Mesures de sécurité

de sécurité :

• Require the maximum allowable encryption level.
• Require password authentication at logon.
• Disable file redirection.
• Disable printer redirection.
• Disable Clipboard sharing.

Les clients Current Remote Desktop, tels que celui inclus dans XP Pro, permettent de crypter des données de session en utilisant un schéma de cryptage de 128 bits, mais certains clients Windows hérités ne permettent pas le cryptage 128 bits. Pour contrôler le niveau de cryptage, ouvrez Group Policy Editor (GPE), naviguez jusqu’à Computer Configuration, Administrative Templates, Windows Components, Terminal Services, Encryption and Security et sélectionnez Set client connection encryption level. Vous pouvez choisir l’une des deux propositions : Client Compatible, qui impose le niveau de cryptage le plus élevé compatible avec vos clients, ou High Level, qui ne permet pas les connexions pour les unités qui n’acceptent pas le cryptage 128 bits. Dans la branche Encryption and Security de GPE, vous trouverez aussi le paramètre pour demander l’authentification par mot de passe lors du logon – Always prompt client for password option connection. Quand il est activé, ce paramètre rend nulle l’utilisation des mots de passe sauvegardés côté client, ce qui ouvre une brèche béante.

Vous pouvez aussi désactiver la redirection des fichiers et des imprimantes et le partage du presse-papiers au moyen des paramètres des stratégies de groupe pour Do not allow drive redirection (qui désactive la redirection des fichiers), Do not allow client printer redirection et Do not allow clipboard redirection. Pour cela, ouvrez GPE et naviguez jusqu’à Computer Configuration, Administrative Remplates, Windows Components, Terminal Services, Client/Server data redirection. Vous obtiendrez une fenêtre semblable à celle de la figure 2. Les paramètres que vous configurez au moyen des stratégies de groupe supplantent les éventuelles options qui sont configurées dans la boîte de dialogue Remote Desktop Connection.

Un paramètre Stratégies de groupe médiocrement documenté, Do not allow new client connexions, vous permet d’activer ou de désactiver les possibilités d’hébergement de Remote Desktop sur des ordinateurs multiples. Pour trouver ce paramètre, ouvrez GPE et naviguez jusqu’à Computer Configuration, Administrative Templates, Windows Components, Terminal Services. Bien que le nom du paramètre puisse laisser supposer qu’il permet d’activer ou de désactiver plusieurs connexions client à la fois, le fait de mettre la valeur à Disabled a pour effet d’activer Remote Desktop. A l’inverse, la valeur Enabled désactive Remote Desktop sur les machines auxquelles le paramètre en question est appliqué.