Souhaitez-vous voir le site dans une autre langue ?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Changer de langue
Table des matières
Banner for article "How Secure Is My Computer from Remote Desktop?" with article title and illustration, catchphrase, TSplus Advanced Security logo and website.

Pourquoi les bureaux à distance nécessitent-ils une sécurité renforcée ?

Le Bureau à distance n'est pas automatiquement dangereux, mais, comme tout mode de connexion à distance, il n'est jamais plus sûr que le système qui l'entoure. Pour les administrateurs système, la bonne question n'est pas de savoir si le Bureau à distance est sécurisé dans l'abstrait. La bonne question est de savoir si le point de terminaison, le chemin d'exposition du réseau et les contrôles de compte sont suffisamment solides pour le soutenir.

Cela est important car les recommandations actuelles de Microsoft se concentrent toujours sur la sécurisation de Remote Desktop autour de l'authentification au niveau du réseau (NLA), du portail RD, des certificats TLS et de l'authentification multifacteur (MFA) plutôt que sur une exposition publique directe. En accord avec cela, CISA et des conseils similaires incitent constamment les organisations à désactiver l'accès RDP inutilisé, à restreindre les services risqués et à appliquer l'authentification multifacteur, car l'accès à distance exposé reste un chemin d'intrusion courant. Cependant, nous pensons qu'il reste encore beaucoup à faire.

Quelles sont les trois vérifications initiales qui déterminent le risque de bureau à distance ?

Risque de point de terminaison

Le risque des points de terminaison est l'état de la machine elle-même. Un poste de travail Windows entièrement mis à jour avec une protection des points de terminaison moderne, des droits d'administrateur limités et un comportement de session contrôlé se trouve dans une position très différente par rapport à un serveur vieillissant avec un large accès administrateur local et des identifiants obsolètes. Des bureaux à distance sécurisés commencent par un hôte qui est déjà défendable avant qu'une session à distance ne commence.

Risque d'exposition du réseau

Le risque d'exposition du réseau concerne la capacité d'accès. Si une surface de connexion est directement accessible depuis Internet, la machine est exposée à des analyses, des tentatives de devinette de mot de passe et des tentatives d'exploitation. Si le même hôte n'est accessible que par le biais d'un VPN, d'un RD Gateway ou d'une couche d'accès étroitement gérée, le risque change de manière significative. Microsoft positionne explicitement RD Gateway comme un moyen de fournir un accès chiffré via HTTPS sans ouvrir les ports RDP internes.

Risque de compte

Le risque de compte concerne la qualité de l'identité et des privilèges. Un hôte sécurisé devient rapidement non sécurisé lorsque les connexions à distance reposent sur des mots de passe réutilisés, des comptes administratifs inactifs ou des droits d'accès étendus. Les recommandations de planification de Microsoft pour RDS continuent de considérer l'authentification multifacteur (MFA) comme un contrôle essentiel pour un accès à distance sécurisé, en particulier lorsque l'accès est médié par RD Gateway.

Pourquoi la réponse change-t-elle pour un PC domestique, un poste de travail de bureau, un serveur ou une ferme et une infrastructure plus grande ?

PCs de bureau

Un PC domestique a généralement un rayon d'explosion plus petit qu'un serveur de production, mais il est souvent géré de manière moins rigoureuse. Les routeurs grand public, le transfert de port occasionnel, les mots de passe locaux faibles et les mises à jour incohérentes peuvent rendre un système domestique étonnamment exposé. Le principal risque est souvent une mauvaise configuration plutôt qu'un design d'entreprise délibéré.

Postes de travail de bureau

Un poste de travail de bureau se trouve généralement à l'intérieur d'un réseau géré, mais cela n'élimine pas le risque. Si un compte utilisateur compromis peut accéder au poste de travail à distance, celui-ci peut devenir un point de pivot pour le mouvement latéral, le vol de données ou l'escalade de privilèges. En pratique, les points de terminaison de bureau ont besoin à la fois d'une hygiène des points de terminaison et d'une politique d'accès à distance claire.

serveurs Windows

Un serveur Windows entraîne les conséquences les plus graves. L'accès à distance à un serveur de fichiers, un serveur d'applications ou un hôte de session de bureau à distance signifie que l'attaquant est plus proche des données critiques, des services partagés et des outils administratifs. C'est pourquoi les serveurs RD sécurisés nécessitent des contrôles d'identité plus stricts, une exposition plus limitée et des contrôles défensifs actifs à la surface de connexion.

