Identifier et bloquer les ransomwares exploitant RDP sur Windows
IntroductionLes attaques par ransomware via le protocole RDP (Remote Desktop Protocol) représentent une méthode d'intrusion très courante dans les environnements Windows 10 et Windows 11. Une fois le port TCP 3389 exposé, les attaquants procèdent à des attaques par force brute ou exploitent des failles connues pour déployer un rançongiciel, chiffrer les fichiers et exiger un paiement. Ce tutoriel détaille les mesures concrètes pour détecter, analyser et bloquer efficacement ces vecteurs d’infection.
Prérequis• Connaissance approfondie de Windows
• Familiarité avec RDP et les stratégies de sécurité réseau
• Droits administrateurs nécessaires
Niveau de difficulté• Étape #1 : Audit de la configuration RDP
• Étape #2 : Désactivation ou restriction de l'accès RDP
• Étape #3 : Surveillance des tentatives de connexion
• Étape #4 : Renforcement de l’authentification
• Étape #5 : Blocage réseau et journalisation
Les Avantages• Étape #1 : Réduction drastique de la surface d’attaque
• Étape #2 : Meilleure visibilité sur les activités suspectes
• Étape #3 : Blocage des attaques par force brute
• Étape #4 : Protection proactive contre le chiffrement des données
• Étape #5 : Respect des bonnes pratiques de durcissement
Les Inconvénients• Étape #1 : Peut gêner les usages légitimes d’administration distante
• Étape #2 : Configuration réseau plus complexe
• Étape #3 : Surveillance continue nécessaire
• Étape #4 : Peut nécessiter des licences tierces (MFA)
• Étape #5 : Faux positifs possibles dans les logs
Étape #1
Ouvrir Gpedit.msc et se rendre dans
Code:
Configuration ordinateur > Modèles d'administration > Composants Windows > Services Bureau à distance > Hôte de session Bureau à distance > Connexions
Activer l’option Limiter le nombre de connexions à une valeur sécurisée
Vérifier que l’option Ne pas autoriser les connexions anonymes est activée
Contrôler les comptes autorisés via Stratégie de groupe locale Étape #2 Désactiver RDP si inutilisé via Panneau de configuration > Système > Accès à distance Ou exécuter la commande :
Code:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 1 /f
Code:
netsh advfirewall firewall add rule name="Block RDP" protocol=TCP dir=in localport=3389 action=block
AstuceSi l’accès RDP est nécessaire, préférez une connexion via VPN sécurisé avec une authentification forte plutôt qu’une exposition directe du port 3389 sur Internet.
Mise en gardeUn ransomware exploitant RDP peut chiffrer la totalité des fichiers d’un poste ou réseau en quelques minutes. Il est donc impératif de bloquer tout accès non contrôlé au protocole et de surveiller en continu les journaux de connexion.
ConseilUtilisez Auditpol pour renforcer la politique d’audit RDP et mettre en place des alertes automatiques via PowerShell ou Event Viewer + tâche planifiée en cas d’échec répété d’authentification.
Solutions alternatives• protéger rdp contre ransomware windows
• desactiver rdp securité windows 10
• securiser rdp pare feu
Références utiles• Support Microsoft
• Microsoft Learn
• Recherche GitHub
ConclusionLes ransomwares exploitant RDP constituent une menace critique pour les systèmes Windows exposés. La désactivation de RDP lorsqu’il n’est pas requis, le contrôle rigoureux des accès et la surveillance continue des événements liés aux connexions à distance sont indispensables pour bloquer ces attaques. Un durcissement préventif permet de neutraliser l’un des vecteurs d’intrusion les plus utilisés dans les cyberattaques modernes.
