Sécuriser le Bureau à distance

Le Bureau à distance (RDP) est la porte d'entrée principale d'un VPS Windows. Sans durcissement, il est ciblé par des scans automatiques. Ce guide applique des mesures efficaces sur un VPS Windows HolyCloud.

Prérequis

• VPS Windows Server avec accès administrateur
• Session RDP active (gardez une console IPMI/KVM ou second canal avant de changer le port)
• Bloc-notes des valeurs actuelles (port, comptes)

Activer l'authentification au niveau du réseau (NLA)

NLA impose une authentification avant l'ouverture de session complète.

GUI : sysdm.cpl → onglet Remote → cochez Allow connections only from computers running Remote Desktop with Network Level Authentication.

PowerShell :

Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name UserAuthentication -Value 1

Vérifiez :

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp').UserAuthentication

Changer le port RDP (exemple : 3390)

Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name PortNumber -Value 3390

Pare-feu : supprimez la règle générique 3389 et ajoutez le nouveau port :

Remove-NetFirewallRule -DisplayName 'Remote Desktop*' -ErrorAction SilentlyContinue
New-NetFirewallRule -DisplayName 'RDP Custom 3390' -Direction Inbound -Protocol TCP -LocalPort 3390 -Action Allow -Profile Any

Redémarrez le service :

Restart-Service TermService -Force

Connexion client :

mstsc /v:IP_PUBLIQUE:3390

Ouvrez le même port dans le pare-feu HolyCloud (espace client) si un filtrage réseau est actif.

Comptes et mots de passe

• Renommez ou désactivez le compte Administrator après création d'un admin dédié :

$Password = Read-Host -AsSecureString 'Mot de passe fort'
New-LocalUser -Name 'adm-votreorg' -Password $Password -FullName 'Admin VPS'
Add-LocalGroupMember -Group 'Administrators' -Member 'adm-votreorg'

• Politique de mot de passe : longueur 16+, complexité via secpol.msc → Account Policies.
• Ne partagez jamais le même mot de passe entre clients.

Limiter les utilisateurs autorisés au RDP

net localgroup "Remote Desktop Users" "adm-votreorg" /add

Retirez les comptes inutiles. Vérifiez :

net localgroup "Remote Desktop Users"

Pare-feu : restriction par IP (recommandé)

Si votre IP admin est fixe :

New-NetFirewallRule -DisplayName 'RDP depuis bureau' -Direction Inbound -Protocol TCP -LocalPort 3390 -RemoteAddress VOTRE.IP.PUBLIQUE -Action Allow
New-NetFirewallRule -DisplayName 'RDP block autres' -Direction Inbound -Protocol TCP -LocalPort 3390 -Action Block

Ordre des règles : la règle Allow doit être évaluée avant le Block (priorité dans Windows Firewall with Advanced Security).

Verrouillage après échecs

secpol.msc → Account Lockout Policy :

• Account lockout threshold : 5 tentatives
• Account lockout duration : 30 minutes

Journalisation

Get-WinEvent -LogName 'Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational' -MaxEvents 20

Surveillez les ID d'échec de connexion répétés.

Dépannage

| Problème | Solution |

|----------|----------|

| RDP inaccessible après changement de port | Console IPMI/KVM, revenir à 3389 dans le registre |

| « CredSSP » / NLA | Mettre à jour le client RDP Windows |

| Verrouillage compte | Attendre la durée ou déverrouiller via admin |

Besoin d'aide ?

Le support HolyCloud peut vous aider en cas de blocage réseau, sans réinitialiser vos mots de passe par défaut par chat non sécurisé.