+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    février 2017
    Messages
    350
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 350
    Points : 11 311
    Points
    11 311

    Par défaut Faites-vous usage du Remote Desktop Protocol de Microsoft ? Si oui, que faire pour se prémunir d’attaques ?

    Faites-vous usage du Remote Desktop Protocol de Microsoft ? Si oui, que faire pour se prémunir d’attaques ?
    Sophos Labs donne des pistes

    Je suis une petite entreprise en quête d’assistance sur mon parc informatique. L’une des solutions qui s’offrent à moi est de le confier à un opérateur distant, ce, pour des raisons qui relèvent des aspects organisationnels de ma boîte. Pour l’atteinte de tels objectifs, l’univers Windows offre le protocole RDP. Vous avez dit RDP ? Oui, RDP à ne surtout pas confondre avec Ransomware Deployment Protocol (protocole de déploiement de rançongiciels) mais à développer comme Remote Desktop Protocol.

    Une image vaut mieux que mille mots et avec celle qui suit, on est fixé sur l’usage qu’on peut faire de cette fonctionnalité offerte par le système d’exploitation Windows. C’est dire que depuis la pièce d’à côté, le quartier voisin ou un autre pays, le contractant peut se connecter à un PC du parc informatique de l’entreprise. Il dispose pour cela d’une large palette d’appareils via lesquels il peut agir sur le PC comme s’il était présent dans la pièce où ce dernier se trouve.

    Nom : RDP.jpg
Affichages : 1731
Taille : 85,6 Ko


    D’après les chercheurs de la firme de sécurité Sophos Labs, les attaques contre les entreprises qui activent le protocole sur leur parc informatique constituent l’une des nouvelles niches des cybercriminels. Ils rapportent avoir observé de récentes campagnes au rançongiciel orchestrées via le protocole RDP. Ci-dessous, la traditionnelle invite de demande de rançon d’une desdites campagnes. Plus intéressant, les chercheurs de la firme font état de ce que les cybercriminels derrière cette campagne ont engrangé l’équivalent de 60 000 dollars au moins.

    Nom : ransom.jpg
Affichages : 1649
Taille : 67,3 Ko

    Pour se prémunir de telles attaques dans le cas de connexions via le protocole RDP, les chercheurs recommandent entre autres l’usage de mots de passe de session robustes, l’utilisation de l’outil RDP en tandem avec une solution VPN dans le cas d’une connexion hors du réseau local de l’entreprise, l’utilisation de l’authentification à deux facteurs ou encore la désactivation du protocole RDP en cas de non-utilisation. Finalement, le problème que soulèvent les chercheurs de la firme de sécurité Sophos Labs n’est pas nouveau en soi. Au risque de se tromper, on peut affirmer que la véritable faille se trouve entre la chaise et le clavier.

    Comment expliquer par exemple qu’un administrateur système choisisse un mot de passe de session que l’on peut aisément casser à l’aide d’un outil dédié ? Il vient donc qu’il s’agit de problèmes de configuration qu’il est d’ailleurs possible d’observer avec des outils similaires sur d’autres systèmes d’exploitation.

    Source

    Sophos Labs

    Votre avis

    Quelles autres recommandations d’usage faites-vous pour l’outil bureau à distance de Windows ?
    Quelles alternatives proposez-vous pour assurer que le parc informatique d’une organisation ne soit mis en péril de la sorte ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Provisoirement toléré Avatar de MikeRowSoft
    Homme Profil pro
    sans profession ou en recherche d'emploi
    Inscrit en
    avril 2013
    Messages
    1 295
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : sans profession ou en recherche d'emploi

    Informations forums :
    Inscription : avril 2013
    Messages : 1 295
    Points : 160
    Points
    160

    Par défaut

    J'ai souvent voulu m'en servir correctement pour dépanner ou aider à distance mes proches. principalement leurs PC Windows.

    Mais trouver l'IP Internet et être sur que le port est ouvert une solution DynDNS et TinyVNC avant (serveur sur le poste distant en question). Et même là, il n'est pas sur de ne pas se tromper de PC... Donc Skype... Mais celui ci n'est pas au point... Donc Comme il y a qu'un seul port, autant être sûre qu'il y a qu'un seul PC pour ce port. Le partage de port par des PC ou applications une calamité voir même une faille de sécurité si des applications deviennent imprudente sans être forcé à le faire.

    Le coup de l'imprimante réseau n'est pas loin, surtout d'un particulier à l'autre via Internet. Adieu le Fax...

