Connexion au bureau à distance de Windows (protocole MS RDP)

Connexion au bureau à distance de Windows (protocole MS RDP)

Bien que ce sujet soit inclus dans le fil de discussion dédié aux configurations et recommandations de PC, je pense qu'il est suffisamment important pour avoir son propre fil de discussion afin d'être plus facile à trouver pour les débutants en SQ, surtout après avoir vu qu'il y a un intérêt croissant ici sur ce forum pour l'utilisation d'un PC à distance.

Pour être très bref et aller droit au but, je citerai un très bon article :

Que pouvez-vous faire si vous devez mettre RDP sur Internet ? Tout d'abord, ne le faites pas. Sérieusement, ne le faites pas.

Pour protéger les connexions RDP, les recommandations suivantes s'appliquent :

-Modifier le port par défaut 3389 dans le registre de Windows et dans le menu des paramètres du routeur.
-activer l'authentification au niveau du réseau NLA
-installer un logiciel antivirus/de sécurité Internet
-mettre des mots de passe complexes (une longue phrase de passe contenant plus de 15 caractères et aucune phrase liée à l'entreprise, aux noms de produits ou aux utilisateurs est obligatoire)

les éléments ci-dessus sont faciles et gratuits, les éléments suivants sont plus complexes et certains nécessitent un abonnement payant

-Installez l'authentification à deux facteurs (2FA), un type d'authentification multifactorielle (MFA), mot de passe + SMS
-Installez une passerelle de réseau privé virtuel (VPN) pour gérer toutes les connexions RDP provenant de l'extérieur de votre réseau local.
- Un serveur Remote Desktop Gateway

de très bons articles utiles :

Sécurisez votre ordinateur en modifiant le numéro de port RDP par défaut | Alexander's Blog (zubairalexander.com)

https://www.zubairalexander.com/blog/secure-your-computer-by-modifying-the-default-rdp-port-number/

Aventures d'un pot de miel RDP - Première partie : Sécurité RDP | TrustedSec

https://www.trustedsec.com/blog/adventures-of-an-rdp-honeypot-part-one-rdp-security/

Aventures d'un Honeypot RDP - Deuxième partie : Connaître son ennemi | TrustedSec

https://www.trustedsec.com/blog/adventures-of-an-rdp-honeypot-part-two-know-you-enemy/

Ainsi, laisser un RDP sur une simple configuration par défaut est un véritable suicide.

Je voudrais ajouter quelques informations supplémentaires

Je ne l'ai pas précisé, mais toutes ces mesures pour RDP concernent la situation où l'utilisateur a besoin de se connecter en dehors du réseau local, à partir d'un autre endroit.

outre les mesures susmentionnées, quelques autres peuvent être mises en œuvre :

https://tweaks.com/windows/39140/create-an-account-lockout-policy/

- Créer une politique de verrouillage de compte : La création d'une politique de verrouillage de compte protège votre compte en limitant le nombre de fois qu'une application distante ou un pirate peut essayer de deviner votre mot de passe. Pour ce faire, votre compte est automatiquement verrouillé après la saisie d'un nombre déterminé de mots de passe incorrects. Votre compte restera verrouillé pendant une période déterminée avant d'être automatiquement déverrouillé et de pouvoir être à nouveau connecté. Il s'agit d'un complément précieux à la sécurité de votre compte, car il peut rendre inutiles les attaques de mot de passe par force brute.

- n'accordez en aucun cas l'accès à RDP au compte portant le nom d'utilisateur "Administrateur" et, si possible, n'utilisez jamais ou ne créez jamais d'utilisateur portant le nom d'utilisateur "Administrateur".

Etant donné l'ancienneté du RDP dans Windows et les nombreuses étapes nécessaires pour le sécuriser, il est compréhensible que les alternatives soient beaucoup plus fiables et sécurisées et dans le futur, j'écrirai ici et présenterai les meilleures alternatives.

Je parlerai également d'une autre fonction très utile, Wake On LAN.

Sur mes serveurs VPS, je ne fais que 2 choses : changer le port et utiliser un mot de passe fort.

4 ans d'activité - aucun problème

Oui, les utilisateurs plus avancés/expérimentés peuvent l'utiliser, mais les débutants doivent bien comprendre la différence entre quelque chose d'ouvert à l'internet et quelque chose de non ouvert. En effet, quel que soit le degré de sécurité du RDP, il est ouvert de par sa conception même. Une fois que vous avez transféré le port, il est ouvert. C'est une distinction très importante.

En revanche, tout logiciel tiers de télétravail, gratuit ou payant, ne nécessite pas l'ouverture de l'ordinateur sur l'internet, ni de transfert de port.

Pour les débutants, il s'agit donc soit d'un service VPN, soit d'un logiciel tiers de télétravail fiable.

je l'utilise aussi actuellement, momentanément, mais je suis en train de passer définitivement dans un avenir proche à quelque chose de plus sûr, car après avoir lu de nombreux articles fiables, il est trop peu sûr et constamment en danger d'être piraté et de nombreux virus modernes peuvent se propager à l'intérieur du réseau local une fois qu'il y est entré.

Un abonnement VPN est également une alternative intéressante

Essayez TeamViewer !

 

https://www.teamviewer.com/

 

Il s'agit d'une solution gratuite et beaucoup plus facile pour accéder à distance à votre PC dans un réseau domestique depuis n'importe où !