Guide des ports RDP : Bureau à distance Windows sur le port 3389

RDP permet à un utilisateur d'interagir avec un bureau Windows distant sur le réseau. Le client se connecte au service RDP, négocie les paramètres de sécurité, authentifie l'utilisateur, puis échange les données de redirection du clavier, de la souris, de l'écran, du presse-papiers, de l'audio et du périphérique en fonction de la politique.

Le RDP moderne peut utiliser l'authentification au niveau du réseau, TLS, les passerelles et les contrôles d'identité d'entreprise, mais le port lui-même n'est toujours que le point d'entrée du transport. Un port 3389 accessible ne signifie pas que le déploiement est sécurisé ; cela signifie uniquement que les clients distants peuvent tenter de démarrer une session RDP.

Ouvrez RDP uniquement lorsque les administrateurs, les équipes d'assistance ou les travailleurs à distance contrôlés ont besoin d'un accès interactif aux systèmes Windows. Même dans ce cas, l’exposition directe à Internet ne devrait être qu’un dernier recours. Préférez la passerelle Bureau à distance, le VPN, l'accès zéro confiance, les hôtes bastions ou la connectivité réseau privé.

Si une machine virtuelle cloud a besoin d'un accès d'urgence occasionnel, envisagez des règles de pare-feu juste à temps, des listes autorisées d'adresses IP sources temporaires ou des fonctionnalités de console série du fournisseur au lieu de laisser 3389 ouvert 24 heures sur 24.

TCP 3389 est le chemin RDP principal et est le premier port validé par la plupart des contrôles de connectivité. Si TCP 3389 est bloqué, une session directe de bureau à distance ne peut généralement pas démarrer. Un vérificateur de port TCP est donc utile pour confirmer le chemin de base vers le service RDP.

UDP 3389 peut être utilisé par les clients RDP modernes pour améliorer la réactivité, les graphiques, l'audio et le comportement du réseau avec perte une fois la session établie. Le blocage d'UDP n'empêche peut-être pas chaque connexion RDP, mais il peut rendre les sessions plus lentes ou moins stables. Les passerelles et les politiques d'entreprise peuvent gérer cela différemment, testez donc le chemin client réel.

Avant d'ouvrir le port 3389, activez intentionnellement le Bureau à distance, exigez l'authentification au niveau du réseau, confirmez quels utilisateurs sont autorisés à se connecter et décidez si la redirection du presse-papiers, du lecteur, de l'imprimante et du périphérique doit être autorisée. Ces choix politiques sont tout aussi importants que la règle du pare-feu.

Un vérificateur de port peut indiquer si TCP 3389 est accessible depuis Internet, mais il ne peut pas confirmer que le flux de connexion RDP, la stratégie de passerelle, les droits d'utilisateur, l'AMF ou les restrictions de session sont configurés correctement. Testez à la fois l’accessibilité du réseau et le comportement réel du Bureau à distance.

Sur Windows Server ou Windows Pro, activez le Bureau à distance, exigez l'authentification au niveau du réseau et autorisez TCP 3389 entrant dans le pare-feu Windows Defender. Confirmez que l'utilisateur appartient à un groupe Bureau à distance autorisé et que la politique de sécurité locale ne bloque pas la connexion à distance.

Pour les serveurs cloud, ouvrez 3389 uniquement aux plages IP sources fiables dans le groupe de sécurité cloud ou la stratégie de pare-feu. Si possible, utilisez un VPN, un sous-réseau privé, un bastion ou une passerelle de bureau à distance afin que la machine virtuelle elle-même ne soit pas directement accessible depuis l'Internet public.

RDP est principalement un protocole Windows, mais des clients existent pour macOS, Linux, iOS, Android et les navigateurs via des passerelles. L’exposition côté serveur et le modèle de sécurité doivent toujours être contrôlés sur l’hôte ou la passerelle Windows.

Commencez par une vérification du port externe par rapport au nom d'hôte public ou à l'adresse IP et au port 3389. Si le port est ouvert, le chemin TCP vers le service RDP est accessible. Testez ensuite avec Microsoft Remote Desktop, mstsc.exe ou votre client de passerelle pour confirmer la stratégie de connexion et de session.

Sur l'hôte Windows, vérifiez que les services Bureau à distance sont en cours d'exécution et que le pare-feu Windows Defender dispose de la règle entrante attendue. Dans les environnements cloud, comparez le pare-feu hôte avec le groupe de sécurité cloud, car l'un ou l'autre peut bloquer l'accès.

Si le port 3389 est fermé, le Bureau à distance peut être désactivé, le service peut être arrêté, le port peut avoir été modifié ou le Pare-feu Windows peut bloquer les connexions entrantes. Si la vérification expire, les règles de pare-feu cloud, le NAT du routeur, la politique VPN, le filtrage du FAI ou les listes autorisées d'IP source peuvent supprimer des paquets.

Si le port est ouvert mais que la connexion échoue, inspectez les droits des utilisateurs, les exigences NLA, les mots de passe expirés, le verrouillage du compte, la connectivité du domaine, la stratégie MFA, les règles de passerelle et les journaux d'événements. Un port fonctionnel ne garantit pas que l'utilisateur est autorisé à créer une session.

Évitez d'exposer RDP directement à Internet. Utilisez la passerelle Bureau à distance, un VPN, des réseaux privés, des hôtes bastions ou un accès zéro confiance. Exigez l'authentification multifacteur dans la mesure du possible, appliquez le verrouillage des comptes, désactivez les comptes inutilisés et surveillez les échecs de connexion et les emplacements sources inhabituels.

Corrigez Windows régulièrement, limitez l'adhésion des administrateurs locaux, désactivez les fonctionnalités de redirection inutiles, définissez des délais d'attente pour les sessions inactives et collectez les journaux d'événements de sécurité. Pour les systèmes à haut risque, préférez les postes de travail à accès privilégié ou les chemins d'administration gérés au lieu du RDP direct à partir d'appareils personnels.