatie op netwerkniveau, TLS, gateways en bedrijfsidentiteitscontroles gebruiken, maar de poort zelf is nog steeds slechts het transportingangspunt. Een bereikbare 3389-poort betekent niet dat de implementatie veilig is; het betekent alleen dat externe clients kunnen proberen een RDP-sessie te starten.

Open RDP alleen wanneer beheerders, ondersteuningsteams of gecontroleerde externe medewerkers interactieve toegang tot Windows-systemen nodig hebben. Zelfs dan zou directe blootstelling aan internet een laatste redmiddel moeten zijn. Geef de voorkeur aan Remote Desktop Gateway, VPN, zero-trust toegang, bastionhosts of particuliere netwerkconnectiviteit.

Als een cloud-VM af en toe noodtoegang nodig heeft, overweeg dan just-in-time firewallregels, tijdelijke bron-IP-toelatingslijsten of seriële consolefuncties van de provider in plaats van 3389 24 uur per dag open te laten.

TCP 3389 is het primaire RDP-pad en is de eerste poort die door de meeste connectiviteitscontroles wordt gevalideerd. Als TCP 3389 is geblokkeerd, kan een directe Remote Desktop-sessie doorgaans niet starten. Een TCP-poortcontrole is daarom handig om het basispad naar de RDP-service te bevestigen.

UDP 3389 kan door moderne RDP-clients worden gebruikt om de responsiviteit, grafische weergave, audio en verlieslatend netwerkgedrag te verbeteren nadat de sessie tot stand is gebracht. Het blokkeren van UDP verhindert mogelijk niet elke RDP-aanmelding, maar kan er wel voor zorgen dat sessies trager of minder stabiel aanvoelen. Gateways en bedrijfsbeleid kunnen hier anders mee omgaan, dus test het daadwerkelijke clientpad.

Voordat u poort 3389 opent, moet u Extern bureaublad opzettelijk inschakelen, authenticatie op netwerkniveau vereisen, bevestigen welke gebruikers zich mogen aanmelden en beslissen of omleiding van het klembord, het station, de printer en het apparaat moet worden toegestaan. Deze beleidskeuzes zijn net zo belangrijk als de firewallregel.

Een poortcontrole kan laten zien of TCP 3389 bereikbaar is vanaf internet, maar kan niet bevestigen dat de RDP-inlogstroom, het gatewaybeleid, de gebruikersrechten, MFA of sessiebeperkingen correct zijn geconfigureerd. Test zowel de netwerkbereikbaarheid als het daadwerkelijke Remote Desktop-gedrag.

Schakel op Windows Server of Windows Pro Extern bureaublad in, vereis verificatie op netwerkniveau en sta inkomende TCP 3389 toe in Windows Defender Firewall. Bevestig dat de gebruiker tot een toegestane Extern bureaublad-groep behoort en dat het lokale beveiligingsbeleid inloggen op afstand niet blokkeert.

Voor cloudservers opent u 3389 alleen voor vertrouwde bron-IP-bereiken in de cloudbeveiligingsgroep of het firewallbeleid. Gebruik indien mogelijk een VPN, privé-subnet, bastion of Remote Desktop Gateway, zodat de VM zelf niet rechtstreeks bereikbaar is vanaf het openbare internet.

RDP is in de eerste plaats een Windows-protocol, maar er bestaan ​​clients voor macOS, Linux, iOS, Android en browsers via gateways. Het blootstellings- en beveiligingsmodel aan de serverzijde moet nog steeds worden beheerd op de Windows-host of gateway.

Begin met een externe poortcontrole aan de hand van de openbare hostnaam of het IP-adres en poort 3389. Als de poort open is, is het TCP-pad naar de RDP-service bereikbaar. Test vervolgens met Microsoft Remote Desktop, mstsc.exe of uw gatewayclient om het aanmeldings- en sessiebeleid te bevestigen.

Controleer op de Windows-host of Remote Desktop Services actief is en of Windows Defender Firewall de verwachte regel voor binnenkomend verkeer heeft. Vergelijk in cloudomgevingen de hostfirewall met de cloudbeveiligingsgroep, omdat beide de toegang kunnen blokkeren.

Als poort 3389 gesloten is, is Remote Desktop mogelijk uitgeschakeld, is de service mogelijk gestopt, is de poort mogelijk gewijzigd of blokkeert Windows Firewall mogelijk inkomende verbindingen. Als er een time-out optreedt bij het controleren, kunnen cloudfirewallregels, NAT van de router, VPN-beleid, ISP-filtering of bron-IP-toelatingslijsten pakketten laten vallen.

Als de poort open is maar inloggen mislukt, inspecteer dan de gebruikersrechten, NLA-vereisten, verlopen wachtwoorden, accountvergrendeling, domeinconnectiviteit, MFA-beleid, gatewayregels en gebeurtenislogboeken. Een werkende poort garandeert niet dat de gebruiker geautoriseerd is om een ​​sessie te maken.

Vermijd blootstelling van RDP rechtstreeks aan internet. Gebruik Remote Desktop Gateway, VPN, privénetwerken, bastionhosts of zero-trust-toegang. Vereis waar mogelijk MFA, dwing accountvergrendeling af, schakel ongebruikte accounts uit en controleer mislukte aanmeldingen en ongebruikelijke bronlocaties.

Patch Windows regelmatig, beperk het lidmaatschap van lokale beheerders, schakel onnodige omleidingsfuncties uit, stel time-outs voor inactieve sessies in en verzamel logboeken voor beveiligingsgebeurtenissen. Voor systemen met een hoog risico geeft u de voorkeur aan werkstations met geprivilegieerde toegang of beheerde beheerderspaden in plaats van directe RDP vanaf persoonlijke apparaten.