![\"twitter\"](\"https:\/\/blog.capdata.fr\/wp-content\/plugins\/social-media-feather\/synved-social\/image\/social\/regular\/48x48\/twitter.png\" "\\"Share")
<\/a><\/a>![\"linkedin\"](\"https:\/\/blog.capdata.fr\/wp-content\/plugins\/social-media-feather\/synved-social\/image\/social\/regular\/48x48\/linkedin.png\" "\\"Share")
<\/a>![\"mail\"](\"https:\/\/blog.capdata.fr\/wp-content\/plugins\/social-media-feather\/synved-social\/image\/social\/regular\/48x48\/mail.png\" "\\"Share")
<\/a>\r\n<\/p>\r\n\r\n\r\n\r\n
Cet article va d\u00e9crire les diff\u00e9rentes actions li\u00e9es aux acc\u00e8s RDP sur une VM Amazon EC2.<\/p>\r\n\r\n\r\n\r\n
Dans une premi\u00e8re partie, nous verrons comment r\u00e9initialiser le port RDP d’une EC2 Amazon si jamais le port 3389 a \u00e9t\u00e9 chang\u00e9 et n’est plus accessible<\/p>\r\n\r\n\r\n\r\n
Puis nous verrons comment changer le num\u00e9ro de port RDP via l’interface Amazon.
Les diff\u00e9rentes actions pourront \u00eatre effectu\u00e9es via la console Amazon AWS, ou bien via le programme AWS CLI interpr\u00e9teur de commandes.<\/p>\r\n\r\n\r\n\r\n
<\/p>\r\n\r\n\r\n\r\n <\/p>\r\n\r\n\r\n\r\n <\/p>\r\n\r\n\r\n\r\n Prenons un exemple concret, vous souhaitez changer le num\u00e9ro du port RDP, par mesure de s\u00e9curit\u00e9, afin d’\u00e9viter de passer par le 3389.<\/p>\r\n\r\n\r\n\r\n Premier r\u00e9flexe, vous irez directement dans la base de registre afin de changer l’entr\u00e9e et choisir un nouveau port (exemple 3007) :\u00a0<\/p>\r\n\r\n\r\n\r\n HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control\\TerminalServer\\WinStations\\RDP-Tcp<\/strong><\/p>\r\n\r\n\r\n\r\n En revanche, une fois la modification valid\u00e9e, et si par malheur vous n’avez pas changer les r\u00e8gles Firewall … vous tenterez une reconnexion RDP avec ce nouveau port, et la, c’est le drame ….<\/p>\r\n\r\n\r\n\r\n Comme vous n’avez pas changer les r\u00e8gles Firewall, celui ci vous emp\u00eachera de communiquer via ce nouveau port, et il vous sera impossible de rentrer sur la VM (c’est un oubli qui arrive, y compris chez les meilleurs !)<\/p>\r\n\r\n\r\n\r\n Afin de r\u00e9soudre ce probl\u00e8me, Amazon a pr\u00e9vu une solution qui passe par un service AWS appel\u00e9 Service System Manager (SSM). Cet agent va nous permettre d’agir en mode ‘console’ sur notre EC2, et nous permettra de lancer certaines fonctionnalit\u00e9s int\u00e9ressantes. Afin de pouvoir g\u00e9rer cette instance via la System Manager, il faudra la d\u00e9clarer comme ‘instance g\u00e9r\u00e9e’.