Lorsque vous créez une infrastructure RDS, il est important de sécuriser les communications entre les PC clients et vos serveurs hôtes de session pour éviter toute interception et/ou modification des données transitent via votre réseau local.
En effet, étant donné que vos utilisateurs travaillent sur des bureaux et/ou des programmes RemoteApp à distance, tout ce qu'ils font pourrait être vu dans le réseau si cela n'était pas chiffré (sécurisé).
Néanmoins, il faut aussi savoir qu'il existe différents niveaux de chiffrement qui sont donc plus ou moins sécurisés et qui sont parfois compatibles avec certaines versions de Windows (ou tout autre système d'exploitation).
Pour définir le niveau de chiffrement à utiliser dans votre infrastructure RDS en utilisant les stratégies de groupe, vous devrez allez sur votre serveur Active Directory.
Dans l'éditeur de gestion des stratégies de groupe, allez dans : Configuration ordinateur -> Stratégies -> Modèles d'administration -> Composants Windows -> Services Bureau à distance -> Hôte de la session Bureau à distance -> Sécurité.
Ensuite, faites un double clic sur la stratégie "Définir le niveau de chiffrement de la connexion client".
Activez cette stratégie et choisissez le niveau de chiffrement souhaité :
Attention : si vous utilisez le niveau de chiffrement élevé (qui permet de sécuriser au mieux la connexion entre le serveur et le client), le chiffrement 128 bits doit être supporté par le client RDP pour que votre utilisateur puisse se connecter à votre serveur.
Dans le cas contraire, la connexion RDP sera refusée, même si les identifiants étaient bons.
Bien que vous n'en aurez surement pas besoin, sachez qu'il existe un niveau de chiffrement encore meilleur basé sur l'utilisation de certificats (PKI) appelé FIPS.
Pour l'activer, vous aurez entre autres besoin d'une infrastructure PKI et vous devrez activer le support du FIPS via les stratégies de groupe.
Pour cela, allez dans "Configuration ordinateur -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité".
Ensuite, activez la stratégie "Chiffrement système : utilisez des algorithmes compatibles FIPS".
Si vous ne souhaitez pas définir le niveau de chiffrement via les stratégies de groupe, sachez qu'il est aussi possible de le faire via le gestionnaire de serveur.
Néanmoins, vous devrez le faire pour chaque collection. Ce qui peut rapidement devenir ingérable si vous possédez beaucoup de collections dans votre infrastructure RDS.
Pour commencer, allez dans les propriétés de chaque collection.
Ensuitez, sélectionnez le niveau de chiffrement à utiliser.
Comme vous pouvez le voir, il existe bien 4 niveaux de chiffrement :
Notez que, comme pour le choix de la couche de sécurité, le paramètre choisi via les stratégies de groupe (si applicable) sera prioritaire par rapport au choix disponible dans les propriétés de chaque collection.
Bien que cela est déconseillé et que cela requiert un redémarrage du serveur hôte de session (ce qui est plutôt compliqué dans un environnement de production), sachez qu'il est tout de même possible de le faire via le registre.
Pour cela, lancez le programme "regedit.exe" sur le serveur hôte de session souhaité et naviguez jusqu'à la clé : HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp
Dans cette clé "RDP-Tcp", vous trouverez une donnée nommée "MinEncryptionLevel".
Si vous faites un clic droit "Modifier" sur celle-ci et que vous sélectionnez la base "Décimale", vous pourrez choisir le niveau de chiffrement en fonction d'un chiffre :
Source : WS2008: Network Level Authentication and Encryption (Microsoft)
Une fois que vous aurez modifié cette valeur, fermez l'éditeur du registre et redémarrez votre serveur hôte de session.
Windows Server 7/6/2019
Windows Server 8/3/2019
Windows Server 22/3/2019
Windows Server 16/6/2019
Contenu épinglé
Contact
® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.
Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.
Vous devez être connecté pour pouvoir poster un commentaire