Durcissement RDP
Il est très important de durcir l’accès au protocole RDP sur les machines les plus sensibles du réseau en changeant le port par défaut qui est 3389 en autre chose. Il est également possible d’activer le verrouillage des comptes depuis un serveur Active Directory si un domaine Windows est existant dans l’infrastructure.
Afficher la configuration RDP (Powershell)
Commande :
Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber"
Réponse :
PortNumber : 3389
PSPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
PSParentPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations
PSChildName : RDP-Tcp
PSDrive : HKLM
PSProvider : Microsoft.PowerShell.Core\RegistryModification du port et ouverture du pare-feu
Ouvrir un fenêtre Powershell en tant qu’Administrateur et entrer les commandes suivantes
Cette commande sert à entrer la valeur du port que l’on à choisi dans une variable
$portvalue = 3390
Cette commande sert à modifier la valeur du port dans la clé de registre pour le RDP
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber" -Value $portvalue
Ces commandes permettent de créer des règles d’autorisation dans le pare-feu pour le nouveau port RDP en TCP et UDP
New-NetFirewallRule -DisplayName 'RDPPORTLatest-TCP-In' -Profile 'Public' -Direction Inbound -Action Allow -Protocol TCP -LocalPort $portvalue
New-NetFirewallRule -DisplayName 'RDPPORTLatest-UDP-In' -Profile 'Public' -Direction Inbound -Action Allow -Protocol UDP -LocalPort $portvalue
Relancer les services :
Restart-Service TermService -Force
Restart-Service -Force -DisplayName "Services bureau à distance"Activer RDP sur le serveur
1. Ouvrir Système
2. Aller dans Paramètres système avancés puis onglet Accès à distance
3. Activer la connexion à distance par NLA (plus sécurisé)
4. Cliquer sur utilisateur pour ajouter des utilisateurs de confiance
Se connecter en RDP après modifs
Pour se connecter en RDP après avoir modifié le port d’écoute du service de bureau à distance, il ne faut surtout pas oublier de spécifier le port après l’IP comme ceci :
