Quel port dois-je ouvrir pour autoriser le bureau à distance?

Réponses:

158

Le Bureau à distance nécessite que le port TCP 3389 soit ouvert.

Il est possible de changer le port utilisé par le serveur Terminal Server (ou le PC auquel on accède), voir cet article du support technique de Microsoft: "Comment changer le port d'écoute pour Remote Desktop"

splattne
la source
10
Vous pouvez également utiliser un port différent si vous utilisez le transfert de port. Le port privé est le 3389, comme indiqué ci-dessus, à moins que vous ne le changiez, et le port public peut être ce que vous voulez. Le mien est réglé sur 10000. Ainsi, lorsque je me connecte à l'aide de la connexion au bureau à distance, je dois entrer mycomputer.com:10000
Joseph.
2
Mise à jour du lien vers l'article de support technique MS: support.microsoft.com/en-us/help/306759 . Pour référence, la clé de registre est HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber.
Mark Berry
@MarkBerry Cela dit RDP TCP ... je ne devrais pas bloquer 3389 sur UDP?
deadManN
@deadManN - La plupart des pare-feu et des routeurs bloquent tous les ports entrants, à moins que vous ne les ouvriez. Par conséquent, si vous avez ceci comme règle par défaut, pour RDP, il vous suffit d'ajouter une exception pour TCP 3389.
Mark Berry le
Notez que RDP, en particulier sur le port par défaut 3389, est de plus en plus une cible pour le piratage, par exemple par GoldBrute. En outre, deux vulnérabilités de RDP ont été révélées au cours des deux derniers mois: CVE-2019-0708 et CVE-2019-9510. Patch, n'utilisez pas RDP, ou utilisez 2FA pour RDP.
Mark Berry le
12

En plus d'ouvrir le port 3389 pour UDP et TCP, je devais modifier la règle de pare-feu Windows et définir Edge Traversal pour autoriser. Comme ça:

entrez la description de l'image ici

Lone Coder
la source
De quelle version de Windows s'agit-il et comment en êtes-vous arrivé là?
Brian Z
2
@BrianZ Ceci est Windows 7/8/10 et pour y arriver, ouvrez simplement le menu Démarrer, recherchez "Pare-feu" et cliquez sur "Paramètres avancés" dans le panneau Inbound Rulesde gauche, puis sur le panneau de gauche et sur le panneau principal. rechercher Remote Desktop - User Mode (TCP-In)et Remote Desktop - User Mode (UDP-In)autoriser la traversée de bord pour les deux.
Shayan
Cela fonctionne pour moi sans cet arrangement, pourquoi pensez-vous que cela est nécessaire?
nuits
8

Si vous ne souhaitez pas utiliser 3389 en externe, ouvrez un autre port en externe, mais pointez-le sur 3389 sur l'adresse IP de la machine sur laquelle vous voulez RDC. Ceci est utile pour le routage de nombreux systèmes avec RDC. C'est également agréable car il ne nécessite aucune modification du registre.

Gromer
la source
7

La seule exception à la réponse précédente (3389) concerne l'utilisation de Small Business Server via Remote Web Workplace.

Dans ce cas, le NAT du serveur établit la connexion entre vous et le port de serveur 80 (HTTP) ou 443 (HTTPS), puis vers l'ordinateur interne; donc seulement 80/443 est requis.

Brandon
la source
4

Quels ports dois-je ouvrir pour un poste de travail distant? Réponse: Aucun .
Ouvrir RDC à Internet est une mauvaise idée. Les scanners de port vont rapidement détecter un 3389 ouvert et tenter de casser votre ouverture de session. https://www.grc.com/port_3389.htm

Alan
la source
4
C'est assez correct, mais ouvrir le port à une adresse IP spécifique n'est pas une mauvaise pratique. OP n'a pas précisé que l'ouverture au grand public était l'intention.
Luke Alderton
2

Si la sécurité est concernée et que vous avez un routeur basé sur Linux (par exemple, OpenWrt), alors n’ajoutez aucune entrée NAT, pour 3389 dans ce cas.

Utilisez votre routeur en tant que serveur de saut et créez un transfert de port SSH.

  1. Le sshd de votre routeur écoute sur 22 ports le réseau LAN.
  2. il écoute également sur le port A le réseau WAN (le seul exposé), avec uniquement une authentification par clé publique, évitant ainsi toute tentative brutale de mot de passe.
  3. créez une paire de clés publique / privée, placez la clé privée sur vos machines clientes, copiez la clé publique sur votre routeur (dans le fichier allowed_keys)
  4. établissez le tunnel à partir de vos périphériques clients: ssh -p [port A] -L: [port B]: boîte RDP: 3389 root @ router (vous pouvez l'enregistrer dans la configuration SSH ou dans les profils Terminal pour une utilisation ultérieure simplifiée)
  5. connectez RDP à partir de localhost: [port B]
gpanda
la source
1

Vous devez ouvrir TCP et UDP 3389 (sauf si vous avez spécifié un port personnalisé).

Alors que la réponse acceptée (uniquement TCP 3389) était correcte à l'époque, elle n'est plus à jour. En 2012, Microsoft a introduit le transport UDP de RDP. Selon votre réseau, cela peut considérablement améliorer les performances de votre session RDP. Voir ce lien de Microsoft pour une explication beaucoup plus détaillée: https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/RemoteFX-for-WAN-Overview-of-Intelligent-and-Adaptive-land/ba- p / 247478

jlp2097
la source
0

nous pouvons définir des numéros de port RDP personnalisés à l'aide du chemin suivant >> HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp

Adithyan KV7
la source