Aller au contenu

Comment activer le bureau à distance dans Windows Server 2016

    1652051805

    Remote Desktop Protocol (RDP) est un protocole d’accès à distance propriétaire de Microsoft utilisé par les administrateurs système Windows pour gérer à distance les systèmes Windows Server. Ce qui distingue RDP de, disons, la communication à distance Windows PowerShell ou Secure Shell (SSH) est la présence du bureau graphique complet, comme le montre la figure 1.

    Par défaut, le composant serveur RDP écoute les connexions entrantes sur le port TCP 3389 par défaut, bien que cela puisse être modifié par l’administrateur pour des raisons de sécurité.

    Pour être sûr, la poussée actuelle de Microsoft est que les administrateurs réduisent leur dépendance à l’égard de RDP et à la place (a) déploient des serveurs Windows en mode Server Core ou Nano ; et (b) utiliser l’administration à distance de la ligne de commande Windows PowerShell au lieu de RDP.

    La justification de Microsoft pour ce conseil est double :

    Une couche GUI consomme des ressources système inutiles
    Une couche GUI élargit la surface d’attaque de vos serveurs

    Quoi qu’il en soit, de nombreux administrateurs sont habitués à l’administration à distance basée sur RDP et cherchent à le faire même dans le nouveau système d’exploitation Windows Server 2016. Apprenons à activer RDP dans Server 2016 (tl;dr : le processus est identique à Windows Server 2012 R2).

    Gestionnaire de serveur

    Ouvrez la console du Gestionnaire de serveur, accédez au nœud du serveur local et cliquez sur le lien hypertexte Bureau à distance, comme illustré à la figure 2.

    Le lien hypertexte Bureau à distance est simplement un raccourci vers la feuille de propriétés système à partir de l’élément Panneau de configuration système. Sélectionnez Autoriser les connexions à distance à cet ordinateur et activez éventuellement Autoriser les connexions uniquement à partir d’ordinateurs exécutant Remote Destkop avec l’authentification au niveau du réseau (recommandé).

    L’authentification au niveau du réseau (NLA) protège Windows Server contre les attaques par déni de service (DoS) en exigeant que l’authentification ait lieu avant qu’une session graphique ne soit établie par le serveur. NLA préserve également les ressources système du serveur.

    WindowsPowerShell

    D’un point de vue de niveau inférieur, les connexions RDP entrantes sont activées sur un serveur via deux valeurs de registre et une règle de pare-feu Windows.
    Ouvrez une session Windows PowerShell élevée et exécutez les commandes suivantes. Ce premier crée la valeur fDenyTSConnections et la définit sur 0 (off). Cela a du sens, car nous ne voulons pas refuser les connexions Terminal Services (TS).

    New-ItemProperty -Path ‘HKLM:SystemCurrentControlSetControlTerminal Server’ -Name ‘fDenyTSConnections’ -Value 0 -PropertyType dword -Force

    La commande suivante crée et active la valeur UserAuthentication (authentification de la couche réseau) ; NLA est une bonne idée et vous devriez envisager de l’activer par défaut sur vos serveurs.

    New-ItemProperty -Path ‘HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp’ -Name ‘UserAuthentication’ -Value 1 -PropertyType dword -Force

    La commande suivante active la règle prédéfinie du pare-feu Windows « Remote Desktop ». Nous pouvons ensuite appeler l’applet de commande Get-NetFirewallRule PowerShell pour vérifier, comme illustré à la figure 3.
    Enable-NetFirewallRule -DisplayGroup ‘Remote Desktop’

    Stratégie de groupe

    Il y a de fortes chances que vous souhaitiez standardiser le comportement RDP sur tous vos serveurs d’infrastructure. Par conséquent, nous nous tournons vers la stratégie de groupe pour atteindre cet objectif.

    Commencez par créer, lier et délimiter un nouvel objet de stratégie de groupe (GPO) qui cible les serveurs qui doivent partager les paramètres du serveur RDP.

    Ensuite, accédez au chemin de stratégie de groupe suivant et ajoutez une nouvelle entrée Groupes restreints (illustrée à la figure 4) :
    Configuration de l’ordinateurPolitiquesParamètres WindowsParamètres de sécuritéGroupes restreints

    Vous pouvez personnaliser l’appartenance au groupe d’utilisateurs de bureau à distance intégré des serveurs ; les membres de ce groupe peuvent établir des sessions RDP sur le serveur. Notez que le groupe Administrateurs local (et, par extension, le groupe global Administrateurs du domaine) se voit automatiquement accorder ce privilège dans Active Directory.

    Les trois paramètres de stratégie de groupe suivants régissent :

    Exceptions RDP entrantes du pare-feu Windows
    Droit de l’utilisateur d’établir des sessions RDP
    Nécessite une NLA

    Configuration ordinateurModèles d’administrationRéseauConnexions réseauPare-feu WindowsProfil de domainePare-feu Windows : Autoriser les exceptions de bureau à distance entrantes

    Configuration ordinateurModèles d’administrationComposants WindowsServices Bureau à distanceHôte de session Bureau à distanceConnexionsAutoriser l’utilisateur à se connecter à distance à l’aide des Services Bureau à distance

    Configuration ordinateurModèles d’administrationComposants WindowsServices Bureau à distanceHôte de session Bureau à distanceSécuritéExiger l’authentification de l’utilisateur pour les connexions à distance à l’aide de NLA

    Création de la connexion client

    Le client Windows et le serveur Windows incluent tous deux le client Microsoft RDP, appelé Connexion Bureau à distance. Ma façon préférée d’invoquer cet outil est de :

    Appuyez sur la touche WINDOWS + R

    Tapez mstsc (qui signifie « Microsoft Terminal Services Client »)

    Appuyez sur Entrée

    Je vous montre l’interface utilisateur de la connexion Bureau à distance dans la figure 5.

    Ce qui est cool avec les clients RDP, c’est qu’ils sont disponibles pour à peu près tous les systèmes d’exploitation de bureau ou mobiles. Voici une liste représentative :

    Android : Bureau à distance Microsoft
    iOS : Bureau à distance Microsoft
    Linux : rdesktop
    macOS : Bureau à distance Microsoft
    Téléphone Windows : Bureau à distance Microsoft

    Notez que Windows Server ne prend en charge que deux sessions RDP simultanées à la fois. Si vous avez besoin de plus que cela, vous devrez installer le rôle de serveur Hôte de session des services Bureau à distance (RDS) et acheter des licences de connexion RDS supplémentaires auprès de Microsoft.

    Dernières pensées

    Si vous avez configuré RDP sur les versions précédentes de Windows Server, vous constaterez que Windows Server 2016 se comporte exactement de la même manière. Gardez à l’esprit, cependant, que l’adoption toujours plus large par Microsoft de la posture de sécurité « présumer une violation » et du scénario de cloud hybride et de sa philosophie « gérer les troupeaux, pas les animaux de compagnie » signifie que l’accent est mis sur l’automatisation de la ligne de commande plutôt que sur le RDP marche-arrêt sessions d’interface graphique.

    10 meilleures nouvelles fonctionnalités de Windows Server 2016
    Windows 10 pour les professionnels de l’informatique : tutoriels, trucs et astuces
    Top 6 des applications Windows 10 pour les professionnels de l’informatique

    0 0 votes
    Rating post
    S’abonner
    Notification pour
    guest
    0 comments
    Commentaires en ligne
    Afficher tous les commentaires
    0
    Nous aimerions avoir votre avis, veuillez laisser un commentaire.x