Bureau à distance : modifier le port d’écoute RDP

I. Présentation

Le protocole RDP est utilisé par le service "Bureau à distance" de Windows pour se connecter à distance sur un poste. Par défaut, le port RDP est 3389. Pour des raisons de sécurité, il est recommandé de personnaliser ce port d'écoute afin de ne pas exposer le service RDP.

Dans ce tutoriel, je vais vous expliquer comment modifier le port d'écoute du RDP pour utiliser un autre port que 3389. Ce tutoriel s'applique à Windows 10, mais aussi aux versions précédentes, ainsi qu'à Windows Server (Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, etc.).

Prérequis : activer l'accès Bureau à distance sur sa machine ou son serveur.

Dans cet exemple, je vais utiliser le port d'écoute 13389 au lieu de 3389. Je vous recommande d'utiliser un numéro de port supérieur à 10 000.

Ce tutoriel est disponible au format vidéo :

II. Créer la règle de pare-feu RDP

Nous devons créer une règle dans le pare-feu Windows pour autoriser les flux sur le port TCP/13389. Pour gagner du temps, je vous propose de le faire en PowerShell grâce au cmdlet "New-NetFirewallRule.

La règle ci-dessous s'applique seulement sur le profil domaine (ce que je recommande), et pour préciser le port personnalisé on doit utiliser le paramètre -LocalPort. Par ailleurs, cette règle se nommera "Autoriser le RDP sur un port personnalisé".

New-NetFirewallRule –Name "RDP-13389" -DisplayName "Autoriser le RDP sur un port personnalisé" -Profile Domain -Enabled True -Protocol TCP -LocalPort 13389 -Action Allow

Via le panneau de configuration de Windows, si vous accédez aux paramètres avancés du pare-feu, vous pourrez visualiser la règle que l'on vient de créer, et l'éditer à tout moment si cela est nécessaire.

La règle de pare-feu étant créée, nous pouvons passer à la suite...

III. Modifier le port d'écoute RDP

Maintenant, nous allons modifier le port d'écoute du RDP en éditant le registre de la machine. Via l'invite "Exécuter", vous pouvez exécuter "regedit" pour accéder à l'éditeur de registre.

Naviguez ensuite dans l'arborescence du registre de cette façon :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\

Il s'agit d'un paramètre au niveau de la machine d'où la recherche dans la ruche HKEY_LOCAL_MACHINE.

Dans la clé "RDP-Tcp", vous devez avoir une valeur nommée "PortNumber" : c'est elle qu'il faut modifier pour utiliser un autre port. Double-cliquez dessus.

Basculez la valeur en décimale pour que ce soit lisible et facile à modifier. Vous verrez le numéro "3389" s'afficher dans le champ valeur : modifiez ce numéro pour mettre celui que vous souhaitez utiliser.

Validez et fermez l'éditeur de registre.

IV. Redémarrer le service RDP

Pour finir et dans le but que le système prenne en compte ce changement au niveau du port d'écoute, il est nécessaire de redémarrer le service "Services Bureau à distance" de Windows. Je vous invite à le faire en PowerShell, tout simplement grâce à cette commande :

Restart-Service "TermService" -Force

Il ne reste plus qu'à tester.

V. Tester l'accès RDP sur un port personnalisé

Depuis un hôte distant, ouvrez votre gestionnaire de connexion RDP ou tout simplement l'utilitaire "Connexion Bureau à distance" natif de Windows (mstsc), et essayez de vous connecter... Pour cela, il est nécessaire de préciser l'adresse IP ou le nom de l'hôte suivi de ":13389".

Puisque nous utilisons un port spécifique, il est indispensable de le préciser.

La connexion doit se monter et le serveur vous demander vos identifiants de connexion... Si ce n'est pas le cas, vérifiez que le Bureau à distance est bien actif sur l'hôte et que le pare-feu est bien configuré.

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

See Full Bio