Um guia prático para permitir aplicativos, programas, portas, serviços e endereços IP confiáveis pelo Firewall do Windows Defender sem abrir mais acesso do que o necessário.
Uma exceção do Firewall do Windows é uma regra de permissão que deixa um tráfego de rede específico passar pelo Firewall do Windows Defender. A exceção pode permitir um aplicativo específico, um arquivo de programa da área de trabalho, um serviço do Windows, um número de porta, um protocolo ou tráfego de um endereço IP confiável.
No Windows 10 e no Windows 11, as exceções de firewall geralmente são criadas em um de dois lugares: a tela simples Permitir um aplicativo pelo firewall ou o console avançado chamado Firewall do Windows Defender com Segurança Avançada. O console avançado oferece mais controle sobre direção, caminho do programa, protocolo, porta, perfil e escopo de endereço remoto.
Permite que um aplicativo específico ou arquivo executável passe pelo firewall. É a melhor opção para a maioria dos programas de desktop e aplicativos da Microsoft Store.
Permite tráfego para uma porta TCP ou UDP, como 8080, 25565, ou 3389. Útil para servidores e ferramentas de rede.
Permite tráfego apenas de endereços de rede local, sub-redes ou dispositivos confiáveis selecionados, em vez de toda a rede.
Talvez seja necessário adicionar uma exceção quando um aplicativo confiável precisa receber conexões de entrada ou quando outro dispositivo não consegue se conectar a um serviço em execução no seu PC com Windows.
Antes de alterar regras de firewall, identifique exatamente o que precisa ser permitido. Isso evita criar uma exceção ampla demais ou difícil de diagnosticar posteriormente.
| Pergunta | Por que é importante | Exemplo |
|---|---|---|
| Qual programa precisa de acesso? | Uma regra baseada em programa geralmente é mais segura do que uma regra apenas por porta. | C:\Program Files\MyApp\MyApp.exe |
| Entrada ou saída? | A maioria dos problemas de hospedagem de aplicativos exige regras de entrada. Regras de saída são usadas quando o tráfego de saída é restrito. | Regra de entrada para um servidor local |
| Qual perfil de rede? | Privado geralmente é mais seguro para LANs domésticas ou de escritório. Público deve ser limitado. | Somente Privado |
| Qual protocolo e porta? | TCP e UDP são separados. Alguns aplicativos exigem ambos. | TCP 8080 ou UDP 27015 |
| Quais dispositivos podem se conectar? | O escopo de endereço remoto pode limitar a regra a endereços IP confiáveis. | 192.168.1.0/24 |
Privado normalmente é o perfil correto para uma rede doméstica ou corporativa confiável. Público é usado para redes não confiáveis, como hotéis, aeroportos, cafés e Wi-Fi compartilhado. Se você não tem certeza de qual perfil sua rede usa, abra Configurações → Rede e Internet e verifique as propriedades da conexão ativa.
Este é o método mais fácil quando você deseja adicionar uma exceção de firewall para um programa de desktop comum ou um aplicativo da Microsoft Store listado.
Win + R, digite control firewall.cpl e pressione Enter..exe do programa e clique em Adicionar.O console avançado do firewall é melhor quando você precisa de uma regra nomeada, um caminho de programa preciso, perfis de rede selecionados ou restrições de IP remoto.
Win + R, digite wf.msc e pressione Enter.Bons nomes para regras de firewall:
Allow Plex Media Server - Private LAN
Allow TCP 8080 - Local Web Test Server
Allow MyApp.exe Inbound - Accounting Network
Depois de criar a regra, clique duas vezes nela para revisar as guias Programas e Serviços, Protocolos e Portas, Escopo e Avançado. Essas guias controlam o que a exceção permite e onde ela se aplica.
Uma exceção de porta é útil quando você sabe a porta TCP ou UDP exata exigida por um servidor, jogo, ferramenta de dispositivo ou ambiente de desenvolvimento. Use uma exceção de programa quando possível; use uma exceção de porta quando a documentação do aplicativo exigir especificamente uma porta.
Win + R, digite wf.msc e pressione Enter.8080. Você também pode informar um intervalo, como 5000-5010.| Regra de exemplo | Protocolo | Porta | Escopo recomendado |
|---|---|---|---|
| Servidor web local de teste | TCP | 8080 |
Perfil Privado, somente sub-rede local |
| Servidor Minecraft Java | TCP | 25565 |
Perfil Privado ou endereços remotos confiáveis |
| Área de Trabalho Remota | TCP/UDP | 3389 |
Somente VPN ou endereços IP confiáveis |
| Compartilhamento de arquivos / SMB | TCP | 445 |
Somente LAN privada; não exponha à internet |
O PowerShell é útil para administradores, configurações repetíveis, scripts e suporte remoto. Abra Terminal (Administrador) ou Windows PowerShell (Administrador) antes de executar os comandos abaixo.
