> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/fr/guides-de-remediation-des-vulnerabilites/how-to-resolve-rdp-service-exposure-from-the-internet.md).

# Scan Externe : résoudre l'exposition du service RDP

{% hint style="info" %}
Il s'agit d'un guide pratique de durcissement. L'objectif est de supprimer l'exposition directe à Internet de **TCP/3389**.
{% endhint %}

## Pourquoi l'exposition au RDP est dangereuse

RDP (Remote Desktop Protocol) est le protocole d'accès à distance de Microsoft. Il écoute généralement sur **le port TCP 3389** et constitue un point d'entrée de grande valeur pour les attaquants.

Un service RDP exposé devient exploitable lorsque :

* il est affecté par une vulnérabilité publique (par exemple BlueKeep), ou
* les identifiants sont faibles, réutilisés ou divulgués.

L'un ou l'autre cas suffit généralement pour un accès initial et un mouvement latéral. Exposez RDP uniquement sur les réseaux internes, jamais directement sur Internet.

## Solutions recommandées

La plupart des services RDP exposés existent pour l'une des deux raisons suivantes :

* **Administration à distance.** Par ordre de préférence décroissant : déployez une passerelle Bureau à distance (RDG), déployez un VPN, ou durcissez le service RDP.
* **Accès aux documents.** Privilégiez Microsoft 365 et le stockage SharePoint plutôt qu'un accès par bureau à distance.

Base minimale dans tous les cas :

* Bloquez les connexions entrantes **TCP/3389** sur le pare-feu périmétrique.
* Autorisez RDP uniquement **depuis** la plage d'adresses IP de votre passerelle RD ou de votre VPN.

## Option 1 : Passerelle Bureau à distance (recommandée)

Une passerelle Bureau à distance (RDG) est un moyen plus sûr d'accéder aux serveurs RDP internes. Elle agit comme intermédiaire : seule la passerelle est exposée, via **HTTPS (TLS)** sur **TCP/443**. Placez-la dans une DMZ existante.

### Installer le rôle de passerelle

Connectez-vous au serveur Windows qui hébergera la passerelle et ouvrez **Gestionnaire de serveur**.

{% stepper %}
{% step %}
Dans le **menu Gérer** , ouvrez **Ajouter des rôles et fonctionnalités**.

<figure><img src="/files/59ce3b7fa30d0a8281bd8306876d64f905fd665f" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Sur le premier écran de l'assistant, cliquez sur **Suivant**.

<figure><img src="/files/e7f32b92b54069f7ed0df61078f333d74473236a" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Sélectionnez **Installation basée sur un rôle ou une fonctionnalité**, puis **Suivant**.

<figure><img src="/files/448cd146c811ed0a2ec950da78e2b6acf255a559" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Sélectionnez le serveur de destination, puis **Suivant**.

<figure><img src="/files/8c95be0a9fa201b4b62587923a2ff72aeff47ae2" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Sélectionnez **Services Bureau à distance**, puis **Suivant**.

<figure><img src="/files/e634b0e401f6e748f0d0db2f6bf51c62ddea7255" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Laissez les fonctionnalités par défaut sélectionnées et poursuivez.

<figure><img src="/files/b574fa8a2f506b2ca94b1445a37399daeae67c27" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Ignorez l'écran d'informations sur les Services Bureau à distance.

<figure><img src="/files/526a05fa68239bbd57de069afe73fbe007ab37eb" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Sélectionnez le **service de rôle Passerelle Bureau à distance** et acceptez les fonctionnalités requises lorsque cela est demandé.

<figure><img src="/files/891cf4f22467dfff2a46754b9639c9552b3e9d2f" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Confirmez la sélection et poursuivez.

<figure><img src="/files/70098ed8d23e3ca283adfbf900bbbf6be7e1dff9" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
L'assistant ajoute automatiquement les onglets associés. Cliquez sur **Suivant** à travers les écrans d'informations sur les Services de stratégie et d'accès réseau et sur le Serveur Web (IIS), en conservant les services IIS par défaut.

