Discussion :

[Stéphane Olivier BERNARD]

Bonjour,
Je viens de configurer une connexion bureau à distance depuis mon portable (que j'utilise dans ma résidence étudiant) vers mon 2008 R2 qui est chez moi.

Fonctionnellement parlant c'est super mais plus je surfe sur le web et plus je me dis que c'est pas très safe...

Alors, l'idée c'est d'améliorer un peu tout ça (et accessoirement de dormir plus tranquille).

Alors j'ai vu que je pouvais changer le port par défaut du RDP plus souvent attaqué et faire écouter un autre port un peu moins exposé mais j'ai lu aussi que maintenant, avec les scanners qui scannent tous les ports c'était pas forcement très efficace...
J'ai également lu que je pouvais utiliser le port 443 plutôt que le 3389 mais je n'ai pas tout compris.
J'ai lu encore que l'on pouvait générer de certificats et vérifier la présence de ces derniers sur les Pc qui tentent une connexion en RDP mais la aussi, c'est pas très clair...
Si je comprends bien je crée une CA sur mon W2008R2, je génère un certificat sur tous mes pc de mon lan y compris mon portable (quand il est sur le LAN) et du coup, à distance, sur le web il pourra se connecter grâce a son certif ce que ne pourront pas faire les Pc des vilains hackers (faute de certificat) ?
Enfin, je ne l'ai pas lu mais je l'imagine il doit y avoir moyen de bloquer des attaques de type brute force en bannissant temporairement les ip depuis lesquelles les attaques se produisent ou en désactivant de manière temporaire les logins attaqués quand ces derniers existent...

Donc en clair je suis à la recherche de tutos, de retours d'expériences et de bonnes idées pour dormir l'esprit plus tranquille

[Merwyn]

Bonjour,

Question tout à fait justifiée, en effet le protocole RDP n'est pas très 'safe' par défaut.

Voici le lien vers un article intéressant, qui traite de diverses considérations concernant la sécurisation des communications RDP :
https://wikihub.berkeley.edu/display...Administrators

Cet article montre qu'il est en outre possible d'utiliser un tunnel SSL afin de créer et maintenir une connection RDP. Ceci peut notamment se faire avec RD Gateway. Il s'agit tout simplement de paquets RDP encapsulés dans du HTTPS. Ci-après un lien vers le tuto officiel pour mettre cela en place :

http://www.microsoft.com/en-us/downl...s.aspx?id=5177

Personelement, j'utilise cela pour la connection à mon infrastructure depuis n'importe où dans le monde. Comme je suis un peu parano, j'ai publié cette application (car il s'agit d'une application de type web, qui utilise IIS) via Forefront TMG. Ceci permet de rajouter un niveau d'authentification (forte, via Token ou Smart-Card par exemple).

Si vous avez encore des questions, n'hésitez pas à nous le faire savoir ;-)

[Stéphane Olivier BERNARD]

Bonsoir,
Merci pour ces précieuses infos.
J'ai opté (comme préconisé dans le premier lien) pour un verrouillage des comptes 3 minutes après 3 logs infructueux avec réinitialisation au bout de 3 minutes. Comme ça pour les attaques en brute force, ca va bien calmer le jeu !!!
Par contre, comme moi aussi je suis un gros parano, je veux aller un peu plus loin...
J'ai compris que le RDP sur le 3389 (ou sur un autre port tcp pour être plus discret) c'était moins efficace qu'un RDG.
Par contre j'ai jeté un œil au tuto en 2eme lien et là j'ai pris peur...
Faut il vraiment 3 Windows 2008 serveur pour mettre en place tout ça ?
Dans leur exemple ils ont:
1 2008 en contrôleur de domaine: CONTOSO-DC
1 2008 en portail RDG: RDG-SRV
1 2008 en hôte de session RD: RDSH-SRV

Faut il vraiment dissocier tous ces rôles ? Dois-je me résoudre à créer une VM ? Est-ce que certains d'entre vous ont implémenté cette solution en plus simple (en terme de ressources) ?
Voilà, sinon pour le reste, je continue a prendre les bonnes idées pour me mettre le plus à l'abri possible d'éventuelles déconvenues...

[Merwyn]

Bonjour,

Rassurez-vous, Microsoft préconisera toujours de bien dossier tout les rôles, et de les installer sur des serveurs bien distincts. Si cela est justifié dans une certaine mesure, dans la pratique ce n'est bien évidement pas toujours possible de faire ainsi.

Personnellement, mon RDG tourne sur une VM, et je n'ai pas de RD Session Host. Ce ne m'est pas nécessaire car je n'ai pas l'utilité de RemoteApp ni de fermes RDS.

Ainsi, mon RDG me permet simplement de pouvoir prendre en Remote tous mes serveurs, et ce de manière sécurisée.

Maintenant, vous n'êtes pas nécessairement obligé d'installer ce rôle sur un serveur prévu uniquement à cet effet. Ainsi, vous pourriez par exemple l'installer sur une machine hébergeant déjà une application ou un site web devant répondre sur le port 443 (HTTPS). Cela est même nécessaire si vous n'avez qu'une IP publique et pas de Reverse Proxy. Je l'avais par exemple installé en test sur mon serveur mail Exchange, qui hébergeait déjà mon OWA...

