- Liste complète des ports TCP et UDP pour les rôles dans Windows Server
- Configurations et pratiques de sécurité recommandées pour RDP, DNS et Active Directory
- Comment protéger votre réseau en limitant les ports inutiles et en les appliquant en fonction du rôle
- Détails sur le protocole utilisé par chaque service et comment ouvrir ou surveiller les ports
L'administration d'un réseau basé sur Windows Server nécessite une connaissance précise de la ports qui doivent être ouverts pour que les services fonctionnent correctement. De l'activation des connexions à distance à la garantie de l'authentification des utilisateurs et de la résolution appropriée des noms de domaine, divers protocoles s'appuient sur des ports spécifiques pour fonctionner. Afin de gérer correctement ces ports, il est utile de consulter les informations sur types de ports réseau.
Que vous mettiez en place un Serveur Active Directory (AD)une Le serveur DNS, ou en permettant l'accès par Bureau à distance (RDP), l’ouverture des ports est essentielle. Ne pas le faire correctement peut entraîner des échecs de connexion, des problèmes d’authentification ou même compromettre la sécurité de votre infrastructure si plus de ports que nécessaire sont laissés ouverts.
Concepts généraux sur les protocoles et les ports dans Windows Server
Windows Server utilise une très grande variété de services qui nécessitent l'ouverture Ports TCP et UDP. Ces ports permettent la communication entre différents appareils et services au sein du réseau et même vers l'extérieur. Les deux principaux protocoles utilisés sur ces ports sont TCP (protocole de contrôle de transmission) y UDP (protocole de datagramme utilisateur).
TCP Il se caractérise par le fait qu'il s'agit d'un protocole fiable et orienté connexion qui garantit que tous les paquets arrivent dans le bon ordre. Il est donc utilisé dans les services qui nécessitent de la stabilité tels que HTTP, FTP ou RDP. D'autre part, UDP Il est plus rapide mais moins fiable, c'est pourquoi il est choisi pour des services comme DNS, streaming, jeux en ligne, etc.
De plus, les ports sont classés en :
- Ports connus (0-1023) : Utilisé par les protocoles standards tels que HTTP (80), DNS (53) ou SSH (22).
- Ports enregistrés (1024-49151) : Créé pour des services ou des applications moins courants. Ils peuvent être enregistrés par des entreprises.
- Ports dynamiques ou éphémères (49152-65535) : Utilisé par le système lorsqu'un client initie une connexion. Également connus sous le nom de ports aléatoires ou temporaires.
Ports utilisés par Active Directory (AD)
Active Directory est le cœur de tout réseau de domaine basé sur Windows. Pour que vos services fonctionnent correctement, il est essentiel d'ouvrir plusieurs ports clés principalement lié aux protocoles LDAP, Kerberos et RPC. Vous pouvez trouver des informations supplémentaires sur la manière de communiquer avec ces services dans différents contextes.
Parmi les plus importants, nous avons :
- TCP/UDP 389 : C'est le port utilisé par LDAP (Lightweight Directory Access Protocol). Il s’agit d’une priorité pour l’authentification des utilisateurs et la réplication des répertoires.
- TCP 636 : Utilisé pour LDAP sur SSL (LDAPS).
- TCP/UDP 88 : Associé au protocole Kerberos, utilisé pour l'authentification.
- TCP 445 : Utilisé par SMB pour le partage de fichiers et d'imprimantes.
- TCP 135 : Mappeur de points de terminaison RPC.
- TCP 3268 / 3269 : Catalogue mondial (CG). 3268 pour les recherches et 3269 lorsqu'une connexion sécurisée (SSL) est requise.
- TCP 9389 : Services Web Active Directory (ADWS).
- TCP/UDP 53 : Port pour la résolution DNS.
- TCP 49152–65535 : Plage de ports dynamiques RPC.
Ces ports doivent être disponibles sur tous contrôleurs de domaine et les systèmes qui interagissent avec la MA. De plus, si vous travaillez avec des contrôleurs de domaine sur différents sites ou réseaux, assurez-vous d’autoriser ces ports entre les emplacements.
Ports requis pour le Bureau à distance (RDP)
Le Bureau à distance (RDP) est l’une des fonctionnalités les plus utilisées dans les environnements Windows Server. Son port par défaut est 3389 TCP, bien qu'il puisse être modifié pour des raisons de sécurité. Il est important de savoir que le maintien de la sécurité de ces points d’accès est essentiel pour protéger votre réseau.
