Руководство по порту RDP: Удаленный рабочий стол Windows на порту 3389

RDP позволяет пользователю взаимодействовать с удаленным рабочим столом Windows по сети. Клиент подключается к службе RDP, согласовывает настройки безопасности, аутентифицирует пользователя, а затем обменивается данными о клавиатуре, мыши, дисплее, буфере обмена, аудио и перенаправлении устройств в зависимости от политики.

Современный RDP может использовать проверку подлинности на уровне сети, TLS, шлюзы и средства управления идентификацией предприятия, но сам порт по-прежнему остается лишь точкой входа в транспорт. Доступный порт 3389 не означает, что развертывание безопасно; это всего лишь означает, что удаленные клиенты могут попытаться запустить сеанс RDP.

Открывайте RDP только в том случае, если администраторам, группам поддержки или управляемым удаленным работникам необходим интерактивный доступ к системам Windows. Даже в этом случае прямое воздействие Интернета должно быть последним средством. Предпочитайте шлюз удаленных рабочих столов, VPN, доступ с нулевым доверием, хосты-бастионы или подключение к частной сети.

Если облачной виртуальной машине требуется периодический экстренный доступ, рассмотрите возможность использования правил брандмауэра «точно в срок», временных списков разрешенных исходных IP-адресов или функций последовательной консоли поставщика вместо того, чтобы оставлять 3389 открытым круглосуточно.

TCP 3389 — это основной путь RDP и первый порт, который проверяется большинством проверок подключения. Если TCP 3389 заблокирован, прямой сеанс удаленного рабочего стола обычно не может запуститься. Таким образом, средство проверки портов TCP полезно для подтверждения основного пути к службе RDP.

UDP 3389 может использоваться современными клиентами RDP для улучшения скорости реагирования, графики, звука и поведения сети с потерями после установления сеанса. Блокировка UDP не может предотвратить каждый вход в систему по RDP, но может замедлить сеансы или сделать их менее стабильными. Шлюзы и политики предприятия могут обрабатывать эту проблему по-разному, поэтому проверьте фактический путь клиента.

Прежде чем открывать порт 3389, намеренно включите удаленный рабочий стол, запросите проверку подлинности на уровне сети, подтвердите, каким пользователям разрешен вход в систему, и решите, следует ли разрешить перенаправление буфера обмена, диска, принтера и устройства. Этот выбор политики имеет такое же значение, как и правило брандмауэра.

Средство проверки портов может показать, доступен ли TCP 3389 из Интернета, но не может подтвердить, что поток входа в систему RDP, политика шлюза, права пользователя, MFA или ограничения сеанса настроены правильно. Проверьте доступность сети и фактическое поведение удаленного рабочего стола.

В Windows Server или Windows Pro включите удаленный рабочий стол, требуйте проверку подлинности на уровне сети и разрешите входящий TCP 3389 в брандмауэре Защитника Windows. Убедитесь, что пользователь принадлежит к разрешенной группе удаленного рабочего стола и что локальная политика безопасности не блокирует удаленный вход.

Для облачных серверов открывайте 3389 только для доверенных исходных диапазонов IP-адресов в группе безопасности облака или политике брандмауэра. Если возможно, используйте VPN, частную подсеть, бастион или шлюз удаленного рабочего стола, чтобы сама виртуальная машина не была доступна напрямую из общедоступного Интернета.

RDP — это в первую очередь протокол Windows, но существуют клиенты для macOS, Linux, iOS, Android и браузеров через шлюзы. Модель воздействия и безопасности на стороне сервера по-прежнему необходимо контролировать на хосте или шлюзе Windows.

Начните с проверки внешнего порта по общедоступному имени хоста или IP-адресу и порту 3389. Если порт открыт, путь TCP к службе RDP доступен. Затем протестируйте с помощью Microsoft Remote Desktop, mstsc.exe или клиента шлюза, чтобы подтвердить политику входа и сеанса.

На узле Windows убедитесь, что службы удаленных рабочих столов запущены и что в брандмауэре Защитника Windows установлено ожидаемое правило для входящего трафика. В облачных средах сравните брандмауэр хоста с группой безопасности облака, поскольку любой из них может заблокировать доступ.

Если порт 3389 закрыт, возможно, удаленный рабочий стол отключен, служба остановлена, порт мог быть изменен или брандмауэр Windows может блокировать входящие соединения. Если время проверки истекло, пакеты могут отбрасываться правилами облачного брандмауэра, NAT маршрутизатора, политикой VPN, фильтрацией интернет-провайдера или списками разрешенных IP-адресов источника.

Если порт открыт, но вход невозможен, проверьте права пользователя, требования NLA, пароли с истекшим сроком действия, блокировку учетной записи, подключение к домену, политику MFA, правила шлюза и журналы событий. Рабочий порт не гарантирует, что пользователь имеет право создавать сеанс.

Не допускайте прямого доступа RDP к Интернету. Используйте шлюз удаленных рабочих столов, VPN, частные сети, хосты-бастионы или доступ с нулевым доверием. Требуйте MFA везде, где это возможно, принудительно блокируйте учетные записи, отключайте неиспользуемые учетные записи и отслеживайте неудачные входы в систему и необычные исходные местоположения.

Регулярно устанавливайте обновления для Windows, ограничивайте членство локального администратора, отключайте ненужные функции перенаправления, устанавливайте таймауты простоя сеансов и собирайте журналы событий безопасности. Для систем с высоким уровнем риска отдавайте предпочтение рабочим станциям с привилегированным доступом или управляемым административным путям вместо прямого RDP с личных устройств.