🖥️ Bureau à distance (RDP) et Administration
| Formation | BTS SIO option SISR — IRIS Mediaschool |
|---|---|
| Bloc | B2 — Administration Systèmes & Réseaux |
| Module | M2.1 — Administration Windows Server |
| Prérequis | Active Directory (C2.1.1), GPO (C2.1.2), DNS/DHCP (C2.1.3) |
🎯 Objectifs
- Comprendre le fonctionnement du protocole RDP
- Installer et configurer les Services Bureau à distance (RDS)
- Maîtriser les licences RDS et les composants RemoteApp / RD Gateway
- Utiliser les outils d'administration à distance (RSAT, PowerShell Remoting, WAC)
- Appliquer les bonnes pratiques de sécurisation et de monitoring
📖 Protocole RDP : fonctionnement
Le Remote Desktop Protocol (RDP) est un protocole propriétaire Microsoft permettant de prendre le contrôle graphique d'un serveur ou d'un poste de travail à distance. Il fonctionne sur le port TCP/UDP 3389 par défaut.
RDP transmet l'affichage graphique du serveur vers le client et redirige les entrées clavier/souris du client vers le serveur. Il supporte également :
- Redirection de ressources : imprimantes, lecteurs, presse-papiers, ports USB
- Compression et mise en cache : optimisation de la bande passante
- Chiffrement TLS : sécurisation du canal de communication
- Authentification NLA (Network Level Authentication) : authentification avant l'établissement de la session
Par défaut, Windows Server autorise 2 sessions RDP administratives simultanées sans licence RDS. Au-delà, il faut déployer le rôle Services Bureau à distance avec des licences CAL.
📖 Rôle Services Bureau à distance (RDS)
Les Services Bureau à distance (anciennement Terminal Services) permettent à de nombreux utilisateurs de se connecter simultanément à un serveur pour accéder à un bureau complet ou à des applications publiées. L'architecture RDS comprend plusieurs composants :
| Composant RDS | Rôle |
|---|---|
| RD Session Host (RDSH) | Héberge les sessions utilisateur et les applications |
| RD Connection Broker | Gère la répartition des connexions et la reconnexion aux sessions existantes |
| RD Web Access | Portail web pour accéder aux RemoteApp et bureaux publiés |
| RD Gateway | Passerelle HTTPS pour l'accès RDP depuis Internet |
| RD Licensing | Gère les licences d'accès client (CAL) RDS |
| RD Virtualization Host | Héberge des bureaux virtuels (VDI) via Hyper-V |
📖 Licences RDS (CAL)
Les licences d'accès client RDS (CAL — Client Access License) sont obligatoires dès que plus de 2 utilisateurs se connectent simultanément via RDP. Deux modèles existent :
| Type de CAL | Attribution | Avantage | Inconvénient |
|---|---|---|---|
| Par utilisateur | Liée à un compte utilisateur AD | L'utilisateur peut se connecter depuis n'importe quel appareil | Plus coûteux si peu d'utilisateurs mais beaucoup d'appareils |
| Par appareil | Liée à un poste de travail spécifique | Économique pour les postes partagés (kiosques, ateliers) | Ne suit pas l'utilisateur sur d'autres appareils |
L'absence de licences RDS valides entraîne une période de grâce de 120 jours, après laquelle les connexions RDP sont refusées. Planifiez l'achat des CAL avant le déploiement en production.
📖 RemoteApp : publication d'applications
RemoteApp permet de publier des applications individuelles (au lieu d'un bureau complet) accessibles depuis le poste client. L'application s'exécute sur le serveur RDSH mais apparaît dans une fenêtre locale sur le poste de l'utilisateur, comme si elle était installée localement.
Avantages :
- Centralisation : l'application est installée et mise à jour uniquement sur le serveur
- Économie de ressources : les postes clients légers ou anciens peuvent exécuter des applications lourdes
- Sécurité : les données restent sur le serveur, rien n'est stocké localement
Les RemoteApp sont accessibles via le portail RD Web Access (interface web) ou via des fichiers .rdp distribués par GPO.
📖 Passerelle des services Bureau à distance (RD Gateway)
La RD Gateway permet aux utilisateurs externes d'accéder aux ressources RDS internes de manière sécurisée, sans VPN. Elle encapsule le trafic RDP dans un tunnel HTTPS (port 443), traversant ainsi les pare-feux sans ouvrir le port 3389 sur Internet.
Architecture :
- Le client se connecte à la RD Gateway via HTTPS (port 443)
- La RD Gateway authentifie l'utilisateur et vérifie les stratégies d'accès (CAP et RAP)
- Le trafic RDP est relayé vers le serveur RDSH interne
| Stratégie | Acronyme | Fonction |
|---|---|---|
| Connection Authorization Policy | CAP | Définit qui peut se connecter (groupes AD, méthodes d'authentification) |
| Resource Authorization Policy | RAP | Définit à quoi les utilisateurs peuvent accéder (serveurs internes autorisés) |
📖 Administration à distance
RSAT (Remote Server Administration Tools)
Les outils d'administration de serveur à distance permettent de gérer des serveurs Windows depuis un poste client Windows 10/11 sans se connecter en RDP. Ils incluent les consoles MMC (dsa.msc, dnsmgmt.msc, dhcpmgmt.msc, gpmc.msc, etc.).
