Blog

RDP

Votre RDP est-il sécurisé ?

Connaissance du secteur

Votre RDP est-il sécurisé ?

Microsoft Remote Desktop et Terminal Services (RDP) offrent aux utilisateurs un moyen simple de connecter des systèmes d'entreprise et d'utiliser des applications partagées à partir d'emplacements distants. 

« Pourtant, l'authentification par nom d'utilisateur/mot de passe n'est plus suffisante pour être conforme à la sécurité dans certaines entreprises et en général. »

Cet article montre ce qu'est RDP, comment le protéger et quelles sont les principales caractéristiques à examiner avant d'opter pour un service.

Où puis-je déployer ? 

  • Sur site 
  • Microsoft Azure
  • Amazon AWS
  • Google Cloud

Qu'est-ce que le RDP ?

Le protocole Microsoft Windows Remote Desktop Protocol, ou RDP, est largement et en toute sécurité utilisé sur les réseaux privés pour permettre aux utilisateurs de se connecter à des ordinateurs distants. Une fois connecté via RDP, l'écran du système distant est affiché sur le système local donnant le contrôle à l'utilisateur local. RDP est couramment utilisé dans les environnements d'entreprise pour permettre aux administrateurs système de gérer les serveurs et les postes de travail dans des emplacements distants, ou par les employés, lorsqu'ils sont loin de leurs bureaux et de leurs bureaux. De plus en plus, RDP est utilisé pour accéder aux bureaux virtuels. Les utilisateurs peuvent se connecter à l'aide de l'authentification unique, par exemple Windows Kerberos au sein d'un domaine, ou avec des informations d'identification, généralement un nom d'utilisateur et un mot de passe de domaine, pour accéder à un compte sur le système distant.

Une étude de Microsoft met en garde contre les dangers

Les pirates commencent à utiliser des attaques par force brute une fois qu'un port RDP ouvert est identifié sur Internet. Ils utilisent des outils automatisés qui effectuent la permutation et la combinaison du nom d'utilisateur et du mot de passe pour déchiffrer les informations de connexion de l'ordinateur cible. Les attaques sont mesurées et durent souvent plusieurs jours pour empêcher la détection par pare-feu/IDS (systèmes de détection d'intrusion) qui pourrait entraîner le blocage de l'adresse IP source. 

Après un étude de plusieurs mois sur l'impact des attaques par force brute RDP sur l'entreprise, Microsoft a signalé que les attaques durent en moyenne de deux à trois jours, avec environ 90% de cas durant une semaine ou moins, et moins de 5% durant deux semaines ou plus. 

Selon Les recherches de Microsoft, la seule action simple que vous pouvez prendre pour empêcher 99.9% des attaques sur vos comptes est d'utiliser authentification multifacteur (MFA).

Avant d'opter pour une solution, vérifiez toujours si elle fournit Two-Factor avec toutes les méthodes de mot de passe à usage unique OpenOTP et FIDO comme :

  • Jetons logiciels (jeton OpenOTP prenant en charge les connexions Push, Google Authenticator)
  • Jetons matériels (tous les jetons compatibles OATH sont pris en charge)
  • OTP SMS basé sur mobile (est devenu obsolète dans certains scénarios comme pour les banques)
  • Biométrie vocale (Nouvelle méthode d'authentification) 
  • Boites aux lettres
  • Jeton Yubikey 

En outre, certaines des principales caractéristiques à examiner sont :

  1. Prend en charge les noms de connexion de style domaine NT comme 'Domain\Username'
  2. Prend en charge les noms d'utilisateur principaux (UPN), implicites et explicites.
  3. Prend en charge les modes de connexion LDAP et LDAP+OTP.
  4. Prise en charge des politiques d'utilisateurs, de groupes et de clients qui vous permettent de concevoir votre workflow d'authentification en fonction de nombreuses entrées. 
  5. Déploiement en entreprise avec les outils de déploiement de logiciels automatisés AD.
  6. Prend en charge Normal (3 champs présentés à l'utilisateur sur l'écran de connexion) et Simple connexion (2 champs présentés sur l'écran de connexion et si un OTP est requis, le troisième champ est affiché sur une autre page)
Connexion simple : 
RDP - Connexion simple
Connexion normale : 
RDP - Connexion normale

Tokens

RCDevs fournit un fournisseur d'informations d'identification Windows (CP) pour Intégrations Windows. Il existe 2 scénarios pour sécuriser votre RDP.

1) OpenOTP CP de RCDev est votre couche de protection supplémentaire pour la connexion Windows et l'accès à distance avec Remote Desktop (RDP) et Terminal Services. C'est l'un des scénarios pris en charge pour les connexions RDP. C'est la plus courante et elle implique de protéger et d'installer le CP OpenOTP pour chaque hôte de session (machines Windows).

2) Protéger un point central (nommé RDGateway) où chaque connexion à n'importe quel hôte de session passera par les serveurs RDGateway. Ensuite, vous n'avez pas besoin de protéger chaque hôte car la connexion MFA est jouée sur la passerelle RDG. Dans ce scénario, seule la connexion push est prise en charge.    

Comprendre comment configurer les services MS Remote Desktop et le portail RDWeb avec OpenOTP.

FR