Comment modifier le port du Bureau à distance sous Windows
Modifier le port RDP par défaut n’est pas une mince affaire, d’autant plus que Windows le verrouille par défaut sur le port 3389. C’est plutôt gênant car, soyons honnêtes, laisser ce port ouvert, c’est comme donner la porte ouverte aux pirates. Si vous gérez un serveur exposé ou si vous souhaitez simplement renforcer la sécurité, changer ce port (de préférence supérieur à 1024) est une sage précaution. Attention : vous aurez besoin des droits d’administrateur pour modifier le registre et les paramètres du pare-feu. Si vous avez suivi correctement les instructions, vous devriez pouvoir vous connecter sur le nouveau port sans problème. Vérifiez toujours avec les commandes netstat ou PowerShell que tout est bien configuré. Et n’oubliez pas : changer le port n’est pas une solution miracle. Laisser le RDP exposé sur Internet permet toujours aux pirates de scanner et d’attaquer votre système. L’utilisation d’un VPN ou d’une passerelle Bureau à distance est donc fortement recommandée si vous ouvrez l’accès depuis l’extérieur. Choisissez un port non utilisé par un autre système et évitez la plage 1-1023, car elle est considérée comme vulnérable. Enfin, testez chaque étape avant de vous interdire définitivement l’accès à distance.
Étapes pour modifier le port du Bureau à distance sous Windows
Modifiez le port via le registre et les règles du pare-feu.
Cette approche est assez classique : modifier le registre, configurer le pare-feu, puis redémarrer les services. Elle permet de rendre le Bureau à distance plus difficile à détecter pour les pirates informatiques qui analysent le port 3389 par défaut. Commencez par choisir un numéro de port supérieur à 1024 et non utilisé ailleurs (par exemple 1350, 5000 ou un numéro similaire).Ensuite, exécutez les commandes suivantes en tant qu’administrateur, de préférence dans PowerShell ou l’Invite de commandes : Ces commandes effectuent plusieurs opérations. Elles modifient le registre pour changer le port d’écoute du protocole RDP, puis configurent les règles de trafic entrant dans le Pare-feu Windows pour autoriser le trafic sur ce nouveau port, et enfin redémarrent le service Bureau à distance pour appliquer les modifications. Sur certaines configurations, le redémarrage du service peut être imprévisible (il arrive que la connexion soit interrompue, parfois non), mais cela en vaut la peine.Étape suivante : modifiez le registre manuellement si vous préférez une interface graphique. Ouvrez regedit.exe et accédez à : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp. Recherchez la valeur DWORD nommée PortNumber. Sa valeur par défaut est 3389. Modifiez-la en indiquant votre port personnalisé (en décimal ; par exemple, pour 1350, saisissez simplement 1350).Si vous êtes à l’aise avec PowerShell, vous pouvez exécuter la commande suivante : Une fois cette opération terminée, créez des règles de pare-feu. Vous pouvez le faire depuis l’interface graphique avec wf.msc, ou mieux encore, exécuter la commande suivante : Après avoir tout configuré, redémarrez votre ordinateur ou redémarrez simplement le service avec la commande suivante : Pour vous connecter avec ce nouveau port, ajoutez-le simplement à votre chaîne de connexion mstsc.exe, comme ceci : ou. Si vous modifiez les paramètres de RDCMan, vous devrez également mettre à jour le port dans ce dernier. Enfin, vérifiez si RDP écoute sur votre nouveau port en exécutant la commande suivante : et recherchez votre port.set p=1350 reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d %p% /f netsh advfirewall firewall add rule name="Custom-RDP-Port-TCP" protocol=TCP localport=%p% action=allow dir=IN netsh advfirewall firewall add rule name="Custom-UDP-Port-UDP" protocol=UDP localport=%p% action=allow dir=IN net stop TermService /y net start TermServiceSet-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Name PortNumber -Value 1350New-NetFirewallRule -DisplayName "NewRDPPort-TCP-In" -Direction Inbound -LocalPort 1350 -Protocol TCP -Action Allow New-NetFirewallRule -DisplayName "NewRDPPort-UDP-In" -Direction Inbound -LocalPort 1350 -Protocol UDP -Action Allownet stop termservice & net start termserviceyourhost:1350192.168.1.10:1350netstat -na | find "LISTEN"
Utilisation de PowerShell pour automatiser le processus
Si vous souhaitez automatiser tout cela, voici un petit script PowerShell simple et rapide. Exécutez-le, il vous demandera votre nouveau port, puis s’occupera du reste. Si WinRM est activé, vous pouvez même l’exécuter à distance avec Invoke-Command, mais c’est une autre histoire.— J’espère que ces explications sont claires. Changer le port n’est pas compliqué, mais ce n’est pas infaillible : n’oubliez pas de tester votre connexion à distance après chaque modification. Sur certaines configurations, des problèmes peuvent survenir, notamment avec les VPN ou les pare-feu personnalisés ; soyez donc prêt à résoudre les problèmes. Bonne chance ! Write-host "Specify the number of your new RDP port: " -ForegroundColor Yellow -NoNewline; $RDPPort = Read-Host Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP\" -Name PortNumber -Value $RDPPort New-NetFirewallRule -DisplayName "NewRDPPort-TCP-In-$RDPPort" -Direction Inbound -LocalPort $RDPPort -Protocol TCP -Action Allow New-NetFirewallRule -DisplayName "NewRDPPort-UDP-In-$RDPPort" -Direction Inbound -LocalPort $RDPPort -Protocol UDP -Action Allow Restart-Service termservice -Force Write-host "The RDP port is now set to $RDPPort" -ForegroundColor Magenta
Résumé
- Choisissez un port inutilisé au-dessus de 1024 (comme 1350).
- Modifiez le registre pour changer le numéro de port.
- Créez des règles de pare-feu pour le nouveau port
- Redémarrez le service Bureau à distance ou redémarrez l’ordinateur.
- Se connecter en utilisant
hostname:port
Conclure
Changer le port RDP peut renforcer la sécurité et, espérons-le, réduire les risques d’attaques par force brute. N’oubliez pas cependant que cela ne remplace pas des mesures de sécurité adéquates comme un VPN ou l’authentification multifacteurs, surtout si l’accès à Internet est requis. Une fois la configuration effectuée, surveillez vos journaux et assurez-vous d’appliquer les correctifs de sécurité. Espérons que cette solution permettra d’éviter les erreurs courantes liées au port par défaut et de résoudre le problème sans vous empêcher d’accéder à votre propre bureau à distance.