Gostaria de ver o site em um idioma diferente?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Mudar idioma
Índice

O Protocolo de Área de Trabalho Remota (RDP) é uma das maneiras mais comuns de acessar servidores e áreas de trabalho Windows remotamente. Está integrado ao Windows, amplamente suportado por clientes de terceiros e frequentemente utilizado para administração, suporte e trabalho remoto.

Mas quando você publica acesso remoto para usuários (ou clientes), uma pergunta rapidamente se torna crítica para conectividade e segurança: quais portas o RDP usa? Neste artigo, vamos detalhar as portas padrão, as "portas extras" que podem aparecer dependendo da sua configuração e o que fazer se você quiser acesso remoto sem expor a porta 3389.

Porta RDP Padrão

Por defeito, RDP usa a porta TCP 3389.

Esse é o porto padrão de escuta no Windows para conexões de Remote Desktop, e é o porto que a maioria dos firewalls e regras de NAT encaminham quando alguém "abre RDP para a internet." A Microsoft também registra 3389 para serviços relacionados ao RDP (ms-wbt-server) tanto para TCP quanto para UDP.

O RDP está sempre na porta 3389?

Na maioria das vezes, sim—mas nem sempre. 3389 é o padrão, o que significa que uma instalação padrão do Windows com o Remote Desktop ativado irá escutar lá, a menos que um administrador o mude. Em ambientes do mundo real, você frequentemente verá o RDP movido para uma porta diferente para redução básica de ruído contra varreduras automatizadas.

Você também verá o tráfego RDP aparecer para usar outras portas quando está a ser encaminhado ou tunelado (por exemplo, através de um RD Gateway, VPN ou um portal de acesso remoto).

O ponto chave: os seus utilizadores podem estar “a usar RDP” sem se conectar diretamente a 3389, dependendo de como o acesso remoto é publicado.

Por que o RDP usa tanto TCP quanto UDP?

O RDP historicamente dependia do TCP para entrega confiável, mas o RDP moderno também pode usar UDP (tipicamente na mesma porta, 3389) para melhorar a capacidade de resposta. O UDP ajuda em cenários onde minimizar o atraso é importante—movimentos do mouse, digitação, vídeo e áudio podem parecer mais suaves porque o UDP evita parte da sobrecarga que o TCP introduz quando pacotes são perdidos ou precisam ser retransmitidos.

Na prática, muitas configurações usam TCP como base e UDP como um aumento de desempenho quando a rede permite. Se o UDP estiver bloqueado, o RDP geralmente ainda funciona—apenas com desempenho reduzido ou uma sensação de "atraso" em condições de rede ruins.

Comportamento de UDP e Porta Adicional

Além de TCP 3389 O RDP também pode envolver:

  • UDP 3389 – Usado pelo RDP para melhorar a capacidade de resposta e reduzir a latência (quando o transporte UDP está ativado e permitido).
  • TCP 443 – Usado quando você se conecta através do Gateway de Área de Trabalho Remota (RDP encapsulado em HTTPS).
  • UDP 3391 – Comumente usado para “RDP sobre UDP” via RD Gateway (caminho de desempenho através do gateway).
  • TCP 135 / 139 / 445 – Pode aparecer em certos ambientes para serviços do Windows relacionados e cenários de redirecionamento (por exemplo, recursos dependentes de RPC/SMB).

Se o seu ambiente RDP estiver atrás de um firewall, NAT ou gateway de segurança, você frequentemente precisará validar qual caminho RDP está realmente sendo usado (direto 3389 vs. gateway 443/3391) e garantir que as políticas correspondam.

Checklist Rápida de Firewall para Portas RDP

Para evitar a resolução de problemas por tentativa e erro, confirme que permitiu TCP 3389 (e UDP 3389 se quiser o melhor desempenho). Se usar o RD Gateway, certifique-se de que TCP 443 (e opcionalmente UDP 3391) está aberto no gateway, não necessariamente no servidor de destino.

Preocupações de Segurança para Empresas que Usam RDP

Do ponto de vista da segurança, publicar o TCP 3389 na internet é uma jogada de alto risco. É amplamente escaneado, frequentemente atacado por força bruta e frequentemente visados durante campanhas de ransomware.

Por que isso é importante em implementações reais:

  • Um único endpoint RDP exposto pode tornar-se um alvo constante de tentativas de adivinhação de senha.
  • A segurança do RDP depende fortemente do endurecimento (MFA, bloqueio de conta, atualização, uso de VPN/gateway, restrições de IP)
  • “Basta abrir 3389” muitas vezes se transforma em manutenção contínua de firewall e endpoint.
  • À medida que os ambientes crescem, a aplicação de controles consistentes em servidores torna-se difícil.

Para muitas organizações, o objetivo torna-se: fornecer acesso remoto sem deixar 3389 exposto.

Passos Práticos de Endurecimento se Você Precisar Usar RDP

Se não conseguir evitar o RDP, reduza a exposição exigindo MFA, ativando NLA, aplicando políticas de bloqueio rigorosas, restringindo o acesso por VPN ou lista de permissões de IP, e garantindo que os sistemas estejam totalmente atualizados. Sempre que possível, coloque o RDP atrás de um RD Gateway (443) em vez de expor diretamente o 3389.

Uma Alternativa Mais Segura: TSplus Remote Access

Se você deseja acesso remoto enquanto mantém a porta 3389 fechada para a internet pública, TSplus Acesso Remoto fornece uma abordagem prática: publique aplicações e áreas de trabalho através de um portal web utilizando portas web padrão.

Por que o TSplus pode ser uma melhor opção:

  • Não requer expor a porta 3389 à internet (você pode contar com 80/443 para acesso web)
  • Acesso baseado em navegador com o Portal Web HTML5, reduzindo a complexidade do lado do cliente
  • Pode impor HTTPS e práticas de segurança padrão de forma mais fácil numa superfície web familiar.
  • Funciona bem para publicar aplicações (estilo RemoteApp) assim como desktops completos.
  • Pode ser reforçado com complementos como Autenticação de Dois Fatores e proteções adicionais.

Para equipas que precisam de atender utilizadores remotos de forma fiável, isto ajuda a reduzir a superfície de ataque enquanto simplifica a implementação e integração de utilizador .

Considerações Finais

TCP 3389 é a porta RDP padrão—e o RDP também pode usar UDP 3389, além de 443/3391 quando um gateway está envolvido, juntamente com outras portas de rede do Windows em cenários específicos. Se o acesso remoto for crítico para os negócios, considere se realmente deseja manter 3389 exposto.

Muitas organizações adotam uma abordagem em que os usuários se conectam através de HTTPS (443) a um portal seguro e a camada RDP interna permanece privada.

Se está a explorar uma forma mais segura de fornecer acesso remoto, TSplus Acesso Remoto pode ajudá-lo a publicar aplicativos e desktops pela web, mantendo sua infraestrutura mais simples e segura.

TSplus Acesso Remoto Teste Gratuito

Alternativa definitiva ao Citrix/RDS para acesso a desktop/aplicações. Seguro, rentável, local/nuvem

Iniciar uma Avaliação Gratuita

Partilhar:

Facebook Twitter LinkedIn

A sua equipa TSplus

Leitura adicional

back to top of the page icon