La connexion à distance de votre PC Windows à un ordinateur hôte utilise le protocole de communication réseau propriétaire de Microsoft appelé Remote Desktop Protocol (RDP).
TCP 3389 est le port par défaut attribué pour RDP sur votre PC. Mais tu devrais le changer. Voici pourquoi vous devriez apporter la modification, comment le faire et comment configurer les règles de pare-feu Windows pour un port RDP personnalisé.
Pourquoi devriez-vous changer le port RDP
TCP 3389, un port RDP par défaut pour toutes les connexions à distance, est sur le radar des pirates. Ils utilisent attaques par force brute et d'autres méthodes pour deviner les informations d'identification de connexion pour accéder à TCP 3389. Une fois qu'ils y sont, ils peuvent voler ou crypter des données sensibles, installer des logiciels malveillants et faire tout ce qui leur plaît sur des ordinateurs distants.
Lorsque vous modifiez le numéro de port RDP par défaut de 3389 à n'importe quel autre port libre, il devient difficile pour les pirates de deviner quel port RDP vous utilisez. Et changer le port RDP est particulièrement utile lorsque vous avez désactivé l'authentification au niveau du réseau (NLA).
Parfois, quelques pare-feu sont configurés pour bloquer les communications entrantes et sortantes vers et depuis le port 3389 par défaut pour empêcher les pirates d'accéder au port 3389. La modification du port RDP par défaut peut être un moyen de contourner ces pare-feu.
Comment vérifier le numéro de port RDP par défaut de votre PC
Presse les fenêtres + X, et ouvrez Terminal (administrateur). Collez la commande suivante dans Windows PowerShell et appuyez sur Entrer.
Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber"
Vous avez trouvé le port RDP par défaut de votre PC.
Comment changer le port RDP
Vous pouvez remplacer le port TCP RDP par défaut de votre PC par un nouveau en effectuant quelques modifications dans l'éditeur de registre. Le processus est simple.
Mais nous vous recommandons fortement d'abord sauvegarder le registre Windows afin que vous puissiez le restaurer rapidement en cas de problème. Voici comment faire.
Presse les fenêtres + R ouvrir Courir, et saisissez "regedit" dans le champ de recherche. Presse D'ACCORD pour ouvrir l'Éditeur du Registre.
Faites un clic droit sur Ordinateur et sélectionnez Exporter depuis le menu contextuel.
Export Registry File vous demandera de choisir l'emplacement et le nom du fichier pour vos fichiers d'enregistrement exportés. Choisissez un emplacement et exportez le registre avec un nom dont vous vous souviendrez facilement.
Une fois que vous avez terminé de sauvegarder le registre Windows, suivez les étapes ci-dessous pour modifier le port RDP. Pour cet exemple, nous avons choisi le port 51289 pour en faire le port d'écoute RDP pour le service de bureau à distance.
Ouvrez l'Éditeur du Registre Windows et collez la commande suivante dans la barre de recherche. Presse Entrer pour accéder aux paramètres RDP-TCP.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Faites défiler vers le bas dans la barre latérale droite jusqu'à ce que vous atteigniez Numéro de port. Double-cliquez dessus pour le modifier. Sélectionnez le Décimal option radio dans la fenêtre d'édition, et entrez le numéro de port souhaité (51289) dans Données de valeur champ. Cliquez sur D'ACCORD continuer.
Fermez l'éditeur de registre Windows et redémarrez votre PC. Vous avez changé avec succès le port RDP par défaut de votre PC en 51289.
Vous pouvez également modifier votre port RDP par défaut à l'aide de la commande Windows PowerShell.
Exécutez Windows Terminal (administrateur)et collez la commande PowerShell suivante dans la fenêtre de commande. Puis appuyez Entrer.
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Name PortNumber -Value 51289
Le port RDP par défaut sur votre PC Windows a été remplacé par un port RDP non standard: 51289. Votre PC utilisera maintenant le port 51289 pour la connexion au bureau à distance.
Comment choisir le bon numéro pour un port RDP personnalisé
Il existe 65 535 numéros de port. Les applications TCP/IP courantes utilisent des numéros de port compris entre 0 et 1023, appelés ports bien connus. Par exemple, le numéro de port 443 est utilisé pour l'authentification basée sur les certificats (HTTPS).
Il est donc conseillé de ne pas changer le port RDP sous Windows en un nombre compris entre 0 et 1023.
Les ports de 49152 à 65535 sont appelés ports dynamiques et sont couramment utilisés par les clients pour établir une connexion à un serveur. Par conséquent, de nombreuses personnes préfèrent choisir un numéro de port compris entre 49152 et 65535 pour éviter tout conflit avec des services bien connus ou personnalisés.
Configurer le pare-feu Windows pour un port RDP personnalisé
Maintenant que vous avez modifié le numéro de port RDP par défaut sur votre PC, vous devez créer des règles de pare-feu Windows pour le numéro de port RDP personnalisé.
Si vous ne le faites pas, votre défenseur de pare-feu Windows peut vous empêcher d'utiliser les services de bureau à distance à l'aide du port RDP personnalisé.
Exécutez Windows Terminal (Admin) et tapez ce qui suit dans l'invite de commande. Puis appuyez Entrer.
New-NetFirewallRule -DisplayName 'RDPPORT_TCP' -Profile 'Public' -Direction Inbound -Action Allow -Protocol TCP -LocalPort 51289
Maintenant, collez la commande suivante et appuyez sur Entrer.
New-NetFirewallRule -DisplayName 'RDPPORT_UDP' -Profile 'Public' -Direction Inbound -Action Allow -Protocol UDP -LocalPort 51289
Redémarrez votre PC et activez la fonction de bureau à distance sur votre PC. Il utilisera le port RDP personnalisé pour l'écoute.
Comment améliorer la sécurité RDP
Les pirates tentent en permanence d'exploiter les vulnérabilités RDP. Changer le port RDP par défaut n'est qu'un moyen de renforcer la sécurité de votre port RDP.
Voici quelques meilleurs conseils de sécurité RDP pour empêcher un attaque de protocole de bureau à distance.
- Chaque compte ayant accès à un poste de travail distant doit utiliser des mots de passe forts et une authentification multifacteur.
- Microsoft propose des correctifs pour les vulnérabilités connues, vous devez donc vous assurer que votre système d'exploitation est toujours à jour.
- Utilisez une passerelle RDP pour ajouter une couche de sécurité aux sessions de bureau à distance.
- Gardez l'authentification au niveau du réseau (NLA) activée.
- Limitez les utilisateurs qui peuvent se connecter à l'aide de la fonction de bureau à distance.
Aussi, vous devez implémenter le principe du moindre privilège qui fournit aux utilisateurs distants le niveau minimum d'accès aux données et aux ressources. En conséquence, vous pouvez limiter les dommages que les cybercriminels peuvent causer en cas d'accès non autorisé à un réseau d'entreprise.
Changer le port RDP pour rester protégé
Avec de plus en plus d'entreprises adoptant le modèle de travail à distance, le nombre de connexions à distance a augmenté de façon exponentielle. Par conséquent, les pirates ciblent le port de protocole de bureau à distance par défaut pour accéder aux réseaux d'entreprise.
Changer le port RDP est une excellente stratégie pour garder votre port RDP caché des pirates, car les pirates ciblent généralement le port de bureau à distance par défaut. De plus, vous devez renforcer la sécurité de votre port RDP pour rendre votre port RPD inaccessible aux pirates.