Fermes et infrastructures plus grandes

Dans une ferme ou une infrastructure d'accès à distance plus grande, le risque n'est plus lié à une seule machine. Un poste de travail faible, un serveur exposé ou un compte administrateur sur-autorisé peuvent affecter un environnement entier qui comprend des applications publiées, des serveurs de Bureau à distance, des portails web, des passerelles et des systèmes de gestion de support. Pour les ISV, les MSP et les équipes informatiques des entreprises, le véritable défi est la cohérence à travers de nombreux points de terminaison et chemins d'accès .

Cela modifie la question de sécurité de deux manières.

Exposition partagée

Tout d'abord, les administrateurs doivent penser en termes d'exposition partagée plutôt qu'en hôtes isolés.

Contrôles évolutifs

Deuxièmement, ils ont besoin de contrôles qui s'adaptent à des environnements mixtes, y compris les postes de travail des utilisateurs, les serveurs RD sécurisés et les systèmes exposés à Internet.

Dans ce contexte, protéger les connexions à distance signifie standardiser la politique, réduire la surface d'attaque sur l'ensemble de l'infrastructure et surveiller l'authentification et le comportement des sessions de manière centralisée plutôt que hôte par hôte.

Risque de point de terminaison : l'hôte est-il prêt pour l'accès à distance ?

Avant de protéger les connexions à distance, vérifiez que l'hôte mérite d'être exposé. Commencez par la cadence de mise à jour, la protection des points de terminaison, le périmètre des administrateurs locaux et l'hygiène des informations d'identification enregistrées. NLA aide à réduire la configuration de session non authentifiée, mais cela ne compense pas une machine mal entretenue. Microsoft recommande toujours NLA car les utilisateurs s'authentifient. avant qu'une session ne soit établie , ce qui réduit le risque d'accès non autorisé et limite l'engagement des ressources aux utilisateurs authentifiés.

Pour un examen rapide des points de terminaison, vérifiez ces éléments :

  1. Le système d'exploitation est-il entièrement mis à jour et pris en charge ?
  2. Les utilisateurs requis sont-ils uniquement dans le groupe des utilisateurs de bureau à distance ?
  3. Les droits d'administrateur local sont-ils restreints ?
  4. La protection des points de terminaison est-elle active et surveillée ?
  5. Les identifiants mis en cache, les sessions enregistrées et les comptes dormants sont-ils examinés régulièrement ?

C'est également ici que TSplus Advanced Security s'intègre bien en tant que couche de durcissement en amont. Notre logiciel Advanced Security est une boîte à outils pour sécuriser les serveurs d'applications et Remote Desktop. Dans notre documentation régulièrement mise à jour, il convient de souligner certaines des fonctionnalités les plus pertinentes, à savoir la protection contre les attaques par force brute, la protection géographique et la protection contre les ransomwares, à partir du flux de configuration initial.

Risque d'exposition du réseau : les attaquants peuvent-ils atteindre la surface de connexion ?

Exposition directe sur Internet

L'exposition directe RDP reste le modèle commun le plus dangereux. Si le port TCP 3389 est accessible depuis Internet public, la machine devient détectable par les scanners et le trafic de force brute. La CISA conseille à plusieurs reprises aux organisations de désactiver les ports et protocoles non nécessaires à l'utilisation professionnelle, en nommant explicitement le port RDP 3389 dans plusieurs avis sur les ransomwares et les menaces.

VPN, passerelle RD ou chemin d'accès contrôlé

Un chemin d'accès contrôlé est plus sûr car il réduit la porte d'entrée exposée. La version actuelle de Microsoft Aperçu de RDS indique que RD Gateway fournit un accès RDP sécurisé et chiffré via HTTPS depuis des réseaux externes sans ouvrir de ports RDP internes, et qu'il prend en charge l'authentification multifacteur (MFA) et des politiques conditionnelles. C'est un modèle beaucoup plus solide que d'exposer RDP directement.

Où s'intègre TSplus Advanced Security ?

TSplus Advanced Security est le plus utile lorsque vous avez besoin de plus de contrôle sur le périmètre exposé de l'accès à distance Windows. De la blocage des hackers à la protection des serveurs Remote Desktop et d'application, en passant par la restriction des pays autorisés à la mise sur liste noire des IP hostiles, ou à la réponse automatique aux comportements de force brute, Advanced Security a un champ de protection de 360°. Par exemple, notre documentation en ligne décrit spécifiquement la Protection Géographique fonctionnant avec le pare-feu intégré d'Advanced Security. Pendant ce temps, la Protection contre les Brute Force met automatiquement sur liste noire les adresses IP offensantes après des échecs répétés.

