none
[RDS Security] Changer le port d'écoute RDP [par défaut :: 3389] | Contribution TechNet

    Discussion générale

  • S'applique à : Windows Vista > Windows 10 | Windows Server 2008 > Windows Server 2016

    Par défaut, une machine Windows (Client ou Server) sur laquelle les connexions Bureau à distance ont été activées /autorisées, écoute sur le port 3389 (TCP), ce dernier correspond au protocole RDP (Remote Desktop Protocole).

    Pour le constater, ouvrez une Session (locale) sur une machine (Physique ou Virtuelle) ayant le RDP activé, lancez l'invite de commande (CMD.exe) en tant qu'Administrateur et saisissez NetStat -a, enfin notez l'existence du port d'écoute 3389

    1

    Protocole RDP : Vulnérabilité 

    L'utilisation du port par défaut (3389 :: TCP) présente plusieurs vulnérabilités au sein d'un S.I et offre aux Hackers la possibilité d'effectuer plusieurs types d'attaques, notamment :

    • Attaque par Brute-Force
    • Attaque par DoS (Denial of Service)

    En effet, tous les hackers qui s’en prennent aux connexions RDP s’appuient sur le port 3389 pour provoquer un DoS ou brute-forcer une machine Windows.

    A l'aide de n'importe quel Network Sniffer, un Hacker peut capturer les RDP Data et facilement localiser la(es) machine(s) écoutant sur le port TCP 3389.

    Prenons l'exemple de la vulnérabilité MS12-020, celle-ci a été détectée dans le protocole RDP et permettant un déni de service, et ce via l'utilisation du port 3389.

    Comme le montre la vidéo ci-après, à l'aide d'un simple outil de Hacking (MSF "MetaSploit Framework" fourni avec KALI Linux), vous pouvez provoquer un DoS, et rendre (en quelques secondes...) un serveur RDSH (Remote Desktop Session Host) ou une Machine d'Administration écoutant sur le port 3389 indisponible :

    <iframe allowfullscreen="true" class="youtube-player" height="376" src="https://www.youtube.com/embed/8FhEK296jPg?version=3&rel=1&fs=1&autohide=2&showsearch=0&showinfo=1&iv_load_policy=1&wmode=transparent" style="border-width:0px;border-style:initial;" type="text/html" width="614"></iframe>

    Recommendations

    Il est fortement recommandé de changer le port RDP par défaut [TCP : 3389] et en définir un autre "Personnalisé".

    Vous pouvez utiliser un numéro de port situé entre 1025 et 65535

    Dans l'exemple suivant, le port 9933 sera configuré.

    HowTo : Changer le port RDP par défaut

    Le port RDP par défaut peut être changé via :

    Le Registre (BDR : Base De Registre)

    Lancez l'outil RegEdit.exe (depuis le menu Démarré /Exécuté ou Welcome Screen)

    Naviguez jusqu'au : HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

    Localisez et éditez la clé DWORD "PortNumber"

    Définissez un nouveau port (Base > Décimale)

    2

    GPO (Group Policy Objects)

    Créez une nouvelle GPO ou éditez une GPO existante, naviguez ensuite jusqu'au : Configuration Ordinateur | Préférences | Paramètres Windows

    Faites un clic-droit sur "Registre" et sélectionnez "Elements Registre"

    Remplissez les champs comme suit :

    3

    Liez votre GPO aux OUs contenant les objets AD "Ordinateurs" correspondant à vos serveurs RDSH ou Poste d'Admin.

    Enfin, lancez un GpUpdate.exe depuis un serveur sur lequel la GPO a été linkée et enjoy the change :).

    Script PowerShell

    5

    Un script PowerShell a été développé (par mes soins :)) et uploadé sur la Gallery TechNet > Scripts Center.

    Il vous permet de changer le numéro de port RDP par défaut en deux clics, il suffit de l'exécuter, renseigner le nouveau numéro de port RDP et valider le changement en cliquant sur la touche "Entrée" du clavier.

    LIRE LA SUITE...


    Hicham KADIRI | Just Another IT Guy

    Livre de référence RDS 2012 R2 désormais disponible !
    RDS 2012 R2 reference book is now available !

    samedi 24 décembre 2016 16:15

Toutes les réponses

  • bonsoir Hicham KADIRI - MTFC

    J'ai beaucoup aimé votre tutoriel PRO et je suis prêt a opté pour le changement de port RDP, maintenant je me pose quelque question et je m'aimerai avoir juste quelque précision. 

    1. En suivant le vidéo de DOS sur le Port RDP windows 7 à l'aide de métaploit, le monsieur a pu faire un DOS parce que le mode 2 n’était pas activer. donc ce qui signifie que en activant le mode 2 on est en sécurité?
    2. Est-ce qu'en changeant le port cela nous réduit la chance d'avoir un DOS dans notre S.I? parce qu'on suppose que je change le port RDP en 9933 et qu'aide un scanner de port, j'arrive à retrouver le port ouvert. je constant que le port 9933 qui est utilisé par le protocole RDP, mais il n'active pas le mode 2. donc l'IT est toujours en danger? 
    3. Donc la bonne pratique sera d'activer le mode 2 et le pare feu. même après changement de port? 