<figure><img src="/files/a81a837d2f94d7465f4bc7b5d7b71d1cae187533" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/fd44fe490711743f16acef4377ce8966722dccbf" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/dfeb3a2c865e98ae6da58cb15552006178168521" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/0c539562b16ac8e07492353f6a808019435af720" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Vérifiez le récapitulatif et cliquez sur **Installer**. Vous pouvez cocher **Redémarrer automatiquement le serveur de destination** si nécessaire.

<figure><img src="/files/30e60dc17d719a2745340310aacdba7921ddf154" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Attendez la fin de l'installation.

<figure><img src="/files/bf22442a18a8ded48c1e74bf7d629a6637516923" alt=""><figcaption></figcaption></figure>
{% endstep %}
{% endstepper %}

### Configurer la passerelle

{% stepper %}
{% step %}
Dans **Gestionnaire de serveur** > **Outils**, ouvrez l'outil de gestion Passerelle Bureau à distance.

<figure><img src="/files/c905b057dd81c3db0953119d6b50f262f286e0aa" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Sélectionnez le serveur à gauche, puis ouvrez **Afficher ou modifier les propriétés du certificat**.

<figure><img src="/files/c6c16f1c2e45f06b7c9334f580ead4acdfc020da" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Installez un certificat. Préférez un certificat émis par une autorité de certification reconnue : sélectionnez **Importer un certificat dans le magasin RD Gateway Certificates (Ordinateur local)/Personnel**, puis **Parcourir et importer le certificat**.

<figure><img src="/files/363c3d44fc1eb8ec1f9203791c8aefcc5375dec2" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Si vous utilisez plutôt un certificat auto-signé, sélectionnez **Créer un certificat auto-signé** et cliquez sur **Créer et importer le certificat**.

<figure><img src="/files/d5ad14dfe5de7a30b22f4ac8ae2b7f5a5093a10b" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Saisissez le nom complet du serveur comme **Nom du certificat**. Un certificat auto-signé doit ensuite être exporté du serveur et importé sur chaque machine qui utilisera la passerelle. Cliquez sur **OK** pour terminer.

<figure><img src="/files/72ca274efd3bec7dc9ac988e3a77c3080d906e41" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Ajoutez des règles d'accès. Depuis la liste déroulante du serveur, ouvrez **Stratégies**, puis **Créer de nouvelles stratégies d'autorisation**.

<figure><img src="/files/af23c0bf7ee9bf902fc9b35feeac12e61af3623f" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Deux règles sont nécessaires : une règle de connexion (RD CAP) et une règle de ressource (RD RAP). Sélectionnez **Créer une RD CAP et une RD RAP (recommandé)**, puis **Suivant**.

<figure><img src="/files/cfe3a603e5dbe425602a54e30649e21ea93647c3" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Nommez la règle CAP, puis **Suivant**.

<figure><img src="/files/0daf51116b46b250a8fa9b05f4718fc753886b6b" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Sélectionnez le ou les groupes d'utilisateurs autorisés à utiliser la passerelle, puis **Suivant**.

<figure><img src="/files/26ac541b13416cf5240c7c287f5d0cd2eeb3e945" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Définissez la redirection des périphériques. Pour durcir la passerelle, sélectionnez **Désactiver la redirection des périphériques pour les types de périphériques client suivants** et choisissez ceux dont vous n'avez pas besoin. Sinon, sélectionnez **Activer la redirection des périphériques pour tous les périphériques client**, puis **Suivant**.

<figure><img src="/files/5acfb127f54e15c226f9fcd2561c0b812ac03704" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Activez les délais de déconnexion de session et d'expiration pour durcir la passerelle, puis **Suivant**.

<figure><img src="/files/74cf982179ea3a29a787b9b4d96bcf6fa9de880f" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
vérifiez le récapitulatif CAP, puis **Suivant** pour configurer la règle RAP.

