Sécurisez RemoteApp avec la MFA et les contrôles d’accès
Découvrez comment appliquer la MFA pour sécuriser vos connexions RemoteApp avec UserLock.
Publié le 28 juin 2024Quand on télétravaille, rien n’est plus frustrant que de ne pas avoir accès à l’application dont on a besoin pour travailler. Tous les salariés rencontrent le problème un jour ou l’autre. Et même si beaucoup d’applications peuvent donner l’impression d’être exécutées en local sur le poste de travail, elles sont en réalité exécutées sur un serveur. Ainsi, si vos collaborateurs ont besoin d’accéder à l’une de ces applications et à ses données, ils doivent soit disposer d’une licence permettant de l’installer localement, soit travailler depuis l’intérieur du périmètre réseau de l’entreprise. C’est là qu’entre en jeu RemoteApp. Nous allons voir pourquoi il est essentiel de sécuriser l’accès à ces applications avec la MFA pour RemoteApp.
L’outil RemoteApp and Desktop Connections (RADC) (« RemoteApp ») est une fonctionnalité de la suite des services Bureau à distance (RDS) de Microsoft, qui permet aux utilisateurs de se connecter à n’importe quelle application installée sur le poste de travail, même si elle est exécutée depuis un serveur distant à l’aide du protocole Remote Desktop Protocol (RDP).
Si les SaaS ont mis un terme aux problèmes d’accès distants pour les applications bureautiques courantes, les applications spécialisées sont généralement exécutées depuis des serveurs sur site, ce qui les rend inaccessibles aux utilisateurs distants.
La sécurité des initiatives BYOD (Bring Your Own Device) ajoute un problème supplémentaire. Les applications ne sont pas préinstallées sur les machines des collaborateurs, ce qui signifie qu’il est impossible d’y accéder.
Pour résumer, on peut dire que RemoteApp résout le problème de l’accès distant aux applications sur site. Voici comment cet outil fonctionne.
Une fois que les applications hébergées via RemoteApp ont été configurées à l’aide d’un fichier de paramètres, elles se lancent depuis le menu Démarrer comme n’importe quelle autre application, y compris via une simple URL dans le cas de RD Web Access :
https://<servername>/rdweb/feed/webfeed.aspx
Les utilisateurs peuvent également ouvrir et enregistrer des fichiers à partir d’un lecteur de travail, et même accéder à distance à des applications Windows à partir d’une machine Mac, Chromebook ou Android, ou via une page web.
RemoteApp simplifie la vie des utilisateurs, puisque ces derniers peuvent accéder à n’importe quelle application, depuis n’importe où, sur pratiquement n’importe quel ordinateur.
Les administrateurs tirent également des avantages de l’outil : ils peuvent autoriser leurs effectifs à accéder à n’importe quelle application et aux applications partenaires qui y sont connectées à l’aide d’un processus simple d’utilisation.
On dit souvent que les entreprises ont tendance à migrer leurs applications vers le cloud. Microsoft accompagne cette transition pour les applications distantes avec Azure Virtual Desktop (AVD) et les programmes BYOL (bring your own license). Pourtant, de nombreuses entreprises continuent d’avoir recours aux applications sur site pour différentes raisons métier qui ont chacune leur importance.
On a parfois besoin d’utiliser des applications anciennes, héritées ou spécialisées qui requièrent un environnement Windows spécifique pour fonctionner correctement.
Il peut également être nécessaire de conserver le contrôle des données (souveraineté des données) qui sont utilisées dans ces applications afin de répondre à des exigences réglementaires ou de sécurité.
Les petites entreprises peuvent également apprécier la valeur des applications on prem, puisque cette approche leur permet de continuer à utiliser l’infrastructure Active Directory (AD) dans laquelle elles investissent depuis des années.
Toutefois, RemoteApp ne constitue pas un choix binaire, et il s’avère parfaitement compatible avec les environnements hybrides. Par exemple, il permet d’autoriser les utilisateurs à ouvrir une application hébergée on prem tout en enregistrant les fichiers vers un service cloud comme Microsoft 365.
Nous le savons déjà, RemoteApp offre aux collaborateurs un accès simplifié aux applications sur site.
Pour les administrateurs, RemoteApp offre d’autres avantages :
Simplifier la procédure d’installation et de gestion des logiciels sur des ordinateurs individuels.
Autoriser les utilisateurs à accéder uniquement à l’application utilisée et pas au reste du serveur, dans l’optique d’améliorer la sécurité.
Faciliter l’accès à des applications anciennes ou héritées qui peuvent ne pas être compatibles avec les versions récentes de Windows.
Déployer une expérience plus sûre de l’infrastructure de bureau virtuel (VDI) proposant des applications individuelles au lieu d’un bureau complet.
Comme pour toute question de sécurité des accès distants, il est important de bien sécuriser vos connexions RemoteApp. Différentes possibilités s’offrent à vous pour configurer l’accès distant Windows, et le niveau de sécurité de chaque approche n’est pas forcément bien identifié. La méthode la plus ancienne, et la plus simple, consiste à configurer une connexion RDP directe, qui permet aux utilisateurs d’accéder à tout l’environnement de bureau distant.
Inconvénient : cette approche consomme non seulement beaucoup de bande passante, mais elle pose aussi un grand risque de sécurité. Par défaut, le protocole RDP n’est pas chiffré. Un attaquant qui parvient à voler ou à se procurer par force brute les identifiants RDP d’un utilisateur aura accès à la totalité de l’environnement de bureau distance, et même au serveur distant sur lequel il est exécuté.
Les criminels ont bien conscience de ce potentiel, et ils s’en prennent agressivement aux connexions RDP directes en vue de propager différents payloads comme des ransomwares. Le recours à RemoteApp réduit la surface d’attaque de plusieurs façons. Tout d’abord, lorsque l’outil est configuré pour l’accès à distance, il se connecte généralement via RD Gateway, serveur proxy RDS qui sécurise la connexion via HTTPS tout en permettant aux administrateurs de centraliser les opérations de gestion.
Et surtout, là où une connexion RDP expose la totalité de l’environnement de bureau hébergé sur un serveur, RemoteApp garantit que les utilisateurs ne peuvent accéder qu’à l’application qu’ils ont demandée pour chaque connexion.
Aujourd’hui, les paramètres de sécurité par défaut sont généralement faibles. RemoteApp ne fait pas exception à la règle. Dans le cas d’une application délivrée via RemoteApp, les paramètres de sécurité par défaut font appel aux identifiants Windows (nom d’utilisateur et mot de passe). Nous savons pourtant aujourd’hui que les mots de passe sont faciles à contourner pour plusieurs raisons :
Ce type d’information est relativement facile à voler ou à récupérer par phishing, et les mots de passe les plus faibles peuvent être devinés par force brute.
Les utilisateurs ont tendance à recycler leurs mots de passe, même forts, à l’insu des administrateurs. Si ces identifiants sont compromis, l’entreprise sera vulnérable sans qu’elle puisse s’en apercevoir.
Ces problèmes sont bien connus des communautés d’administrateurs. C’est pourquoi on recommande la bonne pratique qui consiste à appliquer l’authentification l’authentification multifacteur (MFA) à toutes les connexions RDP, y compris RemoteApp.
La MFA est essentielle pour bien utiliser RemoteApp, c’est un fait. Pour bien mettre en œuvre cette couche de sécurité supplémentaire, il est important qu’elle n’ajoute pas de complexité ailleurs. UserLock offre une solution à ce problème épineux. Il a été spécifiquement conçu pour les entreprises qui souhaitent continuer à utiliser leurs applications et leur infrastructure sur site.
Installé sur un serveur dédié, UserLock s’intègre à l’environnement AD existant de l’entreprise. Inutile de se connecter à un fournisseur d’identité (IdP) tiers. Vous pouvez utiliser votre Active Directory sur site en tant que fournisseur d’identité pour sécuriser l’accès à RemoteApp avec la MFA.
Les bénéfices sont nombreux : D’un côté, vous conservez vos infrastructures sensibles sur site, en fournissant RemoteApp depuis des serveurs faisant l’objet d’une supervision et d’un contrôle rigoureux par l’équipe IT. Cette approche est plus simple et plus économique. Elle est également plus sûre dans bien des scénarios. Le recours à un tiers pour la sécurité des données et des applications pose toujours un risque. UserLock élimine ce facteur d’incertitude.
UserLock vous permet de mettre en œuvre une MFA granulaire afin de personnaliser les politiques en fonction des conditions qui correspondent le mieux à votre équipe.
Vous pouvez choisir de déployer la MFA pour des utilisateurs, des groupes ou des unités d’organisation (UO) AD.
Vous pouvez également définir des politiques qui s’appliquent en fonction du type de session : VPN, SSO et IIS, mais aussi pour les sessions RDS comme RD Gateway et RD Web et RemoteApp.
Vous pouvez même établir des politiques différentes selon que la connexion provient de l’intérieur ou de l’extérieur du réseau.
Dans le cas des sessions RemoteApp, les administrateurs créent un compte protégé pour l’utilisateur, le groupe ou l’UO AD, puis configurent la fréquence des invites de MFA pour cette connexion distante.
Ils peuvent proposer deux méthodes de MFA parmi les options suivantes : notifications push, applications d’authentification, ou dispositifs d’authentification matériels comme des jetons ou des clés USB. Seul prérequis : que l’agent de MFA de bureau ait été installé sur un serveur hôte RD Web par l’intermédiaire duquel la connexion à l’application s’établira.
Une fois le tout configuré, chaque fois qu’un utilisateur clique sur le lien d’une application RemoteApp sur son bureau, UserLock l’invite à s’authentifier à l’aide d’une des méthodes choisies.
Comme les administrateurs peuvent ajuster en détail la façon dont les invites de MFA s’affichent, UserLock contribue à éviter l’accoutumance à la MFA.
UserLock permet en outre aux administrateurs de définir des politiques d’accès basé sur les rôles (RBAC) et de gestion des accès contextuels en vue de limiter l’accès à RemoteApp, que ce soit avant ou après l’authentification. En superposant ces restrictions personnalisées à la MFA, les équipes d’administration déchargent leurs utilisateurs finaux des complexités liées à la sécurité tout en garantissant une sécurité totale des accès.
Sécuriser RemoteApp à l’aide de la MFA UserLock résout un large éventail de problèmes liés aux applications.
Permettre aux équipes en télétravail d’accéder aux applications sur site.
Prendre en charge les scénarios BYOD.
Prendre en charge les applications héritées ou spécialisées non disponibles dans le cloud.
Fournir aux administrateurs un moyen de proposer des services VDI de manière plus contrôlée.
Pourtant, même si RemoteApp est compatible avec la MFA, les entreprises doivent néanmoins déployer cette couche de sécurité des accès distants et IAM elles-mêmes. Dans bien des cas, cela les force à intégrer leurs applications à un fournisseur d’identité (IdP) tiers, ce qui s’accompagne de difficultés techniques et ralentit le déploiement.
UserLock propose une alternative plus simple aux entreprises pour qui les applications sur site restent importantes. UserLock s’intègre à votre infrastructure AD existante : votre entreprise peut continuer d’utiliser le même service d’annuaire (Active Directory) afin de distribuer vos applications sur site avec un minimum d’efforts en termes d’administration.
Qui plus est, UserLock est une simple couche de gestion de la MFA qui centralise le pilotage de la technologie sur de nombreux types de connexions au-delà de RemoteApp : 2FA pour VPN, IIS, RD Gateway et SSO.
Si votre entreprise souhaite sécuriser ses applications sur site, UserLock représente le moyen le plus simple de déployer la MFA sur plusieurs types de connexions à partir d’une console unique.