Un VPS Windows exposé sur Internet reçoit des milliers de tentatives RDP par jour de la part de bots. Sans protection, vous risquez :
- Compte administrateur verrouillé (erreur 0xd07)
- Compromission par dictionnaire de mots de passe
- Charge CPU/réseau permanente
Deux solutions de référence existent :
- EvlWatcher : 100% gratuit, open-source, basé sur l'analyse des Event Logs Windows
- RDPGuard : commercial (~80€), version d'essai 30 jours, interface plus aboutie
Ce guide couvre les deux installations.
Prérequis
- VPS Windows Server 2019, 2022 ou 2025
- Accès Administrateur via RDP
- Pare-feu Windows activé
Option A : EvlWatcher (gratuit)
Étape 1 : Téléchargement
Téléchargez la dernière release depuis GitHub :
https://github.com/devnulli/EvlWatcher/releases
Récupérez le fichier EvlWatcher.x.x.x.zip.
Étape 2 : Installation
- Décompressez l'archive dans
C:\Program Files\EvlWatcher\ - Clic droit sur
EvlWatcherService.exe→ Exécuter en tant qu'administrateur - Lors du premier lancement, le service s'installe automatiquement dans Windows
Vérifiez dans services.msc :
- Cherchez EvlWatcher Service
- État : Démarré
- Type : Automatique
Étape 3 : Configuration
Ouvrez C:\Program Files\EvlWatcher\config.xml (en tant qu'administrateur).
Paramètres principaux :
<config>
<generalsettings>
<!-- Nombre maximum d'IPs surveillées en RAM -->
<maxipsinmemory>10000</maxipsinmemory>
<!-- Logging détaillé pour debug -->
<loglevel>INFO</loglevel>
</generalsettings>
<tasks>
<task name="RDP">
<!-- Source des events: Logs de sécurité Windows -->
<eventlog>Security</eventlog>
<!-- Patterns regex pour détecter les tentatives RDP échouées -->
<events>4625</events>
<!-- Nombre d'échecs avant ban -->
<permanentban>10</permanentban>
<temporaryban>3</temporaryban>
<!-- Durée du ban temporaire (en secondes, ici 1h) -->
<temporarybanduration>3600</temporarybanduration>
</task>
</tasks>
</config>
Étape 4 : Whitelist
Pour ne jamais bannir votre IP fixe (très important pour ne pas vous verrouiller) :
<whitelist>
<ip>82.26.157.10</ip>
<ip>192.168.1.0/24</ip>
</whitelist>
Redémarrez le service :
Restart-Service EvlWatcherService
Étape 5 : Interface graphique (optionnel)
Lancez EvlWatcherGUI.exe (en tant qu'administrateur) pour voir :
- Les IPs actuellement bannies
- L'historique des tentatives
- Les statistiques de blocage
Étape 6 : Vérifier le fonctionnement
Inspectez le pare-feu Windows :
Get-NetFirewallRule -DisplayName "EvlWatcher*" | Select-Object DisplayName, Enabled
Vous devriez voir des règles EvlWatcher Block IP X.X.X.X se créer automatiquement.
Option B : RDPGuard (commercial)
Étape 1 : Téléchargement
Téléchargez l'installeur depuis : https://www.rdpguard.com
Lancez rdpguard_setup.exe en tant qu'administrateur.
Étape 2 : Installation
Suivant → Suivant → Terminer. RDPGuard s'installe en service Windows et démarre automatiquement.
L'interface graphique s'ouvre. Vous avez 30 jours d'évaluation gratuite avec toutes les fonctionnalités.
Étape 3 : Configuration
Dans l'onglet Settings → Protocols, activez :
- RDP (Remote Desktop) : protège le port RDP
- SMTP : si vous avez un serveur mail
- FTP : si vous avez un serveur FTP
- MS SQL : si vous avez SQL Server exposé
Pour chaque protocole, définissez :
- Number of failed login attempts before IP is blocked : 5
- Block IP address for : 3600 secondes (1 heure)
Étape 4 : Whitelist
Settings → IP Whitelist → Add. Ajoutez vos IPs de confiance pour ne jamais être bloqué.
Étape 5 : Notifications
Settings → Notifications : configurez l'envoi d'email à chaque blocage.
Étape 6 : Licence permanente
Après les 30 jours, achetez une licence sur le site officiel ou désinstallez RDPGuard et basculez sur EvlWatcher.
Dépannage
Le service ne démarre pas
Inspectez les Event Logs Windows :
Get-EventLog -LogName Application -Source "EvlWatcher*" -Newest 20
Vérifiez les permissions du fichier config.xml (lecture pour le service).
Aucune IP bannie après plusieurs heures
Vérifiez que Windows audit bien les échecs de connexion :
auditpol /get /subcategory:"Logon"
Doit afficher Success and Failure. Si non :
auditpol /set /subcategory:"Logon" /success:enable /failure:enable
Vous êtes verrouillé après un test
Connectez-vous via le noVNC de l'espace client VeryCloud (la connexion console ne passe pas par RDP, donc ne sera jamais bloquée).
Supprimez la règle pare-feu qui vous bannit :
Get-NetFirewallRule -DisplayName "*BLOCK*" | Where-Object { $_.DisplayName -like "*VOTRE_IP*" } | Remove-NetFirewallRule
Bonnes pratiques complémentaires
Au-delà de l'auto-ban, sécurisez votre RDP :
- Changez le port RDP (3389 → port custom entre 10000 et 65000). Voir le tuto VeryCloud Erreur RDP 0xd07.
- Désactivez le compte Administrator par défaut, créez un compte admin avec un autre nom.
- Forcez l'authentification 2FA avec un outil comme DUO Security.
- Limitez RDP à vos IPs fixes via le pare-feu Windows.
Commandes utiles (PowerShell)
# Statut du service EvlWatcher
Get-Service EvlWatcherService
# Redémarrer le service
Restart-Service EvlWatcherService
# Lister toutes les règles de blocage RDP
Get-NetFirewallRule -DisplayName "*EvlWatcher*"
# Lister les events RDP échoués des dernières 24h
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625; StartTime=(Get-Date).AddDays(-1)} | Format-Table TimeCreated, @{Name='IP';Expression={$_.Properties[19].Value}}
# Compter les tentatives par IP
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625; StartTime=(Get-Date).AddDays(-1)} | Group-Object {$_.Properties[19].Value} | Sort-Object Count -Descending
Conclusion
EvlWatcher (gratuit) suffit largement pour un usage personnel ou en petite entreprise. RDPGuard est intéressant si vous gérez plusieurs serveurs et avez besoin d'une interface centralisée ou de fonctionnalités avancées (rapports PDF, intégration AD).
Dans tous les cas, ne laissez jamais un VPS Windows en production sans protection brute-force : c'est la cause numéro un de compromission sur les serveurs Windows.
Ressources
- EvlWatcher GitHub : https://github.com/devnulli/EvlWatcher
- RDPGuard : https://www.rdpguard.com
- Tuto VeryCloud — Erreur RDP 0xd07 : https://verycloud.fr/docs/article/rdp-fix-login
- Tuto VeryCloud — Ouverture de ports Windows : https://verycloud.fr/docs/article/windows-firewall