Pour augmenter le niveau de sécurité des Windows server, il ne suffit pas de changer le port TCP RDP. Envisagez de configurer la passerelle de bureau à distance dans le domaine Active Directory.
Passerelle de bureau à distance - qu'est-ce que c'est ?
La passerelle Bureau à distance est une Windows server rôle qui fournit une connexion sécurisée utilisant le protocole SSL au serveur via RDP. Le principal avantage de cette solution est que vous n'avez pas besoin de déployer un VPN serveur, et c'est à cela que sert la passerelle.
Il convient de noter qu'à partir de Windows Server 2008R2, les noms de tous les services Bureau à distance ont été modifiés. Les services Terminal Server précédemment nommés ont été renommés Services Bureau à distance.
Avantages de la passerelle de bureau à distance
- Utilisant une connexion cryptée, la passerelle permet de se connecter aux ressources du réseau interne sans avoir besoin d'un VPN connexion par des utilisateurs distants ;
- La passerelle offre la possibilité de contrôler l'accès à certaines ressources du réseau, réalisant ainsi une protection complète ;
- La passerelle permet la connexion aux ressources réseau situées derrière firewalls dans des réseaux privés ou NAT;
- Vous pouvez utiliser la console du gestionnaire de passerelle pour configurer des stratégies d'autorisation pour certaines conditions qui doivent être remplies lorsque des utilisateurs distants se connectent à des ressources réseau. Par exemple, vous pouvez spécifier des utilisateurs spécifiques qui peuvent se connecter aux ressources du réseau interne, ainsi que si le cliL'ordinateur ent doit être membre du groupe de sécurité AD, si la redirection du périphérique et du disque est autorisée ;
- La console du gestionnaire de passerelle contient des outils conçus pour surveiller l'état de la passerelle. Grâce à eux, vous pouvez affecter des événements surveillés à l'audit, tels que des tentatives infructueuses de connexion au serveur de passerelle des services Terminal Server.
Important! La passerelle des services Terminal Server doit faire partie d'un domaine Active Directory. La configuration de la passerelle est effectuée uniquement au nom de l'administrateur du domaine, sur n'importe quel serveur du domaine.
Définition du rôle.
Ouvrez le gestionnaire de serveur.
Sélectionnez "Ajouter des rôles et des composants ».
À l'étape "Type d'installation", Sélectionnez"Installation des rôles et des composants ».
L'étape suivante consiste à sélectionner le serveur actuel.
Rôle de serveur -Service de bureau à distance.
Accédez au service de rôles. Sélectionner "Passerelle de bureau à distance ».
On passe à l'étape de confirmation, click le "Installer"Bouton.
Configuration de la stratégie d'autorisation de connexion et de ressources.
Dans la fenêtre qui s'ouvre, le gestionnaire de passerelle de bureau à distance, dans la partie gauche de la fenêtre, ouvrez la branche avec le nom du serveur → Politiques → Politiques d'autorisation de connexion.
Dans la partie droite de la même fenêtre, sélectionnez Créer une nouvelle stratégie → Assistant.
Dans la fenêtre qui s'ouvre, "Assistant de création de nouvelles politiques d'autorisation”, sélectionnez l'option recommandée "Créer une stratégie pour l'autorisation des connexions de bureau à distance et l'autorisation des ressources de bureau à distance". Appuie sur le bouton "Suivant ».
À l'étape suivante, entrez un nom pratique pour la stratégie d'autorisation de connexion. Nous vous recommandons de donner les noms en anglais.
L'étape suivante consistera à choisir une méthode d'authentification pratique - mot de passe ou carte à puce. Dans notre cas, nous ne laissons que «Mot de Passe" vérifié. Nous ajoutons des groupes qui peuvent se connecter à cette RD-gateway, pour cela, click le "Ajouter un groupe ..."Bouton.
Dans la fenêtre de sélection de groupe, click sur le bouton "En outre ».
La fenêtre se redimensionnera. Click le "Rechercher" bouton. Dans les résultats de la recherche, nous trouvons "Administrateurs du domaine" et click sur le bouton "OK ».
Dans la fenêtre de sélection de groupe, vérifiez les noms d'objets sélectionnés et click "OK ».
