Windows 11 : Modification du port Bureau à distance et configuration du contrôle d'accès IP

IT
Sommaire

Mise à jour Septembre 2025
(Cette méthode fonctionne également pour Windows 10)

Le port par défaut 3389 est largement connu des pirates informatiques et peut facilement devenir une cible d’attaque. Je vous recommande vivement de le modifier vers un autre numéro de port pour préserver la sécurité de votre système.

Choisissez un numéro de port de manière aléatoire dans la plage des ports enregistrés (1024-49151) afin qu’il soit difficile à deviner. Dans ce guide, nous modifierons le port du Bureau à distance vers 49151.

Modification du port Bureau à distance

1. Activer la fonctionnalité Bureau à distance

(Basé sur Windows 11 24H2)

  1. Ouvrez les Paramètres Windows.
  2. Allez dans [Système][Bureau à distance].
  3. Activez Bureau à distance en le basculant sur Activé.

2. Modifier le port du Bureau à distance

  1. Appuyez sur Touche Windows + R pour ouvrir la boîte de dialogue Exécuter et saisissez regedit pour lancer l’Éditeur du Registre.

    • Vous pouvez également cliquer sur le bouton Démarrer et saisir regedit.

  2. Naviguez vers ce chemin dans l’Éditeur du Registre :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

  3. Trouvez l’entrée PortNumber et double-cliquez dessus.

  4. Sélectionnez Décimal et modifiez le numéro de port de 3389 vers 49151.

  5. Redémarrez votre PC pour appliquer le nouveau numéro de port.

3. Configuration du pare-feu

Après avoir modifié le port du Bureau à distance du port par défaut 3389 vers votre port personnalisé, vous devez créer une nouvelle règle entrante dans le Pare-feu Windows pour permettre les connexions distantes via le nouveau port.

  1. Appuyez sur Touche Windows + R pour ouvrir la boîte de dialogue Exécuter et saisissez wf.msc.
    • Vous pouvez également cliquer sur le bouton Démarrer et saisir wf.msc.
  2. Cliquez sur Règles de trafic entrant dans l’arborescence de gauche puis cliquez sur Nouvelle règle dans le panneau de droite.
  3. Configurez l’Assistant Nouvelle règle de trafic entrant comme suit :
    • Type de règle : Port
    • Protocole : TCP
    • Ports locaux spécifiques : 49151
    • Action : Autoriser la connexion
    • Profil : Sélectionner les trois - Domaine, Privé et Public
    • Nom : RDP (ou tout nom de votre choix)
  4. Cliquez sur Terminer pour finaliser la configuration.

Configuration du contrôle d’accès IP

La modification vers un port personnalisé seule ne peut pas garantir une sécurité complète. Les attaquants peuvent toujours détecter les ports ouverts par scan de ports et tenter des attaques par force brute. Pour bloquer fondamentalement ces risques, vous devez configurer un contrôle d’accès basé sur IP (ACL) afin que seules les adresses IP préalablement approuvées puissent se connecter. Ceci constitue un élément clé d’une stratégie de sécurité multicouche.

Configuration du contrôle d’accès IP (ACL)

  1. Appuyez sur Touche Windows + R pour ouvrir la boîte de dialogue Exécuter et saisissez wf.msc.
    • Vous pouvez également cliquer sur le bouton Démarrer et saisir wf.msc.
  2. Cliquez sur Règles de trafic entrant dans l’arborescence de gauche.
  3. Trouvez la règle que vous venez de créer (RDP ou votre nom personnalisé) et double-cliquez dessus.
  4. Lorsque la fenêtre Propriétés s’ouvre, cliquez sur l’onglet Étendue en haut.
  5. Sous Adresse IP distante, changez l’option vers Ces adresses IP et cliquez sur Ajouter pour saisir l’IP source.
  6. Cliquez sur OK et fermez la fenêtre pour appliquer le contrôle d’accès IP.

Utilisation d’un VPN

Si vous souhaitez une sécurité encore plus forte que le contrôle d’accès IP, envisagez de permettre les connexions Bureau à distance uniquement via VPN (Virtual Private Network).

1. Concepts de base de la sécurité VPN

Le VPN crée un tunnel virtuel chiffré sur Internet permettant un accès sécurisé aux réseaux internes depuis l’extérieur. Lorsque vous utilisez un VPN, les utilisateurs externes ne peuvent pas accéder directement aux ports RDP et doivent d’abord se connecter au VPN avant d’accéder aux ordinateurs du réseau interne via le Bureau à distance.

2. Avantages de l’amélioration de la sécurité

  • Structure d’authentification double : Connexion VPN → Connexion RDP pour une sécurité en couches
  • Communication chiffrée : Toutes les transmissions de données sont chiffrées pour la sécurité
  • Masquage de l’adresse IP : L’adresse IP réelle du serveur RDP reste cachée de l’extérieur
  • Blocage d’accès complet : Sans connexion VPN, le serveur RDP ne peut même pas être détecté

3. Principales méthodes d’implémentation VPN

Utilisation des fonctions VPN du routeur domestique

La plupart des routeurs modernes disposent de fonctions serveur VPN intégrées vous permettant de configurer un VPN sans coût supplémentaire. Vous pouvez activer le serveur VPN dans la page d’administration du routeur et créer des comptes utilisateur.

Services VPN commerciaux

Utilisez des services VPN commerciaux comme ExpressVPN, NordVPN ou Surfshark pour obtenir une IP fixe et configurer l’accès RDP uniquement depuis cette IP.

Configuration VPN cloud

Utilisez des solutions VPN de services cloud comme AWS VPN Gateway ou Azure VPN Gateway pour créer des environnements VPN de niveau professionnel.

Configuration serveur VPN open source

Installez des solutions open source comme OpenVPN, WireGuard ou SoftEther VPN sur des serveurs séparés pour créer des environnements VPN personnalisés.

4. Approche recommandée

Pour les utilisateurs personnels, vérifiez d’abord si votre routeur dispose de fonctions VPN intégrées. Pour les environnements d’entreprise, considérez les solutions VPN cloud. Après avoir configuré le VPN, bloquez complètement l’accès direct externe aux ports RDP dans le pare-feu et configurez l’accès uniquement via VPN pour atteindre le plus haut niveau de sécurité Bureau à distance.