Configurer le RDP par GPO : activer l’accès, port par défaut, règle de pare-feu

I. Présentation

Dans ce tutoriel, nous allons voir comment configurer le RDP (Bureau à distance) par GPO pour permettre la connexion, modifier le port par défaut et configurer le pare-feu de Windows.

Dans un précédent tutoriel, nous avons vu comment modifier le port par défaut du RDP manuellement sur une machine Windows. Aujourd'hui, nous allons aller un peu plus loin et le faire par GPO pour permettre un déploiement sur un ensemble de postes.

Pour ce tutoriel, je vais utiliser un contrôleur de domaine Active Directory et un poste client sous Windows 11, mais cela fonctionne aussi pour Windows 10 ou d'autres versions de Windows / Windows Server.

II. Activer le RDP par GPO

Pour commencer, nous devons activer le RDP par GPO sur notre machine Windows car l'accès est désactivé par défaut.

Créez une nouvelle GPO via la console "Gestion de stratégie de groupe". Pour ma part, je vais créer la GPO "Configurer RDP" : je vais utiliser cette GPO tout au long de ce tutoriel. Modifiez la GPO.

Pour trouver le paramètre qui permet d'activer le Bureau à distance, parcourez l'arborescence de cette façon :

Configuration ordinateur > Stratégies > Modèles d'administration > Composants Windows > Services bureau à distance > Hôte de la session Bureau à distance > Connexions

Le chemin est long, mais il est contient un paramètre qui m'intéresse :

Autoriser les utilisateurs à se connecter à distance à l'aide des services Bureau à distance

Je vous invite à modifier ce paramètre pour le basculer sur l'état "Activé".

GPO - Activer l'accès RDP
GPO - Activer l'accès RDP

La GPO est prête pour cette première étape ! D'ailleurs, si vous mettez à jour les GPO (gpupdate /force) sur une machine sur laquelle s'applique la GPO de configuration du RDP, vous pouvez voir que le bureau à distance est actif. C'est bien la GPO qui a réalisé ce paramétrage : on ne peut pas modifier la configuration et c'est spécifié "Certains paramètres sont gérés par votre entreprise".

L'état du Bureau à distance dans Windows 11
L'état du Bureau à distance dans Windows 11

Passons à la suite.

III. Modifier le port du RDP par GPO

Par défaut, la connexion Bureau à distance s'appuie sur le port 3389. Il est préférable d'utiliser un port spécifique pour la connexion Bureau à distance, cela permet de masquer le service en quelque sorte. Pour cela, il faut modifier le Registre de Windows.

Toujours dans la même GPO, on va réaliser cette opération pour définir le port "13389" à la place de "3389". Parcourez la GPO de cette façon :

Configuration ordinateur > Préférences > Paramètres Windows > Registre

Ensuite, effectuez un clic droit et sous "Nouveau" cliquez sur "Élément Registre".

Configurez l'élément de cette façon :

  • Action : Mettre à jour
  • Ruche : HKEY_LOCAL_MACHINE
  • Chemin d'accès de la clé : SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
  • Nom de la valeur : PortNumber
  • Type de valeur : REG_DWORD
  • Données de la valeur : 13389 (votre port personnalisé)
  • Base : Décimal

Vous devez obtenir ceci :

GPO - Modifier le port d'écoute du RDP
GPO - Modifier le port d'écoute du RDP

Validez et mettez à jour les GPO sur votre poste pour tester... Dans les paramètres du Bureau à distance, on peut voir "Port du Bureau à distance : 13389". Sur Windows 11, cette information apparaît clairement et c'est appréciable. Sur Windows 10, il faut aller dans les options avancées du Bureau à distance pour le voir, ou alors dans le Registre directement.

Pour le moment, le Bureau à distance est activé et accessible sur le port 13389 sur le poste Windows 11. Par contre, depuis une machine distante, cela ne fonctionne pas ! Pourquoi ? Tout simplement parce que le pare-feu Windows bloque la connexion.

IV. Autoriser le RDP dans le pare-feu par GPO

Pour terminer, nous allons autoriser le Bureau à distance dans le pare-feu de Windows, toujours avec notre GPO.

Plusieurs cas de figure :

  • Vous souhaitez utiliser le port par défaut du Bureau à distance (3389) : passez directement au point B.
  • Vous souhaitez utiliser un port personnalisé : suivez toute la procédure

Dans tous les cas, pour créer une règle de pare-feu, procédez comme cela :

Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Pare-feu Windows Defender avec fonctions avancées de sécurité > Règles de trafic entrant

Créez une nouvelle règle : clic droit puis "Nouvelle règle".

GPO - Configurer le pare-feu pour autoriser le RDP

A. Autoriser le RDP sur un port personnalisé

Nous ne pouvons pas utiliser la règle prédéfinie et intégrée à Windows car on ne peut pas personnaliser le port, cependant c'est ce que nous avons besoin de faire... Pour le type de règle, choisissez "Port".

Choisissez "TCP" et cochez "Ports locaux spécifiques" pour préciser "13389" (ou une autre valeur, selon votre choix).

Cliquez sur "Autoriser la connexion" puisque nous souhaitons laisser passer ce flux.

Passez la section "Profil" sans apporter de modification, enfin si vous souhaitez autoriser seulement la connexion depuis votre LAN, cochez seulement le profil "Domaine".

Donnez un petit nom à la règle et validez.

Si vous le souhaitez, vous pouvez accéder aux propriétés de cette règle pour affiner. Par exemple, pour autoriser seulement les machines appartenant à un sous-réseau spécifique à se connecter.

B. Configurer la règle RDP "Bureau à distance" par GPO

Si vous activez le bureau à distance manuellement sur une machine Windows, la règle "Bureau à distance" intégrée dans le pare-feu Windows sera activée automatiquement. Du coup, si vous créez une règle pour autoriser la connexion sur un port personnalisé, cette règle restera active inutilement (et donc le port ouvert). Dans ce cas, il est préférable de bloquer la connexion sur ce port : c'est que nous allons faire.

Par contre, si vous souhaitez utiliser le port par défaut du RDP, vous devez activer cette règle par GPO pour autoriser la connexion. La procédure est la même dans les deux cas, sauf que dans un cas on bloque, dans l'autre on autorise : faites le bon choix !

Créez une nouvelle règle et choisissez "Prédéfinie" puis "Bureau à distance".

Continuez sans apporter de modifications.

Choisissez "Autoriser la connexion" pour du RDP sur le port 3389, sinon choisissez "Bloquer la connexion" pour du RDP sur le port 13389 (puisque nous avons déjà créé une autre règle).

Voilà, le tour est joué ! Voici ce que l'on obtient :

Mettez à jour la GPO sur votre machine et vous devriez pouvoir vous connecter en RDP sur le port personnalisé ! Cela est valable sur toutes les machines où s'applique la GPO.

PS : pour se connecter en Bureau à distance sur un port personnalisé, il faut le spécifier à la suite de l'adresse IP / du nom d'hôte.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3270 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.