Voilà, j'espère que ces informations vous seront utiles. Si vous avez encore besoin d'aide, n'hésitez pas à nous le faire savoir ;-)

[Stéphane Olivier BERNARD]

Bonsoir,
Avant de me lancer dans les certificats et le https, j'ai décider d'améliorer un peu la sécurité de mon RDP...
Après avoir configuré pour que ça bloque 3 minutes après 3 tentatives de log infructueuses, j'ai voulu tester...
Et ça ne marche pas !
Donc je crois que c'est parce que le compte que je connecte est le compte "administrateur" renommé par mes bons soins (pour eviter de tenter le diable) et que celui-là, il doit être impossible de le verrouiller ne serait-ce que temporairement pour 3 minutes.
Le délai de grâce étant expiré, je crains également que ce soit aujourd'hui le seul compte pour lequel une connexion RDS est désormais acceptée par mon serveur.

Donc, si je veux avoir le bonheur de voir mon compte à distance bloqué, il me faut un compte qui ne soit pas admin et donc acheter des licences non ?
De toutes façons, le compte admin a des droits bien trop étendus par rapport à mes besoins alors question:
Est-ce que en dépensant 30€ pour acheter une licence utilisateur il me serait possible de me connecter de chez moi (sur un pc de mon lan) tout comme à distance depuis mon portable ou sur n'importe que pc (puisque j'envisage de prendre une licence utilisateur).
http://www.ldlc.com/fiche/PB00096357.html

Est-ce que j'ai bon ou est-ce que comme c'est marqué 2008 et pas 2008 R2 ça ne va pas marcher ?
je précise que j'ai obtenu mon W2008R2 via le MSDNAA et que hormis ma licence W2008R2 je ne possède donc pour l'heure aucune CAL..

[Stéphane Olivier BERNARD]

Bon, j'ai aussi trouvé:
http://www.itosolutions.net/category...show=25&page=1

Alors vaut il mieux ce type de licences (estampillées R2) que celles trouvées plus haut ?
http://www.ldlc.com/fiche/PB00096357.html

Je précise que c'est pour me connecter moi même (1 user) à partir de mon portable perso (1 device) donc en gros pas véritablement de différence mis a part que je préfèrerai à cout égal trouver une licence (1 user) qui me permettrait également si j'ai bien compris de me connecter depuis un autre pc que le mien, dans le mesure ou j'utiliserais un unique profil, celui auquel la licence serait attribuée.

Bon sinon, en attente de connaitre le bon type de licence RDS a acquérir pour ce qui est de la configuration en RDG:
- J'envisage d'utiliser un 2eme W2008 R2 server sur une machine physique distincte pour faire tourner le RDG dessus et de faire l'impasse sur le RDG session host si ce rôle n'est pas véritablement indispensable...
- Ce 2eme w2008 devrait aussi par la suite être utilisé comme serveur exchange (si je trouve le courage de me lancer la dedans...)

[Merwyn]

Tout d'abord, concernant votre GPO, vous pouvez vérifier que vous l'avez bien liée à l'OU (Organizational Unit) contenant le user 'Administrator'. A priori, cela devrait être l'OU 'Users'. Je suppose que les options de votre GPO sont bien de la partie (users) et non (computers). Dans le doute, cherchez des tutoriaux basiques sur les GPO pour comprendre comment cela fonctionne, c'est beaucoup plus complexe qu'il n'y paraît.

Sinon, je vous recommande de créer un second utilisateur avec les privilèges d'admin (membre de tous les groups admins : Domain admins, Enterprise admins, administrators), et d'utiliser uniquement ce nouveau compte. Ensuite, simplement renommer le compte par défaut : pas uniquement son Display name, mais aussi et surtout son Logon Name. Après cela, créez une nouvelle OU, par exemple 'Disabled users' et déplacez-le dedans après l'avoir désactivé.

Concernant les licences pour faire du RDP, si vous n'avez pas installé le RD Session Host, elle ne sont pas nécessaires dans la mesure ou vous ne vous connectez pas à plus de sur un même serveurs. De toute façon, un serveur sans ce rôle RD SH ne peut accepter plus de 2 connections RDP simultanées, admin compris. Ainsi, n'ayez crainte, si vous êtes seul à vous connecter, il n'y a pas de soucis ; 5 licences CAL 'users' sont comprises par défaut dans l'OS.

Dans le cas où vous souhaitez mettre en place une ferme RDS, via le rôle RD SH, et si vous souhaitez que plus de 5 users se connectent, là effectivement il faudra acquérir des licences. Sur ce point, je ne peux vous aider, je passe toujours par un commercial expert en licensing Microsoft pour l'achat. Ceci évite de se tromper dans le monde incompréhensible des licences MS !

Voilà, j'espère vous avoir aidé et avoir répondu à toutes vos interrogations sur ce sujet.

Si ce n'est pas le cas, n'hésitez pas à nous recontacter.

Bonne soirée