Remote Desktop Protocol (RDP) est un protocole d’accès à distance propriétaire de Microsoft utilisé par les administrateurs système Windows pour gérer à distance les systèmes Windows Server. Ce qui distingue RDP de, disons, la communication à distance Windows PowerShell ou Secure Shell (SSH) est la présence du bureau graphique complet, comme le montre la figure 1.
Par défaut, le composant serveur RDP écoute les connexions entrantes sur le port TCP 3389 par défaut, bien que cela puisse être modifié par l’administrateur pour des raisons de sécurité.
Pour être sûr, la poussée actuelle de Microsoft est que les administrateurs réduisent leur dépendance à l’égard de RDP et à la place (a) déploient des serveurs Windows en mode Server Core ou Nano ; et (b) utiliser l’administration à distance de la ligne de commande Windows PowerShell au lieu de RDP.
La justification de Microsoft pour ce conseil est double :
Une couche GUI consomme des ressources système inutiles
Une couche GUI élargit la surface d’attaque de vos serveurs
Quoi qu’il en soit, de nombreux administrateurs sont habitués à l’administration à distance basée sur RDP et cherchent à le faire même dans le nouveau système d’exploitation Windows Server 2016. Apprenons à activer RDP dans Server 2016 (tl;dr : le processus est identique à Windows Server 2012 R2).
Gestionnaire de serveur
Ouvrez la console du Gestionnaire de serveur, accédez au nœud du serveur local et cliquez sur le lien hypertexte Bureau à distance, comme illustré à la figure 2.
Le lien hypertexte Bureau à distance est simplement un raccourci vers la feuille de propriétés système à partir de l’élément Panneau de configuration système. Sélectionnez Autoriser les connexions à distance à cet ordinateur et activez éventuellement Autoriser les connexions uniquement à partir d’ordinateurs exécutant Remote Destkop avec l’authentification au niveau du réseau (recommandé).
L’authentification au niveau du réseau (NLA) protège Windows Server contre les attaques par déni de service (DoS) en exigeant que l’authentification ait lieu avant qu’une session graphique ne soit établie par le serveur. NLA préserve également les ressources système du serveur.
WindowsPowerShell
D’un point de vue de niveau inférieur, les connexions RDP entrantes sont activées sur un serveur via deux valeurs de registre et une règle de pare-feu Windows.
Ouvrez une session Windows PowerShell élevée et exécutez les commandes suivantes. Ce premier crée la valeur fDenyTSConnections et la définit sur 0 (off). Cela a du sens, car nous ne voulons pas refuser les connexions Terminal Services (TS).
New-ItemProperty -Path ‘HKLM:SystemCurrentControlSetControlTerminal Server’ -Name ‘fDenyTSConnections’ -Value 0 -PropertyType dword -Force
La commande suivante crée et active la valeur UserAuthentication (authentification de la couche réseau) ; NLA est une bonne idée et vous devriez envisager de l’activer par défaut sur vos serveurs.
New-ItemProperty -Path ‘HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp’ -Name ‘UserAuthentication’ -Value 1 -PropertyType dword -Force
La commande suivante active la règle prédéfinie du pare-feu Windows « Remote Desktop ». Nous pouvons ensuite appeler l’applet de commande Get-NetFirewallRule PowerShell pour vérifier, comme illustré à la figure 3.
Enable-NetFirewallRule -DisplayGroup ‘Remote Desktop’
Stratégie de groupe
Il y a de fortes chances que vous souhaitiez standardiser le comportement RDP sur tous vos serveurs d’infrastructure. Par conséquent, nous nous tournons vers la stratégie de groupe pour atteindre cet objectif.
Commencez par créer, lier et délimiter un nouvel objet de stratégie de groupe (GPO) qui cible les serveurs qui doivent partager les paramètres du serveur RDP.
Ensuite, accédez au chemin de stratégie de groupe suivant et ajoutez une nouvelle entrée Groupes restreints (illustrée à la figure 4) :
Configuration de l’ordinateurPolitiquesParamètres WindowsParamètres de sécuritéGroupes restreints
Vous pouvez personnaliser l’appartenance au groupe d’utilisateurs de bureau à distance intégré des serveurs ; les membres de ce groupe peuvent établir des sessions RDP sur le serveur. Notez que le groupe Administrateurs local (et, par extension, le groupe global Administrateurs du domaine) se voit automatiquement accorder ce privilège dans Active Directory.
Les trois paramètres de stratégie de groupe suivants régissent :
Exceptions RDP entrantes du pare-feu Windows
Droit de l’utilisateur d’établir des sessions RDP
Nécessite une NLA
Configuration ordinateurModèles d’administrationRéseauConnexions réseauPare-feu WindowsProfil de domainePare-feu Windows : Autoriser les exceptions de bureau à distance entrantes
Configuration ordinateurModèles d’administrationComposants WindowsServices Bureau à distanceHôte de session Bureau à distanceConnexionsAutoriser l’utilisateur à se connecter à distance à l’aide des Services Bureau à distance
Configuration ordinateurModèles d’administrationComposants WindowsServices Bureau à distanceHôte de session Bureau à distanceSécuritéExiger l’authentification de l’utilisateur pour les connexions à distance à l’aide de NLA
Création de la connexion client
Le client Windows et le serveur Windows incluent tous deux le client Microsoft RDP, appelé Connexion Bureau à distance. Ma façon préférée d’invoquer cet outil est de :
Appuyez sur la touche WINDOWS + R
Tapez mstsc (qui signifie « Microsoft Terminal Services Client »)
Appuyez sur Entrée
Je vous montre l’interface utilisateur de la connexion Bureau à distance dans la figure 5.
Ce qui est cool avec les clients RDP, c’est qu’ils sont disponibles pour à peu près tous les systèmes d’exploitation de bureau ou mobiles. Voici une liste représentative :
Android : Bureau à distance Microsoft
iOS : Bureau à distance Microsoft
Linux : rdesktop
macOS : Bureau à distance Microsoft
Téléphone Windows : Bureau à distance Microsoft
Notez que Windows Server ne prend en charge que deux sessions RDP simultanées à la fois. Si vous avez besoin de plus que cela, vous devrez installer le rôle de serveur Hôte de session des services Bureau à distance (RDS) et acheter des licences de connexion RDS supplémentaires auprès de Microsoft.
Dernières pensées
Si vous avez configuré RDP sur les versions précédentes de Windows Server, vous constaterez que Windows Server 2016 se comporte exactement de la même manière. Gardez à l’esprit, cependant, que l’adoption toujours plus large par Microsoft de la posture de sécurité « présumer une violation » et du scénario de cloud hybride et de sa philosophie « gérer les troupeaux, pas les animaux de compagnie » signifie que l’accent est mis sur l’automatisation de la ligne de commande plutôt que sur le RDP marche-arrêt sessions d’interface graphique.
10 meilleures nouvelles fonctionnalités de Windows Server 2016
Windows 10 pour les professionnels de l’informatique : tutoriels, trucs et astuces
Top 6 des applications Windows 10 pour les professionnels de l’informatique