Victime d’une arnaque ou simple précaution ? Voici toutes les méthodes, du simple blocage à la suppression avancée, pour neutraliser totalement Remote Desktop Protocol (RDP) sous Windows 10 et 11, sans mettre en péril la stabilité du système ni compromettre vos obligations réglementaires.
Pourquoi fermer l’accès RDP ?
RDP reste l’un des vecteurs d’attaque favori des cybercriminels : dictionnaires de mots de passe, accès vendus sur le dark web, attaques de ransomware ciblant le port 3389… Couper la fonctionnalité évite :
- la prise de contrôle à distance par un escroc se faisant passer pour un technicien ;
- la non‑conformité aux politiques de sécurité bancaire ou ISO 27001 ;
- la consommation inutile de ressources réseau et l’exposition d’un service non utilisé.
Étape 1 : désactiver l’écoute RDP depuis l’interface graphique
Windows 10 et 11 Home/Pro
- Pressez Windows + I pour ouvrir les Paramètres.
- Accédez à Système ▸ Bureau à distance.
- Basculer l’option Activer le Bureau à distance sur Désactivé.
- Cliquez sur Paramètres avancés et décochez Autoriser l’assistance à distance à se connecter pour couper également Remote Assistance.
Dès validation, le service TermService cesse d’écouter sur TCP 3389 ; toute nouvelle connexion échoue.
Étape 2 : verrouiller RDP par stratégie – approche « entreprise/bancaire »
Édition Pro/Entreprise – Stratégie de groupe
- Lancez
gpedit.msc. - Chemin : Configuration ordinateur ▸ Modèles d’administration ▸ Composants Windows ▸ Services Bureau à distance ▸ Hôte de session Bureau à distance ▸ Connexions.
- Double‑cliquez sur Autoriser les connexions RDS, cochez Désactivé, puis validez.
La stratégie s’impose sur le registre et empêche même un administrateur local de réactiver RDP sans lever le paramètre « Désactivé ».
Édition Home – Pare‑feu ou registre
Sans l’Éditeur de stratégie de groupe, isolez plutôt le port 3389 :
- Ouvrez Pare‑feu Windows Defender avec fonctions avancées → Règles de trafic entrant → Nouveau règle « Port » ; choisissez TCP 3389 ; action : Bloquer la connexion.
- Pour bloquer RDP même localement, définissez la clé :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] "fDenyTSConnections"=dword:00000001
Étape 3 : désactiver le service Terminal Service
Quand la conformité exige une disparition « totale » du service :
- Exécutez
services.msc. - Trouvez Services Bureau à distance (
TermService). - Double‑cliquez, définissez le Type de démarrage sur Désactivé, puis arrêtez le service.
Attention : certaines fonctionnalités, dont l’outil Quick Assist, peuvent alors cesser de fonctionner.
Étape 4 : désinstallation ou suppression des composants (mythe ou réalité ?)
Windows n’intègre aucun « programme de désinstallation » pour Remote Desktop Connection ; l’utilitaire Applications ▸ Fonctionnalités n’affiche pas RDP. Les méthodes « forcer la main » ci‑dessous sont réservées aux environnements maîtrisés :
| Commande | Édition Windows | Résultat | Risques |
|---|---|---|---|
DISM /Online /Disable-Feature /FeatureName:Remote-Desktop-Services | Entreprise / Education | Retrait des binaires rdpcorets.dll | Mise à jour cumulative impossible, restauration laborieuse |
Remove-WindowsCapability -Online -Name "App.Support.QuickAssist~~~~" | Toutes | Supprime Quick Assist (pas RDP) | Désinstalle un outil utile pour le support à distance légitime |
L’erreur 0x80070002 indique que l’image système ne possède pas de paquet distinct « RDP » à retirer ; la tentative de désinstallation échoue logiquement. Pour les postes grand public, Microsoft recommande de désactiver plutôt que désinstaller.
Étape 5 : preuves de conformité pour une banque ou un auditeur
- Capture d’écran du paramètre Bureau à distance : Désactivé (Paramètres ▶ Système).
- Sortie de la commande PowerShell :
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server" | Select-Object fDenyTSConnections - Rapport
gpresult /H C:\RapportRDP.htmllistant la stratégie Autoriser les connexions RDS : Désactivé. - Export de la règle pare‑feu bloquant TCP 3389 (
netsh advfirewall export).
Mesures de sécurité complémentaires après une tentative de fraude
1. Changer immédiatement les identifiants
Commencez par le compte Microsoft / local, suivi des courriels et services bancaires, en activant l’authentification multifacteur où elle existe.
