> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/fr/comment-resoudre-lexposition-du-service-rdp-depuis-internet.md).

# Comment résoudre l'exposition du service RDP depuis Internet ?

### Protection du service RDP

Le protocole RDP (Remote Desktop Protocol) est un protocole propriétaire de Microsoft permettant de se connecter à un autre ordinateur à distance, généralement via le port TCP 3389 à des fins d'administration.

Représentant un point d'entrée vital pour une entreprise, il est très souvent utilisé par les attaquants afin de s'introduire au sein de son SI et d'y réaliser des mouvements latéraux. En effet, il suffit par exemple qu'un service RDP exposé soit affecté par une vulnérabilité publique (comme Bluekeep) ou encore que des identifiants ne soient pas suffisamment robustes pour créer une faille  exploitable par un attaquant.

Par conséquent, ce service ne devrait être exposé que depuis le réseau interne du SI, et jamais accessible depuis Internet.

### Solutions

La plupart des services RDP observés sont utilisés pour deux raisons :

* Administration à distance
* Accès à des documents

Concernant l'administration à distance, il est possible de considérer les options suivantes (par préférence décroissante) :

* Mise en place d'une passerelle RDP, nommée RDG (Remote Desktop Gateway)
* Déploiement d'un VPN (Virtual Private Network)
* Durcissement du service RDP

Si la deuxième raison se présente, à savoir à des fins d'accès de documents internes, l'adoption de Microsoft O365 et de son espace de stockage SharePoint est à privilégier.

### Mise en place d'une passerelle RDP

Description

La passerelle Bureau à distance, appelée aussi RDG (Remote Desktop Gateway) est destinée à fournir un moyen de connexion sécurisé à des serveurs Windows d'un réseau interne. En effet, celle-ci joue le rôle d'intermédiaire entre un client et un serveur afin de protéger l'exposition d'un quelconque service RDP : seule la passerelle est exposée aux clients. Celle-ci utilise un tunnel HTTP SSL/TLS et expose donc uniquement le port 443.Cette passerelle devrait être située au sein d'une DMZ existante.

Installation de la passerelle :

Afin de débuter l'installation de la passerelle, il est nécessaire de se connecter sur le serveur Windows sur lequel elle sera déployée. Une fois connecté, il est possible d'ouvrir l'application de gestion du serveur nommée "Server Manager".

#### Ajout du rôle de passerelle

Une fois lancée, il est nécessaire d'accéder à la fonctionnalité "Add Roles and Features" depuis l'onglet "Manage" de l'application Server Manager :

<figure><img src="https://25674881.fs1.hubspotusercontent-eu1.net/hubfs/25674881/spaces_wzUTKOoCOAuhqMwyJZbG_uploads_8qqXZUhl7bwLIgbo8xyc_image%20(1).webp" alt=""><figcaption></figcaption></figure>

Ensuite, il est possible d'avancer dans l'installation via le bouton "Next" :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FZewVX2o7MGYeavhyU4eD%2Fimage.png?alt=media&#x26;token=f17b7b7a-62d6-4669-b9c2-121453190629" alt=""><figcaption></figcaption></figure>

Le type d'installation "Role-based or feature-based installation" doit être sélectionné avant d'accéder à la prochaine section via le bouton "Next" :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2F2s3UeydVXLvd1YIPh9TA%2Fimage.png?alt=media&#x26;token=bbb25cd9-67f3-4426-b870-4999ccb869f9" alt=""><figcaption></figcaption></figure>

Cette étape permet de sélectionner le serveur sur lequel la passerelle sera installée. Une fois celui-ci identifié, cliquez sur le bouton "Next" pour aller plus loin :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FcVG3ALfBOH0tR5VW9XWL%2Fimage.png?alt=media&#x26;token=c40847c3-a1b3-4e86-9c1b-6f867c63625e" alt=""><figcaption></figcaption></figure>

Cet onglet permet de sélectionner les rôles à ajouter sur le serveur, il est nécessaire de sélectionner "Remote Desktop Services", avant de cliquer sur "Next" pour aller plus loin :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FubFSN9Kz7volGYGFcbrJ%2Fimage.png?alt=media&#x26;token=58f20b27-b10f-43f9-b1a2-fc25ff044d5b" alt=""><figcaption></figcaption></figure>

Certaines fonctionnalités peuvent être implémentées sur le serveur à partir de cet onglet, il est possible de laisser les fonctionnalités sélectionnées par défaut et d'aller plus loin :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FXZZrnLBIejDw9l8PcsTL%2Fimage.png?alt=media&#x26;token=476ee031-dc2b-4039-9aac-ad1e82c3a919" alt=""><figcaption></figcaption></figure>

&#x20;\
Il s'agit d'un onglet informatif concernant les services de bureau à distance, il peut être passé :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FKOUzimH3PaRH61ymE352%2Fimage.png?alt=media&#x26;token=590feae7-7018-4d4a-9132-608e2c7ffbb7" alt=""><figcaption></figcaption></figure>

Depuis cet onglet, le service de passerelle de bureau à distance, à savoir "Remote Desktop Gateway" doit être sélectionnée. La fenêtre suivante est renvoyée à l'utilisateur :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2F1ky0Qloz4nynjhF3bOgR%2Fimage.png?alt=media&#x26;token=f7d0b9c8-2a82-46d8-8d80-9b1b66f725e0" alt=""><figcaption></figcaption></figure>

Depuis cet onglet, le service de passerelle de bureau à distance, à savoir "Remote Desktop Gateway" doit être sélectionnée. La fenêtre suivante est renvoyée à l'utilisateur.

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FbHg6cOAYbvI39BFhJaSB%2Fimage.png?alt=media&#x26;token=cac7ea67-3487-424e-977f-23868084c4e0" alt=""><figcaption></figcaption></figure>

Certains onglets, en lien avec les fonctionnalités sélectionnées précédemment, se sont automatiquement ajoutés, cliquez sur "Next" afin d'y accéder :&#x20;

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FjYiK2Dhxe4XqdtiqgwEI%2Fimage.png?alt=media&#x26;token=0fae719b-af84-4e97-b554-f9de745b10d2" alt=""><figcaption></figcaption></figure>

Ce nouvel onglet rassemble des informations sur la fonctionnalité de politique réseau et service d'accès, cliquez sur "Next" afin d'accéder à la section suivante :

![](https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FzHwXIGHGEZPi0LAr1tmp%2Fimage.png?alt=media\&token=a544a506-2457-4424-a18e-39ddab0bebc2)

Ce nouvel onglet rassemble des informations sur la fonctionnalité de serveur Web, cliquez sur "Next" afin d'accéder à la section suivante :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FInCdduV7uBf2LDm6QSyT%2Fimage.png?alt=media&#x26;token=ca29950f-d741-4496-a25a-c932b76afd22" alt=""><figcaption></figcaption></figure>

Une liste représentant l'ensemble des services liés au serveur Web (IIS) sont listés, il est nécessaire de conserver cette configuration par défaut avant d'aller plus loin :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2F7MJoKCRfxu3qBweDvBAC%2Fimage.png?alt=media&#x26;token=9cb95b27-4a03-449a-b7fb-96d860e73f94" alt=""><figcaption></figcaption></figure>

Une fenêtre récapitulant l'ensemble des services et outils qui seront installés est renvoyée à l'utilisateur, cliquez sur le bouton "Install" afin de confirmer l'installation (il est possible d'autoriser le redémarrage automatique du serveur en cochant la case "Restart the destination server automatically") :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FyC3lBJLQLke0rmgZxKlx%2Fimage.png?alt=media&#x26;token=008ca558-b1ee-435a-9891-222fb5df45bd" alt=""><figcaption></figcaption></figure>

L'installation est finalisée :&#x20;

![](https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FINiYuCoIlSCzZtoTezso%2Fimage.png?alt=media\&token=27e8b641-ad80-44c4-a3f8-88dbc4a9844d)

#### Configuration de la passerelle

Une fois l'installation terminée, il est ensuite nécessaire de configurer la passerelle de bureau à distance en lançant son outil de gestion depuis l'application "Server Manager" et l'onglet "Tools", comme le montre la figure suivante :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FYIiX4A5Ic3Ghju5atVcD%2Fimage.png?alt=media&#x26;token=a0d20459-9436-4191-94c8-f0c671775f3b" alt=""><figcaption></figcaption></figure>

Une fois l'outil lancé, la fenêtre ci-dessous est renvoyée à l'utilisateur, après avoir sélectionné le nom du serveur sur l'interface gauche. Il est nécessaire de configurer la passerelle de bureau à distance nouvellement installée. Pour cela, il est possible de commencer par l'import d'un certificat en cliquant sur la fonctionnalité "View or modify certificate properties" :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FnX424XAwpItwXNPX2H2Q%2Fimage.png?alt=media&#x26;token=7aaecaa3-f397-4c67-ac4e-435aee334432" alt=""><figcaption></figcaption></figure>

Aucun certificat n'est installé sur la passerelle, deux possibilités existent : créer un certificat auto-signé ou importer un certificat correspondant au serveur délivré par une autorité de certification reconnue.Le meilleur choix est le second. Afin de le mettre en place, il suffit de sélectionner l'option "Import a certificate into the RD Gateway \<nameServer> Certificates (Local Computer)/Personal store", puis de l'importer via le bouton "Browse and Import Certificate" :&#x20;

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FydJGEL2GtglcQav1wo5v%2Fimage.png?alt=media&#x26;token=866fbf2c-5a5e-418e-8cee-b1c228420849" alt=""><figcaption></figcaption></figure>

Si un certificat auto-signé va être créé puis utilisé, il suffit de sélectionner l'option "Create a self-signed certificate" puis cliquer sur le bouton "Create and Import Certificate", la fenêtre suivante est renvoyée :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2F7Slz66vWxcPAdE0cHt6E%2Fimage.png?alt=media&#x26;token=a698429f-910d-43f7-bfd2-933dcc496fc5" alt=""><figcaption></figcaption></figure>

Le nom complet du serveur doit être inscrit dans le premier champ "Certificate name" puis il est nécessaire de récupérer ce certificat sur le serveur, il devra être importé dans l'ensemble des futures machines utilisant cette passerelle. Une fois cette étape terminée, la fenêtre ci-dessous est renvoyée. Les informations du certificat importé sont mises à jour, indiquant la réussite de l'importation, cliquez sur "OK" pour compléter la configuration de la passerelle :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FGz6kCrxZpRFVkDAAd2gp%2Fimage.png?alt=media&#x26;token=5861a915-56ba-4573-8fe0-cccdbed364e6" alt=""><figcaption></figcaption></figure>

Des règles d'accès doivent être ajoutées afin que cette passerelle puisse être utilisée correctement. Pour cela, il est possible de cliquer sur le menu déroulant du serveur sur l'interface gauche de l'application "RD Gateway Manager", puis de cliquer sur "Policies" et enfin sur "Create New Authoirization Policies", comme l'illustre la figure ci-dessous :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FAgTRAf5JHeaZ84lMgxOy%2Fimage.png?alt=media&#x26;token=1b9e7d81-72ae-4932-9eb2-6f58d2171668" alt=""><figcaption></figcaption></figure>

La fenêtre suivante est renvoyée à l'utilisateur. Deux règles d'accès doivent être créée : une règle d'accès à la passerelle (appelée RD CAP) et une règle d'accès aux ressources internes depuis la passerelle (appelée RD RAP). Pour cela, il est nécessaire de sélectionner "Create a RDP CAP and a RD RAP (recommanded)" puis de cliquer sur "Next" :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FhB06wrhrWJvjZ3pRzwEJ%2Fimage.png?alt=media&#x26;token=49c107e8-fa3e-4239-b53e-492057d6cdf0" alt=""><figcaption></figcaption></figure>

Il est nécessaire de choisir un nom adéquat de la règle CAP, avant d'aller plus loin via le bouton "Next" :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FZungwI7k4NsBgKb5GMlz%2Fimage.png?alt=media&#x26;token=8295d3e1-b0db-4213-ad62-c44e59500db0" alt=""><figcaption></figcaption></figure>

Il est nécessaire de choisir un nom adéquat de la règle CAP, avant d'aller plus loin via le bouton "Next" :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FWWI0Z2PXqec6q4k9dZqn%2Fimage.png?alt=media&#x26;token=3b497781-5152-4107-ac40-656dc6bd4df6" alt=""><figcaption></figcaption></figure>

Cette étape permet de définir les propriétés de redirection de la règle CAP. Selon certains besoins de l'entreprise (et de facilité), certaines redirections peuvent être importantes et nécessaires comme le copier-coller ("Clipboard") :

* Dans le cas où certaines redirections ne seraient pas nécessaires, il est recommandé de sélectionner l'option "Disable device redirection for the following client device types" puis de les sélectionner afin de durcir la configuration de la passerelle ;
* Dans le cas où toutes les redirections sont nécessaires, sélectionnez l'option "Enable device redirection for all client devices" puis sur "Next".

