Quali porte aprire per Active Directory, RDP, DNS e altro in Windows Server

Ultimo aggiornamento: 15/04/2025
Autore: Isaac
  • Elenco completo delle porte TCP e UDP per i ruoli in Windows server
  • Configurazioni e pratiche di sicurezza consigliate per RDP, DNS e Active Directory
  • Come proteggere la tua rete limitando le porte non necessarie e applicandole in base al ruolo
  • Dettagli sul protocollo utilizzato da ciascun servizio e su come aprire o monitorare le porte

Elenco delle porte per i servizi di Windows Server

L'amministrazione di una rete basata su di Windows Server richiede una conoscenza precisa dell' porte che devono essere aperte affinché i servizi funzionino correttamente. Dall'abilitazione degli accessi remoti alla garanzia dell'autenticazione degli utenti e della corretta risoluzione dei nomi di dominio, vari protocolli si basano su porte specifiche per funzionare. Per gestire correttamente queste porte è utile consultare le informazioni relative tipi di porte di rete.

Che tu stia impostando un Server Active Directory (AD), un Server DNS, o abilitando l'accesso tramite Desktop remoto (RDP), aprire le porte è fondamentale. Se non si procede correttamente, si possono verificare errori di connessione, problemi di autenticazione o addirittura compromettere la sicurezza dell'infrastruttura se si lasciano aperte più porte del necessario.

Concetti generali su protocolli e porte in Windows Server

SERVER DI WINDOWS

Windows Server utilizza un'ampia varietà di servizi che richiedono l'apertura Porte TCP e UDP. Queste porte consentono la comunicazione tra diversi dispositivi e servizi all'interno della rete e anche verso l'esterno. I due protocolli principali utilizzati su queste porte sono TCP (Transmission Control Protocol) y UDP (Protocollo Datagram Utente).

TCP È caratterizzato dal fatto di essere un protocollo affidabile e orientato alla connessione, che garantisce che tutti i pacchetti arrivino nell'ordine corretto. Per questo motivo viene utilizzato nei servizi che richiedono stabilità, come HTTP, FTP o RDP. D'altra parte, UDP È più veloce ma meno affidabile, motivo per cui viene scelto per servizi come DNS, Streaming, giochi online, ecc.

Inoltre, i porti si classificano in:

  • Porte note (0-1023): Utilizzato da protocolli standard come HTTP (80), DNS (53) o SSH (22).
  • Porti registrati (1024-49151): Creato per servizi o applicazioni meno comuni. Possono essere registrati dalle aziende.
  • Porte dinamiche o effimere (49152-65535): Utilizzato dal sistema quando un client avvia una connessione. Noti anche come porte casuali o temporanee.

Porte utilizzate da Active Directory (AD)

Active Directory è il cuore di qualsiasi rete di dominio basata su Windows. Per il corretto funzionamento dei tuoi servizi è fondamentale aprire diverse porte chiave principalmente legato ai protocolli LDAP, Kerberos e RPC. Puoi trovare ulteriori informazioni su come comunicare con questi servizi in vari contesti.

Tra i più importanti abbiamo:

  • TCP/UDP 389: È la porta utilizzata da LDAP (Lightweight Directory Access Protocol). È una priorità per l'autenticazione degli utenti e la replicazione delle directory.
  • TCP 636: Utilizzato per LDAP su SSL (LDAPS).
  • TCP/UDP 88: Associato al protocollo Kerberos, utilizzato per l'autenticazione.
  • TCP 445: Utilizzato da SMB per la condivisione di file e stampanti.
  • TCP 135: Mappatore degli endpoint RPC.
  • TCP 3268 / 3269: Catalogo globale (GC). 3268 per le ricerche e 3269 quando è richiesta una connessione sicura (SSL).
  • TCP 9389: Servizi Web di Active Directory (ADWS).
  • TCP/UDP 53: Porta per la risoluzione DNS.
  • TCP 49152–65535: Intervallo di porte dinamiche RPC.
  Scopri come attivare o disattivare Ehi Siri su Apple Watch

Queste porte devono essere disponibili su tutti controller di dominio e sistemi che interagiscono con l'AD. Inoltre, se si lavora con controller di dominio in sedi o reti diverse, assicurarsi di consentire queste porte tra le posizioni.

