Souhaitez-vous voir le site dans une autre langue ?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Changer de langue
Table des matières

Le protocole de bureau à distance (RDP) est l'un des moyens les plus courants d'accéder à des serveurs et des bureaux Windows à distance. Il est intégré à Windows, largement pris en charge par des clients tiers et fréquemment utilisé pour l'administration, le support et le travail à distance.

Mais lorsque vous publiez l'accès à distance pour les utilisateurs (ou les clients), une question devient rapidement critique pour la connectivité et la sécurité : quels ports utilise RDP ? Dans cet article, nous allons décomposer les ports par défaut, les ports "supplémentaires" qui peuvent apparaître en fonction de votre configuration, et que faire si vous souhaitez un accès à distance sans exposer le port 3389.

Port RDP par défaut

Par défaut, RDP utilise le port TCP 3389.

C'est le port d'écoute standard sur Windows pour les connexions de Bureau à distance, et c'est le port que la plupart des pare-feu et des règles NAT redirigent lorsque quelqu'un "ouvre RDP sur Internet". Microsoft enregistre également 3389 pour les services liés à RDP (ms-wbt-server) pour TCP et UDP.

RDP est-il toujours sur le port 3389 ?

La plupart du temps, oui—mais pas toujours. 3389 est le port par défaut, ce qui signifie qu'une installation standard de Windows avec le Bureau à distance activé écoutera là, à moins qu'un administrateur ne le change. Dans des environnements réels, vous verrez souvent le RDP déplacé vers un port différent pour réduire le bruit de base contre les analyses automatisées.

Vous verrez également le trafic RDP. apparaître utiliser d'autres ports lorsqu'il est proxifié ou tunnélisé (par exemple via un RD Gateway, VPN ou un portail d'accès à distance).

Le point clé : vos utilisateurs peuvent "utiliser RDP" sans se connecter directement à 3389, en fonction de la manière dont l'accès à distance est publié.

Pourquoi RDP utilise-t-il à la fois TCP et UDP ?

RDP s'est historiquement appuyé sur TCP pour une livraison fiable, mais le RDP moderne peut également utiliser UDP (généralement sur le même numéro de port, 3389) pour améliorer la réactivité. UDP aide dans les scénarios où la minimisation du délai est importante : les mouvements de souris, la saisie, la vidéo et l'audio peuvent sembler plus fluides car UDP évite une partie de la surcharge que TCP introduit lorsque des paquets sont perdus ou nécessitent une retransmission.

En pratique, de nombreuses configurations utilisent TCP comme base et UDP comme un gain de performance lorsque le réseau le permet. Si l'UDP est bloqué, le RDP fonctionne généralement toujours, mais avec des performances réduites ou une sensation de "latence" dans de mauvaises conditions réseau.

Comportement des ports UDP et supplémentaires

En plus de TCP 3389 RDP peut également impliquer :

  • UDP 3389 – Utilisé par RDP pour améliorer la réactivité et réduire la latence (lorsque le transport UDP est activé et autorisé).
  • TCP 443 – Utilisé lorsque vous vous connectez via le portail de bureau à distance (RDP encapsulé dans HTTPS).
  • UDP 3391 – Couramment utilisé pour "RDP sur UDP" via RD Gateway (chemin de performance à travers la passerelle).
  • TCP 135 / 139 / 445 – Peut apparaître dans certains environnements pour des services Windows associés et des scénarios de redirection (par exemple, fonctionnalités dépendantes de RPC/SMB).

Si votre environnement RDP se trouve derrière un pare-feu, NAT ou passerelle de sécurité, vous devrez souvent valider quel chemin RDP est réellement utilisé (direct 3389 vs. passerelle 443/3391) et vous assurer que les politiques correspondent.

Liste de vérification rapide du pare-feu pour les ports RDP

Pour éviter les dépannages par essais et erreurs, confirmez que vous avez autorisé TCP 3389 (et UDP 3389 si vous souhaitez une performance optimale). Si vous utilisez RD Gateway, assurez-vous que TCP 443 (et éventuellement UDP 3391) est ouvert sur la passerelle, pas nécessairement sur le serveur cible.

Préoccupations en matière de sécurité pour les entreprises utilisant RDP

D'un point de vue sécurité, publier le TCP 3389 sur Internet est un mouvement à haut risque. Il est fortement scanné, souvent attaqué par force brute , et souvent ciblé lors des campagnes de ransomware.

Pourquoi cela est important dans les déploiements réels :

  • Un seul point de terminaison RDP exposé peut devenir une cible constante de devinette de mot de passe.
  • La sécurité RDP dépend fortement du renforcement (MFA, verrouillage de compte, mise à jour, utilisation de VPN/portail, restrictions IP)
  • «Ouvrir simplement 3389» se transforme souvent en maintenance continue du pare-feu et des points de terminaison.
  • À mesure que les environnements se développent, il devient difficile d'appliquer des contrôles cohérents sur les serveurs.

Pour de nombreuses organisations, l'objectif devient : fournir un accès à distance sans laisser le 3389 exposé.

Étapes de durcissement pratiques si vous devez utiliser RDP

Si vous ne pouvez pas éviter RDP, réduisez l'exposition en exigeant MFA, en activant NLA, en appliquant des politiques de verrouillage strictes, en restreignant l'accès par VPN ou par liste blanche d'IP, et en vous assurant que les systèmes sont entièrement mis à jour. Lorsque cela est possible, placez RDP derrière un RD Gateway (443) au lieu d'exposer directement le port 3389.

Une alternative plus sûre : TSplus Remote Access

Si vous souhaitez un accès à distance tout en gardant le port 3389 fermé à Internet public, TSplus Remote Access fournit une approche pratique : publier des applications et des bureaux via un portail web en utilisant des ports web standard.

Pourquoi TSplus peut être un meilleur choix :

  • Ne nécessite pas d'exposer le port 3389 à Internet (vous pouvez vous fier à 80/443 pour l'accès web)
  • Accès basé sur le navigateur avec le portail Web HTML5, réduisant la complexité côté client
  • Peut appliquer HTTPS et des pratiques de sécurité standard plus facilement sur une surface web familière.
  • Fonctionne bien pour la publication d'applications (style RemoteApp) ainsi que pour des bureaux complets.
  • Peut être renforcé avec des add-ons comme l'authentification à deux facteurs et des protections supplémentaires.

Pour les équipes qui doivent servir des utilisateurs distants de manière fiable, cela aide à réduire la surface d'attaque tout en simplifiant le déploiement et intégration des utilisateurs .

Réflexions finales

TCP 3389 est le port RDP par défaut—et RDP peut également utiliser UDP 3389, ainsi que 443/3391 lorsqu'un portail est impliqué, en plus d'autres ports de mise en réseau Windows dans des scénarios spécifiques. Si l'accès à distance est essentiel pour l'entreprise, réfléchissez à la nécessité de garder 3389 exposé.

De nombreuses organisations adoptent une approche où les utilisateurs se connectent via HTTPS (443) à un portail sécurisé et la couche RDP interne reste privée.

Si vous explorez un moyen plus sûr de fournir un accès à distance, TSplus Remote Access peut vous aider à publier des applications et des bureaux via le web tout en gardant votre infrastructure plus simple et plus sécurisée.

Essai gratuit de TSplus Remote Access

Alternative ultime à Citrix/RDS pour l'accès aux bureaux/applications. Sécurisé, rentable, sur site/cloud

Commencez une version d'essai gratuite

Partager :

Facebook Twitter LinkedIn

Votre équipe TSplus

Lecture complémentaire

back to top of the page icon