Guia Completo para Verificar Portas Abertas no Windows 2026

Navegar
Voltar ao blog
Publicado
Mar 05, 2026
Tempo de leitura
9 min de leitura
Escrito por
Simon Meier
Guia para verificar portas abertas no Windows usando o comando netstat e PowerShell

Verificar portas abertas no Windows é algo que todo usuário consciente de rede deveria saber como fazer. Uma porta aberta significa que seu computador está ativamente escutando conexões naquele número de porta, e saber quais estão abertas ajuda você a identificar falhas de segurança, resolver problemas de conexão e verificar que seus aplicativos estão funcionando corretamente. Windows oferece várias formas integradas de fazer isso, além de ferramentas externas que podem testar como suas portas parecem de fora.

Tabela de Conteúdo

O Que São Portas Abertas e Por Que Importam

Todo serviço de rede no seu computador se vincula a um número de porta entre 1 e 65535. Quando um serviço está rodando e aguardando conexões recebidas, essa porta está "aberta". Quando nada está escutando lá, a porta está "fechada" e tentativas de conexão recebida são recusadas ou ignoradas.

Aqui está por que isso importa na prática:

  • Auditoria de segurança: Uma porta aberta inesperada pode significar um processo não autorizado, malware ou um serviço mal configurado expondo sua máquina.
  • Resolução de problemas: Se seu servidor web, servidor de jogo ou área de trabalho remota está inacessível, a primeira pergunta é se a porta está realmente aberta.
  • Verificação de firewall: Seu Firewall do Windows pode estar bloqueando uma porta mesmo que o serviço esteja rodando, ou permitindo uma que você achava que estava fechada.
Dica: "Aberta" e "não bloqueada pelo firewall" são duas coisas diferentes. Uma porta pode estar aberta localmente (um serviço está escutando) mas ainda bloqueada externamente pelo seu firewall ou roteador. Os métodos abaixo cobrem ambos os ângulos.

Usando o Comando Netstat Para Ver Portas Abertas

O netstat comando é a forma integrada mais rápida para listar todas as portas que sua máquina Windows está atualmente escutando. Abra um Prompt de Comando (procure "cmd" no menu Iniciar, clique com botão direito e escolha "Executar como administrador") e execute: 

netstat -ano

Os sinalizadores se dividem assim:

  • -a mostra todas as conexões ativas e portas escutando.
  • -n exibe endereços e números de porta numericamente em vez de resolver nomes de host (muito mais rápido).
  • -o adiciona a ID do Processo (PID) para que você possa identificar qual programa possui cada porta.

As colunas de saída são: Proto , Local Address , Foreign Address , State , e PID . Procure por linhas onde a coluna State diz LISTENING . Essas são suas portas abertas.

Para reduzir apenas às portas escutando: 

netstat -ano | findstr LISTENING

Depois que você tem um PID que quer investigar, encontre o nome do processo com: 

tasklist /fi "PID eq 1234"

Substitua 1234 pelo PID real da saída netstat. Isso diz a você exatamente qual executável está escutando naquela porta.

Para verificar se uma porta específica está em uso, combine netstat com findstr: 

netstat -ano | findstr :443
Nota: Netstat mostra apenas portas TCP e UDP que têm uma vinculação ativa na máquina local. Não diz se essas portas estão acessíveis da internet. Para isso, você precisa de um verificador de porta externo (coberto abaixo).

Verificando Portas com PowerShell

PowerShell oferece uma alternativa mais limpa e mais programável ao netstat. Abra PowerShell como administrador e execute: 

Get-NetTCPConnection -State Listen | Select-Object LocalAddress, LocalPort, OwningProcess | Sort-Object LocalPort

Isso retorna uma lista classificada de toda porta TCP no estado LISTEN, incluindo o endereço local e o PID. Para resolver o PID para um nome de processo no mesmo comando: 

Get-NetTCPConnection -State Listen |
  Select-Object LocalPort,
    @{Name="Process";Expression={(Get-Process -Id $_.OwningProcess -ErrorAction SilentlyContinue).Name}} |
  Sort-Object LocalPort

Você também pode testar se um host remoto tem uma porta específica aberta diretamente do PowerShell usando Test-NetConnection : 

Test-NetConnection -ComputerName example.com -Port 443

Se TcpTestSucceeded : True aparece na saída, a porta está aberta e aceitando conexões da sua máquina. Isso é útil para verificar conectividade de saída do seu PC Windows para um servidor, não apenas verificar o que está aberto localmente.

