BoucheCousue

Contactez-nous

Ouvrir le port 3389, bureau à distance

Ouvrir le port 3389, bureau à distance
  • Publié le
  • par Gonzague
  • Temps de lecture
  • 5 mn
  • Publié le
  • par Gonzague
  • Temps de lecture 5 mn
Microsoft Windows, sur ses serveurs et postes de travail, permet l'accès au bureau à distance (RDP), en standard via le port 3389. En cette période de confinement lié au Coronavirus, vous, ou un de vos prestataires a peut être été tenté d'ouvrir ce port au tout venant, ce qu'il faut éviter. Pourquoi?

Microsoft Windows, sur ses serveurs et postes de travail, permet l’accès au bureau à distance (RDP), en standard via le port 3389. En cette période de confinement lié au Coronavirus, vous, ou un de vos prestataires a peut être été tenté d’ouvrir ce port au tout venant, ce qu’il faut éviter. Pourquoi?

Une fonction pratique

Le Remote Desktop Services (RDS) / Remote Desktop Protocol (RDP) est assez pratique dans le sens où il permet, facilement, d’accéder au bureau d’une machine comme si on était sur cet ordinateur/serveur.

Cela se fait via d’une part un ordinateur/serveur qui va jouer le rôle d’hôte et un autre périphérique client comme un autre ordinateur, un smartphone, une tablette, un client léger.

Mais dangereuse aussi

Exposer sur Internet le port 3389 d’un de vos serveurs, même en modifiant le port (par exemple en utilisant 3390 ou 3388), c’est tout de même l’exposer à des dangers. Pourquoi? Car certaines vulnérabilités de Windows peuvent être exploitées avec ce simple port.

Mais aussi car selon les configurations, certains Windows affichent tous les noms d’utilisateur exploitables sur la machine ce qui facilite la recherche d’un éventuel pirate.

Le moteur de recherche Shodan.io remonte 3 millions d’hôtes avec le port Remote Desktop (RDP) ouvert… Ce sont autant de machines plus vulnérables que d’autres.

Vous voulez des exemples de failles? Hop par ici sur le site CERT-FR ..

Quelles bonnes pratiques

  • Ne pas ouvrir en NAT (ou direct) le port 3389 de votre serveur (ou la majeure partie des ports, comme les ports pour le SMB..) sur Internet
  • Si vous devez absolument rendre ce serveur accessible, faites le à travers un VPN correctement configuré
  • Si le VPN n’est absolument pas possible, faites une règle firewall qui n’autorise que certaines IP entrantes sur votre serveur, en considérant donc que l’IP des utilisateurs qui vont y accéder .. est fixe
  • Mettez en place un outil type de RdpGuard qui limite les tentatives type brute-force (mais ne sécurise pas pour autant les vulnérabilités Windows)
  • Mettre à jour vos serveurs avec les derniers correctifs de sécurité
Est-il dangereux d’ouvrir le port 3389 d’un serveur sur Internet?

Oui. Evitez de le faire vous mettez la sécurité de la machine en danger et celle de tous les appareils qui partagent son réseau

Comment faire un accès RDP sécurisé?

Faites cet accès derrière un VPN correctement configuré

A quoi sert le port 3389 sur Windows?

Le port 3389 sur Windows sert généralement à Microsoft Remote Desktop Services (RDS / RDP)

Articles similaires

  • Publié le

Meraki AI-Powered Auto RF: L’intelligence artificielle au service du Wi-Fi

  • Publié le

WiFi 7 : tout savoir sur cette norme

  • Publié le

Vulnérabilité BitLocker: une explication

Rechercher
A propos de ce blog
Le blog de BoucheCousue ce sont les actualités des produits et services que nous distribuons, les informations que nous voulons partager & notre vision de l’IT au quotidien.

Vous avez un projet ?
Et si on en discutait ?

Situés en plein centre de Paris, nous intervenons partout.
Rencontrons-nous !

INFORMATIONS
[email protected]
NOUS TROUVER
11 rue Marsollier, Paris
SUPPORT TECHNIQUE
[email protected]

APPELEZ-NOUS

01 86 64 64 64
Vous avez un projet ?
Et si on en discutait ?

Situés en plein centre de Paris,
nous intervenons partout. Rencontrons-nous !

INFORMATIONS
[email protected]
NOUS TROUVER
11 rue Marsollier, Paris
SUPPORT TECHNIQUE
[email protected]

APPELEZ NOUS

01 86 64 64 64
Contactez-nous