O Remote Desktop Protocol (RDP) é uma ferramenta essencial para administração remota de sistemas Windows. Por padrão, ele opera na porta TCP 3389, o que o torna um alvo comum para atacantes. Este tutorial apresenta uma abordagem completa para alterar a porta RDP, aumentando a segurança do seu sistema através de uma técnica conhecida como “security by obscurity” (segurança por obscuridade).

Conceitos Fundamentais

Antes de modificarmos a porta RDP, é importante entender alguns conceitos:

• RDP (Remote Desktop Protocol): Protocolo desenvolvido pela Microsoft que permite a conexão remota a um computador, oferecendo uma interface gráfica.
• Portas TCP/IP: Pontos de extremidade virtuais que identificam aplicativos e serviços específicos em uma rede.
• Security by Obscurity: Estratégia que aumenta a segurança ocultando informações que possíveis atacantes usariam. Não é uma solução completa, mas uma camada adicional de proteção.

Por que alterar a porta RDP?

A porta 3389 é alvo frequente de varreduras automatizadas e ataques de força bruta. Ao alterar para uma porta não padrão:

• Você reduz significativamente o volume de tentativas de login mal-intencionadas
• Adiciona uma camada extra de proteção ao seu sistema
• Dificulta a identificação do seu serviço RDP por ferramentas de varredura comuns

Importante: Esta medida deve ser parte de uma estratégia de segurança mais ampla, não a única proteção.

Escolhendo a Porta Ideal

Ao contrário do que muitos tutoriais sugerem, a escolha da nova porta não deve ser aleatória. A seleção estratégica da porta pode trazer benefícios adicionais de segurança.

Dicas para escolher uma porta:

• Evite portas conhecidas (0-1023) usadas por serviços comuns
• Evite portas registradas populares (1024-49151) que possam conflitar com outros softwares
• Considere usar uma porta no intervalo dinâmico/privado (49152-65535)
• Não escolha portas sequenciais óbvias como 3390, 3391, etc.
• Documente sua escolha em um local seguro!

Categorias de Portas:

• Portas Conhecidas (0-1023): Não recomendado (alto risco de conflito)
• Portas Registradas (1024-49151): Utilizável com cautela (verifique conflitos)
• Portas Dinâmicas/Privadas (49152-65535): Recomendado (menor risco de conflito)

Para este tutorial, usaremos a porta 51389 como exemplo. Esta é uma escolha estratégica, pois está no intervalo dinâmico e mantém uma semelhança numérica com a porta original (3389), facilitando a memorização.

Métodos para Alterar a Porta RDP

Existem três abordagens principais para alterar a porta RDP. Escolha a que melhor se adapta ao seu caso:

Escolha seu método baseado em:

• Você administra um único computador? Use o Editor de Registro (Método 1)
• Você gerencia múltiplos computadores em rede? Use Política de Grupo (Método 2)
• Prefere uma abordagem via PowerShell? Use o Script PowerShell (Método 3)

Método 1: Usando o Editor de Registro

⚠️ Atenção: Modificações no Registro do Windows podem causar problemas sérios se feitas incorretamente. Faça um backup do registro antes de continuar.

1. Abra o Editor do Registro pressionando Win + R, digite regedit e pressione Enter.

2. Navegue até a seguinte chave:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

3. No painel direito, localize o valor PortNumber.

4. Clique duas vezes nele e selecione Base Decimal.

5. Mude o valor de 3389 para sua nova porta (ex: 51389).

6. Clique em OK e feche o Editor do Registro.

💡 Dica avançada: Para verificar se o valor foi alterado corretamente, você pode usar o seguinte comando no PowerShell:

Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "PortNumber"

O valor retornado estará em hexadecimal. Para a porta 51389, você verá 0x00c8bd.

Método 2: Usando Política de Grupo (para ambientes de domínio)

1. Abra o Editor de Políticas de Grupo Local pressionando Win + R, digite gpedit.msc e pressione Enter.

2. Navegue até Configuração do Computador > Modelos Administrativos > Componentes do Windows > Serviços de Área de Trabalho Remota > Host da Sessão de Área de Trabalho Remota > Conexões.

3. No painel direito, localize e clique duas vezes em “Especificar número da porta de conexão do RDP”.

4. Selecione “Habilitado” e insira o novo número de porta (ex: 51389).

5. Clique em “Aplicar” e depois em “OK”.

6. Abra o prompt de comando como administrador e execute:

gpupdate /force

🛡️ Vantagem: Este método é ideal para administradores que precisam implementar a alteração em múltiplos computadores em um ambiente de domínio, garantindo uma configuração consistente.

