Pour augmenter le niveau de sécurité des Windows serveur, il ne suffit pas de changer le port TCP RDP. Envisagez de configurer la passerelle de bureau à distance dans le domaine Active Directory.
Passerelle de bureau à distance - qu'est-ce que c'est ?
La passerelle Bureau à distance est une Windows rôle de serveur qui fournit une connexion sécurisée à l'aide du protocole SSL au serveur via RDP. Le principal avantage de cette solution est que vous n'avez pas besoin de déployer un VPN serveur, et c'est à cela que sert la passerelle.
Il convient de noter qu'à partir de Windows Server 2008R2, les noms de tous les services Bureau à distance ont été modifiés. Les services Terminal Server précédemment nommés ont été renommés Services Bureau à distance.
Avantages de la passerelle de bureau à distance
- Utilisant une connexion cryptée, la passerelle permet de se connecter aux ressources du réseau interne sans avoir besoin d'un VPN connexion par des utilisateurs distants ;
- La passerelle offre la possibilité de contrôler l'accès à certaines ressources du réseau, réalisant ainsi une protection complète ;
- La passerelle permet la connexion aux ressources réseau situées derrière des pare-feu dans des réseaux privés ou NAT;
- Vous pouvez utiliser la console du gestionnaire de passerelle pour configurer des stratégies d'autorisation pour certaines conditions qui doivent être respectées lorsque des utilisateurs distants se connectent à des ressources réseau. Par exemple, vous pouvez spécifier des utilisateurs spécifiques qui peuvent se connecter à des ressources réseau internes, ainsi que si l'ordinateur client doit être membre du groupe de sécurité AD, si la redirection du périphérique et du disque est autorisée,
- La console du gestionnaire de passerelle contient des outils conçus pour surveiller l'état de la passerelle. Grâce à eux, vous pouvez affecter des événements surveillés à l'audit, tels que des tentatives infructueuses de connexion au serveur de passerelle des services Terminal Server.
Important! La passerelle des services Terminal Server doit faire partie d'un domaine Active Directory. La configuration de la passerelle est effectuée uniquement au nom de l'administrateur du domaine, sur n'importe quel serveur du domaine.
Définition du rôle.
Ouvrez le gestionnaire de serveur.
Sélectionnez "Ajouter des rôles et des composants ».
À l'étape "Type d'installation", Sélectionnez"Installation des rôles et des composants ».
L'étape suivante consiste à sélectionner le serveur actuel.
Rôle de serveur -Service de bureau à distance.
Accédez au service de rôles. Sélectionner "Passerelle de bureau à distance ».
Nous passons à l’étape de confirmation, cliquez sur le bouton «Installer"Bouton.
Configuration de la stratégie d'autorisation de connexion et de ressources.
Dans la fenêtre qui s'ouvre, le gestionnaire de passerelle de bureau à distance, dans la partie gauche de la fenêtre, ouvrez la branche avec le nom du serveur → Politiques → Politiques d'autorisation de connexion.
Dans la partie droite de la même fenêtre, sélectionnez Créer une nouvelle stratégie → Assistant.
Dans la fenêtre qui s'ouvre, "Assistant de création de nouvelles politiques d'autorisation”, sélectionnez l'option recommandée "Créer une stratégie pour l'autorisation des connexions de bureau à distance et l'autorisation des ressources de bureau à distance". Appuie sur le bouton "Suivant ».
À l'étape suivante, entrez un nom pratique pour la stratégie d'autorisation de connexion. Nous vous recommandons de donner les noms en anglais.
L'étape suivante consistera à choisir une méthode d'authentification pratique - mot de passe ou carte à puce. Dans notre cas, nous ne laissons que «Mot de Passe" coché. Nous ajoutons des groupes qui peuvent se connecter à cette passerelle RD, pour cela, cliquez sur le bouton "Ajouter un groupe ..."Bouton.
Dans la fenêtre de sélection de groupe, cliquez sur le bouton «En outre ».
La fenêtre va se redimensionner. Cliquez sur le bouton «Rechercher" bouton. Dans les résultats de la recherche, nous trouvons "Administrateurs du domaine"Et cliquez sur le bouton"OK ».
Dans la fenêtre de sélection de groupe, vérifiez les noms des objets sélectionnés et cliquez sur «OK ».
Le groupe est ajouté. Pour passer à l'étape suivante, cliquez sur le bouton «Suivant"Bouton.
