Afin de sécuriser toutes les données transférées depuis et vers le serveur Windows, le connecteur Windows prend en charge la sécurité réseau RDP intégrée et des options de sécurité réseau améliorées. La sécurité RDP intégrée utilise le chiffrement RC4, qui permet de chiffrer des données de tailles variées à l'aide d'une clé de 56 ou 128 bits. Les options de sécurité réseau améliorées comprennent TLS/SSL (avec vérification du serveur facultative) et l'authentification au niveau du réseau (NLA) à l'aide de CredSSP.
Le connecteur Windows fait appel au chiffrement RC4 de RSA Security de façon à sécuriser toutes les données transférées depuis et vers le système Windows. Ce chiffrement chiffre des données de taille variable avec une clé 56 bits ou 128 bits.
Tableau 18.7, « Niveaux de chiffrement pour la sécurité du réseau » énumère les quatre niveaux de chiffrement qui peuvent être configurés dans le système Windows.
Tableau 18.7. Niveaux de chiffrement pour la sécurité du réseau
Niveau | Description |
---|---|
Faible | Toutes les données du client envoyées au serveur sont chiffrées selon le niveau de clé maximum pris en charge par le client. |
Compatible client | Toutes les données échangées entre le client et le serveur sont chiffrées selon le niveau de clé maximum pris en charge par le client. |
Elevé | Toutes les données échangées entre le client et le serveur sont chiffrées selon le niveau de clé maximum pris en charge par le serveur. Les clients ne prenant pas en charge ce niveau de chiffrement ne peuvent pas se connecter. |
Compatible FIPS | Le chiffrement compatible FIPS n'est pas pris en charge. |
Le chiffrement des données est bidirectionnel, sauf pour le paramètre Faible, qui chiffre uniquement les données envoyées par le client au serveur.
Les options de sécurité réseau améliorées comprennent TLS/SSL (avec vérification du serveur facultative) et l'authentification au niveau du réseau (NLA) à l'aide de CredSSP. Ces options protègent la session Windows des utilisateurs et des logiciels malveillants avant l'établissement d'une connexion de session complète.
Pour prendre en charge TLS/SSL, l'hôte RDP doit exécuter Windows Server 2003, Windows 7 ou Windows 2008. Et, pour vous connecter à un hôte Windows avec la vérification TLS/SSL activée (-j VerifyPeer:on
), vous devez ajouter le certificat d'origine dans le magasin de certificats OpenSSL du client ou spécifier un autre chemin de recherche/fichier PEM à l'aide des options -j CAPath:
ou path
-j CAfile n:
de la commande uttsc. fichier-pem
Pour prendre en charge l'authentification au niveau réseau, l'hôte RDP doit exécuter Windows 7 ou Windows 2008 R2. Vous devez également utiliser les options -u
et -p
avec la commande uttsc.
A des fins de prise en charge de TLS/SSL et de l'authentification au niveau réseau, il faut configurer la couche de sécurité du système Windows en tant que "SSL (TLS 1.0)" ou "Négocier".
Tableau 18.8, « Exemples de ligne de commande améliorant la sécurité du réseau » fournit une liste d'exemples de commande uttsc qui illustrent le mécanisme de sécurité utilisé lorsque le service Windows Remote Desktop est configuré pour négocier avec le client. Le résultat "RDP" signifie que la sécurité RDP intégrée est utilisée.
Tableau 18.8. Exemples de ligne de commande améliorant la sécurité du réseau
Exemples de ligne de commande uttsc | Windows XP | Windows Server 2003 | Windows 7 | Windows Server 2008 |
---|---|---|---|---|
| Protocole RDP | SSL/TLS | Authentification au niveau du réseau | Authentification au niveau du réseau |
| Protocole RDP | SSL/TLS | SSL/TLS | SSL/TLS |
| Protocole RDP | SSL/TLS | Authentification au niveau du réseau | Authentification au niveau du réseau |
| Protocole RDP | Protocole RDP | Protocole RDP | Protocole RDP |
Vous pouvez appliquer la sécurité par authentification au niveau du réseau (NLA) sur un système Windows. Par exemple, sur Windows Server 2008, sélectionnez l'option suivante dans l'onglet Utilisation à distance de la fenêtre Propriétés du système : "N'autoriser que la connexion des ordinateurs exécutant Bureau à distance avec Authentification au niveau du réseau (plus sûr)". Si cette option est sélectionnée, les utilisateurs doivent indiquer les options -u
et -p
avec la commande uttsc pour se connecter au serveur.
Les connexions TLS/SSL nécessitent la présence d'un certificat sur le système Windows. Dans le cas contraire, la connexion peut revenir à la sécurité RDP intégrée (si cette opération est autorisée) ou échouer.