Método 3: Usando PowerShell (abordagem automatizada)

1. Abra o PowerShell como Administrador.

2. Cole e execute o seguinte script (personalize a porta conforme necessário):

# Definir a nova porta RDP
$NovaPortaRDP = 51389

# Backup do valor atual
$PortaAtual = (Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "PortNumber").PortNumber
Write-Host "Porta RDP atual: $PortaAtual" -ForegroundColor Yellow

# Alterar a porta no registro
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "PortNumber" -Value $NovaPortaRDP -Type DWord
Write-Host "Porta RDP alterada para: $NovaPortaRDP" -ForegroundColor Green

# Configurar regra de firewall (remover a antiga)
Get-NetFirewallRule -DisplayName "Área de Trabalho Remota*" | Remove-NetFirewallRule
Write-Host "Regras de firewall antigas removidas" -ForegroundColor Yellow

# Adicionar novas regras de firewall para a nova porta
New-NetFirewallRule -DisplayName "Área de Trabalho Remota (TCP-Entrada)" -Direction Inbound -Protocol TCP -LocalPort $NovaPortaRDP -Action Allow
New-NetFirewallRule -DisplayName "Área de Trabalho Remota (UDP-Entrada)" -Direction Inbound -Protocol UDP -LocalPort $NovaPortaRDP -Action Allow
Write-Host "Novas regras de firewall criadas para a porta $NovaPortaRDP" -ForegroundColor Green

# Reiniciar o serviço de Área de Trabalho Remota
Restart-Service TermService -Force
Write-Host "Serviço de Área de Trabalho Remota reiniciado" -ForegroundColor Green

Write-Host "Processo concluído. Você deve reiniciar o computador para aplicar todas as alterações." -ForegroundColor Cyan

3. Reinicie o computador para aplicar completamente as alterações.

🛡️ Vantagem deste método: Este script não apenas altera a porta RDP, mas também atualiza automaticamente as regras de firewall, garantindo que a nova porta esteja corretamente configurada para permitir conexões.

Configurando o Firewall

Depois de alterar a porta RDP, você precisa atualizar as configurações do firewall para permitir conexões à nova porta. Se você usou o Método 3 (PowerShell), este passo já foi realizado automaticamente.

Para configurar manualmente:

1. Abra o Firewall do Windows com Segurança Avançada pressionando Win + R, digite wf.msc e pressione Enter.

2. No painel esquerdo, clique em “Regras de Entrada”.

3. Encontre as regras relacionadas à Área de Trabalho Remota.

4. Para cada regra, clique com o botão direito e selecione “Propriedades”.

5. Na guia “Protocolos e Portas”, altere a porta para a nova porta RDP (ex: 51389).

6. Clique em “OK” para salvar as alterações.

💡 Abordagem alternativa: Em vez de modificar as regras existentes, você pode criar novas regras específicas para sua porta personalizada e desativar as regras antigas. Isso facilita retornar à configuração original se necessário.

Verificando a Alteração

Após reiniciar o computador, você deve verificar se a alteração foi aplicada corretamente:

1. No mesmo computador, abra o PowerShell e execute:

netstat -an | findstr LISTENING | findstr :51389

(Substitua 51389 pela porta que você escolheu)

2. Se a alteração foi bem-sucedida, você verá uma linha mostrando que o sistema está escutando na nova porta.

3. Teste a conexão RDP de outro computador usando a nova porta.

Conectando-se à Nova Porta

Quando você precisar se conectar ao computador pela nova porta RDP, terá que especificar a porta junto com o endereço:

1. Abra o cliente de Área de Trabalho Remota (mstsc.exe).

2. No campo de endereço, digite o IP ou nome do host seguido de dois pontos e o número da porta:

computador:51389

ou

192.168.1.100:51389

💡 Dica para múltiplas conexões: Você pode salvar várias conexões RDP com configurações personalizadas usando arquivos .RDP. Para isso:

1. Configure a conexão RDP normalmente
2. Em vez de clicar em Conectar, clique em “Salvar como…”
3. Salve o arquivo .RDP
4. Para editar manualmente a porta, abra o arquivo .RDP em um editor de texto e localize/modifique a linha port:i:3389 para port:i:51389