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FWFFCeBqRqseRvyxUoozo%2Fimage.png?alt=media&#x26;token=0fab4be9-602b-4b02-9e0e-d88c45e33534" alt=""><figcaption></figcaption></figure>

Cette fenêtre est destinée à configurer la déconnexion et l'expiration des sessions des utilisateurs. Il est recommandé d'activer ces options afin de durcir la configuration de la passerelle, avant d'aller plus loin avec le bouton "Next" :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FOVkrHrWQLIqDxKsAiNU0%2Fimage.png?alt=media&#x26;token=8c3512d4-d372-400e-8240-87772b4ad446" alt=""><figcaption></figcaption></figure>

Un résumé de la configuration de la règle CAP apparaît, il est dorénavant nécessaire de configurer la règle RAP via le bouton "Next" :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2Fkx9f9EDrlNyZJRhtCun3%2Fimage.png?alt=media&#x26;token=6623eeb4-ff26-4270-a394-7b9a7cc3c692" alt=""><figcaption></figcaption></figure>

Un résumé de la configuration de la règle CAP apparaît, il est dorénavant nécessaire de configurer la règle RAP via le bouton "Next".

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FassuBAVdliGkTHo1hFJh%2Fimage.png?alt=media&#x26;token=44b590c4-10d7-4ab8-af82-c3c900211aa2" alt=""><figcaption></figcaption></figure>

De la même manière que la règle CAP, seul(s) le (ou les) groupe(s) contenant les utilisateurs légitimes à utiliser la passerelle afin d'accéder à des ressources internes doivent être sélectionnés dans l'encadré "User group membership (required)" via le bouton "Add Group...". L'idéal est de créer un groupe d'utilisateurs spécifique à cet accès au sein de l'Active Directory afin de s'assurer de leur légitimité. Ensuite, il est possible d'aller plus loin avec le bouton "Next" :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FNCM3LUCEJSA3YKNAGoGu%2Fimage.png?alt=media&#x26;token=7177b4d6-a433-4ad8-9302-cf97123a7342" alt=""><figcaption></figcaption></figure>

Cette fenêtre est destinée à spécifier l'ensemble des ressources internes accédées depuis la passerelle. Il est recommandé de créer un groupe de domaine regroupant l'ensemble des serveurs légitimes pouvant être accédés depuis cette passerelle et de le préciser via l'option "Select and Active Directory Domain Services network resource group".

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2F52uBBrFn3Z1bQ4s7ZjUQ%2Fimage.png?alt=media&#x26;token=42357163-bb18-440c-9f50-f22ac7e160b2" alt=""><figcaption></figcaption></figure>

Les ports d'accès utilisés doivent être renseignés, à savoir soit par défaut le port 3389 du service RDP ou un (ou des) autre(s) port(s) si nécessaire :&#x20;

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2F1loa14FjI4u1dCwbblJx%2Fimage.png?alt=media&#x26;token=9136c3c1-3cb2-4ac1-856b-9b316ee50cae" alt=""><figcaption></figcaption></figure>

De la même manière que la règle CAP, un résumé de la configuration de la règle RAP apparaît, il est nécessaire de confirmer via le bouton "Next" :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2F5EBSn88JxFNts6pMMDAS%2Fimage.png?alt=media&#x26;token=da09073d-ddcb-4908-b063-808610412f03" alt=""><figcaption></figcaption></figure>

Une fenêtre est renvoyée, indiquant la confirmation des règles CAP et RAP :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FyHBN5fmQbSoOClyodzDe%2Fimage.png?alt=media&#x26;token=ab4d7f3d-59ab-4daf-8aa3-156ea097bebb" alt=""><figcaption></figcaption></figure>

Lancement du service de la passerelle :

Enfin, le service lié à la passerelle est potentiellement à l'arrêt, il est possible de vérifier son état et de l'activer si ce n'est pas encore le cas, comme l'illustre la figure suivante. Depuis l'onglet Remote Desktop Services de l'application Server Manager, l'onglet "Servers" et la section "Services", le service de la passerelle est identifié par son nom "Remote Desktop Gateway". Ce dernier peut être lancé si besoin via un clic droit sur ce service puis en cliquant sur "Start Services" :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FLbjBpFnxRAGHFUdlPflh%2Fimage.png?alt=media&#x26;token=bd36244f-636e-4c72-b604-354471ab7918" alt=""><figcaption></figcaption></figure>

Filtrage des flux :

Lorsque les serveurs internes ne doivent être accessibles que depuis la passerelle, il est nécessaire de configurer leur pare-feu interne.\
Pour cela, il suffit d'accéder à la configuration du pare-feu Windows, et de lister les flux entrants ("Inbound Rules" ou "Règles de trafic entrant"), comme l'illustre la figure suivante. Parmi ceux-ci figure la règle nommée "Remote Desktop - User Mode (TCP-In)", correspondant aux flux entrant RDP du système Windows. Il est possible d'analyser ses propriétés via un clic droit, puis "Propriétés" :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2Fwo8lqDPdg1pqrttarKSK%2Fimage.png?alt=media&#x26;token=3166c664-e1ed-4e9d-8fb3-7f0633752e1c" alt=""><figcaption></figcaption></figure>

Il est ensuite nécessaire d'accéder à l'onglet "Scope" afin de configurer le filtrage du flux RDP entrant :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FkUPrasBZ2qYqMNFiYNj2%2Fimage.png?alt=media&#x26;token=3857447f-c3d0-43bf-89bd-90bd1b3618e8" alt=""><figcaption></figcaption></figure>

Au sein de la section "Remote IP Address", il est nécessaire de préciser l'ensemble des adresses IP depuis lesquelles des flux RDP entrants sont autorisés :&#x20;

* Dans le cas où l'ensemble de ces flux doivent passer par la passerelle, il faut préciser l'adresse IP de la passerelle ;
* Dans le cas où la passerelle est installée sur le serveur sur lequel une connexion RDP est effectuée, il faut préciser l'adresse IP "127.0.0.1".

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FiNCLcqopOwltzKiPydRt%2Fimage.png?alt=media&#x26;token=cf59f352-d3ac-46cc-b20f-64aa15e68b7c" alt=""><figcaption></figcaption></figure>

Lancement d'une connexion RDP :&#x20;

La connexion RDP depuis une machine et un utilisateur légitime vers un serveur interne en passant par la passerelle doit être configurée. En effet, après avoir lancé l'application "Connexion Bureau à distance", il est nécessaire de configurer la passerelle dans l'onglet "Advanced", puis "Settings", comme le montre la figure suivante :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FDPldpoqbJ9NGI6GRm7qO%2Fimage.png?alt=media&#x26;token=33b2b72e-facc-44c7-b7d6-2bb5a448e4ba" alt=""><figcaption></figcaption></figure>

La fenêtre suivante est renvoyée. Il est nécessaire de sélectionner l'option "Use these RD Gateway server settings", de renseigner le nom complet de la passerelle RDP précédemment configurée et de cocher la case "Use my RD Gateway credentials for the remote computer" avant de confirmer la configuration via le bouton "OK" :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2Fud2ZYIdjmnJNUKPgm7hG%2Fimage.png?alt=media&#x26;token=2a65fef9-7e78-4dd2-99eb-6cab6b48aac2" alt=""><figcaption></figcaption></figure>

Ensuite, il suffit de retourner sur l'onglet général de l'application, de saisir le nom ou l'adresse IP du serveur interne sur lequel le client souhaite se connecter et son nom d'utilisateur, avant de cliquer sur le bouton "Connect" comme le montre la figure suivante :&#x20;

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2Fy4vona5OYuGaNwmgZUw4%2Fimage.png?alt=media&#x26;token=1bfae1b8-c126-4e81-9939-913095d7fd89" alt=""><figcaption></figcaption></figure>

Une fenêtre est renvoyée à l'utilisateur afin que celui-ci vérifie le nom ou l'adresse IP de la passerelle RDP et afin qu'il puisse renseigner le mot de passe du compte utilisateur précédemment saisi :

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2Fx8heJBzXbFoWj9J9K9xK%2Fimage.png?alt=media&#x26;token=dfa1f089-e301-4c9e-989a-876a0a81d883" alt=""><figcaption></figcaption></figure>

Ensuite, soit la connexion s'effectue avec succès, soit le certificat de la passerelle n'est pas reconnu par la machine du client (généralement le cas lors d'un certificat auto-signé ou signé par une autorité de certification interne), et ce message lui est renvoyé :

<img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FSr92NPJRPx9JejH1f09S%2Fimage.png?alt=media&#x26;token=f76f5b59-96ab-4dba-b5ce-ae5aee1c5039" alt="" height="127" width="670">

### Durcissement du protocole RDP

Dans le cas ou il est nécessaire d'exposer le protocole RDP sur internet, voici plusieurs mesures de durcissement permettant de sécuriser le protocole. Il est à noter que ces méthodes ne sont pas suffisantes pour garantir la sécurité du services et doivent n'être utilisées que temporairement.

**Restreindre l'accès utilisateur :**

La première étape de durcissement est de créer un groupe utilisateur Active Directory qui sera autorisé à se connecter à distance. Vous pouvez faire cela via la console de management de Group ([Group Policy Management Console](https://www.it-connect.fr/chapitres/la-console-gpmc-group-policy-management-console/)).

* Dans la console, sélectionnez Configuration > Paramètres Windows, Paramètres de sécurité > Restriction des groupes ;
* Effectuez un clic droit sur Restriction des groupes puis cliquez sur Ajouter un groupe ;
* Cliquez sur Rechercher > Accès a distance > Noms puis sélectionnez Utiilisateurs bureau a distance.

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FNLqUlQZgiUEqX7lU8nWK%2Fajout_utilisateurs_bureau.png?alt=media&#x26;token=361d2783-5a47-49b2-8465-893ff8ee57ef" alt=""><figcaption></figcaption></figure>

Sélectionnez les utilisateurs qui auront besoin de cet accès RDP puis cliquez sur Ok :&#x20;

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2F98zUSKXOyKIj1xBx31ZA%2Futilisateurs%24.png?alt=media&#x26;token=a7ddde9a-2417-4dea-bdef-b73bd0c8b3d6" alt=""><figcaption></figcaption></figure>

**Désactiver le compte invité**

Le système d’exploitation Windows Server 2012 R2 possède par défaut un compte invité.

Il est nécessaire de le désactiver afin d'empêcher un attaquant essayant une élévation de privilèges sur le serveur.

Pour cela , tapez la commande *compmgmt.msc* dans une invite de commandes pour ouvrir la Gestion de l'ordinateur.

**Verrouiller temporairement un compte en cas d'attaque de bruteforce :**

Les tentatives de connexion auprès d’un compte utilisateur devraient alerter le système pour empêcher qu'un attaquant puisse lancer des attaques de bruteforce jusqu'a qu'il identifie un mot de passe valide.Pour cela, tapez la commande *gpedit.msc pour ouvrir l'éditeur de stratégie de groupe locale.*&#x43;liquez sur Configuration Ordinateur > Modèles d'administration > Composants Windows > Services Bureau à distance > Hôte de la session Bureau à distance > Connexions > Limiter le nombre de connexions.Nous recommandons de verrouiller le compte après 5 tentatives de connexion échouées.

**Utiliser une politique de mot de passe forte :**

Pour réduire le risque de succès d’une attaque par force brute ou par dictionnaire, la première chose à faire est d’employer des mots de passe forts avec tous les types de caractères : majuscules, minuscules, chiffres et caractères spéciaux.Pour configurer cela, tapez la commande gpedit.msc dans une invite de commande pour ouvrir l'éditeur de stratégie de groupe locale.Cliquez sur Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de comptes > Stratégie de mots de passe.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/fr/comment-resoudre-lexposition-du-service-rdp-depuis-internet.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
