Bureau à distance : modifier le port d’écoute RDP

I. Présentation

Le protocole RDP est utilisé par le service "Bureau à distance" de Windows pour se connecter à distance sur un poste. Par défaut, le port RDP est 3389. Pour des raisons de sécurité, il est recommandé de personnaliser ce port d'écoute afin de ne pas exposer le service RDP.

Dans ce tutoriel, je vais vous expliquer comment modifier le port d'écoute du RDP pour utiliser un autre port que 3389. Ce tutoriel s'applique à Windows 10, mais aussi aux versions précédentes, ainsi qu'à Windows Server (Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, etc.).

Prérequis : activer l'accès Bureau à distance sur sa machine ou son serveur.

Dans cet exemple, je vais utiliser le port d'écoute 13389 au lieu de 3389. Je vous recommande d'utiliser un numéro de port supérieur à 10 000.

Ce tutoriel est disponible au format vidéo :

II. Créer la règle de pare-feu RDP

Nous devons créer une règle dans le pare-feu Windows pour autoriser les flux sur le port TCP/13389. Pour gagner du temps, je vous propose de le faire en PowerShell grâce au cmdlet "New-NetFirewallRule.

La règle ci-dessous s'applique seulement sur le profil domaine (ce que je recommande), et pour préciser le port personnalisé on doit utiliser le paramètre -LocalPort. Par ailleurs, cette règle se nommera "Autoriser le RDP sur un port personnalisé".

New-NetFirewallRule –Name "RDP-13389" -DisplayName "Autoriser le RDP sur un port personnalisé" -Profile Domain -Enabled True -Protocol TCP -LocalPort 13389 -Action Allow

Via le panneau de configuration de Windows, si vous accédez aux paramètres avancés du pare-feu, vous pourrez visualiser la règle que l'on vient de créer, et l'éditer à tout moment si cela est nécessaire.

La règle de pare-feu étant créée, nous pouvons passer à la suite...

III. Modifier le port d'écoute RDP

Maintenant, nous allons modifier le port d'écoute du RDP en éditant le registre de la machine. Via l'invite "Exécuter", vous pouvez exécuter "regedit" pour accéder à l'éditeur de registre.

Naviguez ensuite dans l'arborescence du registre de cette façon :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\

Il s'agit d'un paramètre au niveau de la machine d'où la recherche dans la ruche HKEY_LOCAL_MACHINE.

Dans la clé "RDP-Tcp", vous devez avoir une valeur nommée "PortNumber" : c'est elle qu'il faut modifier pour utiliser un autre port. Double-cliquez dessus.

Basculez la valeur en décimale pour que ce soit lisible et facile à modifier. Vous verrez le numéro "3389" s'afficher dans le champ valeur : modifiez ce numéro pour mettre celui que vous souhaitez utiliser.

Validez et fermez l'éditeur de registre.

IV. Redémarrer le service RDP

Pour finir et dans le but que le système prenne en compte ce changement au niveau du port d'écoute, il est nécessaire de redémarrer le service "Services Bureau à distance" de Windows. Je vous invite à le faire en PowerShell, tout simplement grâce à cette commande :

Restart-Service "TermService" -Force

Il ne reste plus qu'à tester.

V. Tester l'accès RDP sur un port personnalisé

Depuis un hôte distant, ouvrez votre gestionnaire de connexion RDP ou tout simplement l'utilitaire "Connexion Bureau à distance" natif de Windows (mstsc), et essayez de vous connecter... Pour cela, il est nécessaire de préciser l'adresse IP ou le nom de l'hôte suivi de ":13389".

Puisque nous utilisons un port spécifique, il est indispensable de le préciser.

La connexion doit se monter et le serveur vous demander vos identifiants de connexion... Si ce n'est pas le cas, vérifiez que le Bureau à distance est bien actif sur l'hôte et que le pare-feu est bien configuré.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5470.Voir tous les posts

4 thoughts on “Bureau à distance : modifier le port d’écoute RDP

  • Bonjour,

    Merci bien pour l’astuce :), ça peut servir en entreprise pour augmenter un peu la sécurité 🙂

    Répondre
  • Bonjour

    J’ai remarqué un truc quand on change le port d’écoute . En 3389 mes remontés app marche bien . Mais dès que je change de port , j’ai toujours accès à mon bureau à distance mais en ce qui concerne les remote apps j’ai un message d’erreur comme quoi le nom de l’ordinateur ne va pas .

    Répondre
  • # Définition du nouveau port RDP
    $newPort = « 13389 »

    # Modification du port RDP dans le Registre
    Set-ItemProperty -Path « HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp » -Name « PortNumber » -Value $newPort

    # Ajout d’une règle au pare-feu Windows pour le nouveau port RDP
    New-NetFirewallRule -DisplayName « RDP Custom Port » -Direction Inbound -Protocol TCP -LocalPort $newPort -Action Allow

    # Redémarrage du service Remote Desktop avec l’option -Force pour arrêter les services dépendants
    Restart-Service -Name TermService -Force

    Répondre
  • tu l’auras compris c’est un script ps1 pour automatiser tout ça 😉

    1- Add the ChangeRDPAndFirewall.ps1 to the Temp folder

    2- Open Teminal or PowerShell as admin —-> Win + x

    3- Type —-> cd C:\Temp

    4- Type —-> .\ChangeRDPAndFirewall.ps1

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.