<\/p>\r\n\r\n\r\n\r\n Pour cela, il sera primordial de cr\u00e9er un r\u00f4le pour utiliser SSM. Cette premi\u00e8re phase pourra se faire via la console AWS , service IAM :<\/p>\r\n\r\n\r\n\r\n On cr\u00e9era un nouveau r\u00f4le auquel on affectera la strat\u00e9gie : <\/p>\r\n\r\n\r\n\r\n ce r\u00f4le ainsi cr\u00e9\u00e9 sera alors \u00e0 attribu\u00e9 aux VM EC2 que l’on souhaite faire g\u00e9rer par SSM. A noter que depuis peu, nous pouvons attacher ce r\u00f4le dans les param\u00e8tres de l’instance, y compris lorsque l’instance est d\u00e9j\u00e0 cr\u00e9\u00e9e.<\/p>\r\n\r\n\r\n\r\n Nous pouvons \u00e9galement choisir ce r\u00f4le lors de la cr\u00e9ation de l’instance EC2 \u00e0 la seconde page lors du choix de la couche r\u00e9seau.<\/p>\r\n\r\n\r\n\r\n Notre EC2 est maintenant prise en charge par Service System Manager.<\/p>\r\n\r\n\r\n\r\n Attention, sur AWS, je n’ai pas r\u00e9ussi \u00e0 configurer ce service pour une instance sur un subnet priv\u00e9. Seules les instances d’un subnet publique, comportant une IP publique, semblent fonctionner.<\/p>\r\n\r\n\r\n\r\n Il faudra donc, temporairement, changer les r\u00e8gles Security Groups\u00a0 de l’instance, ou bien la copier dans un subnet publique (cr\u00e9er un image -> reg\u00e9n\u00e9rer une instance EC2 dans un subnet publique).<\/p>\r\n\r\n\r\n\r\n <\/p>\r\n\r\n\r\n\r\n Notre instance est alors reconnue. A noter que l’instanceId est r\u00e9f\u00e9renc\u00e9e:<\/p>\r\n\r\n\r\n\r\n En cliquant sur le bouton Actions, un menu d\u00e9roulant appara\u00eet dans lequel nous pourrons effectuer diverses actions, comme ouvrir une session CMD, lancer une commande via un invite. Ce qui nous int\u00e9resse est “Ex\u00e9cuter l’automatisation” :<\/p>\r\n\r\n\r\n\r\n Un choix de documents json sera alors pr\u00e9sent\u00e9 afin de valider l’action que nous pourrons mener sur cette instance. Naviguer dans les diff\u00e9rentes pages afin de choisir le document ‘TroubleshootRDP”<\/p>\r\n\r\n\r\n\r\n On cliquera sur ce document qui nous sera alors d\u00e9crit, puis on laissera la version par d\u00e9faut afin de revenir au param\u00e8tre initial.<\/p>\r\n\r\n\r\n\r\n L’\u00e9tape suivante consiste \u00e0 choisir notre instanceId sur laquelle sera ex\u00e9cut\u00e9 ce document d’automatisation.<\/p>\r\n\r\n\r\n\r\n Choisir l’option souhait\u00e9e, dans notre cas nous pourrons soit d\u00e9sactiver le Firewall :<\/p>\r\n\r\n\r\n\r\n Ou bien reprendre le port 3389 par d\u00e9faut pour RDP<\/p>\r\n\r\n\r\n\r\n Une fois le choix effectu\u00e9, on cliquera sur Execute<\/p>\r\n\r\n\r\n\r\n L’ex\u00e9cution sera g\u00e9r\u00e9e via l’ordonnanceur<\/p>\r\n\r\n\r\n\r\n V\u00e9rifier que tout s’est correctement pass\u00e9<\/p>\r\n\r\n\r\n\r\n A la prochaine connexion, via RDP, sur notre serveur, si le port 3389 a \u00e9t\u00e9 remis par d\u00e9faut et\/ou si le Firewall a \u00e9t\u00e9 d\u00e9sactiv\u00e9 :<\/p>\r\n\r\n\r\n\r\n <\/p>\r\n\r\n\r\n\r\n On pourra tout aussi bien utiliser l’utilitaire AWS CLI pour effectuer cette op\u00e9ration. A noter que la configuration d’un compte avec les droits adequats devra \u00eatre effectu\u00e9.