Porte necessarie per Desktop remoto (RDP)

Desktop remoto (RDP) è una delle funzionalità più utilizzate negli ambienti Windows Server. La sua porta predefinita è 3389 TCP, sebbene possa essere modificato per motivi di sicurezza. È importante sapere che garantire la sicurezza in questi punti di accesso è essenziale per proteggere la tua rete.

Le porte richieste variano a seconda dell'infrastruttura e del numero di ruoli distribuiti (ad esempio RD Gateway, RD Licensing, RD Session Host, ecc.). Qui vi mostriamo gli elementi essenziali:

  • TCP/UDP 3389: Porta RDP predefinita.
  • TCP 443: Se si utilizza Desktop remoto tramite Web (RDWeb) o Gateway, questo viene incapsulato in HTTPS.
  • UDP3391: Traffico RDP su UDP, più efficiente se utilizzato con un Gateway.
  • TCP 5504: Comunicazione tra Web Access e Connection Broker.
  • TCP 5985: Per l'amministrazione tramite PowerShell e WMI.
  • TCP 445: Comunicazione SMB tra server di licenza e host.
  • TCP 139 / UDP 137-138: Servizi NetBIOS utilizzati in ambienti legacy.
  • TCP 49152–65535: Utilizzo dinamico da parte di RPC.

Queste porte devono essere aperte a seconda del ruolo specifico implementato all'interno del server RDS. Se si utilizzano connessioni basate su Internet o bilanciatori di carico, RD Gateway è la scelta ideale per incapsulare RDP in HTTPS ed evitare problemi con firewall o NAT.

Porte per i server DNS

Il DNS (Domain Name System) consente ai computer all'interno o all'esterno della rete di risolvere i nomi di dominio come "server.contoso.local" in indirizzi IP. Assicurati che sia configurato correttamente, per fare ciò, puoi consultare di più sul funzionamento del Server DNS.

Le porte principali per questo servizio sono:

  • UDP53: Per la maggior parte delle query DNS.
  • TCP 53: Viene utilizzato quando la risposta supera la dimensione di un pacchetto UDP o per trasferimenti da zona a zona tra server DNS.

Come per tutti i servizi, è una buona idea tenere aperte le porte solo sui computer che fungono da server DNS e applicare regole firewall per filtrare l'accesso da reti non autorizzate.

Porte per DHCP e WINS

Nelle reti in cui gli indirizzi IP vengono forniti dinamicamente tramite DHCP, è necessario consentire determinate porte:

  • UDP67: Ascoltato dal server DHCP.
  • UDP68: Utilizzato dai client per ricevere la configurazione.
  Come incantare le cose in Minecraft - Puoi incantare le cose in Minecraft ai livelli 1000, X e infinito.

Sebbene deprecato, WINS può ancora essere presente in ambienti legacy con applicazioni legacy:

  • UDP137: Risoluzione dei nomi NetBIOS.
  • UDP138: Servizi datagramma NetBIOS.
  • TCP 139: Sessioni NetBIOS.

Se questi servizi non vengono utilizzati, si consiglia vivamente di disattivarli e chiudere le porte corrispondenti per evitare vulnerabilità. Puoi anche consultare su come gestire correttamente i dispositivi USB come parte della sicurezza complessiva del tuo sistema.

Porte necessarie per i server di stampa

I server di stampa possono anche rappresentare un punto di esposizione se le porte inutilizzate rimangono aperte. Pertanto, se si gestiscono le code di stampa tramite Windows Server, assicurarsi che queste porte siano attive:

  • TCP 135: PRC.
  • UDP 137-138: NetBIOS richiesto per la condivisione della stampante su reti legacy.
  • TCP 139: Comunicazione NetBIOS tramite TCP.
  • TCP 445: Protocollo SMB per la condivisione di file e stampanti.

È inoltre una buona idea aprire le porte dinamiche alte utilizzate dal protocollo RPC (49152–65535) se il server di stampa verrà gestito in remoto. La manipolazione di queste porte può essere fondamentale per un funzionamento fluido e sicuro.

Porte del servizio di tempo (NTP/SNTP)

Windows Server include per impostazione predefinita il servizio Ora di Windows (W32Time), che sincronizza l'orologio di sistema con fonti esterne o controller di dominio. Mantenere un orario preciso è essenziale per la sicurezza e la funzionalità del sistema.

Le porte per questo servizio sono:

  • UDP123: Porta utilizzata da NTP e SNTP.