Solução de Problemas

Se você encontrar dificuldades após alterar a porta RDP, verifique estes pontos comuns:

1. Verifique se o serviço está em execução

Get-Service TermService

2. Confirme as configurações do firewall

Get-NetFirewallRule -DisplayName "*remota*" | Format-Table Name,DisplayName,Enabled,Direction,Action,Profile

3. Verifique se o sistema está escutando na porta

netstat -an | findstr LISTENING | findstr :51389

4. Teste a conectividade da porta de outro computador

Test-NetConnection -ComputerName [IP-DO-SERVIDOR] -Port 51389

5. Se tudo falhar, você pode reverter para a porta padrão 3389 usando qualquer um dos métodos descritos.

Medidas de Segurança Adicionais

Alterar a porta RDP é apenas uma camada de defesa. Para uma segurança mais robusta, considere implementar estas medidas adicionais:

• Limitar tentativas de login: Configure o bloqueio de conta após várias tentativas falhas
• Implementar Autenticação de Dois Fatores: Use ferramentas como Azure MFA ou DUO Security para RDP
• Usar Network Level Authentication (NLA): Requer autenticação antes de estabelecer uma sessão completa
• Configurar uma VPN: Faça com que o RDP só seja acessível através de uma conexão VPN segura
• Implementar whitelisting de IP: Permita apenas conexões de endereços IP confiáveis
• Aplicar políticas de senha fortes: Exija senhas complexas e alterações regulares
• Manter o sistema atualizado: Aplique patches de segurança regularmente
• Monitorar tentativas de login: Configure alertas para tentativas de acesso não autorizadas

Conclusão

Alterar a porta padrão do RDP é uma prática recomendada de segurança que reduz significativamente o risco de ataques automatizados. Ao seguir este tutorial, você adicionou uma camada extra de proteção ao seu sistema Windows.

Lembre-se de que a segurança de TI eficaz depende de uma abordagem em camadas. Combine esta técnica com outras medidas de segurança para criar uma defesa robusta para seus sistemas.

Nota final: Documente sua nova configuração em um local seguro, incluindo a porta escolhida e quaisquer outras alterações de configuração. Isso é essencial para futura manutenção do sistema ou recuperação de desastres.

O Remote Desktop Protocol (RDP) é uma ferramenta essencial para administração remota de sistemas Windows. Por padrão, ele opera na porta TCP 3389, o que o torna um alvo comum para atacantes. Este tutorial apresenta uma abordagem completa para alterar a porta RDP, aumentando a segurança do seu sistema através de uma técnica conhecida como “security by obscurity” (segurança por obscuridade).

Conceitos Fundamentais

Antes de modificarmos a porta RDP, é importante entender alguns conceitos:

• RDP (Remote Desktop Protocol): Protocolo desenvolvido pela Microsoft que permite a conexão remota a um computador, oferecendo uma interface gráfica.
• Portas TCP/IP: Pontos de extremidade virtuais que identificam aplicativos e serviços específicos em uma rede.
• Security by Obscurity: Estratégia que aumenta a segurança ocultando informações que possíveis atacantes usariam. Não é uma solução completa, mas uma camada adicional de proteção.

Por que alterar a porta RDP?

A porta 3389 é alvo frequente de varreduras automatizadas e ataques de força bruta. Ao alterar para uma porta não padrão:

• Você reduz significativamente o volume de tentativas de login mal-intencionadas
• Adiciona uma camada extra de proteção ao seu sistema
• Dificulta a identificação do seu serviço RDP por ferramentas de varredura comuns

Importante: Esta medida deve ser parte de uma estratégia de segurança mais ampla, não a única proteção.

Escolhendo a Porta Ideal

Ao contrário do que muitos tutoriais sugerem, a escolha da nova porta não deve ser aleatória. A seleção estratégica da porta pode trazer benefícios adicionais de segurança.

Dicas para escolher uma porta:

• Evite portas conhecidas (0-1023) usadas por serviços comuns
• Evite portas registradas populares (1024-49151) que possam conflitar com outros softwares
• Considere usar uma porta no intervalo dinâmico/privado (49152-65535)
• Não escolha portas sequenciais óbvias como 3390, 3391, etc.
• Documente sua escolha em um local seguro!

Categorias de Portas:

• Portas Conhecidas (0-1023): Não recomendado (alto risco de conflito)
• Portas Registradas (1024-49151): Utilizável com cautela (verifique conflitos)
• Portas Dinâmicas/Privadas (49152-65535): Recomendado (menor risco de conflito)

Para este tutorial, usaremos a porta 51389 como exemplo. Esta é uma escolha estratégica, pois está no intervalo dinâmico e mantém uma semelhança numérica com a porta original (3389), facilitando a memorização.

Métodos para Alterar a Porta RDP

Existem três abordagens principais para alterar a porta RDP. Escolha a que melhor se adapta ao seu caso:

Escolha seu método baseado em:

• Você administra um único computador? Use o Editor de Registro (Método 1)
• Você gerencia múltiplos computadores em rede? Use Política de Grupo (Método 2)
• Prefere uma abordagem via PowerShell? Use o Script PowerShell (Método 3)

Método 1: Usando o Editor de Registro

⚠️ Atenção: Modificações no Registro do Windows podem causar problemas sérios se feitas incorretamente. Faça um backup do registro antes de continuar.

1. Abra o Editor do Registro pressionando Win + R, digite regedit e pressione Enter.

2. Navegue até a seguinte chave:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

3. No painel direito, localize o valor PortNumber.

4. Clique duas vezes nele e selecione Base Decimal.

5. Mude o valor de 3389 para sua nova porta (ex: 51389).

6. Clique em OK e feche o Editor do Registro.

💡 Dica avançada: Para verificar se o valor foi alterado corretamente, você pode usar o seguinte comando no PowerShell:

Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "PortNumber"

O valor retornado estará em hexadecimal. Para a porta 51389, você verá 0x00c8bd.

Método 2: Usando Política de Grupo (para ambientes de domínio)

1. Abra o Editor de Políticas de Grupo Local pressionando Win + R, digite gpedit.msc e pressione Enter.

2. Navegue até Configuração do Computador > Modelos Administrativos > Componentes do Windows > Serviços de Área de Trabalho Remota > Host da Sessão de Área de Trabalho Remota > Conexões.

3. No painel direito, localize e clique duas vezes em “Especificar número da porta de conexão do RDP”.

4. Selecione “Habilitado” e insira o novo número de porta (ex: 51389).

5. Clique em “Aplicar” e depois em “OK”.

6. Abra o prompt de comando como administrador e execute:

gpupdate /force

🛡️ Vantagem: Este método é ideal para administradores que precisam implementar a alteração em múltiplos computadores em um ambiente de domínio, garantindo uma configuração consistente.

Método 3: Usando PowerShell (abordagem automatizada)

1. Abra o PowerShell como Administrador.

2. Cole e execute o seguinte script (personalize a porta conforme necessário):

# Definir a nova porta RDP
$NovaPortaRDP = 51389

# Backup do valor atual
$PortaAtual = (Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "PortNumber").PortNumber
Write-Host "Porta RDP atual: $PortaAtual" -ForegroundColor Yellow

# Alterar a porta no registro
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "PortNumber" -Value $NovaPortaRDP -Type DWord
Write-Host "Porta RDP alterada para: $NovaPortaRDP" -ForegroundColor Green

# Configurar regra de firewall (remover a antiga)
Get-NetFirewallRule -DisplayName "Área de Trabalho Remota*" | Remove-NetFirewallRule
Write-Host "Regras de firewall antigas removidas" -ForegroundColor Yellow

# Adicionar novas regras de firewall para a nova porta
New-NetFirewallRule -DisplayName "Área de Trabalho Remota (TCP-Entrada)" -Direction Inbound -Protocol TCP -LocalPort $NovaPortaRDP -Action Allow
New-NetFirewallRule -DisplayName "Área de Trabalho Remota (UDP-Entrada)" -Direction Inbound -Protocol UDP -LocalPort $NovaPortaRDP -Action Allow
Write-Host "Novas regras de firewall criadas para a porta $NovaPortaRDP" -ForegroundColor Green

# Reiniciar o serviço de Área de Trabalho Remota
Restart-Service TermService -Force
Write-Host "Serviço de Área de Trabalho Remota reiniciado" -ForegroundColor Green

Write-Host "Processo concluído. Você deve reiniciar o computador para aplicar todas as alterações." -ForegroundColor Cyan

3. Reinicie o computador para aplicar completamente as alterações.

🛡️ Vantagem deste método: Este script não apenas altera a porta RDP, mas também atualiza automaticamente as regras de firewall, garantindo que a nova porta esteja corretamente configurada para permitir conexões.

