8Sep

Comment activer et sécuriser le Bureau à distance sur Windows

Bien qu'il existe de nombreuses alternatives, Microsoft Remote Desktop est une option parfaitement viable pour accéder à d'autres ordinateurs, mais il doit être correctement sécurisé.Une fois les mesures de sécurité recommandées mises en place, Remote Desktop est un outil puissant pour les geeks et vous permet d'éviter d'installer des applications tierces pour ce type de fonctionnalités.

Ce guide et les captures d'écran qui l'accompagnent sont faits pour Windows 8.1 ou Windows 10. Cependant, vous devriez être capable de suivre ce guide tant que vous utilisez l'une de ces éditions de Windows:

  • Windows 10 Professionnel
  • Windows 8.1 Pro
  • Windows 8.1 Entreprise
  • Windows 8 Entreprise
  • Windows 8 Professionnel
  • Windows 7 Professionnel
  • Windows 7 Entreprise
  • Windows 7 Intégrale
  • Windows Vista Professionnel
  • Windows Vista Édition Intégrale
  • Windows Vista Entreprise
  • Windows XP Professionnel

Activation du Bureau à distance

Nous devons d'abordactiver Remote Desktop et sélectionnez les utilisateurs ayant un accès à distance à l'ordinateur. Appuyez sur la touche Windows + R pour faire apparaître une invite d'exécution, et tapez "sysdm.cpl."

Une autre façon d'obtenir le même menu est de taper "Ce PC" dans votre menu Démarrer, cliquez droit sur "Ce PC" et aller àPropriétés:

Dans les deux cas, vous devez cliquer sur l'onglet Distant:

Sélectionnez "Autoriser les connexions distantes à cet ordinateur" et l'option "Autoriser les connexions uniquement depuis les ordinateurs exécutant le Bureau à distance avec l'authentification au niveau du réseau.

Ce n'est pas une nécessité d'exiger l'authentification au niveau du réseau, mais cela rend votre ordinateur plus sûr en vous protégeant des attaques de l'homme au milieu. Les systèmes aussi anciens que Windows XP peuvent se connecter aux hôtes avec l'authentification au niveau du réseau, il n'y a donc aucune raison de ne pas l'utiliser.

Vous pouvez recevoir un avertissement concernant vos options d'alimentation lorsque vous activez le Bureau à distance:

Si c'est le cas, assurez-vous de cliquer sur le lien Vers les options d'alimentation et de configurer votre ordinateur pour qu'il ne s'endorme pas. Consultez notre article sur la gestion des paramètres d'alimentation si vous avez besoin d'aide.

Ensuite, cliquez sur "Sélectionner les utilisateurs".

Tous les comptes du groupe Administrateurs auront déjà accès. Si vous devez accorder l'accès Bureau à distance à d'autres utilisateurs, cliquez simplement sur "Ajouter" et tapez les noms d'utilisateur.

Cliquez sur "Vérifier les noms" pour vérifier que le nom d'utilisateur est correctement saisi, puis cliquez sur OK.Cliquez sur OK dans la fenêtre Propriétés système également.

Sécurisation du Bureau à distance

Votre ordinateur est actuellement connectable via le Bureau à distance( uniquement sur votre réseau local si vous êtes derrière un routeur), mais nous devons configurer davantage de paramètres afin d'obtenir une sécurité maximale.

Premièrement, abordons l'évidente. Tous les utilisateurs auxquels vous avez attribué un accès Bureau à distance doivent disposer de mots de passe forts. Il y a beaucoup de robots qui scannent constamment l'Internet pour les PC vulnérables qui exécutent Remote Desktop, donc ne sous-estimez pas l'importance d'un mot de passe fort. Utilisez plus de huit caractères( 12+ est recommandé) avec des chiffres, des minuscules et des majuscules et des caractères spéciaux.

Allez dans le menu Démarrer ou ouvrez une invite Exécuter( Windows Key + R) et tapez "secpol.msc" pour ouvrir le menu Stratégie de sécurité locale.

Une fois là, développez "Stratégies locales" et cliquez sur "Attribution des droits utilisateur".

Double-cliquez sur la stratégie "Autoriser la connexion via les services Bureau à distance" figurant sur la droite.

Nous vous recommandons de supprimer les deux groupes déjà répertoriés dans cette fenêtre, Administrateurs et Utilisateurs du Bureau à distance. Ensuite, cliquez sur "Ajouter un utilisateur ou un groupe" et ajoutez manuellement les utilisateurs auxquels vous souhaitez accorder l'accès au Bureau à distance. Ce n'est pas une étape essentielle, mais cela vous donne plus de pouvoir sur les comptes qui utilisent Remote Desktop. Si, à l'avenir, vous créez un nouveau compte administrateur et oubliez d'y insérer un mot de passe fort, vous ouvrez votre ordinateur aux pirates informatiques du monde entier si vous n'avez jamais pris la peine de supprimer le groupe "Administrateurs" de cet écran.