2. Scanner en profondeur l’ordinateur
- Windows Defender Offline (démarrage hors ligne) ;
- un anti‑malware tiers (Malwarebytes, ESET, etc.) ;
- inspection manuelle des applications installées dans Paramètres ▸ Applications.
3. Éliminer les outils d’assistance illégitimes
Désinstallez TeamViewer, AnyDesk, Supremo, VNC, Quick Assist si non indispensable ; vérifiez également les tâches planifiées et les services orphelins.
4. Mettre à jour le système et les logiciels tiers
Un Windows corrigé protège des failles RDP (BlueKeep CVE‑2019‑0708, etc.) même lorsqu’il est désactivé.
5. Créer un compte utilisateur standard
Travaillez au quotidien sans privilège administrateur ; l’élévation UAC devient un garde‑fou supplémentaire.
FAQ – Tout savoir sur RDP et sa désactivation
RDP désactivé signifie‑t‑il 0 % de risque ?
Le service n’écoute plus, donc il n’y a plus d’exploitation réseau directe. Toutefois, un malware exécuté localement en tant qu’administrateur pourrait modifier le registre ou la stratégie pour le réactiver ; d’où l’importance d’une protection antivirus et d’un compte standard.
Puis‑je supprimer uniquement le client RDP (mstsc.exe) ?
Vous pouvez renommer ou restreindre mstsc.exe via les AppLocker/Contrôle d’application, mais l’exécutable sera recréé à la prochaine mise à jour cumulative. Il vaut mieux bloquer l’accès à l’outil par GPO ou contrôler la liste blanche logicielle.
Le port 3389 est‑il le seul danger ?
Non. RDP peut utiliser TLS/UDP 3389, mais également le canal HTTP 80/443 pour RemoteFX. La règle pare‑feu « Bloquer le programme svchost.exe (service TermService) » demeure la défense la plus complète.
Quid de Windows Server 2019/2022 ?
Les mêmes principes s’appliquent ; toutefois, la désactivation d’un rôle « Services Bureau à distance » s’effectue depuis le Gestionnaire de serveur ▷ Supprimer des rôles et fonctionnalités. Les banques exigent souvent la preuve de segmentation réseau plutôt que la désinstallation pure et simple.
Scripts PowerShell prêts à l’emploi
Désactiver RDP, désactiver le service et bloquer le port
# Exécuter sous PowerShell 5.x avec privilèges d’administrateur
Write-Host '--- Désactivation RDP ---'
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name fDenyTSConnections -Value 1
Stop-Service TermService -Force
Set-Service TermService -StartupType Disabled
New-NetFirewallRule -DisplayName 'Block_RDP_3389' -Direction Inbound -Action Block -Protocol TCP -LocalPort 3389
Write-Host 'Configuration terminée.'
Vérification de l’état
(Get-NetTCPConnection -LocalPort 3389 -ErrorAction SilentlyContinue) ?
'RDP écoute encore' : 'RDP bloqué avec succès'
Étude de cas – Exigence bancaire réelle
Une banque française impose à ses clients professionnels d’attester :
- « Le protocole RDP est désactivé ou restreint à une liste blanche d’adresses internes ».
- « L’accès administrateur se fait via un bastion muni d’une double authentification ».
Le client a fourni :
- Capture Paramètres RDP désactivé.
- Rapport
gpresultconfirmant la GPO : Autoriser les connexions RDS = Disabled. - Export des journaux Microsoft‑Windows‑TerminalServices‑RemoteConnectionManager montrant 0 connexion en 30 jours.
L’auditeur a validé la conformité sans exiger la suppression du composant, soulignant qu’une simple réactivation générerait une alerte SIEM.
Bonnes pratiques complémentaires
- Activer Network Level Authentication (NLA) si vous devez rétablir RDP temporairement.
- Utiliser une passerelle VPN IPsec ou WireGuard avant toute exposition distante.
- Surveiller l’événement
ID 4625(échec de connexion) pour détecter les tentatives bruteforce. - Établir une politique de mots de passe robustes (longueur ≥ 15 caractères, stockage dans un coffre‑fort).
- Planifier une revue mensuelle des règles de pare‑feu et de la GPO RDP.
Conclusion
Désactiver RDP est souvent suffisant pour satisfaire 99 % des besoins de sécurité des particuliers et TPE ; la « désinstallation » n’est ni officiellement prévue par Microsoft, ni souhaitable sans environnement pilote. En combinant la coupure dans les Paramètres, un blocage pare‑feu, la désactivation du service et un durcissement général du poste, vous obtenez un PC insensible aux attaques RDP, tout en conservant la possibilité de réactiver proprement la fonction en cas de besoin ponctuel et sécurisé.