Questa porta deve essere aperta se il server si sincronizza con una sorgente oraria esterna o se altri computer sulla rete la utilizzano come riferimento temporale.

Porte per i servizi di posta elettronica (SMTP, POP3, IMAP)

Se disponi di un server di posta, come Microsoft Exchange o un altro server basato su Windows Server, devi aprire:

  • TCP 25: SMTP (invio di posta).
  • TCP 465 / 587: SMTP con SSL o TLS.
  • TCP 110: POP3.
  • TCP 995: POP3 con SSL.
  • TCP 143: IMAP.
  • TCP 993: IMAP con SSL.

Si consiglia di preferire le porte crittografate e di rimuovere o bloccare le porte associate a protocolli non protetti per preservare l'integrità delle comunicazioni. Puoi esplorare di più sulla gestione OS en Windows 11.

Porte per i servizi Web in IIS

Se il tuo server ospita pagine web tramite Internet Information Services (IIS), dovrai aprire le seguenti porte nel tuo firewall:

  • TCP 80: HTTP (nessuna crittografia).
  • TCP 443: HTTPS (crittografia SSL/TLS).
  • TCP 8080: Porta alternativa per HTTP, comunemente utilizzata nello sviluppo o nell'amministrazione.

È importante disporre di certificati validi per garantire il corretto funzionamento del traffico HTTPS ed evitare avvisi di sicurezza nel browser. Ricorda che quando gestisci i tuoi server è fondamentale avere una conoscenza approfondita delle porte aperte per evitare vulnerabilità.

  Come pianificare l'impatto dell'inflazione su risparmi e investimenti

Come visualizzare e controllare quali porte sono aperte in Windows Server

Dal sistema stesso è possibile utilizzare diversi metodi:

  • netstat -an: Visualizza tutte le connessioni attive e le porte in ascolto.
  • Get-NetTCPConnection (PowerShell): molto utile per elencare le connessioni TCP attive.
  • telnet: Controllare se una porta è accessibile da un altro computer.
  • Test-NetConnection: Comando PowerShell più moderno per testare la connettività.

Esempio:

Test-NetConnection -ComputerName servidor.contoso.local -Port 3389

Puoi anche utilizzare Nmap da un'altra macchina per scansionare un'ampia gamma di porte, ideale per gli audit. Per una buona scansione e un buon monitoraggio, prendi in considerazione la lettura di software di monitoraggio che possono aiutarti a gestire meglio le tue risorse.

Porti pericolosi o comunemente sfruttati

Ci sono porti che storicamente sono stati bersaglio di attacchi massicci. Alcuni esempi:

  • TCP 3389: L'RDP è stato oggetto di attacchi brute force in numerose campagne ransomware.
  • TCP 445: Sfruttato da il malware come WannaCry.
  • TCP 23: Telnet, senza crittografia, non dovrebbe mai essere esposto.
  • UDP161: SNMP, se non utilizzato, è meglio chiuderlo.

Mantenere queste porte aperte inutilmente è uno degli errori più comuni in sicurezza informatica. Per individuare questi casi, esegui scansioni frequenti sulla tua rete. La gestione delle porte è un'attività che deve essere continua per proteggere la rete, quindi è necessario saperlo affrontare gli errori comuni che può sorgere.

Buone pratiche per l'apertura dei porti

  • Aprire solo le porte necessarie: In termini di sicurezza, meno è meglio.
  • Utilizzare firewall locali e perimetrali: Configurare i firewall su ciascun server e ai margini della rete.
  • Se possibile, modifica le porte predefinite: Soprattutto in RDP, la modifica della porta 3389 riduce gli attacchi automatizzati.
  • Limita l'accesso tramite IP: Utilizza le whitelist per limitare le origini che possono accedere al tuo server.
  • Verificare periodicamente: Utilizzare strumenti di scansione per rilevare porte inutilmente aperte.

La corretta gestione delle porte aperte in Windows Server è fondamentale non solo per garantire il corretto funzionamento dei servizi, ma anche per ridurre al minimo la superficie di attacco. Conoscere ogni ruolo, le porte necessarie e come proteggerle ti aiuterà a disporre di un'infrastruttura molto più solida contro le minacce interne o esterne.

Mini PC Windows 365 Link-9
Articolo correlato:
Collegamento a Windows 365: il mini PC che esegue Windows 11 dal cloud