Você gostaria de ver o site em um idioma diferente?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Mudar idioma
Índice

O Protocolo de Área de Trabalho Remota (RDP) é uma das maneiras mais comuns de acessar servidores e desktops Windows remotamente. Ele está embutido no Windows, é amplamente suportado por clientes de terceiros e frequentemente utilizado para administração, suporte e trabalho remoto.

Mas quando você publica acesso remoto para usuários (ou clientes), uma pergunta rapidamente se torna crítica para conectividade e segurança: quais portas o RDP usa? Neste artigo, vamos detalhar as portas padrão, as "portas extras" que podem aparecer dependendo da sua configuração e o que fazer se você quiser acesso remoto sem expor a porta 3389.

Porta RDP Padrão

Por padrão, RDP usa a porta TCP 3389.

Esse é o porta padrão de escuta no Windows para conexões de Remote Desktop, e é a porta que a maioria dos firewalls e regras de NAT encaminham quando alguém "abre RDP para a internet." A Microsoft também registra 3389 para serviços relacionados ao RDP (ms-wbt-server) tanto para TCP quanto para UDP.

O RDP está sempre na porta 3389?

Na maior parte do tempo, sim—mas nem sempre. 3389 é o padrão, o que significa que uma instalação padrão do Windows com Remote Desktop habilitado ouvirá lá, a menos que um administrador mude isso. Em ambientes do mundo real, você frequentemente verá o RDP movido para uma porta diferente para redução básica de ruído contra varreduras automatizadas.

Você também verá o tráfego RDP aparecer usar outras portas quando estiver sendo proxy ou tunelado (por exemplo, através de um RD Gateway, VPN ou um portal de acesso remoto).

O ponto chave: seus usuários podem estar “usando RDP” sem se conectar diretamente à 3389, dependendo de como o acesso remoto é publicado.

Por que o RDP usa tanto TCP quanto UDP?

O RDP historicamente dependia do TCP para entrega confiável, mas o RDP moderno também pode usar UDP (tipicamente na mesma porta, 3389) para melhorar a capacidade de resposta. O UDP ajuda em cenários onde minimizar o atraso é importante—movimentos do mouse, digitação, vídeo e áudio podem parecer mais suaves porque o UDP evita parte da sobrecarga que o TCP introduz quando pacotes são perdidos ou precisam ser retransmitidos.

Na prática, muitas configurações usam TCP como base e UDP como um aumento de desempenho quando a rede permite. Se o UDP estiver bloqueado, o RDP geralmente ainda funciona—apenas com desempenho reduzido ou uma sensação de "atraso" em condições de rede ruins.

Comportamento de Porta UDP e Adicional

Além de TCP 3389 O RDP também pode envolver:

  • UDP 3389 – Usado pelo RDP para melhorar a responsividade e reduzir a latência (quando o transporte UDP está habilitado e permitido).
  • TCP 443 – Usado quando você se conecta através do Gateway de Área de Trabalho Remota (RDP encapsulado em HTTPS).
  • UDP 3391 – Comumente usado para “RDP sobre UDP” via RD Gateway (caminho de desempenho através do gateway).
  • TCP 135 / 139 / 445 – Pode aparecer em certos ambientes para serviços do Windows relacionados e cenários de redirecionamento (por exemplo, recursos dependentes de RPC/SMB).

Se o seu ambiente RDP estiver atrás de um firewall, NAT ou gateway de segurança, você frequentemente precisará validar qual caminho RDP está realmente sendo usado (direto 3389 vs. gateway 443/3391) e garantir que as políticas correspondam.

Checklist Rápido de Firewall para Portas RDP

Para evitar a solução de problemas por tentativa e erro, confirme se você permitiu TCP 3389 (e UDP 3389 se quiser o melhor desempenho). Se você usar o RD Gateway, certifique-se de que TCP 443 (e opcionalmente UDP 3391) esteja aberto no gateway, não necessariamente no servidor de destino.

Preocupações de Segurança para Empresas que Usam RDP

Do ponto de vista da segurança, publicar o TCP 3389 na internet é uma jogada de alto risco. Ele é amplamente escaneado, frequentemente atacado por força bruta , e comumente alvo durante campanhas de ransomware.

Por que isso é importante em implantações reais:

  • Um único endpoint RDP exposto pode se tornar um alvo constante de tentativas de adivinhação de senha.
  • A segurança do RDP depende fortemente do endurecimento (MFA, bloqueio de conta, correção, uso de VPN/gateway, restrições de IP)
  • “Basta abrir 3389” muitas vezes se transforma em manutenção contínua de firewall e endpoint.
  • À medida que os ambientes crescem, impor controles consistentes entre os servidores se torna difícil.

Para muitas organizações, o objetivo se torna: fornecer acesso remoto sem deixar 3389 exposto.

Passos Práticos de Endurecimento se Você Precisar Usar RDP

Se você não pode evitar o RDP, reduza a exposição exigindo MFA, habilitando NLA, aplicando políticas de bloqueio rigorosas, restringindo o acesso por VPN ou whitelist de IP, e garantindo que os sistemas estejam totalmente atualizados. Sempre que possível, coloque o RDP atrás de um RD Gateway (443) em vez de expor diretamente 3389.

Uma Alternativa Mais Segura: TSplus Remote Access

Se você deseja acesso remoto enquanto mantém a porta 3389 fechada para a internet pública, TSplus Acesso Remoto fornece uma abordagem prática: publique aplicativos e desktops por meio de um portal da web usando portas da web padrão.

Por que o TSplus pode ser uma opção melhor:

  • Não requer expor a porta 3389 à internet (você pode contar com 80/443 para acesso web)
  • Acesso baseado em navegador com o Portal Web HTML5, reduzindo a complexidade do lado do cliente
  • Pode impor HTTPS e práticas de segurança padrão mais facilmente em uma superfície web familiar.
  • Funciona bem para publicar aplicativos (estilo RemoteApp) assim como desktops completos
  • Pode ser reforçado com complementos como Autenticação de Dois Fatores e proteções adicionais.

Para equipes que precisam atender usuários remotos de forma confiável, isso ajuda a reduzir a superfície de ataque enquanto simplifica a implantação e integração do usuário .

Considerações Finais

TCP 3389 é a porta RDP padrão—e o RDP também pode usar UDP 3389, além de 443/3391 quando um gateway está envolvido, juntamente com outras portas de rede do Windows em cenários específicos. Se o acesso remoto for crítico para os negócios, considere se você realmente deseja manter 3389 exposto.

Muitas organizações adotam uma abordagem em que os usuários se conectam através de HTTPS (443) a um portal seguro e a camada interna de RDP permanece privada.

Se você está explorando uma maneira mais segura de fornecer acesso remoto, TSplus Acesso Remoto pode ajudá-lo a publicar aplicativos e desktops pela web, mantendo sua infraestrutura mais simples e segura.

TSplus Acesso Remoto Teste Gratuito

Alternativa definitiva ao Citrix/RDS para acesso a desktop/aplicativos. Seguro, econômico, local/nuvem

Iniciar uma Avaliação Gratuita

Compartilhar:

Facebook Twitter LinkedIn

Sua equipe TSplus

Leitura adicional

back to top of the page icon