connexion RDP pour TSE sur 2003

connexion RDP pour TSE sur 2003 - Sécurité - Windows & Software

Marsh Posté le 28-01-2006 à 17:31:48    

Bonjour,
 
 
j'aurais simplement voulu savoir si le fait de laisser se connecter des clients sur un serveur en TSE par le port RDP en ouvrant juste le port RDP sur le routeur etait une faille de securitée.
 
peut ont ajouter une securitee pour l authentification ? (dans connexion bureau à distance)
 
de toute facon du coté des licences TSE, y a juste assez de licences TSE par rapport au nombre de poste qui se connecterons et tout les utilisateurs ont un mdp.

Reply

Marsh Posté le 28-01-2006 à 17:31:48   

Reply

Marsh Posté le 28-01-2006 à 17:34:42    

Tu veux dire que tes utilisateurs accèdent au serveur TSE depuis Internet ?

Reply

Marsh Posté le 28-01-2006 à 18:04:14    

oui, les canaux VPN que j ai mis en place ne se montent pas de maniere stable et en attendant un debit ADSL stabilise j'ai mis ca en place....
 
 
si je modifie le port de RDP ca peut le faire ?
 
sinon je ne voit que ca
 
http://www.microsoft.com/technet/p [...] 6977b.mspx


Message édité par mobilete le 28-01-2006 à 18:13:11
Reply

Marsh Posté le 30-01-2006 à 07:45:05    

up

Reply

Marsh Posté le 31-01-2006 à 10:26:02    

reup

Reply

Marsh Posté le 31-01-2006 à 11:40:38    

Si ton serveur est à jour côté patchs de sécurité il n'y pas de problèmes pour accéder directement au serveur en question via TS. Le protocole RDP inclut des mécanismes de cryptage qui à l'heure actuelle sont suffisants pour assurer la confidentialité des informations.
 
La principale faiblessse réside dans le fait que les utilisateurs pourraient avoir des mots de passes faibles (courts, mots du dictionnaires, ...) qui faciliteraient une attaque.
 
Modifier le port RDP c'est pénible car, de mémoire, il est enregistré dans la base de registre et il n'y aucun moyen pour le client d'utiliser un autre port simplement.

Reply

Marsh Posté le 31-01-2006 à 14:12:32    

ok,
 
 
le cryptage dont tu parle, il n est pas active de base si je ne m abuse?
 
dans ce cas, si j ai bien compris il faudra demander un certificat racine? la procedure est elle simple? gratuite ?
 
merci pour vos réponses

Reply

Marsh Posté le 31-01-2006 à 15:48:32    

Le crpytage RC4 128 bits est intégré au protocole et activé de base. Si tu sniffes les paquets de TS tu n'aura pas de données en clair.
 
Ce que ne te permet pas le protocole de TS c'est à l'établissement de la connexion d'être 100% sûr que la machine qui te répond est la machine que tu souhaites joindre. C'est pour celà qu'un certificat permet de signer et authentifier le serveur.
 
Il est toutefois peu probable que quelqu'un réusisse à détourner tout le trafic RDP à destination de ton serveur vers une de ses machines pour que les clients s'authentifie vers cette dernière plutôt que ton serveur.
 
http://msdn.microsoft.com/library/ [...] otocol.asp
 
http://en.wikipedia.org/wiki/Remote_Desktop_Protocol


Message édité par Requin le 31-01-2006 à 15:49:25
Reply

Marsh Posté le 31-01-2006 à 16:19:09    

Requin a écrit :

il n'y aucun moyen pour le client d'utiliser un autre port simplement.


 
Sisi, quand le client rentre le nom ou l'IP du serveur a contacter suffit de rajouter :le_port derriere.
 
Par exemple si on configure le TSE du serveur servtse.mobilete.fr pour ecouter sur le port 5566, au niveau du client TSE suffit de rentrer servtse.mobilete.fr:5566 comme nom de serveur pour s'y connecter.

Reply

Marsh Posté le 31-01-2006 à 17:21:09    

me conseillez vous donc de changer le port TSE-RDP ? etant donne que la solution VPN n est actuellement pas possible a appliquer ?
 
 
pour appliquer la securite TLS il faut obtenir un certificat, es ce payant ?


Message édité par mobilete le 31-01-2006 à 17:23:40
Reply

Marsh Posté le 31-01-2006 à 17:21:09   

Reply

Marsh Posté le 31-01-2006 à 17:23:27    

Oui, ça mange pas de pain.
 
Mais l'essentiel reste donc de s'assurer que le cryptage maxi est bien en place, et que tu as une politique de mot de passe tres rigoureuse.

Reply

Marsh Posté le 31-01-2006 à 19:20:04    

Très franchement voilà depuis la sortie de Windows 2000 que j'attaque chez certains clients directement sur le port 3389 leurs serveurs pour de l'admin à distance (donc accès restreint aux comptes admins) et je n'ai jamais eu le moindre soucis. Les serveurs sont simplement à jours côtés hotfixes et le mot de passe de l'admin est suffisament complexe pour tenir à une attaque en force brute.
 
Les certificats tu peux monter une organisation de certification interne à ton entreprise, windows server le propose.


Message édité par Requin le 31-01-2006 à 19:20:27
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed