Le télétravail et l’administration distante ont rendu la sécurité des connexions RDP essentielle. Ce contexte impose aux équipes informatiques une vigilance continue face aux menaces et aux erreurs de configuration.
Les attaques ciblant RDP exploitent souvent des mots de passe faibles et des ports exposés. Avant toute modification, identifiez les vecteurs d’exposition et priorisez les correctifs immédiats.
A retenir :
- Authentification forte systématique pour accès à distance entre utilisateurs et serveurs
- Redirection des identifiants limitée aux serveurs de confiance
- Chiffrement strict du canal RDP et validation des certificats
- Accès restreint via VPN ou gateway RDP d’entreprise
Configurer Remote Credential Guard sous Windows pour protéger les identifiants et préparer l’authentification renforcée
Activation via stratégie de groupe
Depuis l’éditeur de stratégie de groupe, la configuration impose des règles de délégation des identifiants. Ouvrez gpedit.msc, allez dans Configuration de l’ordinateur → Modèles d’administration → Système → Délégation des informations d’identification et activez la politique correspondante.
Sélectionnez l’option Exiger Remote Credential Guard dans les paramètres de la politique pour forcer la redirection Kerberos sécurisée. Après modification, appliquez gpupdate /force ou redémarrez pour que les règles prennent effet.
Points de configuration :
- Emplacement GPO exact pour activer la protection
- Sélection de l’option Exiger Remote Credential Guard
- Test sur une machine pilote avant déploiement massif
- Plan de retour arrière documenté
Méthode
Commande / Emplacement
Complexité
Remarque
Stratégie de groupe (GPO)
gpedit.msc → Système → Délégation des identifiants
Moyenne
Bonne pour domaines Active Directory
Registre Windows
HKLMSystemCurrentControlSetControlLsa
Moyenne
Alternative quand GPO non disponible
Invite de commandes
mstsc /v:serveur /remoteGuard
Faible
Activation ponctuelle par session
Déploiement central
GPO centralisé ou solution MDM
Élevée
Adapté aux grandes infrastructures
« J’ai activé Remote Credential Guard via GPO sur notre parc et les tentatives de relai ont fortement diminué. »
Alice D.
Activation via Registre et invite de commandes
Si l’éditeur de stratégie de groupe est indisponible, le registre offre une alternative fiable et scriptable. Ouvrez regedit, créez la valeur DWORD DisableRestrictedAdmin sous HKLMSystemCurrentControlSetControlLsa et affectez la valeur 0 pour activer la protection.
L’invite de commandes permet d’activer Remote Credential Guard ponctuellement pour une session avec le paramètre /remoteGuard. Cette option reste utile pour des accès administratifs ponctuels ou des tests avant déploiement massif.
Après l’activation, renforcer le chiffrement et valider les certificats pour empêcher les interceptions
Certificats et validation TLS pour RDP
La vérification des certificats évite les attaques man-in-the-middle et renforce le canal RDP. Installez un certificat émis par une autorité de confiance et liez-le au service Remote Desktop pour garantir l’authenticité du serveur.
Contrôlez la chaîne de confiance et révisez les certificats expirants afin d’éviter des interruptions de service. Selon Microsoft, l’usage de certificats valides améliore significativement la résilience face aux interceptions.
Comparaison des appliances :
Fournisseur
Solution typique
Fonction RDP
Remarque
Microsoft
Remote Desktop Gateway / RDS
Centralisation des connexions et validation
Intégration native avec Active Directory
Cisco
Cisco Secure Client / ASA
VPN et inspection du trafic RDP
Bon pour périmètre réseau
Fortinet
FortiGate
Gateway et VPN SSL
Filtrage granulaire et haute disponibilité
SonicWall
Firewall et SSL-VPN
Terminaison sécurisée des sessions
Solution adaptée aux PME
Bonnes pratiques rapides :
- Déployer certificats d’autorité interne ou publique
- Activer chiffrement de session RDP au niveau élevé
- Appliquer revocation checking pour les certificats
- Utiliser Remote Desktop Gateway pour filtrer les accès
« L’ajout d’une gateway RDP a permis de consolider mes politiques d’accès sans complexifier l’expérience utilisateur. »
Marc B.
Pour réduire encore le risque, limitez les accès et surveillez les sessions pour détecter les activités malveillantes
Contrôle d’accès, MFA et comptes à privilèges
Limiter les comptes autorisés réduit immédiatement la surface d’attaque effective et simplifie la gestion des accès. Mettez en place l’authentification multifacteur pour tous les comptes ayant des droits RDP et segmentez les rôles administratifs.
Adoptez des comptes dédiés pour les tâches élevées et utilisez des solutions de gestion des accès privilégiés lorsqu’elles sont disponibles. Selon Cisco et Fortinet, la combinaison MFA et segmentation réseau offre une protection notable contre les escalades non autorisées.
Outils complémentaires :
- TeamViewer pour assistance ponctuelle contrôlée
- AnyDesk pour sessions rapides avec restrictions
- Bitdefender pour protection des endpoints
- ESET pour détection et prévention des malwares
Élément
Usage recommandé
Remarque
TeamViewer
Support distant avec contrôle explicite
Limiter accès non supervisé
AnyDesk
Accès léger pour utilisateurs distants
Configurer whitelist d’adresses
Bitdefender
Protection endpoint et détection
Complément au pare-feu
ESET
Antivirus et remediation
Faible empreinte système
Kaspersky
Solutions complètes pour PME
Vérifier compatibilité avec outils RDP
Surveillance et logs :
- Collecte centralisée des journaux RDP
- Alertes sur tentatives d’authentification anormales
- Corrélation avec SIEM pour détection avancée
- Retention des logs selon règles internes
« J’ai réduit les interventions humaines en automatisant les alertes sur les sessions RDP suspectes. »
Claire L.
« À mon avis, la combinaison gateway, VPN et MFA reste la meilleure base pour sécuriser RDP. »
Paul N.
Source : Microsoft, « Remote Credential Guard », Microsoft Docs ; Cisco, « Securing Remote Desktop Protocol », Cisco ; Fortinet, « RDP security best practices », Fortinet.