7 votes

user3758898 avatar

Augmenter la sécurité pour la machine de bureau à distance - utiliser la 2FA et/ou limiter à une connexion LAN uniquement?

Demandé el 11 de Février, 2018
Quand la question a-t-elle été
8168 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je cherche à configurer le bureau à distance de Windows sur une machine W10 Pro.

Je souhaiterais renforcer la sécurité de la connexion et je me demande si l'une des options suivantes est possible :

  • Un mot de passe différent du nom d'utilisateur utilisé pour se connecter physiquement à la machine. De cette manière, il pourrait utiliser une chaîne générée de manière aléatoire que je pourrais saisir une fois depuis l'ordinateur distant.

  • Une authentification à deux facteurs.

  • Limiter toutes les connexions entrantes aux machines situées sur le même réseau local uniquement.

Il y aura 3 ordinateurs qui se connecteront à l'hôte, principalement des Macs.

Est-il possible que toutes ces options soient mises en œuvre et y a-t-il d'autres choses auxquelles je devrais prêter attention ?

Demandé el 11 de Février, 2018 par user3758898

Réponses

Trop de publicités?

5voto

harrymc avatar
harrymc Points 394411

L'article Sécuriser le Bureau à distance (RDP) pour les administrateurs système répertorie ces conseils :

  • Utilisez des mots de passe forts
  • Mettez à jour votre logiciel
  • Restreignez l'accès en utilisant des pare-feu
  • Activez l'authentification au niveau du réseau (actif par défaut pour Windows 10)
  • Limitez les utilisateurs pouvant se connecter via le Bureau à distance (par défaut, tous les administrateurs)
  • Définissez une politique de verrouillage de compte (verrouiller un compte après un certain nombre de tentatives incorrectes)
  • Modifiez le port d'écoute pour le Bureau à distance (par défaut, TCP 3389)
  • N'utilisez pas d'autres produits comme VNC ou PCAnywhere

Pour votre question sur l'authentification à deux facteurs, je ne crois pas que cela existe sur Windows 10 Pro, seulement sur Windows Server.

L'article Les 5 meilleures alternatives à Google Authenticator répertorie six produits qui ont un plan gratuit (mais aussi payant) : Google Authenticator, Authy, Duo, HDE OTP, Authenticator Plus, Sound Login Authenticator. Je n'ai jamais utilisé de tels produits, donc je ne sais pas dans quelle mesure ils peuvent vous être utiles.

Répondu el 20 de Février, 2018 par harrymc (394411 Points )

3voto

NixieLake avatar
NixieLake Points 31

Sur la base des informations actuelles, mes recommandations sont les suivantes :

  • En mettant en place un tunnel SSH, vous obtenez une couche supplémentaire d'authentification, où vous pouvez utiliser un autre nom d'utilisateur/mot de passe ou une authentification par clé publique pour vous connecter. Vous pouvez aussi activer l'obfuscation, avec un mot de passe complètement différent, comme vous le souhaitiez. De cette façon, vous rendez également plus difficile pour quelqu'un surveillant le trafic de voir même qu'il s'agit de SSH - et pour se connecter, ils auront besoin à la fois de ce mot de passe et de l'authentification SSH que vous avez configurée. De plus, il s'agit de faire transiter le trafic RDP via un tunnel, qui est également chiffré.

    Sur la machine Windows, vous pouvez installer Bitvise SSH Server et sur les Macs, vous pouvez ajouter le support de l'obfuscation au OpenSSH intégré avec quelques correctifs de ZingLau.

  • La 2FA pourrait être possible, mais ce ne sera ni simple ni gratuit. Le login de carte à puce intégré nécessite un domaine Windows Active Directory, mais il existe des solutions tierces pour les ordinateurs autonomes. Le support de EIDAuthenticate prend en charge RDP et est disponible dans une version gratuite en open source, mais seulement pour les éditions Home (ils envisagent cependant un "programme d'utilisation domestique", donc les contacter pourrait accélérer cette réflexion). Mais dans votre cas, cela pourrait ne pas suffire, car c'est seulement pour Windows et vous vous connectez depuis un Mac.
  • Limiter les connexions entrantes au LAN peut facilement être fait dans le Pare-feu Windows.
  • Des choses générales comme des mots de passe solides et la mise à jour de tous les ordinateurs doivent bien sûr être faites. Je recommande également d'avoir des comptes utilisateur et administrateur séparés, et de seulement autoriser les comptes d'utilisateur (non privilégiés) à se connecter via RDP, de sorte que le compte administrateur doit se connecter localement.
  • La prochaine chose à laquelle je m'intéresserais serait la sécurité des clients qui se connectent, car s'ils sont compromis, toutes les autres choses que vous avez mises en place n'aideront pas beaucoup. Mais je parle de principes généraux de sécurité, donc je ne rentrerai pas dans les détails à ce sujet.
Répondu el 21 de Février, 2018 par NixieLake (31 Points )

1voto

Kotori0 avatar
Kotori0 Points 1

Ce scénario est possible avec WebADM de RCDevs qui est même gratuit jusqu'à 40 utilisateurs.

  1. Un mot de passe, différent du nom d'utilisateur utilisé pour se connecter physiquement à la machine.

Oui, WebADM utilise LDAP, ActiveDirectory... Donc vous pouvez utiliser un nom d'utilisateur/mot de passe différents.

  1. Authentification à deux facteurs.

Oui, vous pouvez utiliser TOTP, HOTP avec Token matériel/logiciel, email et sms.

  1. Limitez toutes les connexions entrantes aux machines uniquement sur le même LAN.

Oui, vous pouvez définir une Politique Client.

  1. Il y aura 3 ordinateurs qui se connecteront à l'hôte, principalement des Macs.

Oui, vous pouvez installer le Plugin de Fournisseur de Certificats pour Windows ou OSX avec authentification hors ligne.

Répondu el 17 de Septembre, 2018 par Kotori0 (1 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X