<figure><img src="/files/5081ad60117778df7a6c187cd1f6eb90a148cdcd" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Sélectionnez l'appartenance au groupe d'utilisateurs pour la règle RAP, puis **Suivant**. Seuls les groupes d'utilisateurs légitimes et autorisés doivent être ajoutés via **Ajouter un groupe**.

<figure><img src="/files/634248a402d759f899a0446979db9dfb3a52502d" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
Idéalement, créez un groupe Active Directory dédié à cet accès afin d'en garantir la légitimité.
{% endhint %}

<figure><img src="/files/f5122f65400006bfedddbcf8fd1ddead646b3563" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Indiquez les ressources internes accessibles via la passerelle.

{% hint style="info" %}
Créez un groupe de domaine contenant tous les serveurs accessibles depuis cette passerelle et sélectionnez-le avec l'option **Sélectionner un groupe de ressources réseau des services de domaine Active Directory** .
{% endhint %}

<figure><img src="/files/47351ee25cafc7484001e0e8324ae89d4ea1310c" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Indiquez les ports autorisés : la valeur par défaut **3389**, ou d'autres si nécessaire. Puis **Suivant**.

<figure><img src="/files/f0a82fdf3bbd82b8032a27717c1c0fc1a883a255" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
vérifiez le récapitulatif RAP et confirmez. Une fenêtre finale confirme les règles CAP et RAP.

<figure><img src="/files/b9e453cb304974f40bafc1fedce1c7933359acef" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/a8b9ca1aa9719a7b5354e0bc4ca9146b50a68c80" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Assurez-vous que le service de passerelle est en cours d'exécution. Dans **Gestionnaire de serveur** > **Services Bureau à distance** > **Serveurs** > **Services**, recherchez **service de rôle Passerelle Bureau à distance**. S'il est arrêté, cliquez dessus avec le bouton droit et choisissez **Démarrer les services**.

<figure><img src="/files/14529d25440aab59469d4a1c8e7caa681c778777" alt=""><figcaption></figcaption></figure>
{% endstep %}
{% endstepper %}

### Filtrer le trafic vers les serveurs internes

Les serveurs internes ne doivent accepter RDP que depuis la passerelle. Configurez le pare-feu Windows sur chaque serveur.

{% stepper %}
{% step %}
Ouvrez le pare-feu Windows, affichez **Règles de trafic entrant**, puis ouvrez les propriétés de **Bureau à distance - Mode utilisateur (TCP-entrant)**.

<figure><img src="/files/d7bc6bae871486f753b1d640e636af3ef4487614" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Accédez à l'onglet **Portée** .

<figure><img src="/files/b5a4cef8fd8ebb84041ffd79fc6778442a81a3d4" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Sous **Adresse IP distante**, autorisez uniquement les sources autorisées : l'adresse IP de la passerelle, ou `127.0.0.1` si la passerelle s'exécute sur le serveur cible lui-même.

<figure><img src="/files/7db865ee9d5811baf0f1894839a739f3022b0019" alt=""><figcaption></figcaption></figure>
{% endstep %}
{% endstepper %}

### Se connecter via la passerelle

{% stepper %}
{% step %}
Ouvrez **Connexion Bureau à distance**, allez dans l'onglet **Avancé** , puis **Paramètres**.

<figure><img src="/files/28d1b169667af25e17bb27735b63ac0e02c1babc" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Sélectionnez **Utiliser ces paramètres de serveur RD Gateway**, saisissez le **FQDN**, cochez **Utiliser mes informations d'identification RD Gateway pour l'ordinateur distant**, puis cliquez sur **OK**.

<figure><img src="/files/61e63f5f0dfd10872386b9dae58ccf7692197bb6" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
De retour dans l'onglet **Général** , saisissez le nom ou l'adresse IP du serveur interne et votre nom d'utilisateur, puis **Connecter**.