PowerShellNew-NetFirewallRule `
-DisplayName "Allow MyApp Inbound - Private" `
-Direction Inbound `
-Program "C:\Program Files\MyApp\MyApp.exe" `
-Action Allow `
-Profile Private
PowerShellNew-NetFirewallRule `
-DisplayName "Allow TCP 8080 - Local Web Server" `
-Direction Inbound `
-Protocol TCP `
-LocalPort 8080 `
-Action Allow `
-Profile Private
PowerShellNew-NetFirewallRule `
-DisplayName "Allow UDP 27015 - Game Server" `
-Direction Inbound `
-Protocol UDP `
-LocalPort 27015 `
-Action Allow `
-Profile Private
PowerShellNew-NetFirewallRule `
-DisplayName "Allow TCP 8080 from LAN only" `
-Direction Inbound `
-Protocol TCP `
-LocalPort 8080 `
-RemoteAddress 192.168.1.0/24 `
-Action Allow `
-Profile Private
Substitua o caminho do programa, o nome de exibição, a porta, o protocolo, o perfil e o endereço remoto pelos valores exigidos pelo seu aplicativo ou rede.
O Prompt de Comando pode criar exceções de firewall com netsh advfirewall. Isso é útil em scripts antigos ou sistemas nos quais o PowerShell não é preferido.
Prompt de Comandonetsh advfirewall firewall add rule name="Allow MyApp Inbound - Private" dir=in action=allow program="C:\Program Files\MyApp\MyApp.exe" profile=private enable=yes
Prompt de Comandonetsh advfirewall firewall add rule name="Allow TCP 8080 - Local Web Server" dir=in action=allow protocol=TCP localport=8080 profile=private enable=yes
Prompt de Comandonetsh advfirewall firewall add rule name="Allow UDP 27015 - Game Server" dir=in action=allow protocol=UDP localport=27015 profile=private enable=yes
A exceção de firewall mais segura é a mais restrita que ainda permite que o aplicativo funcione. Depois de criar uma regra em wf.msc, você pode restringi-la ainda mais.
wf.msc.wf.msc.192.168.1.50 ou 192.168.1.0/24.Revise exceções personalizadas do firewall periodicamente. Regras antigas de teste, regras duplicadas ou regras de aplicativos removidos podem criar exposição desnecessária e dificultar a solução de problemas.
| Tarefa | Método pela interface gráfica | Comando do PowerShell |
|---|---|---|
| Desativar uma regra | Abra wf.msc, clique com o botão direito na regra e selecione Desativar Regra. |
Disable-NetFirewallRule -DisplayName "Rule Name" |
| Ativar uma regra | Clique com o botão direito na regra e selecione Ativar Regra. | Enable-NetFirewallRule -DisplayName "Rule Name" |
| Remover uma regra | Clique com o botão direito na regra e selecione Excluir. | Remove-NetFirewallRule -DisplayName "Rule Name" |
| Ver regras correspondentes | Use as opções de pesquisa/filtro em Regras de Entrada. | Get-NetFirewallRule -DisplayName "*MyApp*" |
Prompt de Comandonetsh advfirewall firewall delete rule name="Allow TCP 8080 - Local Web Server"
Se o aplicativo ainda estiver bloqueado depois que você adicionar uma exceção, verifique a direção da regra, o perfil, o caminho do programa, o protocolo, a porta e se o aplicativo realmente está escutando conexões.
| Problema | O que verificar | Correção |
|---|---|---|
| Perfil de rede incorreto | A regra está permitida para Privado, mas o Windows marca a rede como Pública. | Altere a rede ativa para Privada se ela for confiável, ou adicione o perfil correto à regra. |
| Direção da regra incorreta | Regra de entrada versus regra de saída. | Crie uma regra de entrada quando outros dispositivos precisarem se conectar a este PC. |
| O caminho do programa mudou | O aplicativo foi atualizado ou movido para outra pasta. | Edite a regra ou crie uma nova regra com o caminho atual do .exe. |
| Nenhum serviço está escutando | netstat -ano | findstr :PORT |
Inicie o aplicativo ou serviço que deve aceitar conexões. |
| Protocolo incorreto | O aplicativo exige UDP, mas somente TCP foi permitido, ou o contrário. | Crie a regra TCP ou UDP correta. Alguns aplicativos exigem ambos. |
| O roteador bloqueia acesso pela internet | Redirecionamento de porta, IP WAN, CGNAT e regras de firewall do roteador. | Configure o redirecionamento de porta no roteador somente quando o acesso externo for necessário e seguro. |
| Firewall de terceiros está ativo | Suítes de segurança podem substituir ou adicionar outra camada de firewall. | Adicione a exceção no firewall de terceiros ou teste com ele temporariamente desativado. |
Prompt de Comandonetstat -ano | findstr LISTENING
netstat -ano | findstr :8080
PowerShellGet-NetTCPConnection -State Listen
Test-NetConnection 192.168.1.50 -Port 8080
wf.msc, encontre a regra em Regras de Entrada ou Regras de Saída, então desative ou exclua-a. No PowerShell, use Disable-NetFirewallRule ou Remove-NetFirewallRule.Para a maioria dos usuários, o método mais seguro é permitir um aplicativo específico pelo Firewall do Windows e habilitá-lo somente no perfil Privado. Para mais controle, use wf.msc para criar uma regra de entrada nomeada, selecionar o programa ou porta exatos e limitar o escopo a endereços IP confiáveis.
Adicione somente as exceções de firewall que você realmente precisa, use nomes de regra descritivos, evite o perfil Público a menos que seja necessário e remova regras antigas após os testes. Uma regra restrita para um aplicativo confiável ou um intervalo de IP confiável é muito mais segura do que uma regra ampla que permite a conexão de qualquer dispositivo.