Restringir RDP no Windows Server 2022 a PCs específicos (por IP): passo a passo e melhores práticas

Precisa limitar o RDP em um Windows Server 2022 a apenas 15 PCs de uma rede com ~50 máquinas ligadas por VPN? Este guia prático mostra o que realmente funciona (firewall por IP), por que filtrar por “nome de computador” não é suportado e como implantar com segurança — via GUI, PowerShell e GPO.

Visão geral do cenário

Uma empresa tem cerca de 50 PCs em rede (acesso via VPN) e deseja permitir que apenas 15 desses equipamentos abram sessão RDP (Remote Desktop Protocol) em um Windows Server 2022. O autor já tentou:

• Adicionar os 15 computadores ao grupo local Remote Desktop Users;
• Criar grupos de segurança no Active Directory para os usuários autorizados.

Mesmo assim, todos os PCs continuam conseguindo iniciar a conexão RDP. A exigência é restringir por dispositivo — de preferência usando nomes de máquina —, não apenas por usuário.

Por que a abordagem por “nome de computador” não funciona

O controle nativo do Windows para logon em RDP é orientado a usuários (direitos de logon e pertencimento a grupos), não ao endpoint de origem. Em especial:

• O direito Allow log on through Remote Desktop Services (SeRemoteInteractiveLogonRight) aplica-se a usuários e grupos, não a objetos de computador.
• Adicionar computadores ao grupo Remote Desktop Users não surte efeito: esse grupo foi concebido para contas de usuário.
• O serviço RDP não “resolve” e nem valida nomes de estação de trabalho na fase de abertura da conexão de transporte (antes da autenticação), logo não há como dizer “só aceite PC‑01, PC‑02…”.

Em outras palavras, se um usuário está autorizado, por padrão ele poderá iniciar RDP a partir de qualquer máquina que alcance a porta 3389 do servidor. Portanto, o ponto de controle correto para “qual máquina pode chegar ao RDP” é o Firewall do Windows (ou outro controle de rede).

Abordagens possíveis (com prós e contras)

Abordagem	Passos essenciais	Limitações / Observações
Restringir por usuário (não por computador)	No AD, crie um grupo (ex.: RDP‑Permitidos). Adicione somente os usuários que podem usar RDP. No servidor, abra secpol.msc → Local Policies ▸ User Rights Assignment → Allow log on through Remote Desktop Services. Adicione RDP‑Permitidos e remova Remote Desktop Users se necessário.	Impede quem não está no grupo, mas não limita por PC. Um usuário autorizado ainda pode entrar a partir de qualquer dispositivo que alcance a porta 3389.
Firewall (filtrar por endereço IP)	Abrir Windows Defender Firewall with Advanced Security (wf.msc). Inbound Rules → New Rule (Custom). Protocolo TCP, porta 3389; (opcional: também criar equivalente em UDP 3389). Em Scope ▸ Remote IP address, marcar These IP addresses e inserir os IPs dos 15 PCs. Ação = Allow. Desativar as regras padrão de RDP para evitar acessos fora da lista.	Funciona e é simples. Requer IPs estáticos ou reservas DHCP. Se o IP do cliente mudar, o acesso cai até você atualizar a regra.
Firewall por nome de computador	—	Não é suportado no Windows Server 2022: as regras de firewall não fazem resolução de nomes para remote addresses. Somente endereços IP podem ser usados.

Conclusão: no Windows Server 2022 não é possível limitar RDP por nome de máquina. A maneira nativa de filtrar “por dispositivo” é via endereço IP no Firewall. Para políticas baseadas em identidade de dispositivo e combinações usuário+máquina por nome, utilize soluções externas como RD Gateway + NPS (com ou sem MFA) ou um sistema de NAC.

Passo a passo recomendado: permitir RDP só para 15 PCs (GUI)

Antes de começar, tenha a lista dos 15 IPs (idealmente fixos/estáticos ou com reserva DHCP). Execute localmente no servidor (ou via sessão de manutenção):

1. Abra wf.msc (Windows Defender Firewall with Advanced Security).
2. Vá em Inbound Rules → clique em New Rule….
3. Selecione Custom → Next.
4. Em Program, deixe All programs → Next.
5. Em Protocol and Ports: Protocol type = TCP; Local port = Specific Ports: 3389 → Next.
6. Em Scope:
   • Which remote IP addresses does this rule apply to? → marque These IP addresses e adicione a lista dos 15 IPs.
   • (Opcional) repita o procedimento criando uma segunda regra para UDP 3389, se você utiliza o transporte UDP do RDP.
7. Em Action, selecione Allow the connection → Next.
8. Em Profile, marque os perfis aplicáveis (Domain e/ou Private conforme o NIC do servidor). Evite Public em servidores corporativos não expostos.
9. Dê um nome claro, por ex.: RDP (TCP 3389) – Somente PCs autorizados.
10. Desative as regras padrão do RDP para evitar caminhos alternativos:
    • No grupo Remote Desktop, desative Remote Desktop – User Mode (TCP‑In) e Remote Desktop – User Mode (UDP‑In).