À l'étape suivante, sélectionnez "Activer la redirection d'appareils pour tous périphériques clients" et cliquez sur "Suivant ».
Définissez les délais d'expiration - temps d'arrêt et durée de session, les valeurs sont indiquées en heures. Cliquez sur «Suivant ».
Vérifiez les paramètres. Tout est correct - cliquez sur «Suivant ».
À l’étape suivante, configurez la politique d’autorisation des ressources. Spécifiez le nom de la politique souhaitée. Cliquez sur «Suivant ».
L'étape suivante consiste à établir l'appartenance au groupe. En général, le groupe est déjà installé, mais si ce n'est pas le cas, vous devez suivre les étapes ci-dessus. Cliquez sur «Suivant ».
Nous sélectionnons les ressources réseau disponibles. Pour ce faire, sélectionnez le groupe qui contient les serveurs sur lesquels les groupes d'utilisateurs requis pourraient travailler avec le bureau à distance. Appuie sur le bouton "Informations clés ».
Dans la fenêtre de sélection de groupe, cliquez sur le bouton «En outre"Bouton.
Dans la fenêtre modifiée, cliquez sur le bouton «Rechercher" bouton. Dans la fenêtre de résultat, on trouve "contrôleurs de domaine ».
Cliquez sur "OK ».
Nous vérifions les objets sélectionnés et cliquons sur «OK ».
Une fois de plus, nous vérifions quel groupe de réseau est ajouté et cliquons sur «Suivant ».
Si la RDP le numéro de port n'a pas changé, réglez la valeur du commutateur sur "Autoriser la connexion uniquement au port 3389”. Si le port a été modifié, spécifiez une nouvelle valeur.
Cliquez sur "OK »
Au stade de la confirmation de la création de la politique, cliquez sur le bouton «Fermer"Bouton.
À la fin de l'installation, la fenêtre se ressemblera.
Installez le certificat SSL.
Dans la même fenêtre "Gestionnaire de la passerelle de bureau à distance", dans la fenêtre de gauche, cliquez sur l'icône du serveur, dans la partie principale de la fenêtre - "Afficher et modifier les propriétés du certificat".
Dans la fenêtre ouverte « Propriétés » ”, allez dans l’onglet « Certificat SSL ». Réglez le commutateur « Créer un certificat auto-signé » et cliquez sur le bouton « Créer et importer un certificat… ».
Bien que 2 autres options soient possibles :
- importation d'un certificat précédemment téléchargé (auto-signé antérieur ou tiers) ;
- Téléchargez un certificat tiers (par exemple, Comodo) et importez-le ;
Dans la fenêtre "Créer un certificat auto-signé« nous vérifions les paramètres et cliquons sur le bouton »OK ».
Le système notifiera que le certificat a été créé avec succès, il y a aussi des informations où vous pouvez trouver le fichier de certificat lui-même. Appuie sur le bouton "OK ».
Dans la fenêtre des propriétés du serveur, cliquez sur le bouton «Appliquer"Bouton.
Le certificat auto-signé est installé sur le port TCP 443 (port SSL par défaut).
Pour des raisons de sécurité, nous vous recommandons de modifier le port SSL par défaut. Pour cela, dans le menu principal de la fenêtre, sélectionnez «Actions" → "Propriétés ».
Allez dans l'onglet "Paramètres de transport" et définissez la valeur souhaitée pour le champ "HTTPSport”. Enregistrez les paramètres en cliquant sur le bouton «Appliquer"Bouton.
Le système demandera une confirmation - répondez "Oui".
Connexion via la passerelle.
Ouvrez le RDP client, allez dans l'onglet «En outre"Et appuyez sur le bouton"Paramètres ».
Dans la fenêtre qui s'ouvre, sélectionnez "Utilisez le suivant Paramètres du serveur de passerelle de bureau à distance". Nous indiquons le nom de domaine du serveur et par les deux-points (:) indiquons le port SSL. La méthode de connexion est "Demande de mot de passe". Cliquez sur "OK ».
Allez dans l'onglet "Général”. Spécifiez l'adresse de l'ordinateur et l'utilisateur sous lequel la connexion sera établie. Appuyez sur le bouton "Se connectez »
Le programme demandera le mot de passe du compte.
Les résultats de la passerelle peuvent être vérifiés par le traçage - la commande tracert.