Avez-vous besoin d'un contrôle plus fort sur l'accès à distance exposé tout en évitant d'accumuler la complexité d'entreprise ? Vous êtes invité à commencer votre essai gratuit de TSplus Advanced Security et à découvrir ce qu'il peut faire instantanément ainsi que pendant les 15 jours suivants.

Risque de compte : Qui peut se connecter et avec quel privilège ?

Identifiants

Des identifiants faibles restent l'un des moyens les plus rapides de perdre le contrôle d'une machine accessible à distance. L'accès par mot de passe uniquement, les comptes administratifs partagés et les anciens identifiants de service transforment tous une configuration gérable en une cible attrayante. Même lorsque le transport est chiffré, une mauvaise hygiène des identités compromet l'ensemble du design.

Authentification multi-facteurs

MFA est l'un des moyens les plus clairs de réduire ce risque. Les conseils de planification RDS de Microsoft continuent de centrer MFA dans des flux de travail de bureau à distance sécurisés, et TSplus 2FA est conçu spécifiquement pour ajouter au moins un deuxième facteur à l'accès à distance entrant.

Moindre privilège

Le principe du moindre privilège est tout aussi important. Sur les serveurs RD sécurisés, les droits de connexion à distance doivent être limités à des groupes nommés, les sessions administratives doivent être séparées de l'accès des utilisateurs réguliers, et les comptes inactifs doivent être désactivés. Si vous ne savez pas exactement qui peut se connecter à distance, l'environnement est déjà plus faible qu'il n'y paraît.

Verrouillage de l'utilisateur de l'appareil

Pour une tranquillité d'esprit supplémentaire, nous avons mis à disposition une couche de protection supplémentaire sous la forme de Dispositifs de Confiance. Cette fonctionnalité de sécurité des points de terminaison verrouille un nom d'utilisateur à son appareil habituel, permettant ainsi une réponse plus rapide en cas de perte ou de vol.

Un auto-contrôle de 5 minutes pour les administrateurs système

Exécutez cette vérification rapide avant de supposer qu'une machine est sûre pour Remote Desktop :

  1. Le port 3389 est-il accessible depuis Internet public ?
  2. NLA est-il activé sur l'hôte cible ?
  3. L'accès à distance est-il géré par VPN, RD Gateway ou un autre chemin contrôlé ?
  4. La MFA est-elle appliquée pour les connexions à distance ?
  5. Les droits de connexion à distance sont-ils limités au plus petit groupe nécessaire ?
  6. Est-ce que TSplus Advanced Security ou une protection équivalente blocage de la force brute et l'activité IP hostile ?
  7. L'hôte est-il corrigé, surveillé et exempt de comptes privilégiés obsolètes ?

Si la réponse à la première question est oui et que les trois suivantes sont non, considérez la machine comme à haut risque.

Ce qu'il faut réparer en premier

Les administrateurs système obtiennent généralement la plus grande réduction de risque grâce à la séquence, et non au volume. Corrigez d'abord l'ordre des contrôles.

Commencez par réduire l'exposition publique directe autant que possible. Ensuite, renforcez l'identité avec l'authentification multifacteur et des portées de connexion plus petites. Après cela, durcissez l'hôte et ajoutez des contrôles de défense actifs autour de la surface d'accès à distance.

Pour de nombreux environnements de PME et de marché intermédiaire, c'est là que TSplus Advanced Security devient à la fois pratique et essentiel. Le produit est développé pour les serveurs d'accès à distance et d'applications Windows, et notre article TSplus connexe sur connectivité sécurisée des sites distants développe cela, en déchiffrant également pourquoi Advanced Security est la principale couche de protection pour des environnements d'accès à distance sécurisés.

Conclusion : La sécurité du bureau à distance commence en amont

La sécurité de votre ordinateur face au bureau à distance dépend moins du bureau à distance lui-même que des vérifications qui l'entourent. La posture des points de terminaison détermine si la machine est défendable. L'exposition du réseau détermine si les attaquants peuvent atteindre la surface de connexion. Le contrôle des comptes détermine si une connexion valide devient un incident majeur.

Telle est la réponse pratique pour l'administration système. Si vous souhaitez bien protéger les connexions à distance, ne commencez pas par la session. Commencez en amont avec l'hôte, le chemin d'exposition et la couche d'identité. Une fois cela fait, appliquez ces décisions avec des outils tels que TSplus Advanced Security et un accès soutenu par MFA.

Commencez dès aujourd'hui avec sécurité des serveurs informatiques tout-en-un simplifiée .

Partager :

Facebook Twitter LinkedIn

Votre équipe TSplus

Lecture complémentaire

back to top of the page icon