Comment activer et sécuriser Remote Desktop sous Windows
Bien qu'il existe de nombreuses alternatives, Remote Desktop de Microsoft est une option parfaitement viable pour accéder à d'autres ordinateurs, mais il doit être correctement sécurisé. Une fois que les mesures de sécurité recommandées sont en place, Remote Desktop est un outil puissant à utiliser pour les geeks. Il vous permet d’éviter d’installer des applications tierces pour ce type de fonctionnalité..
Ce guide et les captures d'écran qui l'accompagnent sont conçus pour Windows 8.1 ou Windows 10. Cependant, vous devriez pouvoir suivre ce guide tant que vous utilisez l'une des éditions de Windows suivantes:
- Windows 10 Professionnel
- Windows 8.1 Pro
- Windows 8.1 Entreprise
- Windows 8 Entreprise
- Windows 8 Pro
- Windows 7 Professionnel
- Windows 7 Entreprise
- Windows 7 Ultimate
- Windows Vista Professionnel
- Windows Vista Ultimate
- Windows Vista Entreprise
- Windows XP Professionnel
Activation du bureau à distance
Tout d'abord, nous devons activer le Bureau à distance et sélectionner les utilisateurs qui ont un accès à distance à l'ordinateur. Appuyez sur les touches Windows + R pour faire apparaître une invite d'exécution, puis tapez «sysdm.cpl».
Une autre façon d’obtenir le même menu consiste à taper «Ce PC» dans votre menu Démarrer, à cliquer avec le bouton droit de la souris sur «Ce PC» et à accéder à Propriétés:
De toute façon, ce menu s’affichera, où vous devez cliquer sur l’onglet Remote:
Sélectionnez «Autoriser les connexions distantes à cet ordinateur» et l'option ci-dessous, «Autoriser les connexions uniquement à partir d'ordinateurs exécutant Remote Desktop avec l'authentification au niveau du réseau».
Une authentification au niveau du réseau n'est pas nécessaire, mais cela renforce la sécurité de votre ordinateur en vous protégeant des attaques Man in the Middle. Même des systèmes aussi anciens que Windows XP peuvent se connecter à des hôtes avec une authentification au niveau du réseau, il n'y a donc aucune raison de ne pas l'utiliser.
Vous pouvez recevoir un avertissement concernant vos options d'alimentation lorsque vous activez Remote Desktop:
Si tel est le cas, assurez-vous de cliquer sur le lien Options d'alimentation et de configurer votre ordinateur afin qu'il ne s'endorme pas ou qu'il ne soit pas en veille prolongée. Consultez notre article sur la gestion des paramètres d'alimentation si vous avez besoin d'aide..
Ensuite, cliquez sur «Select Users».
Tous les comptes du groupe Administrateurs auront déjà accès. Si vous devez accorder l'accès à Remote Desktop à d'autres utilisateurs, cliquez simplement sur «Ajouter» et tapez les noms d'utilisateur..
Cliquez sur «Vérifier les noms» pour vérifier que le nom d'utilisateur est correctement saisi, puis cliquez sur OK. Cliquez également sur OK dans la fenêtre Propriétés système..
Sécurisation du bureau à distance
Votre ordinateur est actuellement connectable via le Bureau à distance (uniquement sur votre réseau local si vous êtes derrière un routeur), mais nous devons configurer quelques paramètres supplémentaires pour obtenir une sécurité maximale..
Commençons par l’évident. Tous les utilisateurs auxquels vous avez attribué un accès Bureau à distance doivent avoir des mots de passe forts. Il y a beaucoup de robots qui recherchent constamment des ordinateurs vulnérables exécutant Remote Desktop sur Internet. Ne sous-estimez donc pas l'importance d'un mot de passe fort. Utilisez plus de huit caractères (12 ou plus est recommandé) avec des chiffres, des lettres minuscules et majuscules et des caractères spéciaux.
Accédez au menu Démarrer ou ouvrez une invite d'exécution (touche Windows + R) et tapez «secpol.msc» pour ouvrir le menu Stratégie de sécurité locale..
Une fois là-bas, développez «Stratégies locales» et cliquez sur «Attribution des droits de l'utilisateur».
Double-cliquez sur la stratégie «Autoriser la connexion via les services Bureau à distance» figurant à droite..
Nous vous recommandons de supprimer les deux groupes déjà répertoriés dans cette fenêtre, à savoir les administrateurs et les utilisateurs du Bureau à distance. Après cela, cliquez sur «Ajouter un utilisateur ou un groupe» et ajoutez manuellement les utilisateurs auxquels vous souhaitez accorder l’accès à Remote Desktop. Ce n'est pas une étape essentielle, mais cela vous donne plus de contrôle sur les comptes qui utiliseront Remote Desktop. Si, pour une raison quelconque, vous créez un nouveau compte administrateur pour une raison quelconque et oubliez de lui attribuer un mot de passe fort, vous ouvrez votre ordinateur vers des pirates informatiques du monde entier si vous n'avez jamais pris la peine de supprimer le groupe "Administrateurs" de cet écran.