    L'application "serveur" ouvre le port du Modem-Routeur-Firewall sans aucun droit réseau... Cela est chez le particulier.
    L'application Box des opérateurs, une insuffisance pour celui qui s'en souci un peu.

  3. #3
    Membre éclairé

    Profil pro
    Chef de Projet / Développeur
    Inscrit en
    juin 2002
    Messages
    395
    Détails du profil
    Informations personnelles :
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Chef de Projet / Développeur
    Secteur : Santé

    Informations forums :
    Inscription : juin 2002
    Messages : 395
    Points : 876
    Points
    876

    Par défaut

    Sur un serveur, les tentatives de connexions étaient telles, que 20% de processeur était consommé pour gérer les refus de login.
    Le mot de passe très solide, a heureusement empêché toute intrusion.

    On a mis en place 2 mesures :

    - Changement du port RDP
    Ce n'est en aucun cas une garantie, mais dans la pratique cela règle le problème.

    - installation d'un outil appelé RDP Guard (80$)
    Après X échecs de tentatives de connexions depuis la même adresse IP, l'adresse est ajouté au firewall de Windows pour Y heures.
    Cela apporte la garantie, que n'apporte pas la première mesure.
    Il existe un produit alternatif à priori gratuit : RDP Defender
    Mais RDP Guard, ne protège pas que le RDP (mais aussi FTP, SMTP, Web login etc.)
    --
    vanquish

  4. #4
    Membre averti Avatar de joKED
    Profil pro
    dfgh
    Inscrit en
    février 2006
    Messages
    295
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : dfgh

    Informations forums :
    Inscription : février 2006
    Messages : 295
    Points : 355
    Points
    355

    Par défaut

    RDP pour de l'assistance pc ponctuelle ? Perso, non, pas pratique du tout (sécurisation, config de firewall/box/...).
    Autant utiliser des outils tiers bien plus facile d'accès tels que teamviewer, logmein, anydesk, ou autres.

    Après, niveau serveurs, RDP oui, si et seulement si :
    - ne pas utiliser le port par défaut (3389)
    - connexion en VPN ou (à défaut), n'autoriser que des ip (ou range d'ip) autorisés à se connecter
    - utilisation d'un mot de passe fort pour l'user ayant accès au rdp, et ne donner des droits de login rdp strictement qu'à cet utilisateur
    Tant va la cruche à l'eau qu'à la fin y'a plus d'eau.

  5. #5
    Nouveau Candidat au Club
    Homme Profil pro
    .
    Inscrit en
    mai 2015
    Messages
    552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : .

    Informations forums :
    Inscription : mai 2015
    Messages : 552
    Points : 0
    Points
    0

    Par défaut

    RDP n'a plus sa place sur les serveurs. Simple.

  6. #6
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    7 486
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 7 486
    Points : 16 107
    Points
    16 107

    Par défaut

    Aeson, merci de ne pas raconter d'inepties.

    RDP bien configuré et maitrisé a tout à fait sa place pour un accès à distance à une application métier par exemple.

    Il est aussi possible de s'orienter vers des solutions tierces type Citrix. Cela change le vecteur d'attaque.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  7. #7
    Nouveau Candidat au Club
    Homme Profil pro
    .
    Inscrit en
    mai 2015
    Messages
    552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : .

    Informations forums :
    Inscription : mai 2015
    Messages : 552
    Points : 0
    Points
    0

    Par défaut

    Aeson, merci de ne pas raconter d'inepties.
    ce n'est absolument pas une ineptie coté serveur. D'ailleur Microsoft l'a enfin compris en enlevant RDP des prochaines version de Windows Server.... L'RDP ne montrera qu'une console.

    Gerer des serveurs en RDP, c'est ca l'ineptie....

  8. #8
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    7 486
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 7 486
    Points : 16 107
    Points
    16 107

    Par défaut

    J'ai des serveurs en prod sur lesquels des connexions se font en RDP. Jamais eu de probs, et pourtant il y en a des attaques. Après je dis pas que c'est l'idéal.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  9. #9
    Nouveau Candidat au Club
    Homme Profil pro
    .
    Inscrit en
    mai 2015
    Messages
    552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : .

    Informations forums :
    Inscription : mai 2015
    Messages : 552
    Points : 0
    Points
    0

    Par défaut

    Les ataques les plus dangereuse sont celles venant de l'interieur. Exampls TRES courant. Tu fais une connection RDP avec un compte Domain Admin (pour faire du support ou autres). Pedant ce temp ou si tu oublie de fermer ta session, un autre utilisateur se connecte en local admin. Un petit coup de MimiKatz et tes credentials Domain Admin sont volées. L'utilisateur vient donc de se donné les droits Domain Admin sur le reseauc et fait par definition ce qu'il veut.