Verificando Configurações do Firewall do Windows Para Regras de Porta

Firewall do Windows controla quais portas são permitidas para entrada e saída. Um serviço pode estar escutando em uma porta localmente, mas se o firewall bloqueia tráfego de entrada naquela porta, clientes externos não conseguem alcançá-lo. Aqui está como revisar suas regras de firewall.

Usando Windows Defender Firewall com Segurança Avançada

  1. Pressione Win + R , digite wf.msc , e pressione Enter.
  2. Clique em Inbound Rules no painel esquerdo para ver regras que controlam tráfego entrando em sua máquina.
  3. Clique em Outbound Rules para ver tráfego saindo de sua máquina.
  4. Classifique por Enabled para ver rapidamente quais regras estão ativas.
  5. Cada regra mostra o protocolo (TCP/UDP), porta local, porta remota e ação (Allow/Block).

Usando a Linha de Comando

Para listar todas as regras de firewall ativas da linha de comando: 

netsh advfirewall firewall show rule name=all

Para verificar se uma porta específica é permitida através do firewall: 

netsh advfirewall firewall show rule name=all | findstr "LocalPort"

A documentação oficial da Microsoft sobre configurar o Firewall do Windows cobre criação e gerenciamento de regras em detalhes se você precisar adicionar ou modificar regras.

Usando um Scanner de Porta no Windows

Ferramentas integradas são ótimas para verificar sua própria máquina, mas às vezes você precisa escanear outro host em sua rede, ou quer uma visão geral visual em vez de saída bruta de linha de comando. Um scanner de porta dedicado preenche essa lacuna.

Nmap é o padrão da indústria para escanear portas. É gratuito, código aberto e disponível para Windows no site oficial de download do Nmap . O instalador do Windows inclui Zenmap, uma interface gráfica. Um escan básico de um host se parece com isso: 

nmap -sV 192.168.1.1

O sinalizador -sV tenta detectar a versão de serviço rodando em cada porta aberta. Isso é útil para auditorias de segurança de rede no Windows porque você pode ver não apenas quais portas estão abertas, mas qual software está por trás delas.

Importante: Escaneie apenas hosts que você possui ou tem permissão explícita para escanear. Escanear portas de uma rede que você não controla pode violar o Computer Fraud and Abuse Act (CFAA) ou leis equivalentes no seu país.

Testando Suas Portas Abertas de Fora

Aqui está a distinção crítica que a maioria dos guias pula: uma porta pode estar escutando localmente em sua máquina Windows mas ainda parecer fechada para o mundo exterior. Isso acontece quando seu roteador não fez forwarding daquela porta, ou quando seu ISP a bloqueia. Para saber o que a internet realmente vê, você precisa testar de um ponto de vista externo.

É exatamente o que um verificador de porta online faz. Ele inicia uma conexão TCP para seu endereço IP de um servidor remoto e relata se a conexão foi aceita (Open), recusada (Closed) ou expirou (Timeout). Nenhuma instalação de software necessária, e ignora completamente seu firewall local para mostrar a visão real externa.

Ferramenta de verificação de porta online testando portas abertas no Windows

Veja Exatamente Quais Portas Estão Abertas em Sua Máquina Windows

Nosso verificador de porta online gratuito testa conexões TCP para qualquer IP ou domínio de um servidor externo, então você obtém a visão real de fora ao verificar portas abertas no Windows. Verifique uma única porta ou verifique em lote até 10 de uma vez, com resultados em milissegundos.

Verifique Suas Portas Abertas →

Referência Rápida de Portas Comuns

Saber quais serviços usam quais portas economiza tempo quando você está resolvendo problemas. Aqui estão as portas que você encontrará com mais frequência em um sistema Windows:

Porta Protocolo Serviço Uso Comum no Windows
80 TCP HTTP Servidores web (IIS, Apache), servidores de dev local
443 TCP HTTPS Servidores web seguros, Windows Update
3389 TCP RDP Remote Desktop Protocol, admin remoto
445 TCP SMB Compartilhamento de arquivos, compartilhamentos de rede Windows
22 TCP SSH OpenSSH (integrado no Windows 10/11)
21 TCP FTP Transferência de arquivo, serviço IIS FTP
25 TCP SMTP Envio de email, retransmissão de servidor de mail
3306 TCP MySQL Conexões de banco de dados MySQL/MariaDB
5432 TCP PostgreSQL Conexões de banco de dados PostgreSQL
135 TCP RPC Windows Remote Procedure Call, DCOM
Porta 3389 (RDP) é uma das portas mais agressivamente submetidas a força bruta na internet. Se você tem RDP aberto para a internet pública, considere movê-la para uma porta não padrão ou restringir acesso por endereço IP em suas regras de firewall.