En fonction de l'infrastructure et du nombre de rôles déployés (tels que la passerelle Bureau à distance, les licences Bureau à distance, l'hôte de session Bureau à distance, etc.), les ports requis varient. Nous vous montrons ici l'essentiel :
- TCP/UDP 3389 : Port RDP par défaut.
- TCP 443 : Si le Bureau à distance via le Web (RDWeb) ou la passerelle est utilisé, il est encapsulé dans HTTPS.
- UDP3391 : Trafic RDP sur UDP, plus efficace s'il est utilisé avec une passerelle.
- TCP 5504 : Communication entre Web Access et Connection Broker.
- TCP 5985 : Pour administration via PowerShell et WMI.
- TCP 445 : Communication SMB entre le serveur de licences et l'hôte.
- TCP 139 / UDP 137-138 : Services NetBIOS utilisés dans les environnements hérités.
- TCP 49152–65535 : Utilisation dynamique par RPC.
Ces ports doivent être ouverts en fonction de la rôle spécifique mis en œuvre au sein du serveur RDS. Si vous utilisez des connexions Internet ou des équilibreurs de charge, RD Gateway est un choix idéal pour encapsuler RDP dans HTTPS et éviter les problèmes avec les pare-feu ou les NAT.
Ports pour les serveurs DNS
Le DNS (Domain Name System) permet aux ordinateurs à l'intérieur ou à l'extérieur du réseau de résoudre les noms de domaine tels que « server.contoso.local » en adresses IP. Assurez-vous qu'il est correctement configuré, pour ce faire, vous pouvez consulter davantage sur le fonctionnement du Serveurs DNS.
Les ports clés pour ce service sont :
- UDP53 : Pour la plupart des requêtes DNS.
- TCP 53 : Il est utilisé lorsque la réponse dépasse la taille d'un paquet UDP ou pour les transferts de zone à zone entre serveurs DNS.
Comme pour tous les services, il est judicieux de garder les ports ouverts uniquement sur les ordinateurs qui agissent comme serveurs DNS et d'appliquer des règles de pare-feu pour filtrer l'accès des réseaux non autorisés.
Ports pour DHCP et WINS
Dans les réseaux où les adresses IP sont délivrées de manière dynamique via DHCP, il est nécessaire d'autoriser certains ports :
- UDP67 : Écouté par le serveur DHCP.
- UDP68 : Utilisé par les clients pour recevoir la configuration.
WINS, bien qu'obsolète, peut toujours être présent dans des environnements hérités avec des applications héritées :
- UDP137 : Résolution de nom NetBIOS.
- UDP138 : Services de datagrammes NetBIOS.
- TCP 139 : Sessions NetBIOS.
Si ces services ne sont pas utilisés, il est fortement recommandé de les désactiver et de fermer les ports correspondants pour éviter les vulnérabilités. Vous pouvez également consulter sur la façon dont gérer correctement les périphériques USB dans le cadre de la sécurité globale de votre système.
Ports requis pour les serveurs d'impression
Les serveurs d’impression peuvent également représenter un point d’exposition si les ports inutilisés sont laissés ouverts. Par conséquent, si vous gérez les files d’attente d’impression via Windows Server, assurez-vous que ces ports sont actifs :
- TCP 135 : RPC.
- UDP 137-138 : NetBIOS requis pour le partage d'imprimante sur les réseaux hérités.
- TCP 139 : Communication NetBIOS sur TCP.
- TCP 445 : Protocole SMB pour le partage de fichiers et d'imprimantes.
Il est également judicieux d’ouvrir les ports dynamiques élevés utilisés par le protocole RPC (49152–65535) si le serveur d’impression doit être géré à distance. La manipulation de ces ports peut être cruciale pour un fonctionnement fluide et sûr.
Ports de service de temps (NTP/SNTP)
Windows Server inclut par défaut le service de temps Windows (W32Time), qui synchronise l'horloge système avec des sources externes ou des contrôleurs de domaine. Maintenir une heure précise est essentiel pour la sécurité et la fonctionnalité du système.
Les ports pour ce service sont :
- UDP123 : Port utilisé par NTP et SNTP.
Ce port doit être ouvert si le serveur se synchronise avec une source de temps externe ou si d'autres ordinateurs du réseau l'utilisent comme référence de temps.
Ports pour les services de messagerie (SMTP, POP3, IMAP)
Si vous disposez d'un serveur de messagerie, tel que Microsoft Exchange ou un autre serveur basé sur Windows Server, vous devez ouvrir :
- TCP 25 : SMTP (envoi de courrier).
- TCP 465 / 587 : SMTP avec SSL ou TLS.
- TCP 110 : POP3.
- TCP 995 : POP3 avec SSL.
- TCP 143 : IMAP.
- TCP 993 : IMAP avec SSL.
La recommandation est de privilégier les ports cryptés et de supprimer ou de bloquer les ports associés aux protocoles non sécurisés pour maintenir l'intégrité de vos communications. Vous pouvez en savoir plus sur la gestion OS en Windows 11.
Ports pour les services Web dans IIS
Si votre serveur héberge des pages Web via Internet Information Services (IIS), vous devrez alors ouvrir les ports suivants dans votre pare-feu :
- TCP 80 : HTTP (pas de cryptage).
- TCP 443 : HTTPS (cryptage SSL/TLS).
- TCP 8080 : Port alternatif pour HTTP, couramment utilisé dans le développement ou l'administration.
Il est important de disposer de certificats valides pour garantir le bon fonctionnement du trafic HTTPS et éviter les avertissements de sécurité dans votre navigateur. N'oubliez pas que lors de la gestion de vos serveurs, il est essentiel d'avoir une compréhension approfondie des ports ouverts pour éviter les vulnérabilités.
Comment afficher et vérifier quels ports sont ouverts dans Windows Server
Depuis le système lui-même, vous pouvez utiliser plusieurs méthodes :
- netstat -un : Affiche toutes les connexions actives et les ports d'écoute.
- Get-NetTCPConnection (PowerShell) : Très utile pour lister les connexions TCP actives.
- telnet : Vérifiez si un port est accessible depuis un autre ordinateur.
- Test-NetConnection : Commande PowerShell plus moderne pour tester la connectivité.
exemple:
Test-NetConnection -ComputerName servidor.contoso.local -Port 3389
Vous pouvez également utiliser nmap depuis une autre machine pour scanner une gamme complète de ports, idéal pour les audits. Pour une bonne analyse et une bonne surveillance, pensez à lire sur logiciel de surveillance qui peut vous aider à mieux gérer vos ressources.
Ports dangereux ou couramment exploités
Il existe des ports qui ont historiquement été la cible d’attaques massives. Quelques exemples :
- TCP 3389 : Le RDP a été attaqué par force brute dans de nombreuses campagnes de ransomware.
- TCP 445 : Exploité par malware comme WannaCry.
- TCP 23 : Telnet, sans cryptage, ne devrait jamais être exposé.
- UDP161 : SNMP, s'il n'est pas utilisé, mieux vaut le fermer.
Garder ces ports ouverts inutilement est l’une des erreurs les plus courantes cybersécurité. Effectuez des analyses fréquentes de votre réseau pour détecter ces cas. La gestion des ports est une tâche qui doit être continue pour sécuriser le réseau, vous devez donc savoir faire face aux erreurs courantes cela peut survenir.
Bonnes pratiques pour l'ouverture des ports
- Ouvrez uniquement les ports nécessaires : En matière de sécurité, moins c'est plus.
- Utiliser des pare-feu locaux et périphériques : Configurez des pare-feu sur chaque serveur et à la périphérie du réseau.
- Modifiez les ports par défaut si vous le pouvez : En particulier dans RDP, le changement du port 3389 réduit les attaques automatisées.
- Limiter l'accès par IP : Utilisez des listes blanches pour restreindre les origines pouvant accéder à votre serveur.
- Auditer périodiquement : Utilisez des outils d’analyse pour détecter les ports inutilement ouverts.
Une gestion appropriée des ports ouverts dans Windows Server est essentielle non seulement pour garantir le bon fonctionnement des services, mais également pour minimiser la surface d’attaque. Connaître chaque rôle, les ports dont vous avez besoin et comment les sécuriser vous aidera à disposer d'une infrastructure beaucoup plus robuste contre les menaces internes ou externes.
Écrivain passionné par le monde des octets et de la technologie en général. J'aime partager mes connaissances à travers l'écriture, et c'est ce que je vais faire dans ce blog, vous montrer toutes les choses les plus intéressantes sur les gadgets, les logiciels, le matériel, les tendances technologiques et plus encore. Mon objectif est de vous aider à naviguer dans le monde numérique de manière simple et divertissante.