  10. #10
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    7 486
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 7 486
    Points : 16 107
    Points
    16 107

    Par défaut

    Tu fais une connection RDP avec un compte Domain Admin
    Jamais.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  11. #11
    Nouveau Candidat au Club
    Homme Profil pro
    .
    Inscrit en
    mai 2015
    Messages
    552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : .

    Informations forums :
    Inscription : mai 2015
    Messages : 552
    Points : 0
    Points
    0

    Par défaut

    Jamais.
    Je te crois... Personne ne fait ca.. c'est bien connu

  12. #12
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    7 486
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 7 486
    Points : 16 107
    Points
    16 107

    Par défaut

    Je te crois... Personne ne fait ca.. c'est bien connu
    ça fait parti des bonnes pratiques, de ne pas le faire. Tout comme on évite l'accès RDP directement, on l'utilise plutôt à travers un VPN.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  13. #13
    Nouveau Candidat au Club
    Homme Profil pro
    .
    Inscrit en
    mai 2015
    Messages
    552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : .

    Informations forums :
    Inscription : mai 2015
    Messages : 552
    Points : 0
    Points
    0

    Par défaut

    ça fait parti des bonnes pratiques
    La bonne pratique est de ne pas utiliser RDP sur des serveurs. Meme par VPN. un VPN n'empechera pas utilisateur de te voler les credentail de ta session. Si on a tout les 2 une session RDP sur le meme serveur il est facile de te voler ton identité et de la réutiliser. Et si t'es Domain Admin je le serai aussi. Sans que tu ne le sache. Et ca n'a rien a avoir avec le fait que l'access se fasse via internet ou sur un reseaux interne. Et on a meme pas besoin de l'etre en meme temp. Faire un service qui sniff les Token Kerberos de chaque utilisateur qui se coneete en RDP est tres simple. Il suffit que tu te connecte 1 fois comme Domain Admin en RDP sur ce serveur et c'est fait, je peux réutilisé ton identité Domain Admin. Ce n'est pas pour rien que Microsoft ne met plus les token Kerberos directement en memoire (W2016). C'est bien trop facile de les recuperer.

    https://blogs.technet.microsoft.com/...2016-security/


    Sans meme parle de la perte productivité qu'il y a quand on utilise RDP...

  14. #14
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    7 486
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 7 486
    Points : 16 107
    Points
    16 107

    Par défaut

    Et comment fait on pour se connecter à une application métier depuis l’extérieur alors ?
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  15. #15
    Nouveau Candidat au Club
    Homme Profil pro
    .
    Inscrit en
    mai 2015
    Messages
    552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : .

    Informations forums :
    Inscription : mai 2015
    Messages : 552
    Points : 0
    Points
    0

    Par défaut

    Si le serveur est sur ton reaseaux tu le fais directement en PSRemoting. Si il est sur le Cloud tu passe par un Jump Server. et apres te connect en PSRemoting

    Mais la meilleur solution est de passer par des outils comme Chef, Puppet, DSC. Tu leurs donne la config et eux la pousse vers les serveurs via leur agent. C'est de la "Configuration as Code" Mais en aucun cas tu ne te conecte directement en rdp sur les serveurs qui heberge tes applications. C'est ca les bonnes pratiques.

    Quand t'as un cluster de 4 machines tu te connecte en rdp a chaque machine l'une apres l'autre ? Si la reponse est oui tu perd vraiment ton temp

Discussions similaires

  1. Quel usage faites vous de Python (2004 - 2008) ?
    Par Guigui_ dans le forum Général Python
    Réponses: 130
    Dernier message: 04/12/2008, 00h59
  2. Remote Desktop Protocol
    Par choupeo dans le forum Bibliothèques
    Réponses: 0
    Dernier message: 06/12/2007, 22h45
  3. API Windows : Remote Desktop Protocol
    Par mambo dans le forum Visual C++
    Réponses: 6
    Dernier message: 31/08/2006, 09h03
  4. Quels usages faites vous de Linux ?
    Par Hibou57 dans le forum Applications et environnements graphiques
    Réponses: 22
    Dernier message: 05/04/2006, 04h58
  5. Remote Desktop Protocol
    Par Jean-Jacques Engels dans le forum Windows XP
    Réponses: 1
    Dernier message: 12/10/2005, 22h40

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo