Logo IS Decisions

Passerelle des services Bureau à distance : authentification multifacteur et contrôles des accès pour les connexions RD Gateway et RD Web

Sécurisez la passerelle des services Bureau à distance (RD Gateway ou RDG) avec la MFA et les contrôles d’accès. Protégez les connexions RDP vulnérables, souvent établies par l’accès web des services Bureau à distance.

Publié le 21 juin 2024
Secure RD Gateway and RD Web with MFA

Le protocole de bureau à distance RDP (Remote Desktop Protocol) est une technologie dont dépendent des millions d’entreprises, pour le plus grand bonheur des criminels. Pour les utilisateurs et les administrateurs, RDP s’avère extrêmement pratique pour se connecter à distance à un réseau Windows et s’en déconnecter. Mais sa sécurité présente malheureusement d’évidentes faiblesses que les malfaiteurs savent exploiter sans trop d’effort. La bonne nouvelle est que la passerelle RD Gateway peut renforcer la sécurité des déploiements RDP.

Une passerelle RD Gateway pour pallier les vulnérabilités du télétravail et des connexions RDP

La plus grande vulnérabilité de RDP ? Ses connexions sont protégées par des mots de passe faciles à récupérer par force brute ou par phishing.

Les entreprises ont aussi l’habitude de laisser le port RDP par défaut (3389) exposé à Internet, laissant ainsi involontairement une brèche ouverte dans le pare-feu.

Ces dernières années, de nombreux incidents aux conséquences bien réelles ont été imputés à des lacunes de sécurité RDP ayant ouvert la voie à des ransomwares, à des fuites des données et à des compromissions par des agents étatiques.

Qui utilise RDP ?

Réseaux privés virtuels (VPN) et RDP sont indispensables pour l’administration à distance des serveurs et la téléassistance aux utilisateurs. Leur absence compliquerait ces tâches.

Plus récemment, l’utilisation du protocole RDP a explosé avec l’avènement du télétravail, puisqu’il permet aux collaborateurs d’accéder aux applications Windows et aux fichiers depuis leur domicile.

En effet, vos télétravailleurs ont besoin des fichiers qui ne se trouvent pas sur leur ordinateur portable. Y accéder à distance par une connexion RDP est désormais habituel.

Multipliez maintenant ce scénario par des dizaines de milliers de personnes. Malgré les faiblesses de RDP, peu d’entreprises peuvent s’en passer.

Qu’est-ce qu’une passerelle RD Gateway ?

Les entreprises peuvent atténuer les problèmes de sécurité du protocole RDP en s’appuyant sur les services Bureau à distance ou RDS (Remote Desktop Services) de Microsoft. Cette suite d’outils ou de « rôles » Windows renforce la sécurité de RDP à l’utilisation et facilite sa gestion. Au cœur des services Bureau à distance se trouve la passerelle RDG (ou RD Gateway) qui offre un moyen de déployer RDP de manière plus sécurisée en passant par un proxy.

Comment sécuriser RDP avec la passerelle RD Gateway

En redirigeant les flux RDP vers un proxy (RD Gateway), les entreprises renforcent la sécurité de leurs déploiements RDP. Le principe est simple : faire passer tout le trafic RDP entrant et sortant par un unique serveur où ce flux est plus facile à sécuriser et à surveiller. La sécurité en est grandement accrue :

  • La passerelle RD Gateway encapsule ou « cache » les données RDP dans une connexion TLS chiffrée par le port 443, aussi utilisé par le trafic web HTTPS, pendant leur transfert d’un ordinateur à l’autre ; le tout étant authentifié par des certificats SSL.

  • Le recours à une passerelle évite le problème de la multiplicité des connexions vulnérables. En effet, tout est canalisé vers un seul point de passage derrière lequel sont protégés les serveurs et les utilisateurs RDP de l’entreprise.

  • RD Gateway prend en charge l’authentification multifacteur (MFA), couche de sécurité indispensable qui renforce considérablement la sécurité de tout service que des pirates pourraient cibler.

  • Du point de vue des administrateurs, RD Gateway facilite la surveillance et l’analyse de la connectivité RDP pour y détecter tout trafic suspect.

Qu’est-ce que le Bureau à distance par le web (RD Web) ?

En tant qu’utilisateur, quel logiciel faut-il avoir pour activer l’accès distant RDP ? La méthode classique, à savoir l’exécution d’une application d’accès distant dédiée, obligeait les utilisateurs à télécharger un logiciel. Aujourd’hui, de plus en plus d’entreprises préfèrent une autre fonctionnalité des services RDS : RD Web, qui ouvre un accès RDP via une passerelle RD Gateway sécurisée depuis un simple navigateur.

Comment configurer RD Web

Une simple URL permet d’accéder au Bureau à distance par le web, par exemple

https://hostname.domain/rdweb

RD Web a pour grand avantage que n’importe quel ordinateur doté d’un navigateur compatible peut accéder en toute sécurité au Bureau à distance via la passerelle RD Gateway sans besoin de client spécifique au système d’exploitation.

Toutefois, comme les utilisateurs y accèdent par une URL publique, il est impératif de sécuriser cette forme d’accès distant à risque à l’aide de la MFA et des contrôles d’accès pour RD Web.

La MFA, élément essentiel à la sécurité RD Web

Tout l’intérêt de la passerelle RD Web est d’accroître la sécurité et de centraliser les connexions RDP. La sécurisation de RDP consiste en grande partie à appliquer l’authentification multifacteur à chaque connexion RDP afin de pallier les faiblesses du protocole – à savoir la vulnérabilité des identifiants RDP (Windows) au phishing et aux attaques par force brute.

En parallèle, les polices d’assurance cyber exigent de plus en plus la protection par MFA pour les connexions à risque de type RDP.

Malheureusement, l’implémentation de l’authentification multifacteur pour RDP peut s’avérer ardue pour les équipes IT comme pour les utilisateurs. Il n’y a pas d’approche MFA universelle.

Par exemple, la plupart des solutions de MFA pour Active Directory sont des services SaaS en mode cloud, ce qui n’a pas que des avantages. D’abord, la version cloud de l’authentification multifacteur peut devenir un point de défaillance si l’utilisateur perd sa connexion à Internet pendant l’authentification. Et vous devez aussi accepter de dépendre d’un fournisseur d’authentification tiers (ce qui étend votre surface d’attaque).

Sécuriser RD Gateway avec UserLock

UserLock apporte une MFA et une sécurité des accès robustes pour toutes les connexions RD Gateway, y compris RD Web, sans passer par un fournisseur SaaS.

Comme UserLock est une solution de MFA sur site, vous conservez toute la maîtrise de votre infrastructure d’authentification et de votre sécurité MFA dans votre implémentation de RD Gateway. Et tout ce dont vous avez besoin pour vous lancer avec UserLock – Microsoft Active Directory (AD) – est déjà en place.

Pour ouvrir une session RD Gateway, l’utilisateur n’a qu’à double cliquer sur un fichier RDP contenant les paramètres nécessaires et que l’administrateur a créés, à lancer le programme Connexion Bureau à distance (MSTSC), ou à cliquer sur une URL dans le cas de RD Web.

On lui demandera alors de s’authentifier avec son nom d’utilisateur et son mot de passe. Après l’authentification, le serveur RDP cible situé dans le réseau où s’exécute l’agent de bureau UserLock (donc pas RD Gateway) lance la demande de MFA pour l’utilisateur. L’authentification peut se dérouler par l’intermédiaire d’une application mobile, d’une notification push ou de jetons physiques d’authentification à deux facteurs comme YubiKey et Token2.

L’agent NPS (Network Policy Server) doit s’exécuter sur le serveur RD Gateway pour classer l’adresse IP de l’utilisateur comme une connexion interne ou externe dans le cadre des politiques de MFA. Pour en savoir plus, reportez-vous à l’article Comment appliquer MFA aux sessions Bureau à distance via Remote Desktop Gateway.

Mettre en œuvre la MFA pour les connexions RD Gateway

La phase d’implémentation de la MFA pour les connexions RD Gateway en est d’autant plus facile. Comme UserLock s’intègre fluidement à AD, vous pouvez déployer la MFA pour RD Web et RD Gateway de manière à donner un contrôle granulaire à vos administrateurs sur les demandes d’authentification MFA en fonction de l’utilisateur, du groupe ou de l’unité d’organisation dans AD.

Toute la puissance de UserLock réside dans sa capacité à rendre simple et conviviale l’implémentation de la MFA pour les connexions RDP. Par exemple, les administrateurs peuvent préciser que seules les connexions en provenance de l’extérieur ou que toutes les connexions MFA qui transitent par la passerelle RD Gateway doivent recevoir une invite d’authentification.

Limiter le nombre de sessions simultanées sur RD Gateway et RD Web

Les sessions simultanées sont un important risque pour tout service RDP, y compris RD Gateway. Plusieurs types d’attaques les exploitent :

  • Les attaques par force brute sur les mots de passe vont ouvrir plusieurs sessions pour tenter de deviner les identifiants.

  • Des pirates interceptent directement des sessions de clients pour accéder indûment à un serveur.

La sécurisation des sessions simultanées permet de réduire ces attaques et, combinée à un déploiement MFA, atténue le risque d’accès non autorisé.

Avec UserLock, les administrateurs peuvent centraliser le contrôle des sessions simultanées pour réduire les coûts de gestion, en restreignant le nombre de sessions simultanées par utilisateur, par groupe ou par unité d’organisation. L’installation de l’agent NPS et de bureau vous permet d’appliquer des politiques MFA plus granulaires selon que l’utilisateur se connecte depuis l’intérieur ou l’extérieur du réseau et d’imposer des restrictions selon sa géolocalisation.

Appliquer des contrôles d’accès granulaires pour les connexions RD Gateway et RD Web

UserLock permet aux administrateurs de proposer aux utilisateurs deux méthodes MFA parmi les trois prises en charge : les applications mobiles, les notifications push ou les jetons physiques comme YubiKey et Token2.

Pour éviter toute accoutumance à la MFA, les administrateurs peuvent définir une authentification qui accepte, refuse ou limite les connexions RD Gateway selon l’utilisateur, le groupe ou l’unité d’opération (OU) dans AD, mais aussi en fonction de facteurs contextuels comme le lieu (en interne ou en externe), l’appareil et l’horaire.

Les récriminations habituelles sur la MFA qui empêcherait de travailler n’ont plus lieu d’être. En effet, l’application granulaire de MFA n’entrave plus les performances. Et comme l’opération est simple pour les collaborateurs, l’équipe IT ne perd pas de temps à résoudre des tickets d’assistance MFA ni à gérer le mécontentement des utilisateurs.

Plus important, UserLock intègre le contrôle de RD Gateway dans la même console d’administration qui sert déjà aux autres types d’accès distant, notamment les VPN, IIS et RemoteApp.

RD Gateway est le meilleur moyen pour les administrateurs Windows de gérer la connectivité des accès distants que leurs utilisateurs exigent désormais. UserLock est la solution de sécurisation la plus simple et la plus rapide dans les réseaux qui utilisent AD on prem.

Sécurisez RDP, VPN, IIS et RemoteApp dans une même console

Pour une sécurité globale et complète, UserLock permet aux administrateurs de mettre en œuvre la même MFA et des contrôles d’accès identiques pour tous les types de connexion. Votre authentification multifacteur pour RD Gateway n’est pas un cas isolé : cette sécurité s’étend aux autres types de connexion, y compris RemoteApp, VPN, IIS et SaaS.

La solution UserLock centralise le contrôle et la sécurisation de ces connexions disparates dans une même console, ce qui représente un avantage indéniable.

Le seul prérequis à l’application par UserLock de la MFA aux connexions RD Gateway est que l’agent de bureau UserLock soit installé sur les machines cibles.

UserLock : le moyen le plus simple d’implémenter la MFA pour RD Web et RD Gateway

Avec l’avènement du télétravail, l’accès distant est passé du statut de technologie de confort à celui de norme dans beaucoup d’entreprises.

RDP est devenu un besoin du quotidien, avec des défis de sécurité auxquels RD Gateway et RD Web doivent répondre.

Mais un élément essentiel de cette sécurité, l’authentification multifacteur, est à configurer par les entreprises elles-mêmes, qui doivent intégrer RD Gateway avec leurs annuaires AD sur site ou Entra ID en mode cloud.

Aux organisations qui souhaitent garder leur infrastructure RDP sur place, UserLock apporte la solution la plus simple au casse-tête de la MFA.

Avec UserLock, les administrateurs peuvent déployer rapidement l’authentification multifacteur pour RD Gateway en s’appuyant sur leur infrastructure existante.

La passerelle RD Gateway sert ainsi à centraliser le contrôle d’accès et UserLock ajoute alors l’indispensable couche de MFA pour la sécuriser.

XFacebookLinkedIn

Essayez UserLock gratuitement

Plus de 3400 organisations comme la vôtre utilisent UserLock pour sécuriser les accès des identités Active Directory et répondre aux exigences de conformité.

Télécharger une version d'essai gratuite