Dica: com as regras padrão desativadas, e apenas a regra “Allow” restrita por IP ativa, tudo o que não estiver na lista é bloqueado pelo comportamento padrão do firewall.

PowerShell: criar, desativar padrão e validar

Se preferir automatizar, abra o PowerShell (administrador) no servidor e execute:

$ips = @(
  "10.10.50.11","10.10.50.12","10.10.50.13","10.10.50.14","10.10.50.15",
  "10.10.50.16","10.10.50.17","10.10.50.18","10.10.50.19","10.10.50.20",
  "10.10.50.21","10.10.50.22","10.10.50.23","10.10.50.24","10.10.50.25"
)

New-NetFirewallRule `  -DisplayName "RDP (TCP 3389) - Somente PCs autorizados"`
-Direction Inbound -Action Allow -Protocol TCP -LocalPort 3389 `
-RemoteAddress ($ips -join ",") -Profile Domain,Private

(Opcional) Se usar RDP/UDP:

New-NetFirewallRule `  -DisplayName "RDP (UDP 3389) - Somente PCs autorizados"`
-Direction Inbound -Action Allow -Protocol UDP -LocalPort 3389 `
-RemoteAddress ($ips -join ",") -Profile Domain,Private

Desativar as regras padrão de RDP (evita acessos não filtrados)

Get-NetFirewallRule -DisplayGroup "Remote Desktop" | Where-Object { $_.Direction -eq "Inbound" } | Disable-NetFirewallRule

Conferir o resultado

Get-NetFirewallRule -DisplayName "RDP*" | Get-NetFirewallAddressFilter | Format-List 

Teste a partir dos clientes:

# Do PC autorizado (deve dar sucesso):
Test-NetConnection -ComputerName NOME-DO-SERVIDOR -Port 3389

De um PC não autorizado (deve falhar):

Test-NetConnection -ComputerName NOME-DO-SERVIDOR -Port 3389 

Aplicando via Diretiva de Grupo (GPO)

Para padronizar em um conjunto de servidores, crie um GPO vinculado à OU dos servidores RDS:

1. Abra o Group Policy Management no controlador de domínio.
2. Crie um novo GPO (ex.: SRV – RDP por IP (Allow List)) e edite-o.
3. Vá em Computer Configuration ▸ Policies ▸ Windows Settings ▸ Security Settings ▸ Windows Defender Firewall with Advanced Security.
4. Acesse Inbound Rules → New Rule… e crie as mesmas regras de Allow (TCP/UDP 3389) com a lista de IPs em Scope ▸ Remote IP address.
5. No mesmo GPO, desabilite as regras padrão do grupo Remote Desktop (TCP/UDP) para garantir que só a sua allow list esteja ativa.
6. Force a aplicação com gpupdate /force no servidor e verifique com gpresult /h c:\gp.html.

Observação: se os 15 PCs mudam com frequência, considere separar a “lista de IPs” em um GPO por site ou por VPN pool, facilitando a manutenção.

Prepare o terreno: fixar IPs dos 15 PCs

O filtro por IP só é confiável se os clientes tiverem endereços previsíveis. Você tem duas opções:

• Reservas DHCP: no servidor DHCP, crie reservas para os 15 MAC addresses e documente o “PC ↔ IP”. É a abordagem mais comum.
• IP estático nos clientes: configure manualmente o IP, máscara, gateway e DNS; documente e padronize.

Boas práticas: mantenha uma planilha com Nome do PC, Usuário, IP, MAC, Setor e Observações; isso acelera auditoria e mudanças.

VPN, NAT, IPv6 e multi‑NIC: pontos de atenção

• VPN: confirme se o servidor enxerga o IP do túnel do cliente (pool da VPN). É este IP que deve entrar na allow list. Se a VPN fizer NAT, o servidor verá o endereço do gateway VPN — nesse caso, o filtro fica no gateway (ou você perde a granularidade por PC).
• IPv6: se a sua rede usa IPv6, crie regras de Allow também para os endereços IPv6 dos 15 PCs, ou bloqueie o RDP/IPv6 desativando a regra padrão e deixando apenas as Allow específicas.
• Porta customizada: se o RDP usa porta não padrão (registro HKLM\...\RDP-Tcp\PortNumber), ajuste as regras para a porta correta.
• Servidores com múltiplas NICs: em Local IP address da regra, restrinja à interface correta (ex.: rede interna) para reduzir superfície de ataque.
• Nuvem (IaaS): em Azure/AWS/GCP, repita o filtro na camada de segurança da nuvem (NSG/Security Group) além do firewall do Windows.