\u00a0<\/p>\r\n\r\n\r\n\r\n Pour d\u00e9sactiver le FireWall :<\/p>\r\n\r\n\r\n\r\n Exemple pour notre instance, \u00e0 Paris (code r\u00e9gion eu-west-3)<\/p>\r\n\r\n\r\n\r\n Pour changer le port RDP et remettre le 3389:<\/p>\r\n\r\n\r\n\r\n Soit\u00a0<\/p>\r\n\r\n\r\n\r\n <\/p>\r\n\r\n\r\n\r\n <\/p>\r\n\r\n\r\n\r\n <\/p>\r\n\r\n\r\n\r\n Nous allons voir dans ce paragraphe comment changer le port RDP de notre connexion sur notre instance EC2.<\/p>\r\n\r\n\r\n\r\n \/!\\ \/!\\ Il est \u00e9vident qu’il faudra avant tout, g\u00e9rer la probl\u00e9matique du FireWall avant de changer ce port. Nous choisirons, soit de le d\u00e9sactiver, le temps de faire l’op\u00e9ration, et ajouter une r\u00e8gle sur ce nouveau port \u00e0 la fin, soit de d\u00e9clarer ce port d\u00e8s le d\u00e9but. Cr\u00e9er une nouvelle r\u00e8gle bas\u00e9e sur un port<\/p>\r\n\r\n\r\n\r\n Par exemple le port TCP 3007<\/p>\r\n\r\n\r\n\r\n Appliquer pour tous les domaines<\/p>\r\n\r\n\r\n\r\n V\u00e9rifier que cette r\u00e8gle est bien active\u00a0<\/p>\r\n\r\n\r\n\r\n A partir de la, nous avons donc ouvert le port 3007 pour cette instance EC2 depuis l\u2019ext\u00e9rieur.<\/p>\r\n\r\n\r\n\r\n La suite de la proc\u00e9dure se d\u00e9roulera via Service System Manager. Comme pour le paragraphe pr\u00e9c\u00e9dent, les actions seront \u00e0 mener sur SSM en prenant en consid\u00e9ration les pr\u00e9requis en terme de r\u00f4le SSM, afin de d\u00e9finir notre instance comme instance g\u00e9r\u00e9e.<\/p>\r\n\r\n\r\n\r\n Le document \u00e0 choisir dans SSM est\u00a0 Comme pour le 1er paragraphe, nous passerons par l’\u00e9tape du choix de l’instanceID, Actions et Ex\u00e9cuter l’automatisation :<\/p>\r\n\r\n\r\n\r\n L’\u00e9tape suivante nous permettra de d\u00e9finir le nouveau port RDP, soit le 3007, que nous appliquerons \u00e0 cette instance:<\/p>\r\n\r\n\r\n\r\n On v\u00e9rifie \u00e9galement la bonne ex\u00e9cution de cette op\u00e9ration :<\/p>\r\n\r\n\r\n\r\n Il est \u00e9galement possible d’utiliser AWS CLI pour cette op\u00e9ration, s’il l’on prend exemple sur notre instanceId ci dessus :<\/p>\r\n\r\n\r\n\r\n <\/p>\r\n\r\n\r\n\r\n Il nous restera \u00e0 valider la modification :<\/p>\r\n\r\n\r\n\r\n N’h\u00e9sitez pas \u00e0 laisser vos commentaires\u00a0<\/p>\r\n\r\n\r\n\r\n Emmanuel RAMI<\/p>\r\n Connexion RDP sur EC2 Amazon Continuer la lecture ![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-66.png\")
<\/figure>\r\n\r\n\r\n\r\nReinitialiser une connexion RDP<\/h2>\r\n\r\n\r\n\r\n
![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-37.png\")
\r\n
<\/figcaption>\r\n<\/figure>\r\n\r\n\r\n\r\n
Par d\u00e9faut, chaque AMI g\u00e9n\u00e9r\u00e9 via Amazon poss\u00e8de un agent SSM sur sa template AMI.