Installation sur Windows 10/11 :
Get-WindowsCapability -Name "Rsat.*" -Online | Add-WindowsCapability -Online
PowerShell Remoting (WinRM)
PowerShell Remoting utilise le protocole WinRM (Windows Remote Management, port 5985 HTTP / 5986 HTTPS) pour exécuter des commandes PowerShell à distance :
Enter-PSSession -ComputerName SRV-DC01 -Credential (Get-Credential)
Pour exécuter une commande sur plusieurs serveurs simultanément :
Invoke-Command -ComputerName SRV-DC01,SRV-DC02,SRV-FILES -ScriptBlock { Get-Service -Name "DNS" }
WinRM est activé par défaut sur Windows Server 2012 et versions ultérieures. Sur les postes clients, activez-le avec Enable-PSRemoting -Force.
Windows Admin Center (WAC)
Windows Admin Center est un outil de gestion basé sur un navigateur web, déployé comme une passerelle sur un serveur. Il offre une interface moderne pour administrer les serveurs, les clusters et les machines virtuelles Hyper-V.
Fonctionnalités principales :
- Gestion des rôles et fonctionnalités
- Monitoring des performances en temps réel
- Gestion des mises à jour Windows
- Console PowerShell intégrée
- Gestion des machines virtuelles Hyper-V
- Intégration Azure (Azure Hybrid Services)
📖 Bonnes pratiques de sécurisation RDP
| Mesure | Description | Mise en œuvre |
|---|---|---|
| NLA (Network Level Authentication) | Authentification avant l'ouverture de session | GPO : Configuration ordinateur → Modèles d'administration → Composants Windows → Services Bureau à distance → Sécurité |
| Changer le port par défaut | Modifier le port 3389 pour réduire les scans automatisés | Registre : HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber |
| Limiter les utilisateurs autorisés | Restreindre l'accès RDP aux groupes nécessaires | GPO : « Autoriser l'ouverture de session par les services Bureau à distance » |
| Pare-feu Windows | Restreindre les IP sources autorisées | Set-NetFirewallRule -DisplayName "Remote Desktop*" -RemoteAddress 192.168.1.0/24 |
| Verrouillage de compte | Limiter les tentatives de brute force | GPO de stratégie de verrouillage (cf. C2.1.2) |
| RD Gateway | Ne jamais exposer le port 3389 sur Internet | Utiliser la RD Gateway avec HTTPS (port 443) |
N'exposez jamais le port RDP (3389) directement sur Internet. Les serveurs RDP exposés sont la cible principale des attaques par force brute et des ransomwares. Utilisez toujours un VPN ou une RD Gateway.
📖 Monitoring et supervision
Observateur d'événements (Event Viewer)
L'Observateur d'événements (eventvwr.msc) centralise les journaux système. Pour le suivi RDP, surveillez les journaux suivants :
- Sécurité : Event ID 4624 (ouverture de session réussie), 4625 (échec d'authentification)
- TerminalServices-LocalSessionManager : Event ID 21 (connexion), 23 (déconnexion), 24 (session fermée)
- TerminalServices-RemoteConnectionManager : Event ID 1149 (authentification réseau réussie)
Analyseur de performances (Performance Monitor)
L'Analyseur de performances (perfmon.msc) permet de surveiller les compteurs clés du serveur en temps réel ou via des collecteurs de données :
| Compteur | Seuil d'alerte | Interprétation |
|---|---|---|
| Processeur — % Temps processeur | > 85% soutenu | Surcharge CPU, envisager une montée en charge |
| Mémoire — Mo disponibles | < 200 Mo | Manque de RAM, risque de pagination |
| Disque — Longueur de file d'attente | > 2 | Goulot d'étranglement disque |
| Réseau — Octets total/s | Proche du débit max | Saturation réseau |
| Terminal Services — Sessions actives | Selon licences | Nombre de sessions RDS en cours |
📝 QCM — Testez vos connaissances
- Que signifie RDP ?
- Quel port utilise RDP par défaut ?
- Qu'est-ce que le Bureau à distance (Remote Desktop Services) ?
- Quelle est la différence entre RDP et VNC ?
- Comment sécuriser une connexion RDP ?
- Quelle commande lance le client RDP sous Windows ?
📝 Afficher les corrections
- Remote Desktop Protocol — RDP est le protocole Microsoft permettant la prise en main à distance d'un poste Windows.
- Port 3389 — RDP écoute par défaut sur le port TCP 3389, qu'il est recommandé de changer en production.
- Un rôle permettant à plusieurs utilisateurs de se connecter simultanément — RDS permet des sessions multiples sur un serveur Windows, chaque utilisateur ayant son propre bureau.
- RDP est natif Windows et plus performant, VNC est multi-plateforme — RDP compresse mieux les données et transmet le rendu graphique, VNC capture l'écran pixel par pixel.
- Utiliser un VPN, NLA et changer le port par défaut — NLA (Network Level Authentication), un VPN et le changement de port réduisent la surface d'attaque.
- mstsc — mstsc (Microsoft Terminal Services Client) ouvre le client Bureau à distance.
Le protocole RDP (port 3389) permet l'accès graphique à distance. Les Services Bureau à distance (RDS) étendent cette capacité à de nombreux utilisateurs avec des licences CAL. RemoteApp publie des applications individuelles et la RD Gateway sécurise l'accès externe via HTTPS. RSAT, PowerShell Remoting et Windows Admin Center complètent la boîte à outils d'administration. Ne jamais exposer RDP directement sur Internet.