Changer le port RDP sur un VPS Windows Server

Résumé rapide

1. Ouvrir regedit ou PowerShell en administrateur.

2. Modifier la valeur PortNumber dans HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.

3. Créer une règle pare-feu entrante autorisant le nouveau port TCP.

4. Redémarrer le service RDP : Restart-Service -Name TermService -Force.

5. Se reconnecter via mstsc avec la syntaxe IP:NouveauPort.

🎯 Pourquoi changer le port RDP par défaut (3389) ?

Le port 3389 est le premier port scanné par les bots dès qu'une adresse IP est exposée sur Internet. En 2024, Shodan recensait plus de 4,4 millions d'instances RDP exposées: toutes ciblées en continu par des attaques automatisées.

Concrètement, sur un VPS fraîchement déployé, les premières tentatives de brute force arrivent en moins de 10 minutes. Le compte Administrator est testé en priorité.

Changer le port ne suffit pas à sécuriser un VPS. C'est de la sécurité par l'obscurité : ça réduit le bruit, pas le risque. Combine-le avec :

• L'authentification NLA (Network Level Authentication)

• Des règles pare-feu strictes (restriction par IP)

• Un compte dédié sans droits administrateur

• Une politique de verrouillage de compte

C'est le premier geste, pas le seul.

⚠️ Avant de commencer: prérequis

Avant de toucher quoi que ce soit, vérifie ces points :

• Accès administrateur au VPS (session RDP active ou console OuiHeberg)

• Ne pas couper ta session RDP en cours: applique les changements dans le bon ordre (pare-feu d'abord, puis registre)

• Choisir un port libre dans la plage 49152–65535 (ports dynamiques, moins ciblés par les scanners)

• Avoir un accès de secours : console KVM/IPMI ou la console d'urgence OuiHeberg: indispensable si tu te bloques

⚠️ Si tu oublies d'ouvrir le nouveau port dans le pare-feu avant de redémarrer le service RDP, tu perds l'accès. Garde la console OuiHeberg ouverte dans un onglet.

🖥️ Méthode 1: Via l'éditeur de registre (GUI)

C'est la méthode classique, adaptée si tu n'es pas à l'aise avec PowerShell.

1. Ouvrir l'éditeur de registre

Appuie sur Win + R, tape regedit, valide avec Entrée.

2. Naviguer vers la clé RDP

Dans la barre d'adresse, colle ce chemin :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

3. Modifier la valeur PortNumber

• Double-clique sur PortNumber

• Sélectionne Décimal

• Remplace 3389 par ton nouveau port (ex. : 54321)

• Clique sur OK

4. Fermer regedit

La modification est enregistrée immédiatement. Le service RDP doit être redémarré pour qu'elle soit prise en compte (voir section dédiée).

⚡ Méthode 2: Via PowerShell (recommandée)

Plus rapide, reproductible, et scriptable. Ouvre PowerShell en tant qu'administrateur et exécute les commandes ci-dessous.

Vérifier le port RDP actuel :

Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name PortNumber

Changer le port RDP (exemple : port 54321) :

Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name PortNumber -Value 54321

Vérifier que la modification est bien enregistrée :

Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name PortNumber

Créer la règle pare-feu en une seule commande :

New-NetFirewallRule -DisplayName "RDP Custom Port" -Direction Inbound -Protocol TCP -LocalPort 54321 -Action Allow

Supprimer l'ancienne règle RDP (optionnel mais recommandé) :

Remove-NetFirewallRule -DisplayName "Remote Desktop - User Mode (TCP-In)"

Redémarrer le service RDP sans reboot :

Restart-Service -Name TermService -Force 

🔥 Mettre à jour les règles du pare-feu Windows

C'est l'étape la plus critique. Si tu redémarres le service RDP sans avoir ouvert le nouveau port dans le pare-feu, tu perds l'accès immédiatement.

Via l'interface graphique (Windows Defender Firewall) :

1. Ouvre Pare-feu Windows Defender avec fonctions avancées de sécurité (wf.msc)

2. Clique sur Règles de trafic entrant → Nouvelle règle

3. Sélectionne Port → TCP → entre ton nouveau port (ex. : 54321)

4. Choisis Autoriser la connexion → applique à tous les profils → nomme la règle

5. Clique sur Terminer

Via PowerShell (déjà inclus dans la méthode 2) :

New-NetFirewallRule -DisplayName "RDP Custom Port" -Direction Inbound -Protocol TCP -LocalPort 54321 -Action Allow

Bloquer l'ancien port 3389 (recommandé) :

New-NetFirewallRule -DisplayName "Block RDP Default Port" -Direction Inbound -Protocol TCP -LocalPort 3389 -Action Block

💡 Pense aussi à vérifier les règles au niveau de ton infrastructure OuiHeberg. Si un pare-feu externe filtre les ports, le nouveau port doit y être ouvert également. Consulte notre guide configurer le pare-feu Windows Server pour les détails.

🔄 Redémarrer le service RDP

Trois options, de la plus rapide à la plus sûre :

Option 1: PowerShell (pas de reboot, recommandé) :

Restart-Service -Name TermService -Force

Option 2: Gestionnaire de services :

1. Appuie sur Win + R → tape services.msc

2. Trouve Services Bureau à distance (Remote Desktop Services)

3. Clic droit → Redémarrer

Option 3: Redémarrage complet du serveur :

La plus sûre si tu veux t'assurer que tout est propre. Utilise Restart-Computer ou le menu Démarrer.

✅ Vérifier que le changement est actif

Avant de fermer ta session, confirme que le nouveau port écoute bien.

Méthode 1: netstat (CMD ou PowerShell) :

netstat -an | findstr :54321

Tu dois voir une ligne avec 0.0.0.0:54321 en état LISTENING.

Méthode 2: Paramètres Windows :

Paramètres → Système → Bureau à distance → Paramètres avancés → le port affiché doit correspondre au nouveau.

Méthode 3: Test de connexion :

Depuis un autre poste, ouvre mstsc et connecte-toi via IP:54321. Si la fenêtre de connexion RDP s'affiche, c'est bon.

📸 [Placeholder screenshot: résultat de netstat -an montrant le nouveau port en état LISTENING]

🔗 Se connecter avec le nouveau port

La syntaxe change légèrement selon le client utilisé.

Windows: mstsc :

Dans le champ "Ordinateur", entre : 203.0.113.10:54321

Pour sauvegarder la connexion en fichier .rdp : Afficher les options → Enregistrer sous.

macOS: Microsoft Remote Desktop :

Modifier la connexion → champ Port → entrer 54321.

Linux: Remmina :

Dans les paramètres de la connexion, champ Port → 54321.

Linux: rdesktop :

rdesktop -u Administrateur -p 54321 203.0.113.10:54321

Pour plus de détails sur la connexion initiale, consulte notre guide se connecter à votre VPS Windows via RDP.

🛡️ Aller plus loin: Sécuriser RDP complètement

Changer le port est un début. Voici ce qui fait vraiment la différence.

Activer NLA (Network Level Authentication) :

Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name UserAuthentication -Value 1

NLA oblige l'authentification avant l'établissement de la session RDP: ça bloque les attaques qui exploitent la phase de négociation.

Créer un utilisateur RDP dédié :

Ne jamais exposer le compte Administrator en RDP. Crée un compte dédié avec des droits limités, ajouté au groupe "Utilisateurs du Bureau à distance".

Restreindre l'accès RDP par IP :

Dans la règle pare-feu, utilise le paramètre -RemoteAddress pour n'autoriser que tes IP connues :

New-NetFirewallRule -DisplayName "RDP Custom Port IP Restricted" -Direction Inbound -Protocol TCP -LocalPort 54321 -RemoteAddress 203.0.113.5 -Action Allow

Activer la politique de verrouillage de compte :

Via secpol.msc → Stratégies de compte → Stratégie de verrouillage du compte → 5 tentatives max.

VPN + RDP :

L'option la plus sécurisée : n'expose pas RDP sur Internet du tout. Connecte-toi d'abord au VPN, puis en RDP sur l'IP privée.

Pour aller plus loin sur la configuration du pare-feu, consulte notre guide complet : configurer le pare-feu Windows Server sur un VPS.

🚨 Dépannage: Problèmes fréquents

1. Connexion impossible après le changement de port

Cause probable : la règle pare-feu n'a pas été créée ou n'est pas active.

Vérifie les règles existantes :

Get-NetFirewallRule | Where-Object { $_.DisplayName -like "*RDP*" }

Recrée la règle si nécessaire :

New-NetFirewallRule -DisplayName "RDP Custom Port" -Direction Inbound -Protocol TCP -LocalPort 54321 -Action Allow

2. Port déjà utilisé par un autre service

Vérifie si le port est libre avant de l'utiliser :

netstat -an | findstr :54321

Si une ligne apparaît déjà, choisis un autre port dans la plage 49152–65535.

3. Le service RDP ne redémarre pas

Consulte les logs d'événements pour identifier l'erreur :

Get-EventLog -LogName System -Source "TermService" -Newest 10

Regarde aussi dans l'Observateur d'événements → Journaux Windows → Système → filtre sur la source "TermService".

4. Le pare-feu externe bloque le nouveau port

Si tu utilises un VPS OuiHeberg, vérifie que le port est bien ouvert au niveau de l'infrastructure dans ton espace client. Le pare-feu Windows et le pare-feu réseau sont deux couches distinctes.

5. Tu as oublié le nouveau port RDP

Récupère-le directement depuis le registre :

Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name PortNumber

❓ FAQ

Quel port choisir pour remplacer le 3389 ?

Choisis un port dans la plage 49152–65535 (ports dynamiques IANA). Ces ports sont rarement scannés par les bots. Évite les ports connus comme 443, 8080 ou 22. Un port comme 54321 ou 59876 convient parfaitement.

Changer le port RDP suffit-il à sécuriser mon VPS ?

Non. Ça réduit le volume d'attaques automatisées, mais un scanner ciblé trouvera le port en quelques minutes. Combine ce changement avec NLA activé, un compte dédié non-administrateur, une restriction d'accès par IP et une politique de verrouillage de compte.

Comment me connecter en RDP avec un port personnalisé ?

Sous Windows, utilise mstsc avec la syntaxe IP:PORT dans le champ "Ordinateur" (ex. : 203.0.113.10:54321). Sur macOS avec Microsoft Remote Desktop, modifie le champ Port dans les paramètres de la connexion. Sur Linux, Remmina propose un champ Port dédié.

Faut-il redémarrer le serveur après le changement ?

Non, un redémarrage complet n'est pas nécessaire. Il suffit de redémarrer le service RDP avec Restart-Service -Name TermService -Force. Le changement est immédiatement actif.

Peut-on changer le port RDP sans accès administrateur ?

Non. La modification du registre et la création de règles pare-feu nécessitent des droits administrateur locaux. Sans ces droits, les commandes échoueront avec une erreur d'accès refusé.

Comment vérifier que le nouveau port RDP est bien ouvert ?

Exécute netstat -an | findstr :54321 dans CMD ou PowerShell. Si tu vois 0.0.0.0:54321 LISTENING, le service écoute bien sur ce port. Tu peux aussi tester depuis un poste externe avec mstsc en entrant IP:54321.

🔗 Sources utiles

• Changer le port d'écoute RDP: Microsoft Learn

• New-NetFirewallRule: Documentation PowerShell Microsoft

• Travailler avec les entrées de registre en PowerShell: Microsoft Learn

• Vue d'ensemble des Services Bureau à distance: Microsoft Learn

• Dépannage général des erreurs RDP: Microsoft Learn

Besoin d'un VPS Windows performant ? Découvrez nos offres VPS Windows.