Fermez la fenêtre Stratégie de sécurité locale et ouvrez l'Éditeur de stratégie de groupe local en tapant "gpedit.msc" dans une invite Exécuter ou dans le menu Démarrer.

Lorsque l'éditeur de stratégie de groupe locale s'ouvre, développez Stratégie de l'ordinateur & gt;Modèles d'administration & gt;Composants Windows & gt;Services Bureau à distance & gt;Cliquez sur Hôte de session Bureau à distance, puis sur Sécurité.

Double-cliquez sur les paramètres de ce menu pour modifier leurs valeurs. Ceux que nous recommandons de modifier sont les suivants:

Définir le niveau de cryptage de la connexion client - Définissez ce paramètre sur High Level pour que vos sessions Bureau à distance soient sécurisées avec un cryptage 128 bits.

Nécessite une communication RPC sécurisée - Définissez cette option sur Activé.

Nécessite l'utilisation d'une couche de sécurité spécifique pour les connexions distantes( RDP) - Définissez cette option sur SSL( TLS 1.0).

Requiert l'authentification de l'utilisateur pour les connexions distantes à l'aide de l'authentification au niveau du réseau - Définissez cette option sur Activé.

Une fois ces modifications effectuées, vous pouvez fermer l'éditeur de stratégie de groupe locale. La dernière recommandation de sécurité que nous avons est de changer le port par défaut sur lequel Remote Desktop écoute. Cette étape facultative est considérée comme une sécurité par le biais des pratiques d'obscurité, mais le fait est que la modification du numéro de port par défaut réduit considérablement le nombre de tentatives de connexion malveillantes reçues par votre ordinateur. Votre mot de passe et vos paramètres de sécurité doivent rendre Remote Desktop invulnérable quel que soit le port écouté, mais nous pouvons aussi bien réduire le nombre de tentatives de connexion si nous le pouvons.

Sécurité via Obscurity: modification du port RDP par défaut

Par défaut, Remote Desktop écoute sur le port 3389. Choisissez un numéro à cinq chiffres inférieur à 65535 que vous souhaitez utiliser pour votre numéro de port Remote Desktop personnalisé.Avec ce numéro à l'esprit, ouvrez l'Éditeur du Registre en tapant "regedit" dans une invite Exécuter ou dans le menu Démarrer.

Lorsque l'éditeur du registre s'ouvre, développez HKEY_LOCAL_MACHINE & gt;Système & gt;CurrentControlSet & gt;Contrôle & gt;Terminal Server & gt;WinStations & gt;RDP-Tcp & gt;puis double-cliquez sur "PortNumber" dans la fenêtre de droite.

Avec la clé de registre PortNumber ouverte, sélectionnez "Decimal" sur le côté droit de la fenêtre, puis tapez votre numéro à cinq chiffres sous "Données de la valeur" sur la gauche.

Cliquez sur OK, puis fermez l'éditeur de registre.

Comme nous avons modifié le port par défaut utilisé par Remote Desktop, nous devons configurer le pare-feu Windows pour qu'il accepte les connexions entrantes sur ce port. Allez à l'écran de démarrage, recherchez "Windows Firewall" et cliquez dessus.

Lorsque le pare-feu Windows s'ouvre, cliquez sur "Paramètres avancés" sur le côté gauche de la fenêtre. Ensuite, cliquez avec le bouton droit sur "Règles entrantes" et choisissez "Nouvelle règle".

L'assistant "Nouvelle règle de trafic entrant" apparaîtra, sélectionnez Port et cliquez sur suivant. Sur l'écran suivant, assurez-vous que TCP est sélectionné, puis entrez le numéro de port que vous avez choisi précédemment, puis cliquez sur suivant. Cliquez deux fois de plus, car les valeurs par défaut des deux pages suivantes seront satisfaisantes. Sur la dernière page, sélectionnez un nom pour cette nouvelle règle, par exemple "Port RDP personnalisé", puis cliquez sur Terminer.

Dernières étapes

Votre ordinateur devrait maintenant être accessible sur votre réseau local, il suffit de spécifier soit l'adresse IP de la machine ou son nom, suivi de deux points et du numéro de port dans les deux cas, comme ceci:

Pour accéder à votre ordinateurDe l'extérieur de votre réseau, vous aurez plus que probablement besoin de transférer le port sur votre routeur. Après cela, votre PC devrait être accessible à distance depuis n'importe quel appareil disposant d'un client Remote Desktop.

Si vous vous demandez comment vous pouvez suivre qui se connecte à votre PC( et d'où), vous pouvez ouvrir Event Viewer pour voir.

Une fois que l'Observateur d'événements est ouvert, développez Applications et journaux de services & gt;Microsoft & gt;Windows & gt;TerminalServices-LocalSessionManger, puis cliquez sur Operational.

Cliquez sur l'un des événements dans le volet de droite pour voir les informations de connexion.