ANAVEM
FrancaisEnglish
ANAVEM
Référence
Languageen
Comment activer le Bureau à distance sur Windows Server Core 2025

Comment activer le Bureau à distance sur Windows Server Core 2025

Activer le protocole Remote Desktop Protocol (RDP) sur Windows Server Core 2025 en utilisant SConfig et PowerShell, configurer les paramètres du pare-feu et établir des connexions à distance sécurisées pour la gestion du serveur.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
15 mars 2026 12 min 8
mediumrdp 8 étapes 12 min

Pourquoi activer le Bureau à distance sur Windows Server Core ?

Windows Server Core offre une option d'installation minimale qui réduit la surface d'attaque et la consommation de ressources par rapport à l'expérience de bureau complète. Cependant, gérer Server Core exclusivement via la ligne de commande peut être difficile pour les administrateurs habitués aux interfaces graphiques. Le protocole Remote Desktop (RDP) comble cette lacune en fournissant un accès à distance sécurisé à l'environnement de bureau administratif de Server Core.

Activer RDP sur Server Core 2025 permet aux administrateurs de gérer les serveurs à distance en utilisant des outils graphiques familiers tout en conservant les avantages de sécurité et d'efficacité de l'installation Core. Le processus implique la configuration des services Terminal, l'activation des règles de pare-feu et la mise en œuvre de mécanismes d'authentification appropriés pour garantir un accès à distance sécurisé.

Quelles considérations de sécurité s'appliquent à Server Core RDP ?

La surface d'attaque réduite de Server Core le rend intrinsèquement plus sécurisé que les installations complètes de Windows, mais RDP introduit des considérations de sécurité supplémentaires. L'authentification au niveau du réseau (NLA) fournit la première ligne de défense en exigeant une authentification utilisateur avant d'établir des sessions RDP. Cela empêche les utilisateurs non autorisés de consommer les ressources du serveur et réduit l'exposition aux attaques par force brute.

Les implémentations modernes de RDP dans Windows Server 2025 incluent un chiffrement amélioré, une authentification basée sur des certificats et une gestion améliorée des sessions. Une configuration correcte du pare-feu garantit que le trafic RDP est contrôlé et surveillé, tandis que les délais d'expiration des sessions empêchent les connexions abandonnées de rester actives indéfiniment.

Comment SConfig simplifie-t-il la gestion de Server Core ?

L'outil de configuration du serveur (SConfig) fournit un système de menu basé sur du texte spécialement conçu pour la gestion de Server Core. Contrairement aux commandes PowerShell ou à l'édition directe du registre, SConfig offre une interface conviviale qui guide les administrateurs à travers les tâches de configuration courantes. Pour l'activation de RDP, SConfig gère automatiquement à la fois les modifications du registre et la configuration du pare-feu en une seule opération, réduisant ainsi le risque d'erreurs de configuration et garantissant des résultats cohérents sur différents déploiements de serveurs.

Guide de mise en oeuvre

Procédure complète

01

Accéder au noyau du serveur et lancer SConfig

Connectez-vous à votre système Windows Server Core 2025 en utilisant des identifiants administrateur. Server Core démarre directement sur une interface de ligne de commande sans environnement de bureau graphique.

Lancez l'outil de configuration du serveur en exécutant la commande SConfig :

sconfig.cmd

Le menu SConfig affiche des options de configuration numérotées. Cet outil fournit une interface textuelle pour gérer les paramètres du serveur de base sans nécessiter de connaissances en PowerShell.

Astuce pro : SConfig est la méthode la plus rapide pour activer le RDP sur Server Core. Il gère automatiquement à la fois les modifications du registre et la configuration du pare-feu en une seule étape.

Vérification : Le menu principal de SConfig devrait s'afficher avec les options 1-15, y compris l'option 7 pour "Bureau à distance".

02

Activer le Bureau à distance via SConfig

Dans le menu principal de SConfig, sélectionnez l'option 7 pour configurer les paramètres du Bureau à distance :

7

Appuyez sur Entrée pour accéder au sous-menu de configuration du Bureau à distance. Vous verrez l'état actuel du RDP (généralement "Désactivé" sur les nouvelles installations) et les options de configuration.

Tapez E pour activer le Bureau à distance :

E

Le système vous demandera de choisir le niveau d'authentification. Sélectionnez l'option 1 pour la configuration la plus sécurisée :

1

Cela active "Autoriser uniquement les clients exécutant le Bureau à distance avec l'authentification au niveau du réseau (plus sécurisé)". NLA nécessite une authentification du client avant d'établir la session RDP, empêchant les tentatives de connexion non autorisées.

Appuyez sur OK pour confirmer les modifications. SConfig met automatiquement à jour le registre et active les règles de pare-feu nécessaires.

Avertissement : L'option 2 (moins sécurisée) désactive NLA et ne doit être utilisée que pour les clients hérités qui ne prennent pas en charge l'authentification moderne.

Vérification : L'état du Bureau à distance dans SConfig devrait maintenant indiquer "Activé" avec l'authentification NLA.

03

Vérifier les règles du pare-feu à l'aide de PowerShell

Quittez SConfig en appuyant sur 0 et revenez à l'invite de commande. Lancez PowerShell pour vérifier la configuration du pare-feu :

powershell

Vérifiez que les règles de pare-feu du Bureau à distance sont activées :

Get-NetFirewallRule -DisplayGroup "Remote Desktop" | Where-Object {$_.Enabled -eq "True"}

Cette commande devrait retourner trois règles activées :

  • Remote Desktop - User Mode (TCP-In)
  • Remote Desktop - User Mode (UDP-In)
  • Remote Desktop - Shadow (TCP-In)

Si les règles ne sont pas activées, activez-les manuellement :

Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

Sinon, utilisez la commande netsh pour la compatibilité avec les anciens scripts :

netsh advfirewall firewall set rule group="Remote Desktop" new enable=Yes

Vérification : Exécutez netsh advfirewall firewall show rule group="Remote Desktop" pour confirmer que toutes les règles affichent "Enabled: Yes".

04

Configurer les paramètres du registre pour RDP (méthode alternative)

Bien que SConfig gère la plupart des configurations automatiquement, vous pouvez également activer RDP par modification directe du registre. Cette méthode est utile pour le scripting ou lorsque SConfig n'est pas disponible.

Activez le Bureau à distance en définissant la valeur de registre fDenyTSConnections à 0 :

Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name fDenyTSConnections -Value 0

Activez l'authentification au niveau du réseau pour une sécurité renforcée :

Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name UserAuthentication -Value 1

Pour les environnements nécessitant une compatibilité avec l'invite de commande, utilisez les commandes reg :

reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 1 /f
Astuce pro : Enregistrez ces commandes de registre dans un fichier batch pour un déploiement automatisé du serveur. Incluez une vérification des erreurs avec if %errorlevel% neq 0 pour les scripts de production.

Vérification : Interrogez le registre pour confirmer les paramètres :

Get-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name fDenyTSConnections

La valeur fDenyTSConnections doit être 0 (activé).

05

Vérifier l'état des services Terminal

Assurez-vous que le service Terminal Services (TermService) est en cours d'exécution et configuré pour un démarrage automatique. Ce service gère toutes les connexions RDP au serveur.

Vérifiez l'état actuel du service :

Get-Service TermService

Le service devrait afficher Statut : En cours d'exécution et Type de démarrage : Automatique. Si le service n'est pas en cours d'exécution, démarrez-le manuellement :

Start-Service TermService

Configurez le service pour un démarrage automatique afin de garantir que RDP reste disponible après les redémarrages :

Set-Service TermService -StartupType Automatic

Si vous rencontrez des problèmes avec le service, redémarrez-le de force :

Restart-Service TermService -Force
Avertissement : Le redémarrage de TermService déconnectera toutes les sessions RDP actives. Coordonnez-vous avec d'autres administrateurs avant d'exécuter cette commande sur des serveurs de production.

Pour une vérification supplémentaire, vérifiez que le service écoute sur le port 3389 :

netstat -an | findstr :3389

Vous devriez voir "TCP 0.0.0.0:3389 LISTENING" indiquant que le service RDP accepte les connexions.