Barreira adicional: RD Gateway + NPS (recomendado)

Para combinar usuário + dispositivo com MFA e auditoria centralizada, coloque um RD Gateway entre a rede dos clientes e o(s) servidor(es) RDP. Com o NPS você cria políticas que checam grupos de usuários, certificados de máquina e fatores adicionais. É a forma corporativa de impor compliance sem depender de IP fixo e ainda registrar quem, de onde e quando se conectou.

Auditoria e monitoramento

• Ative logs de Firewall (Microsoft‑Windows‑Windows Firewall With Advanced Security/Firewall).
• Monitore Security (IDs 4624 / 4625) e RemoteDesktopServices‑RdpCoreTS/Operational para tentativas e falhas RDP.
• Crie alertas (SIEM/Sentinel/Defender) para picos de falhas e acessos fora de horário.

Boas práticas de segurança que valem ouro

• NLA (Network Level Authentication) sempre habilitado.
• Duplo controle: além do firewall por IP, mantenha o grupo de usuários (RDP‑Permitidos) — duas camadas independentes.
• MFA sempre que possível (principalmente via RD Gateway).
• Política de bloqueio de conta (Account Lockout) para reduzir força bruta.
• Atualizações do Windows e do cliente RDP em dia (TLS/NLA).
• Evite expor 3389 na internet; use VPN ou RD Gateway.

Testes, “rede de segurança” e rollback

1. Mantenha uma sessão de manutenção aberta (por exemplo, Hyper‑V/VM console, iLO/iDRAC, ou acesso local) antes de aplicar as regras, para não se trancar fora.
2. Aplique as regras de Allow, valide com um PC autorizado e só então desative as regras padrão do RDP.
3. Se perder acesso: use o console local para Enable-NetFirewallRule -DisplayGroup "Remote Desktop" e rever as regras.

Checklist (pronto para produção)

• IPs dos 15 PCs definidos e documentados (estático ou reserva DHCP).
• Regra de Allow TCP 3389 por IP criada; (opcional) Allow UDP 3389 por IP criada.
• Regras padrão de RDP (TCP/UDP) desativadas.
• Perfis corretos (Domain/Private) selecionados.
• Testes de conexão com Test-NetConnection aprovados; tentativa de um PC fora da lista bloqueada.
• Logs e alertas configurados.

FAQ – Perguntas frequentes

Posso usar “nomes de computador” na regra?

Não. O Windows Server 2022 não suporta nomes de máquina em remote addresses do firewall; apenas IPs.

E se os IPs dos 15 PCs mudarem?

Use reservas DHCP ou IP estático. Sem isso, a regra perde o efeito quando o endereço muda.

Minha VPN faz NAT. O que fazer?

O servidor verá o IP do gateway da VPN, não o IP individual do cliente. Nesse caso, faça o filtro no dispositivo de VPN (ou adote RD Gateway/NPS para identificar o dispositivo).

Preciso mesmo desativar as regras padrão do RDP?

Sim, para garantir que somente a sua allow list esteja ativa. Caso contrário, outra regra pode permitir conexões de fora da lista.

UDP 3389 é obrigatório?

Não. O RDP funciona apenas com TCP 3389. O transporte UDP acelera a experiência; se você não criar a regra UDP, o cliente usa apenas TCP.

Consigo aplicar em vários servidores de uma vez?

Sim. Crie as mesmas regras via GPO na OU dos servidores e desative as regras padrão via política.

Resposta direta ao autor

1. Fixe os IPs dos 15 computadores (reservas DHCP ou estático).
2. No Firewall do Windows do servidor, crie regra de entrada para TCP 3389 (e opcionalmente UDP 3389) permitindo apenas esses IPs em Scope ▸ Remote IP address.
3. Desative as regras padrão de RDP (TCP/UDP) para que somente sua allow list valha.
4. (Opcional) Continue controlando quem pode logar via grupo do AD. Isso dá dupla checagem: por usuário e por IP.

Resumo executivo: limitar RDP por nome de máquina não é suportado no Windows Server 2022. A forma nativa e eficaz de restringir por dispositivo é o filtro por IP no firewall. Para políticas baseadas em nomes/identidade de dispositivo com MFA, use RD Gateway + NPS (ou NAC).