Windows 11: Alteração da porta do Ambiente de Trabalho Remoto e configuração do controlo de acesso IP

IT
: ENG, KOR, DEU, FRA, JPN, ZHO, RUS, SPA, ITA, IND, THA, VIE

Atualização de Setembro 2025
(Este método também funciona para o Windows 10)

A porta padrão 3389 é amplamente conhecida pelos atacantes e pode facilmente tornar-se um alvo de ataques. Recomendo vivamente alterá-la para um número de porta diferente para manter o seu sistema seguro.

Escolha um número de porta aleatoriamente do intervalo de portas registadas (1024-49151) para torná-la difícil de adivinhar. Neste guia vamos alterar a porta do Ambiente de Trabalho Remoto para 49151.

Alteração da porta do Ambiente de Trabalho Remoto

1. Activar a funcionalidade do Ambiente de Trabalho Remoto

(Baseado no Windows 11 24H2)

  1. Abra as Definições do Windows.
  2. Vá para [Sistema][Ambiente de trabalho remoto].
  3. Active Ambiente de trabalho remoto mudando para Ligado.

2. Alterar a porta do Ambiente de Trabalho Remoto

  1. Prima Tecla Windows + R para abrir a caixa de diálogo Executar e digite regedit para iniciar o Editor de Registo.

    • Também pode clicar no botão Iniciar e digitar regedit.

  2. Navegue para este caminho no Editor de Registo:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

  3. Encontre a entrada PortNumber e clique duas vezes nela.

  4. Seleccione Decimal e altere o número da porta de 3389 para 49151.

  5. Reinicie o seu PC para aplicar o novo número de porta.

3. Configuração da Firewall

Após alterar a porta do Ambiente de Trabalho Remoto da porta padrão 3389 para a sua porta personalizada, precisa de criar uma nova regra de entrada na Firewall do Windows para permitir ligações remotas através da nova porta.

  1. Prima Tecla Windows + R para abrir a caixa de diálogo Executar e digite wf.msc.
    • Também pode clicar no botão Iniciar e digitar wf.msc.
  2. Clique em Regras de Entrada na árvore esquerda e depois clique em Nova Regra no painel direito.
  3. Configure o Assistente de Nova Regra de Entrada da seguinte forma:
    • Tipo de Regra: Porta
    • Protocolo: TCP
    • Portas Locais Específicas: 49151
    • Acção: Permitir a ligação
    • Perfil: Seleccionar os três - Domínio, Privado e Público
    • Nome: RDP (ou qualquer nome que prefira)
  4. Clique em Concluir para completar a configuração.

Configuração do controlo de acesso IP

Alterar para uma porta personalizada por si só não pode garantir segurança completa. Os atacantes ainda podem detectar portas abertas através de varrimento de portas e tentar ataques de força bruta. Para bloquear fundamentalmente estes riscos, precisa de configurar controlo de acesso baseado em IP (ACL) para que apenas endereços IP pré-aprovados possam conectar-se. Este é um elemento central da estratégia de segurança em camadas.

Configurar o controlo de acesso IP (ACL)

  1. Prima Tecla Windows + R para abrir a caixa de diálogo Executar e digite wf.msc.
    • Também pode clicar no botão Iniciar e digitar wf.msc.
  2. Clique em Regras de Entrada na árvore esquerda.
  3. Encontre a regra que acabou de criar (RDP ou o seu nome personalizado) e clique duas vezes nela.
  4. Quando a janela Propriedades abrir, clique no separador Âmbito no topo.
  5. Sob Endereço IP remoto, altere a opção para Estes endereços IP e clique em Adicionar para introduzir o IP de origem.
  6. Clique em OK e feche a janela para aplicar o controlo de acesso IP.

Utilizar VPN

Se desejar uma segurança ainda mais forte que o controlo de acesso IP, considere permitir ligações do Ambiente de Trabalho Remoto apenas através de VPN (Virtual Private Network).

1. Conceitos básicos da segurança VPN

VPN cria um túnel virtual encriptado sobre a Internet permitindo acesso seguro a redes internas do exterior. Quando utiliza VPN, os utilizadores externos não podem aceder directamente às portas RDP e devem primeiro conectar-se ao VPN antes de aceder a computadores na rede interna via Ambiente de Trabalho Remoto.

2. Benefícios do melhoramento da segurança

  • Estrutura de autenticação dupla: Login VPN → Login RDP para segurança em camadas
  • Comunicação encriptada: Toda a transmissão de dados é encriptada para segurança
  • Ocultação do endereço IP: O endereço IP real do servidor RDP permanece oculto do exterior
  • Bloqueio de acesso completo: Sem ligação VPN o servidor RDP nem sequer pode ser detectado

3. Principais métodos de implementação VPN

Utilizar funções VPN do router doméstico

A maioria dos routers modernos têm funções de servidor VPN integradas permitindo-lhe configurar VPN sem custo adicional. Pode activar o servidor VPN na página de administração do router e criar contas de utilizador.

Serviços VPN comerciais

Utilize serviços VPN comerciais como ExpressVPN, NordVPN ou Surfshark para obter um IP fixo e configurar acesso RDP apenas desse IP.

Configuração VPN na nuvem

Utilize soluções VPN de serviços na nuvem como AWS VPN Gateway ou Azure VPN Gateway para construir ambientes VPN de nível profissional.

Configuração de servidor VPN open source

Instale soluções open source como OpenVPN, WireGuard ou SoftEther VPN em servidores separados para construir ambientes VPN personalizados.

4. Abordagem recomendada

Para utilizadores pessoais, verifique primeiro se o seu router tem funções VPN integradas. Para ambientes empresariais, considere soluções VPN na nuvem. Após configurar VPN, bloqueie completamente o acesso directo externo às portas RDP na firewall e configure acesso apenas através de VPN para alcançar o mais alto nível de segurança do Ambiente de Trabalho Remoto.