Sécuriser le protocole RDP (bureau à distance)

5 novembre 2024
6 minutes
Non classé
31 Views

Sécurisation du protocole RDP

Le Remote Desktop Protocol (RDP) est un outil puissant pour accéder à distance à des ordinateurs sous Windows.
Cependant, il peut également être une cible pour des attaques si des mesures de sécurité appropriées ne sont pas mises en place.

Bonnes pratiques pour le RDP

Utiliser un mot de passe fort

Un mot de passe considéré fort et complexe doit être composé d’au minimum 16 caractères.
Vous devez également inclure une variation de lettres majuscules et minuscules, de chiffres et de caractères spéciaux.
Evitez d’utiliser des mots ou phrases courants, ainsi que vos informations personnelles.
Comme par exemple le nom de votre enfant ou animal de compagnie suivi de votre date de naissance, cela peut se trouver facilement si vous les partagez sur les réseaux sociaux.

Changer le port par défaut

Il existe de nombreux robots sur Internet scannant le réseau tous les jours à la recherche de machine vulnérable.
En changeant le port d’écoute par défaut de votre RDP, il sera plus difficile pour eux de détecter le protocole utilisé derrière.

Le port par défaut est le 3389, ce qui le rend facilement détectable.
Pour modifier le port par défaut, il est nécessaire de modifier une clé de registre Windows
Attention à ne rien modifier d’autre ! Cela peut endommager votre Windows voire le rendre non fonctionnel.

  • Ouvrez l’éditeur du registre ( touche win+r , et entrer regedit dans la fenêtre Exécuter )
  • Accédez à HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
  • Recherchez la clé PortNumber, cochez Décimale et modifiez la par un port non utilisé sur votre machine / réseau
    Evitez donc les ports par défaut de service connu comme SSH et FTP (22 et 21)
Attention ! Ne redémarrez pas le service ou votre machine tout de suite, si votre seul moyen d’accès est via RDP !
Il faut d’abord créer une nouvelle règle sur le pare-feu Windows pour autoriser le trafic RDP sur le nouveau port configuré !
 
Ajouter une règle sur le pare-feu
  • Dans votre barre de tâches, tapez pare-feu
  • Cliquez sur Pare-feu Windows Defender avec fonctions avancées de sécurité
  • Cliquez sur règle de trafic entrant > Nouvelle règle
  • Cochez Port > Suivant
  • Cochez TCP et Ports locaux spécifiques – Précisez le numéro de port choisi pour votre RDP > Suivant
  • Cochez Autoriser la connexion
  • Cochez Domaine / Privé / Public
  • Donnez un nom à votre règle pour la retrouver facilement et une brève description > Terminer
  • Refaites de même en créant une nouvelle règle mais en cochant UDP à la place de TCP cette fois-ci

Une fois le port modifié et la règle créée, il est nécessaire de redémarrer le service RDP ou de redémarrer votre ordinateur.

  •  Dans la barre des tâches, tapez services
  • Cherchez Services Bureau à distance > Redémarrer
Si vous avez une session RDP en cours, vous allez être déconnecté. 
Pensez à bien modifier votre PORT lors de votre prochaine connexion.

Autoriser uniquement la connexion via votre IP

Il est possible de limiter l’accès RDP et donnez l’accès uniquement à certaines IPs.
Depuis un réseau extérieur, chez vous, il faudra préciser votre IP publique.
Depuis un réseau interne, VM à VM, il faudra préciser l’IP local de la machine virtuelle.

Dans votre barre des tâches, tapez pare-feu

  • Cliquez sur Pare-feu Windows Defender avec fonctions avancées de sécurité
  •  Cliquez sur règle de trafic entrant
  • Recherchez les règles Bureau à distance – Mode utilisateur (TCP entrant) et (UDP entrant) si vous n’avez pas créé de nouvelle règles sinon retrouvez les règles que vous avez créées précédemment.
  • Double clique > Etendu
  • Pour adresses IP distante, cochez ces adresses IP > Ajouter
  • Renseigner votre adresse IP publique ou les IPs de vos VM pouvant y avoir accès
  • Cliquez sur Appliquer

Limiter l'accès aux utilisateurs autorisés

Il est possible d’autoriser uniquement les utilisateurs autorisés à se connecter en RDP.

  • Appuyez sur win+r et entrez lusrmgr.msc dans la fenêtre Exécuter qui s’ouvre
  • Cliquez sur Groupes et cherchez Remote Desktop Users
  • Cliquez sur Remote Desktop Users et cliquez sur Ajouter
  • Entrez les utilisateurs / groupes autorisés
  • Cliquez sur Appliquer

Bloquer un compte en cas d'erreur lors de la connexion

Pour limiter les tentatives de brute force, il peut être intéressant de limiter le nombre de tentative de connexion avant de bloquer le compte.

Dans la barre des tâches entrez Stratégie de sécurité locale

  • Cliquez sur Stratégie de comptes > Stratégie de verrouillage du compte
  • Affectez une valeur au seuil de verrouillage du compte, pour le bloquer après X tentatives échouées
  • Affectez une valeur pour réinitialiser le compteur de verrouillage après X minutes
  • Affectez une valeur pour la durée de verrouillage des comptes en X minutes
  • Il est recommandé d’autoriser le verrouillage du compte Administrateur (cible priorisée des attaquants)
Pensez à avoir un second compte avec des droits administrateurs pour débloquer votre compte en cas de problème

Expiration des sessions inactives

Il est important de noter que si la connexion reste inactive et fonctionne en arrière-plan, un accès non autorisé peut se produire et conduire à une utilisation abusive de votre RDP.
Pour sécuriser la session RDP, il est nécessaire de définir un délai d’expiration. Une fois dépassé, la session RDP sera automatiquement fermée.

Dans la barre des tâches, entrez Modifier la Stratégie de Groupe

    •  Dans la partie Configuration ordinateur > Modèles d’administration > Composants Windows > Services Bureau à distance > Hôte de la session Bureau à distance > Délais d’expiration des sessions
    • Cliquez sur Définir le délai d’expiration des sessions de services Bureau à distance ouvertes mais inactives
    • Activez la stratégie et précisez lui une durée limite d’inactivité > Appliquer > Ok

Plus fiable et puissant qu’un VPS, le serveur dédié vous est entièrement consacré : la bande passante et les ressources de la machine vous sont exclusivement allouées. Comme il s’agit d’une machine physique, il est tout à fait possible de la faire évoluer en même temps que vos projets : ajout de RAM, disque… vous avez également la possibilité de mettre en place des solutions de haute disponibilité comme du RAID physique.

OFFRES

Nous rejoindre sur les réseaux sociaux :

Facebook Facebook Twitter Twitter Linkedin
Table des matières
Tables des matières