Configurando o Firewall

Depois de alterar a porta RDP, você precisa atualizar as configurações do firewall para permitir conexões à nova porta. Se você usou o Método 3 (PowerShell), este passo já foi realizado automaticamente.

Para configurar manualmente:

1. Abra o Firewall do Windows com Segurança Avançada pressionando Win + R, digite wf.msc e pressione Enter.

2. No painel esquerdo, clique em “Regras de Entrada”.

3. Encontre as regras relacionadas à Área de Trabalho Remota.

4. Para cada regra, clique com o botão direito e selecione “Propriedades”.

5. Na guia “Protocolos e Portas”, altere a porta para a nova porta RDP (ex: 51389).

6. Clique em “OK” para salvar as alterações.

💡 Abordagem alternativa: Em vez de modificar as regras existentes, você pode criar novas regras específicas para sua porta personalizada e desativar as regras antigas. Isso facilita retornar à configuração original se necessário.

Verificando a Alteração

Após reiniciar o computador, você deve verificar se a alteração foi aplicada corretamente:

1. No mesmo computador, abra o PowerShell e execute:

netstat -an | findstr LISTENING | findstr :51389

(Substitua 51389 pela porta que você escolheu)

2. Se a alteração foi bem-sucedida, você verá uma linha mostrando que o sistema está escutando na nova porta.

3. Teste a conexão RDP de outro computador usando a nova porta.

Conectando-se à Nova Porta

Quando você precisar se conectar ao computador pela nova porta RDP, terá que especificar a porta junto com o endereço:

1. Abra o cliente de Área de Trabalho Remota (mstsc.exe).

2. No campo de endereço, digite o IP ou nome do host seguido de dois pontos e o número da porta:

computador:51389

ou

192.168.1.100:51389

💡 Dica para múltiplas conexões: Você pode salvar várias conexões RDP com configurações personalizadas usando arquivos .RDP. Para isso:

1. Configure a conexão RDP normalmente
2. Em vez de clicar em Conectar, clique em “Salvar como…”
3. Salve o arquivo .RDP
4. Para editar manualmente a porta, abra o arquivo .RDP em um editor de texto e localize/modifique a linha port:i:3389 para port:i:51389

Solução de Problemas

Se você encontrar dificuldades após alterar a porta RDP, verifique estes pontos comuns:

1. Verifique se o serviço está em execução

Get-Service TermService

2. Confirme as configurações do firewall

Get-NetFirewallRule -DisplayName "*remota*" | Format-Table Name,DisplayName,Enabled,Direction,Action,Profile

3. Verifique se o sistema está escutando na porta

netstat -an | findstr LISTENING | findstr :51389

4. Teste a conectividade da porta de outro computador

Test-NetConnection -ComputerName [IP-DO-SERVIDOR] -Port 51389

5. Se tudo falhar, você pode reverter para a porta padrão 3389 usando qualquer um dos métodos descritos.

Medidas de Segurança Adicionais

Alterar a porta RDP é apenas uma camada de defesa. Para uma segurança mais robusta, considere implementar estas medidas adicionais:

• Limitar tentativas de login: Configure o bloqueio de conta após várias tentativas falhas
• Implementar Autenticação de Dois Fatores: Use ferramentas como Azure MFA ou DUO Security para RDP
• Usar Network Level Authentication (NLA): Requer autenticação antes de estabelecer uma sessão completa
• Configurar uma VPN: Faça com que o RDP só seja acessível através de uma conexão VPN segura
• Implementar whitelisting de IP: Permita apenas conexões de endereços IP confiáveis
• Aplicar políticas de senha fortes: Exija senhas complexas e alterações regulares
• Manter o sistema atualizado: Aplique patches de segurança regularmente
• Monitorar tentativas de login: Configure alertas para tentativas de acesso não autorizadas

Conclusão

Alterar a porta padrão do RDP é uma prática recomendada de segurança que reduz significativamente o risco de ataques automatizados. Ao seguir este tutorial, você adicionou uma camada extra de proteção ao seu sistema Windows.

Lembre-se de que a segurança de TI eficaz depende de uma abordagem em camadas. Combine esta técnica com outras medidas de segurança para criar uma defesa robusta para seus sistemas.

Nota final: Documente sua nova configuração em um local seguro, incluindo a porta escolhida e quaisquer outras alterações de configuração. Isso é essencial para futura manutenção do sistema ou recuperação de desastres.