Fermez la fenêtre Stratégie de sécurité locale et ouvrez l'éditeur de stratégie de groupe locale en tapant «gpedit.msc» dans une invite d'exécution ou dans le menu Démarrer..
Lorsque l'éditeur de stratégie de groupe local s'ouvre, développez Stratégie de l'ordinateur> Modèles d'administration> Composants Windows> Services Bureau à distance> Hôte de session Bureau à distance, puis cliquez sur Sécurité..
Double-cliquez sur les paramètres de ce menu pour modifier leurs valeurs. Ceux que nous recommandons de changer sont:
Définir le niveau de cryptage de la connexion client - Définissez ce paramètre sur Niveau élevé afin que vos sessions Remote Desktop soient sécurisées avec un cryptage 128 bits.
Exiger une communication RPC sécurisée - Définissez ceci sur Activé.
Utilisation obligatoire d'une couche de sécurité spécifique pour les connexions (RDP) distantes - Définissez cette option sur SSL (TLS 1.0)..
Exiger l’authentification de l’utilisateur pour les connexions distantes à l’aide de l’authentification au niveau du réseau - Définissez ceci sur Activé.
Une fois ces modifications apportées, vous pouvez fermer l'éditeur de stratégie de groupe local. La dernière recommandation de sécurité que nous avons est de changer le port par défaut sur lequel Remote Desktop écoute. Cette étape facultative est considérée comme une pratique de sécurité basée sur l'obscurité, mais le fait est que changer le numéro de port par défaut réduit considérablement le nombre de tentatives de connexion malveillantes que votre ordinateur va recevoir. Votre mot de passe et vos paramètres de sécurité doivent rendre le Bureau à distance invulnérable quel que soit le port sur lequel il est en écoute, mais nous pourrions également réduire le nombre de tentatives de connexion si nous le pouvons..
La sécurité par l'obscurité: changer le port RDP par défaut
Par défaut, Remote Desktop écoute le port 3389. Choisissez un numéro à cinq chiffres inférieur à 65535 que vous souhaitez utiliser pour votre numéro de port personnalisé Remote Desktop. En gardant ce nombre à l’esprit, ouvrez l’Éditeur de registre en tapant «regedit» dans une invite ou le menu Démarrer..
Lorsque l'éditeur de registre s'ouvre, développez HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Control> Terminal Server> WinStations> RDP-Tc> puis double-cliquez sur «PortNumber» dans la fenêtre de droite..
Avec la clé de registre PortNumber ouverte, sélectionnez «Décimal» à droite de la fenêtre, puis tapez votre nombre à cinq chiffres sous «Données de valeur» à gauche..
Cliquez sur OK puis fermez l'éditeur de registre..
Depuis que nous avons modifié le port par défaut utilisé par Remote Desktop, nous devons configurer le Pare-feu Windows pour accepter les connexions entrantes sur ce port. Allez à l'écran de démarrage, recherchez «Pare-feu Windows» et cliquez dessus..
Lorsque le Pare-feu Windows s'ouvre, cliquez sur «Paramètres avancés» dans la partie gauche de la fenêtre. Cliquez ensuite avec le bouton droit sur «Règles entrantes» et choisissez «Nouvelle règle».
L’assistant «Nouvelle règle de trafic entrant» s’affiche, sélectionnez Port et cliquez sur Suivant. Sur l'écran suivant, assurez-vous que TCP est sélectionné, puis entrez le numéro de port que vous avez choisi précédemment, puis cliquez sur suivant. Cliquez sur les deux prochaines fois, car les valeurs par défaut des deux pages suivantes conviendront. Sur la dernière page, sélectionnez un nom pour cette nouvelle règle, tel que «Port RDP personnalisé», puis cliquez sur Terminer..
Dernières étapes
Votre ordinateur devrait maintenant être accessible sur votre réseau local. Il vous suffit de spécifier l'adresse IP de la machine ou son nom, suivi de deux points et du numéro de port dans les deux cas, comme suit:
Pour accéder à votre ordinateur depuis l’extérieur de votre réseau, vous devrez probablement transférer le port de votre routeur. Ensuite, votre ordinateur doit être accessible à distance à partir de tout périphérique doté d’un client Remote Desktop..
Si vous vous demandez comment savoir qui se connecte à votre PC (et à partir de quel endroit), ouvrez l'Observateur d'événements pour voir.
Une fois que vous avez ouvert l'Observateur d'événements, développez Journaux des applications et des services> Microsoft> Windows> TerminalServices-LocalSessionManger, puis cliquez sur Opérationnel..
Cliquez sur l'un des événements dans le volet de droite pour voir les informations de connexion..