En revanche, il ne faudra surtout pas oublier de l’installer sur une nouvelle VM issue d’une migration ESX par exemple.<\/p>\r\n\r\n\r\n\r\n
Ici, on s’appliquera \u00e0 r\u00e9initialiser le port RDP 3389. On pourrait tout aussi bien d\u00e9sactiver le Firewall via l’agent \u00e9galement.<\/p>\r\n\r\n\r\n\r\nPr\u00e9requis<\/em><\/pre>\r\n\r\n\r\n\r\n
AmazonEC2RoleforSSM<\/a><\/p>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/console.aws.amazon.com\/iam\/assets\/images\/policy_icon.png\"){kind=icon}
\r\n\r\n<\/figure>\r\n\r\n\r\n\r\n{\r\n \"Version\": \"2012-10-17\",\r\n \"Statement\": [\r\n {\r\n \"Effect\": \"Allow\",\r\n \"Action\": [\r\n \"ssm:DescribeAssociation\",\r\n \"ssm:GetDeployablePatchSnapshotForInstance\",\r\n \"ssm:GetDocument\",\r\n \"ssm:GetManifest\",\r\n \"ssm:GetParameters\",\r\n \"ssm:ListAssociations\",\r\n \"ssm:ListInstanceAssociations\",\r\n \"ssm:PutInventory\",\r\n \"ssm:PutComplianceItems\",\r\n \"ssm:PutConfigurePackageResult\",\r\n \"ssm:UpdateAssociationStatus\",\r\n \"ssm:UpdateInstanceAssociationStatus\",\r\n \"ssm:UpdateInstanceInformation\"\r\n ],\r\n \"Resource\": \"*\"\r\n },<\/code><\/pre>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-39.png\")
<\/figure>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-40.png\")
<\/figure>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-42.png\")
\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-43.png\")
\r\nR\u00e9initialisation<\/em><\/pre>\r\n\r\n\r\n\r\n
On ira v\u00e9rifier en navigant dans les services AWS afin de choisir SSM :<\/p>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-44-1024x318.png\")
\r\n
Entrer dans le menu “Instances g\u00e9r\u00e9es”<\/figcaption>\r\n<\/figure>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-45.png\")
<\/figure>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-46.png\")
<\/figure>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-47.png\")
<\/figure>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-48.png\")
<\/figure>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-49.png\")
<\/figure>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-50.png\")
<\/figure>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-51.png\")
\r\n
<\/figcaption>\r\n<\/figure>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-52.png\")
<\/figure>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-53.png\")
<\/figure>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-54.png\")
\r\n
Enjoy !!<\/figcaption>\r\n<\/figure>\r\n\r\n\r\n\r\nCommande via AWS CLI<\/pre>\r\n\r\n\r\n\r\n
\"aws ssm start-automation-execution --document-name \"AWSSupport-TroubleshootRDP\" --parameters \"InstanceId=INSTANCEID,Firewall=Disable\" --region REGION\"<\/code><\/pre>\r\n\r\n\r\n\r\n\"aws ssm start-automation-execution --document-name \"AWSSupport-TroubleshootRDP\" --parameters \"InstanceId=i-00e36ea8009dffb61,\r\nFirewall=Disable\" --region eu-west-3\"<\/code><\/pre>\r\n\r\n\r\n\r\n\"aws ssm start-automation-execution --document-name \"AWSSupport-TroubleshootRDP\" --parameters \"InstanceId=INSTANCEID,RDPPortAction=Modify\" --region REGION\"<\/code><\/pre>\r\n\r\n\r\n\r\n\"aws ssm start-automation-execution --document-name \"AWSSupport-TroubleshootRDP\" --parameters \"InstanceId=i-00e36ea8009dffb61, RDPPortAction=Modify\" --region eu-west-3\"<\/code><\/pre>\r\n\r\n\r\n\r\nChanger le port RDP de connexion<\/h2>\r\n\r\n\r\n\r\n
Pr\u00e9requis<\/pre>\r\n\r\n\r\n\r\n
On d\u00e9clare une nouvelle entr\u00e9e, sur le FireWall, pour le port 3007 par exemple :<\/p>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-55.png\")
\r\n
<\/figcaption>\r\n<\/figure>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-56.png\")
<\/figure>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-57.png\")
\r\n
<\/figcaption>\r\n<\/figure>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-58.png\")
\r\n
<\/figcaption>\r\n<\/figure>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-59.png\")
<\/figure>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-60.png\")
<\/figure>\r\n\r\n\r\n\r\n
AWSSupport-ManageRDPSettings<\/a><\/p>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-61.png\")
<\/figure>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-62.png\")
<\/figure>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-63.png\")
\r\n
<\/figcaption>\r\n<\/figure>\r\n\r\n\r\n\r\n\"aws ssm start-automation-execution --document-name \"AWSSupport-ManageRDPSettings\" --parameters \"InstanceId=i-00e36ea8009dffb61, RDPPortAction=Modify, RDPPort=3007\" --region eu-west-3\"<\/code><\/pre>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-64.png\")
<\/figure>\r\n\r\n\r\n\r\n![\"\"](\"https:\/\/blog.capdata.fr\/wp-content\/uploads\/2018\/12\/image-65.png\")
<\/figure>\r\n\r\n\r\n\r\n<\/a><\/a><\/a>","protected":false},"excerpt":{"rendered":"