Vérification : Exécutez Get-Service TermService | Format-List pour voir des informations détaillées sur le service, y compris le type de démarrage et l'état actuel.

06

Configurer les paramètres d'authentification au niveau réseau

L'authentification au niveau réseau (NLA) offre une sécurité renforcée en exigeant l'authentification de l'utilisateur avant d'établir la session RDP. Cela empêche les utilisateurs non autorisés de consommer les ressources du serveur.

Vérifiez que NLA est activé (devrait être défini depuis SConfig, mais confirmez manuellement) :

Get-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name UserAuthentication

La valeur UserAuthentication doit être 1 (activé). Si vous devez désactiver NLA pour la compatibilité avec les clients hérités, définissez-la sur 0 :

Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name UserAuthentication -Value 0

Configurez la couche de sécurité pour les connexions RDP. Le paramètre recommandé est SSL/TLS :

Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name SecurityLayer -Value 2

Valeurs de la couche de sécurité :

  • 0 = Couche de sécurité RDP
  • 1 = Négocier (SSL/TLS si disponible)
  • 2 = SSL/TLS (recommandé)

Définissez le niveau de cryptage sur élevé pour une sécurité maximale :

Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name MinEncryptionLevel -Value 3
Astuce pro : Pour les environnements avec des versions de clients mixtes, commencez avec NLA activé et la sécurité SSL/TLS. Ne réduisez les paramètres de sécurité que si des applications héritées spécifiques l'exigent.

Vérification : Interrogez toutes les valeurs de registre liées à la sécurité :

Get-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' | Select-Object UserAuthentication, SecurityLayer, MinEncryptionLevel
07

Tester la connexion Bureau à distance

Depuis votre poste de travail de gestion, testez la connexion RDP pour vérifier que tout est correctement configuré. Tout d'abord, déterminez l'adresse IP du serveur depuis la console Server Core :

Get-NetIPAddress -AddressFamily IPv4 | Where-Object {$_.IPAddress -ne '127.0.0.1'}

Sur votre machine cliente Windows, ouvrez Connexion Bureau à distance (mstsc.exe) ou utilisez la ligne de commande :

mstsc /v:SERVER_IP_ADDRESS

Remplacez SERVER_IP_ADDRESS par l'IP réelle de votre serveur. Vous pouvez également utiliser le nom d'hôte du serveur si la résolution DNS est configurée :

mstsc /v:SERVERNAME.domain.com

Lorsque vous y êtes invité, entrez vos identifiants administrateur. Si NLA est activé, vous vous authentifierez avant de voir le bureau. Acceptez les avertissements de certificat pour les certificats auto-signés (courants dans les environnements de laboratoire).

Une fois la connexion réussie, vous verrez le bureau administratif de Server Core avec le Gestionnaire de serveur et les outils de gestion de base. Ce n'est pas l'expérience complète du bureau Windows mais cela fournit des capacités essentielles de gestion de serveur.

Avertissement : Server Core ne fournit pas le bureau Windows complet. Vous verrez une interface limitée conçue pour l'administration du serveur. Utilisez le Gestionnaire de serveur ou PowerShell pour la plupart des tâches de gestion.

Testez la persistance de la connexion en effectuant une tâche administrative simple :

Get-ComputerInfo | Select-Object WindowsProductName, TotalPhysicalMemory

Vérification : Se connecter avec succès et exécuter des commandes PowerShell confirme que RDP fonctionne correctement. Vérifiez le Visualiseur d'événements pour les événements de connexion réussie (ID d'événement 4624) dans le journal de sécurité.

08

Configurer les paramètres de sécurité avancés RDP

Implémentez des mesures de sécurité supplémentaires pour protéger votre déploiement RDP. Commencez par configurer les délais d'expiration de session pour éviter les connexions abandonnées :

Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name MaxConnectionTime -Value 3600000

Cela définit un temps de connexion maximum de 1 heure (valeur en millisecondes). Définissez le délai d'expiration de session inactive :

Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name MaxIdleTime -Value 1800000

Cela déconnecte les sessions inactives après 30 minutes. Configurez le nombre maximum de connexions simultanées :

Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name MaxInstanceCount -Value 2

Pour une sécurité renforcée, envisagez de changer le port RDP par défaut de 3389 :

Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name PortNumber -Value 3390

Après avoir changé le port, mettez à jour la règle du pare-feu :

New-NetFirewallRule -DisplayName "RDP Custom Port" -Direction Inbound -Protocol TCP -LocalPort 3390 -Action Allow

Supprimez la règle du port par défaut 3389 si vous utilisez un port personnalisé :

Disable-NetFirewallRule -DisplayGroup "Remote Desktop"
Astuce pro : Documentez tout changement de port personnalisé dans la documentation de votre serveur. Les clients devront spécifier le port personnalisé lors de la connexion : mstsc /v:server:3390

Redémarrez les services Terminal pour appliquer les changements de port :

Restart-Service TermService -Force

Vérification : Testez la connexion sur le nouveau port et confirmez que l'ancien port n'écoute plus avec netstat -an | findstr :3389 et netstat -an | findstr :3390.

Questions Fréquentes

Puis-je activer RDP sur Windows Server Core sans utiliser SConfig ?+
Oui, vous pouvez activer RDP en utilisant des commandes PowerShell ou en modifiant directement le registre. Utilisez Set-ItemProperty pour modifier la valeur de registre fDenyTSConnections et Enable-NetFirewallRule pour configurer les paramètres du pare-feu. Cependant, SConfig est la méthode recommandée car elle gère automatiquement toutes les configurations nécessaires et réduit le risque d'erreurs.
Qu'est-ce que Network Level Authentication et pourquoi devrais-je l'utiliser ?+
Network Level Authentication (NLA) nécessite une authentification utilisateur avant d'établir la session RDP, offrant une sécurité renforcée en empêchant les tentatives de connexion non autorisées. NLA réduit la consommation de ressources du serveur et protège contre les attaques par force brute. Tous les clients RDP modernes prennent en charge NLA, et il devrait rester activé sauf si vous avez des exigences spécifiques de compatibilité avec des clients obsolètes.
Comment modifier le port RDP par défaut 3389 pour une meilleure sécurité ?+
Modifiez la valeur de registre PortNumber dans HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp, créez une nouvelle règle de pare-feu pour le port personnalisé, désactivez la règle par défaut du port 3389, et redémarrez Terminal Services. Les clients doivent spécifier le port personnalisé lors de la connexion en utilisant le format serveur:port. Documentez les changements de port pour les autres administrateurs.
Que dois-je faire si les connexions RDP échouent après l'avoir activé sur Server Core ?+
Vérifiez que Terminal Services fonctionne avec Get-Service TermService, confirmez que les règles de pare-feu sont activées avec Get-NetFirewallRule, assurez-vous que la valeur de registre fDenyTSConnections est 0, et vérifiez que le serveur écoute sur le port 3389 avec netstat. Les problèmes courants incluent le blocage des connexions par le pare-feu, le service qui ne fonctionne pas, ou des problèmes de compatibilité NLA avec des clients plus anciens.
Server Core fournit-il la même expérience de bureau que Windows Server complet ?+
Non, Server Core fournit un bureau administratif minimal avec Server Manager et des outils de gestion essentiels, mais pas l'expérience de bureau complète de Windows Server. Vous aurez accès à PowerShell, à l'invite de commande et aux interfaces administratives de base. Cette interface réduite est intentionnelle pour minimiser la surface d'attaque tout en fournissant les capacités de gestion à distance nécessaires.
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#rdp#windows-server#accès à distance

Intelligence Complémentaire

Approfondissez vos connaissances

Comment désactiver la synchronisation Active Directory dans Microsoft Entra ID
tutorial
Cloud Computing

Comment désactiver la synchronisation Active Directory dans Microsoft Entra ID

Explorer
Comment importer en masse des utilisateurs Active Directory à partir d'un CSV en utilisant PowerShell
tutorial
DevOps

Comment importer en masse des utilisateurs Active Directory à partir d'un CSV en utilisant PowerShell

Explorer
Comment surveiller la santé d'Active Directory avec des scripts PowerShell
tutorial
Cybersecurity

Comment surveiller la santé d'Active Directory avec des scripts PowerShell

Explorer

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...