Le groupe est ajouté. Pour passer à l'étape suivante, click le "Suivant"Bouton.
À l'étape suivante, sélectionnez "Activer la redirection d'appareils pour tous cliappareils ent" et click "Suivant ».
Définir les délais d'attente - temps d'arrêt et temps de session, les valeurs sont indiquées en heures. Click "Suivant ».
Vérifiez les paramètres. Tout est correct - click "Suivant ».
À l'étape suivante, configurez la stratégie d'autorisation des ressources. Spécifiez le nom de stratégie souhaité. Click "Suivant ».
L'étape suivante consiste à établir l'appartenance au groupe. Généralement, le groupe est déjà installé, mais si cela n'est pas fait, vous devez suivre les étapes ci-dessus. Click "Suivant ».
Nous sélectionnons les ressources réseau disponibles. Pour ce faire, sélectionnez le groupe qui contient les serveurs sur lesquels les groupes d'utilisateurs requis pourraient travailler avec le bureau à distance. Appuie sur le bouton "Vue d’ensemble ».
Dans la fenêtre de sélection de groupe, click le "En outre"Bouton.
Dans la fenêtre modifiée, click le "Rechercher" bouton. Dans la fenêtre de résultat, on trouve "contrôleurs de domaine ».
Click "OK ».
Nous vérifions les objets sélectionnés et click "OK ».
Encore une fois, nous vérifions quel groupe de réseau est ajouté et click "Suivant ».
Si la RDP le numéro de port n'a pas changé, réglez la valeur du commutateur sur "Autoriser la connexion uniquement au port 3389”. Si le port a été modifié, spécifiez une nouvelle valeur.
Click "OK »
Au stade de la confirmation de la création de la politique, click le "Fermer"Bouton.
À la fin de l'installation, la fenêtre se ressemblera.
Installez le certificat SSL.
Dans la même fenêtre "Gestionnaire de la passerelle de bureau à distance”, dans la fenêtre de gauche, click sur l'icône du serveur, dans la partie principale de la fenêtre - "Afficher et modifier les propriétés du certificat".
Dans la fenêtre ouverte "Propriétés », allez dans l'onglet « Certificat SSL ». Définissez le commutateur "Créer un certificat auto-signé" et click sur le bouton "Créer et importer un certificat ...".
Bien que 2 autres options soient possibles :
- importation d'un certificat précédemment téléchargé (auto-signé antérieur ou tiers) ;
- Téléchargez un certificat tiers (par exemple, Comodo) et importez-le ;
Dans la fenêtre "Créer un certificat auto-signé” nous vérifions les paramètres et click le bouton "OK ».
Le système notifiera que le certificat a été créé avec succès, il y a aussi des informations où vous pouvez trouver le fichier de certificat lui-même. Appuie sur le bouton "OK ».
Dans la fenêtre des propriétés du serveur, click le "Appliquer"Bouton.
Le certificat auto-signé est installé sur le port TCP 443 (port SSL par défaut).
Pour des raisons de sécurité, nous vous recommandons de modifier le port SSL par défaut. Pour cela, dans le menu principal de la fenêtre, sélectionnez «Actions" → "Propriétés ».
Allez dans l'onglet "Paramètres de transport" et définissez la valeur souhaitée pour le champ "HTTPSport”. Enregistrez les paramètres en clicochant le "Appliquer"Bouton.
Le système demandera une confirmation - répondez "Oui".
Connexion via la passerelle.
Ouvrez le RDP client, allez dans l'onglet "En outre"Et appuyez sur le bouton"Paramètres ».
Dans la fenêtre qui s'ouvre, sélectionnez "Utilisez le suivant Paramètres du serveur de passerelle de bureau à distance". Nous indiquons le nom de domaine du serveur et par les deux-points (:) indiquons le port SSL. La méthode de connexion est "Demande de mot de passe ». Click "OK ».
Allez dans l'onglet "Général”. Spécifiez l'adresse de l'ordinateur et l'utilisateur sous lequel la connexion sera établie. Appuyez sur le bouton "NOUS CONTACTER »
Le programmeram demandera le mot de passe du compte.
Les résultats de la passerelle peuvent être vérifiés par le traçage - la commande tracert.