    Enable Network Level Authentication o n systems running supported editions of Windows Vista, Windows 7, Windows Server 2008, and Windows Server 2008 R2
      
    Note See Microsoft Knowledge Base Article 2671387 to use the automated Microsoft Fix it solution to enable this workaround.
    You can enable Network Level Authentication to block unauthenticated attackers from exploiting this vulnerability. With Network Level Authentication turned on, an attacker would first need to authenticate to Remote Desktop Services using a valid account on the target system before the attacker could exploit the vulnerability.
    In order to use Network Level Authentication, your environment must meet the following requirements:
    The client computer must be using at least Remote Desktop Connection 6.0.
    The client computer must be using an operating system, such as Windows 7 or Windows Vista that supports the Credential Security Support Provider (CredSSP) protocol.
    The RD Session Host server must be running Windows Server 2008 R2 or Windows Server 2008.
    To configure Network Level Authentication for a connection, perform the following steps:
    On the RD Session Host server, open Remote Desktop Session Host Configuration. To open Remote Desktop Session Host Configuration, click Start, point to AdministrativeTools, point to Remote Desktop Services, and then click Remote Desktop Session Host Configuration.
    Under Connections, right-click the name of the connection, and then click Properties.
    On the General tab, select the Allow connections only from computers running Remote Desktop with Network Level Authentication check box. 
    
    If the Allow connections only from computers running Remote Desktop with Network Level Authentication check box is selected and is not enabled, the Require user authentication for remote connections by using Network Level Authentication Group Policy setting has been enabled and has been applied to the RD Session Host server.
    Click OK.
    Impact of workaround. Client computers that do not support Credential Security Support Provider (CredSSP) protocol will not be able to access servers protected with Network Level Authentication. Note For administrators deploying this workaround in a mixed network environment where Windows XP Service Pack 3 systems need to use Remote Desktop, see Microsoft Knowledge Base Article 951608 for information on how to enable CredSSP in Windows XP Service Pack 3.
    For more information regarding Network Level Authentication, including how to enable Network Level Authentication using Group Policy, see the Technet article, Configure Network Level Authentication for Remote Desktop Services Connections.
    Sources: https://technet.microsoft.com/en-us/library/security/ms12-020.aspx

    Merci, a+

    Bonne fête à tous


    S'il vous plaît n'oubliez pas de =Marquer comme réponse= les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution. Héritier KANDOLO. http://www.rootandadmin.com/


    samedi 24 décembre 2016 19:33
  • Bonjour Heritier,

    Sécuriser et protéger une infra RDS ne consiste pas seulement à changer un numéro de port :).

    La sécurité passe par différent niveau, différente configuration et implémentaire de plusieurs options et technologies de sécurité. Le changement de port RDP est une bonne pratique, cela permet d'éviter d'exposer du 3389 (port RDP par défaut, connu de tout les hackers et programme malveillants). Maintenant, je suis d'accord avec vous, le mode d'auth >> NLA permet de rémedier au problème de sécurité illustré dans la vidéo mais pas tout, car la vidéo montre l'exploit d'une vulnérabilité détectée dans la version RDP 7.X. Il faut d'appliquer (d'abord) appliquer le correctif de sécurité et renforcer la sécurité de la ferme de serveurs RDSH via l'utilisation de la NLA. D'autres options de sécurité doivent être mises en place pour full sécuriser une infra RDS 2012 R2, notamment :

    • Mise en place du chiffrement 128-bits Hardening de la ferme de serveurs RDSH via l'utilisation de plus de 50 paramètres GP
    • Utilisation d'outils tiers pour se protéger contre les attaques de type Brute-force
    • Utilisation d'outils de recording et loggins pour RDS
    • ...
    • ...etc;

    Si vous vous souciez de la sécurité de votre infra RDS (2008 > 2012 R2) vous allez trouver tout votre bonheur la dedans :

    https://becomeitexpert.com/product/rds-2012-r2-securisation-hardening-guide-consultant-1ere-edition/

    Merci pour ton feedback pour le post n'd goodluck pour la suite. HK.


    Hicham KADIRI | Just Another IT Guy

    Livre de référence RDS 2012 R2 désormais disponible !
    RDS 2012 R2 reference book is now available !


    vendredi 30 décembre 2016 22:53
  • Bonjour Hicham KADIRI - MTFC

    Merci beaucoup pour l’échange. a+


    S'il vous plaît n'oubliez pas de =Marquer comme réponse= les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution. Héritier KANDOLO. http://www.rootandadmin.com/

    samedi 31 décembre 2016 08:45
  • Bonjour Hicham
    je suis avec grand intérêt toutes les formations ALPHORM. Et j'ai une question concernant ce changement de port. J'ai changé le port via REGEDIT sur une VM AZURE vers le port 5555. Depuis la machine n'est plus accessible... :-( j'ai changé aussi dans les rèlges entrantes du firewall azure. et je spécifie bien x.x.x.x:5555 dans le client RDP. Une idée pour rétablir ?? je sais faire un ping sur la VM via VPN (10.x.x.x) - merci !
    mercredi 14 juin 2017 17:13
  • Bonjour LEONETINFO

    Votre VM Azure est elle attachée à un NSG ? si oui, vérifiez qu'ils le flux entrant RDP::5555 est bien autorisé.

    Sinon, côté FW Windows (au niveau du Guest VM), il faut aussi vérifier que la VM /Server écoute bien sur le port personnalsié via un Netstat -a

    A+
    HK


    Hicham KADIRI | Just Another IT Guy
    Livre de référence RDS 2012 R2 désormais disponible !
    RDS 2012 R2 reference book is now available !
    Découvrez tous mes eBooks )

    lundi 19 juin 2017 12:48