Windows Server 2012 / 2012 R2 - RDS - Sécuriser au maximum l'accès à votre infrastructure RDS grâce au chiffrement 56 bits, 128 bits ou FIPS

Page 1 / 1

Lorsque vous créez une infrastructure RDS, il est important de sécuriser les communications entre les PC clients et vos serveurs hôtes de session pour éviter toute interception et/ou modification des données transitent via votre réseau local.
En effet, étant donné que vos utilisateurs travaillent sur des bureaux et/ou des programmes RemoteApp à distance, tout ce qu'ils font pourrait être vu dans le réseau si cela n'était pas chiffré (sécurisé).

Néanmoins, il faut aussi savoir qu'il existe différents niveaux de chiffrement qui sont donc plus ou moins sécurisés et qui sont parfois compatibles avec certaines versions de Windows (ou tout autre système d'exploitation).

  1. Définir le niveau de chiffrement à utiliser via les stratégies de groupe (GPO)
  2. Définir le niveau de chiffrement à utiliser via le gestionnaire de serveur
  3. Définir le niveau de chiffrement à utiliser via le registre (déconseillé)

1. Définir le niveau de chiffrement à utiliser via les stratégies de groupe (GPO)

Pour définir le niveau de chiffrement à utiliser dans votre infrastructure RDS en utilisant les stratégies de groupe, vous devrez allez sur votre serveur Active Directory.
Dans l'éditeur de gestion des stratégies de groupe, allez dans : Configuration ordinateur -> Stratégies -> Modèles d'administration -> Composants Windows -> Services Bureau à distance -> Hôte de la session Bureau à distance -> Sécurité.

Ensuite, faites un double clic sur la stratégie "Définir le niveau de chiffrement de la connexion client".

Activez cette stratégie et choisissez le niveau de chiffrement souhaité :

  • compatible avec le client : permet d'utiliser le niveau de chiffrement le plus haut compatible avec le serveur et le client. Mais, ce qui peut poser un problème de sécurité si vous vous connectez depuis un ancien poste client ou via une ancienne version d'un client RDP.
  • Niveau bas (ou Faible) : permet de chiffrer les données envoyées par le client au serveur avec une clé 56 bits. Mais, cela ne chiffre absolument pas les données dans l'autre sens (du serveur au client).
  • Niveau élevé : permet de chiffrer les données envoyées dans les 2 sens.

Attention : si vous utilisez le niveau de chiffrement élevé (qui permet de sécuriser au mieux la connexion entre le serveur et le client), le chiffrement 128 bits doit être supporté par le client RDP pour que votre utilisateur puisse se connecter à votre serveur.
Dans le cas contraire, la connexion RDP sera refusée, même si les identifiants étaient bons.

Bien que vous n'en aurez surement pas besoin, sachez qu'il existe un niveau de chiffrement encore meilleur basé sur l'utilisation de certificats (PKI) appelé FIPS.
Pour l'activer, vous aurez entre autres besoin d'une infrastructure PKI et vous devrez activer le support du FIPS via les stratégies de groupe.

Pour cela, allez dans "Configuration ordinateur -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité".

Ensuite, activez la stratégie "Chiffrement système : utilisez des algorithmes compatibles FIPS".

2. Définir le niveau de chiffrement à utiliser via le gestionnaire de serveur

Si vous ne souhaitez pas définir le niveau de chiffrement via les stratégies de groupe, sachez qu'il est aussi possible de le faire via le gestionnaire de serveur.
Néanmoins, vous devrez le faire pour chaque collection. Ce qui peut rapidement devenir ingérable si vous possédez beaucoup de collections dans votre infrastructure RDS.

Pour commencer, allez dans les propriétés de chaque collection.

Ensuitez, sélectionnez le niveau de chiffrement à utiliser.

Comme vous pouvez le voir, il existe bien 4 niveaux de chiffrement :

  • Faible (ou niveau bas)
  • Compatible client (négocier)
  • Elevé (ou niveau élevé)
  • Compatible FIPS (nécessite une infrastructure PKI et la gestion de certificats)

Notez que, comme pour le choix de la couche de sécurité, le paramètre choisi via les stratégies de groupe (si applicable) sera prioritaire par rapport au choix disponible dans les propriétés de chaque collection.

3. Définir le niveau de chiffrement à utiliser via le registre (déconseillé)

Bien que cela est déconseillé et que cela requiert un redémarrage du serveur hôte de session (ce qui est plutôt compliqué dans un environnement de production), sachez qu'il est tout de même possible de le faire via le registre.

Pour cela, lancez le programme "regedit.exe" sur le serveur hôte de session souhaité et naviguez jusqu'à la clé : HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp

Dans cette clé "RDP-Tcp", vous trouverez une donnée nommée "MinEncryptionLevel".

Si vous faites un clic droit "Modifier" sur celle-ci et que vous sélectionnez la base "Décimale", vous pourrez choisir le niveau de chiffrement en fonction d'un chiffre :

  • 1 = Faible ou niveau bas
  • 2 = compatible client
  • 3 = Niveau élevé
  • 4 = Compatible FIPS

Source : WS2008: Network Level Authentication and Encryption (Microsoft)

Une fois que vous aurez modifié cette valeur, fermez l'éditeur du registre et redémarrez votre serveur hôte de session.