La connexion à distance de votre PC Windows à un ordinateur hôte utilise le protocole de communication réseau propriétaire de Microsoft connu sous le nom de Remote Desktop Protocol (RDP).
TCP 3389 est le port par défaut attribué à RDP sur votre PC. Mais vous devriez le changer. Voici pourquoi vous devez effectuer ce changement, comment le faire et comment configurer les règles du pare-feu Windows pour un port RDP personnalisé.
Pourquoi vous devriez changer le port RDP
Le port TCP 3389, un port RDP par défaut pour toutes les connexions à distance, est dans le collimateur des pirates. Ils utilisent des attaques par force brute et d’autres méthodes pour deviner les identifiants de connexion et accéder au port TCP 3389. Une fois qu’ils y sont entrés, ils peuvent voler ou chiffrer des données sensibles, installer des logiciels malveillants et faire tout ce qui leur plaît sur les ordinateurs distants.
Lorsque vous changez le numéro de port RDP par défaut de 3389 à tout autre port libre, il devient difficile pour les pirates de deviner quel port RDP vous utilisez. Et la modification du port RDP est particulièrement utile lorsque vous avez désactivé l’authentification au niveau du réseau (NLA).
Parfois, quelques pare-feu sont configurés pour bloquer par défaut les communications entrantes et sortantes vers et depuis le port 3389 afin d’empêcher les pirates d’accéder à ce port. La modification du port RDP par défaut peut être un moyen de contourner ces pare-feu.
Comment vérifier le numéro de port RDP par défaut de votre PC
Appuyez sur Windows + Xet ouvert Terminal (Admin). Collez la commande suivante dans Windows PowerShell, et appuyez sur Enter.
Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber"
Vous avez trouvé le port RDP par défaut de votre PC.
Comment changer le port RDP
Vous pouvez remplacer le port TCP RDP par défaut de votre PC par un nouveau port en effectuant quelques modifications dans l’éditeur de registre. Le processus est simple.
Mais nous vous recommandons vivement de sauvegarder d’abord le Registre Windows afin de pouvoir le restaurer rapidement en cas de problème. Voici comment procéder.
Appuyez sur Windows + R à ouvrir Exécuteret tapez « regedit » dans la boîte de recherche. Appuyez sur OK pour ouvrir l’éditeur de registre.
Cliquez avec le bouton droit de la souris sur Ordinateur et sélectionnez Exporter dans le menu contextuel.
Exporter le fichier de registre vous demandera de choisir l’emplacement et le nom du fichier pour vos fichiers d’enregistrement exportés. Choisissez un emplacement et exportez le registre avec un nom dont vous pouvez facilement vous souvenir.
Une fois que vous avez fini de sauvegarder le registre de Windows, suivez les étapes ci-dessous pour changer le port RDP. Dans cet exemple, nous avons choisi le port 51289 pour en faire le port d’écoute RDP pour le service de bureau à distance.
Ouvrez l’Éditeur du Registre Windows, et collez la commande suivante dans la barre de recherche. Appuyez sur Entrez pour atteindre les paramètres RDP-TCP.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Faites défiler l’écran vers le bas dans la barre latérale droite jusqu’à ce que vous arriviez à Numéro de port. Double-cliquez dessus pour le modifier. Sélectionnez le Décimal dans la fenêtre d’édition, et saisissez le numéro de port souhaité (51289) dans la fenêtre d’édition. Données de valeur champ. Cliquez sur OK pour continuer.
Fermez l’éditeur de registre Windows et redémarrez votre PC. Vous avez réussi à changer le port RDP par défaut de votre PC en 51289.
Vous pouvez également modifier votre port RDP par défaut à l’aide de la commande Windows PowerShell.
Exécuter Windows Terminal (Admin)et collez la commande PowerShell suivante dans la fenêtre de commande. Ensuite, appuyez sur Entrez.
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Name PortNumber -Value 51289
Le port RDP par défaut de votre PC Windows a été modifié en un port RDP non standard : 51289. Votre PC utilisera désormais le port 51289 pour la connexion au bureau à distance.
Comment choisir le bon numéro pour un port RDP personnalisé ?
Il existe 65 535 numéros de port. Les applications TCP/IP courantes utilisent des numéros de port compris entre 0 et 1023, appelés ports bien connus. Par exemple, le numéro de port 443 est utilisé pour l’authentification par certificat (HTTPS).
Il est donc conseillé de ne pas changer le port RDP sur Windows par un numéro compris entre 0 et 1023.
Les ports de 49152 à 65535 sont connus comme des ports dynamiques et sont couramment utilisés par les clients pour établir une connexion avec un serveur. Par conséquent, de nombreuses personnes préfèrent choisir un numéro de port compris entre 49152 et 65535 pour éviter tout conflit avec des services connus ou personnalisés.
Configurer le Pare-feu Windows pour un port RDP personnalisé
Maintenant que vous avez modifié le numéro de port RDP par défaut sur votre PC, vous devez créer des règles de pare-feu Windows pour le numéro de port RDP personnalisé.
Si vous ne le faites pas, le défenseur de votre pare-feu Windows peut vous empêcher d’utiliser les services de bureau à distance utilisant le port RDP personnalisé.
Exécutez Windows Terminal (Admin) et tapez ce qui suit dans l’invite de commande. Ensuite, appuyez sur Entrez.
New-NetFirewallRule -DisplayName 'RDPPORT_TCP' -Profile 'Public' -Direction Inbound -Action Allow -Protocol TCP -LocalPort 51289
Maintenant, collez la commande suivante et appuyez sur Entrez.
New-NetFirewallRule -DisplayName 'RDPPORT_UDP' -Profile 'Public' -Direction Inbound -Action Allow -Protocol UDP -LocalPort 51289
Redémarrez votre PC et activez la fonction de bureau à distance sur votre PC. Il utilisera le port RDP personnalisé pour l’écoute.
Comment améliorer la sécurité du RDP
Les pirates tentent perpétuellement d’exploiter les vulnérabilités du RDP. La modification du port RDP par défaut n’est qu’un moyen parmi d’autres de renforcer la sécurité de votre port RDP.
Voici les meilleurs conseils de sécurité RDP pour éviter une attaque du protocole de bureau à distance.
- Chaque compte ayant accès à un bureau à distance doit utiliser des mots de passe forts et une authentification multifactorielle.
- Microsoft propose des correctifs pour les vulnérabilités connues, vous devez donc vous assurer que votre système d’exploitation est toujours à jour.
- Utilisez une passerelle RDP pour ajouter une couche de sécurité aux sessions de bureau à distance.
- Maintenez l’authentification au niveau du réseau (NLA) activée.
- Limitez les utilisateurs qui peuvent se connecter en utilisant la fonction de bureau à distance.
De plus, vous devriez mettre en œuvre le principe du moindre privilège qui fournit aux utilisateurs distants le niveau minimum d’accès aux données et aux ressources. Ainsi, vous pouvez limiter les dommages que les cybercriminels peuvent causer en cas d’accès non autorisé à un réseau d’entreprise.
Modifier le port RDP pour rester protégé
De plus en plus d’entreprises adoptant le modèle de travail à distance, le nombre de connexions à distance a augmenté de façon exponentielle. Par conséquent, les pirates ciblent le port par défaut du protocole de bureau à distance pour accéder aux réseaux d’entreprise.
Changer le port RDP est une excellente stratégie pour garder votre port RDP caché des pirates, car les pirates ciblent généralement le port de bureau à distance par défaut. En outre, vous devriez renforcer la sécurité de votre port RDP afin de le rendre inaccessible aux pirates.
