La connexion à distance de votre PC Windows à un ordinateur hôte utilise le protocole de communication réseau propriétaire de Microsoft connu sous le nom de Remote Desktop Protocol (RDP).
TCP 3389 est le port par défaut attribué à RDP sur votre PC. Mais vous devriez le modifier. Voici pourquoi vous devez effectuer ce changement, comment le faire et comment configurer les règles du pare-feu Windows pour un port RDP personnalisé.
Pourquoi vous devriez changer le port RDP ?
Le port TCP 3389, un port RDP par défaut pour toutes les connexions à distance, est dans le viseur des pirates informatiques. Ils utilisent des attaques par force brute et d’autres méthodes pour trouver les identifiants de connexion et accéder au port TCP 3389. Une fois qu’ils y sont entrés, ils peuvent voler ou chiffrer des données sensibles, installer des logiciels malveillants et faire tout ce qui leur plaît sur les ordinateurs distants.
Lorsque vous changez le numéro de port RDP par défaut de 3389 à tout autre port libre, il devient difficile pour les pirates de trouver facilement le port RDP que vous utilisez. Et la modification du port RDP est particulièrement utile lorsque vous avez désactivé l’authentification au niveau du réseau (NLA).
Parfois, quelques pare-feu sont configurés pour bloquer par défaut les communications entrantes et sortantes vers et depuis le port 3389 afin d’empêcher les pirates d’accéder à ce port. La modification du port RDP par défaut peut être un moyen de contourner ces pare-feu.
Comment vérifier le numéro de port RDP utilisé par défaut sur votre PC ?
- Appuyez sur Windows + X, et ouvrez Terminal (Admin). Collez la commande suivante dans Windows PowerShell, et appuyez sur Entrée.
Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber"
- Le port RDP utilisé par défaut sur votre PC est indiqué à côté de l’intitulé PortNumber.
Comment modifier le port RDP ?
Vous pouvez remplacer le port TCP RDP par défaut de votre PC par un nouveau port en effectuant quelques modifications dans l’éditeur de registre. Le processus est simple.
Mais nous vous recommandons vivement de sauvegarder d’abord le registre de Windows afin de pouvoir le restaurer rapidement en cas de problème.
- Appuyez sur Windows + R pour ouvrir Exécuter, et tapez “regedit” dans le champ de recherche. Appuyez sur OK pour ouvrir l’éditeur de registre.
- Une fois que vous avez terminé de sauvegarder le registre Windows, suivez les étapes ci-dessous pour modifier le port RDP.
- Dans cet exemple, nous avons choisi le port 51289 pour en faire le port d’écoute RDP pour le service de bureau à distance.
- Dans l’éditeur du Registre, collez la commande suivante dans la barre de recherche. Appuyez sur Entrée pour atteindre les paramètres RDP-TCP.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
- Faites défiler la barre latérale de droite jusqu’à PortNumber. Double-cliquez dessus pour le modifier.
- Sélectionnez l’option Décimale dans la fenêtre d’édition et saisissez le numéro de port souhaité (51289) dans le champ Données de la valeur. Cliquez sur OK pour continuer.
- Fermez l’éditeur de registre Windows et redémarrez votre PC. Vous avez réussi à changer le port RDP par défaut de votre PC en 51289.
Vous pouvez également modifier votre port RDP par défaut à l’aide de la commande PowerShell de Windows.
- Exécutez Windows Terminal (Admin), et collez la commande PowerShell suivante dans la fenêtre de commande. Puis, appuyez sur Entrée.
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Name PortNumber -Value 51289
Le port RDP par défaut de votre PC Windows a changé pour un port RDP non standard : 51289. Votre PC utilisera désormais le port 51289 pour la connexion au bureau à distance.
Comment choisir le bon numéro pour un port RDP personnalisé ?
Il existe 65 535 numéros de port. Les applications TCP/IP courantes utilisent des numéros de port compris entre 0 et 1023. Par exemple, le numéro de port 443 est utilisé pour l’authentification par certificat (HTTPS).
Il est donc conseillé de ne pas changer le port RDP sur Windows par un numéro compris entre 0 et 1023.
Les ports compris entre 49152 et 65535 sont connus sous le nom de ports dynamiques et sont généralement utilisés par les clients pour établir une connexion avec un serveur. Par conséquent, de nombreuses personnes préfèrent choisir un numéro de port compris entre 49152 et 65535 pour éviter tout conflit avec des services connus ou personnalisés.
Configurer le pare-feu Windows pour un port RDP personnalisé
Maintenant que vous avez modifié le numéro de port RDP par défaut sur votre PC, vous devez créer des règles de pare-feu Windows pour le numéro de port RDP personnalisé.
Si vous ne le faites pas, le pare-feu Windows peut vous empêcher d’utiliser les services de bureau à distance en utilisant le port RDP personnalisé.
- Exécutez Windows Terminal (Admin) et tapez ce qui suit dans l’Invite de commandes. Puis, appuyez sur Entrée.
New-NetFirewallRule -DisplayName 'RDPPORT_TCP' -Profile 'Public' -Direction Inbound -Action Allow -Protocol TCP -LocalPort 51289
- Ensuite, collez la commande suivante et appuyez sur Entrée.
New-NetFirewallRule -DisplayName 'RDPPORT_UDP' -Profile 'Public' -Direction Inbound -Action Allow -Protocol UDP -LocalPort 51289
- Redémarrez votre PC et activez la fonction de bureau à distance sur votre PC. Il utilisera le port RDP personnalisé pour l’écoute.
Comment améliorer la sécurité du RDP ?
Les pirates tentent perpétuellement d’exploiter les vulnérabilités du RDP. La modification du port RDP par défaut n’est qu’un moyen parmi d’autres de renforcer la sécurité de votre port RDP.
Voici les meilleurs conseils de sécurité RDP pour éviter une attaque du protocole de bureau à distance.
- Chaque compte ayant accès à un bureau à distance doit utiliser des mots de passe forts et une authentification multifactorielle.
- Microsoft propose des correctifs pour les vulnérabilités connues, vous devez donc vous assurer que votre système d’exploitation est toujours à jour.
- Utilisez une passerelle RDP pour ajouter une couche de sécurité aux sessions de bureau à distance.
- Maintenez l’authentification au niveau du réseau (NLA) activée.
- Limitez les utilisateurs qui peuvent se connecter en utilisant la fonction de bureau à distance.
De plus, vous devez mettre en œuvre le principe du moindre privilège qui fournit aux utilisateurs distants le niveau minimum d’accès aux données et aux ressources. Ainsi, vous pouvez limiter les dommages que les cybercriminels peuvent causer en cas d’accès non autorisé à un réseau d’entreprise.
Conclusion
De plus en plus d’entreprises adoptant le modèle de travail à distance, le nombre de connexions à distance a augmenté de façon exponentielle. Par conséquent, les pirates ciblent le port par défaut du protocole de bureau à distance pour accéder aux réseaux d’entreprise.
Changer le port RDP est une excellente stratégie pour garder votre port RDP caché des pirates, car les pirates ciblent généralement le port de bureau à distance par défaut. En outre, vous devez renforcer la sécurité de votre port RDP afin de le rendre inaccessible aux pirates.