<figure><img src="/files/7e9954fa3510002691cf378fb02acded68d3a364" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Confirmez le nom de la passerelle et saisissez le mot de passe du compte.

<figure><img src="/files/66a031b4598b2a852b1b9545f0f4478f31cdc9bc" alt=""><figcaption></figcaption></figure>
{% endstep %}
{% endstepper %}

Si le certificat de la passerelle n'est pas approuvé par le client (cas fréquent avec des certificats auto-signés ou émis par une AC interne), ce message s'affiche :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FSr92NPJRPx9JejH1f09f%2Fimage.png?alt=media&#x26;token=f76f5b59-96ab-4dba-b5ce-ae5aee1c5039" alt=""><figcaption></figcaption></figure>

## Option 2 : Durcir le protocole RDP (temporaire uniquement)

{% hint style="warning" %}
Ces mesures ne suffisent pas à elles seules et ne doivent être utilisées que temporairement, pendant que vous mettez en place une passerelle ou un VPN.
{% endhint %}

Base temporaire minimale :

* Imposez **MFA** pour l'accès à distance (de préférence via une RD Gateway ou un VPN).
* Activez **l'authentification au niveau du réseau (NLA)** sur les serveurs cibles.
* Restreignez les connexions RDP entrantes à une stricte **liste d'adresses IP autorisées** (idéalement uniquement la passerelle).

### Restreignez l'accès des utilisateurs

Créez un groupe Active Directory dédié pour les utilisateurs RDP autorisés et appliquez-le avec la Console de gestion des stratégies de groupe ([GPMC](https://www.it-connect.fr/chapitres/la-console-gpmc-group-policy-management-console/)).

Approche typique :

* Ajoutez votre groupe AD au groupe local **Utilisateurs du Bureau à distance** via une GPO, ou
* définissez le droit utilisateur **Autoriser l'ouverture de session via les Services Bureau à distance**.

Exemple avec Groupes restreints / appartenance aux groupes locaux :

<figure><img src="/files/7d5e9b08285bdab59353a4c1af5c920c628b940e" alt=""><figcaption></figcaption></figure>

Ajoutez les utilisateurs ou groupes autorisés, puis cliquez sur **OK**.

<figure><img src="/files/61623a54ac6cf03b895abc30b1f637bc71dda497" alt=""><figcaption></figcaption></figure>

### Désactiver le compte invité

Windows Server 2012 R2 est fourni avec un compte invité activé par défaut. Désactivez-le pour empêcher les tentatives d'élévation de privilèges. Exécutez `compmgmt.msc` pour ouvrir la Gestion de l'ordinateur et désactiver le compte.

### Verrouillez les comptes après des échecs de connexion

Configurez une stratégie de verrouillage de compte (locale ou, de préférence, de domaine via la Console de gestion des stratégies de groupe) :

* `Configuration de l'ordinateur` > `Paramètres Windows` > `Paramètres de sécurité` > `Stratégies de compte` > `Stratégie de verrouillage de compte`
* Définissez **Seuil de verrouillage du compte** sur **5** connexions invalides.
* Définissez la durée du verrouillage et la remise à zéro du compteur sur **15 minutes** (base typique).

{% hint style="info" %}
Nous recommandons de verrouiller le compte après 5 tentatives de connexion échouées.
{% endhint %}

### Appliquer une politique de mot de passe fort

Les mots de passe forts réduisent le risque d'attaques par force brute et par dictionnaire : utilisez des lettres majuscules et minuscules, des chiffres et des caractères spéciaux. Exécutez `gpedit.msc` pour ouvrir l'Éditeur de stratégie de groupe locale, puis allez dans `Configuration de l'ordinateur` > `Paramètres Windows` > `Paramètres de sécurité` > `Stratégies de compte` > `Stratégie de mot de passe`.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/fr/guides-de-remediation-des-vulnerabilites/how-to-resolve-rdp-service-exposure-from-the-internet.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