Fechando Portas Que Você Não Precisa

Bom monitoramento de portas Windows não é apenas sobre encontrar o que está aberto. É sobre decidir o que deveria estar aberto e fechar tudo mais. Aqui está uma abordagem prática:

  1. Execute netstat -ano e liste todas as portas LISTENING. Mapeie cada PID para um nome de processo usando o comando tasklist mostrado anteriormente.
  2. Identifique serviços que você não precisa. Por exemplo, se você não está usando IIS, não há razão para as portas 80 ou 443 estarem abertas localmente. Pare o serviço via services.msc .
  3. Revise regras de entrada do Firewall do Windows. Abra wf.msc e desabilite quaisquer regras que permitam tráfego para portas que você identificou como desnecessárias.
  4. Verifique seu roteador. Regras de port forwarding no seu roteador podem expor portas mesmo se o Firewall do Windows as bloqueia no nível do SO. Faça login no painel admin do seu roteador e audite portas encaminhadas.
  5. Teste novamente de fora. Depois de fazer alterações, execute uma verificação de porta externa novamente para confirmar que as portas não estão mais acessíveis.

O avisos de segurança cibernética CISA publicam regularmente alertas sobre portas específicas sendo exploradas na prática. Verificar essa lista periodicamente é um bom hábito se você gerencia servidores Windows.

Uma porta aberta localmente significa que um serviço em sua máquina Windows está ativamente escutando conexões naquele número de porta. Uma porta aberta externamente significa que computadores de fora na internet realmente conseguem alcançá-la. Seu roteador, ISP ou Firewall do Windows podem bloquear acesso externo mesmo quando a porta está escutando localmente. Sempre teste de uma ferramenta externa para confirmar o status do mundo real.

Isso é quase sempre causado por uma de três coisas: Firewall do Windows tem uma regra de entrada bloqueando a porta, seu roteador não tem uma regra de port forwarding para essa porta, ou seu ISP está bloqueando a porta no nível de rede. Verifique cada camada em ordem. Portas comumente bloqueadas por ISP incluem 25 (SMTP), 80 e 443 em conexões residenciais.

Expor RDP diretamente para a internet é um risco de segurança significativo. Bots automatizados continuamente fazem scan da porta 3389 aberta e tentam logins de força bruta. Se você precisa de acesso remoto, use uma VPN para alcançar sua rede primeiro, restrinja acesso RDP a endereços IP específicos no Firewall do Windows, ou use uma porta não padrão combinada com senhas fortes e Network Level Authentication (NLA).

Netstat mostra portas UDP quando você usa o sinalizador -a . Procure por linhas rotuladas UDP na coluna Proto. No entanto, UDP não tem um handshake de conexão como TCP, então é muito mais difícil testar remotamente. A maioria dos verificadores de porta online, incluindo ferramentas baseadas em TCP, apenas testam conexões TCP. Para escanear UDP, Nmap com o sinalizador -sU é a opção prática, embora exija privilégios de administrador.

Abra wf.msc , clique em "Inbound Rules", depois "New Rule" à direita. Escolha "Port", selecione TCP ou UDP, digite o número da porta, escolha "Allow the connection", aplique aos perfis apropriados (Domain, Private, Public) e dê um nome à regra. Para fãs de linha de comando, use: netsh advfirewall firewall add rule name="MyPort" dir=in action=allow protocol=TCP localport=8080 .

Um timeout significa que o verificador de porta enviou uma solicitação de conexão TCP mas não recebeu resposta no período de espera (tipicamente alguns segundos). Isso geralmente significa que um firewall está silenciosamente descartando pacotes em vez de ativamente recusá-los. Um resultado "Closed" significa que o host enviou um TCP reset, recusando ativamente a conexão. Timeout é mais comum com configurações de firewall estritas que descartam em vez de rejeitar tráfego.