web-dev-qa-db-fra.com

Augmenter la sécurité pour la machine de bureau à distance - utilisez 2FA et / ou limiter la connexion LAN uniquement?

Je cherche à configurer le bureau à distance Windows sur une machine W10 Pro.

J'aimerais augmenter la sécurité sur la connexion et me demander si l'un des éléments suivants est possible:

  • Un mot de passe, différent du nom d'utilisateur utilisé pour se connecter lors de l'utilisation physique de la machine. De cette façon, il pourrait utiliser une chaîne générée de manière aléatoire que je pourrais saisir une fois à partir de l'ordinateur de numérotation.

  • Authentification à 2 facteurs.

  • Limitez toutes les connexions entrantes aux machines du même réseau local.

Trois ordinateurs seront connectés à l'hôte, principalement des Mac.

Est-ce que tout cela est possible et y a-t-il d'autres choses que je devrais examiner?

windowssecurityremote-desktoptwo-factor-authentication
7
sam

L'article Sécurisation du RDP (Remote Desktop) pour les administrateurs système répertorie les astuces suivantes:

  • Utilisez des mots de passe forts
  • Mettre à jour votre logiciel
  • Restreindre l'accès à l'aide de pare-feu
  • Activer l'authentification au niveau du réseau (activé par défaut pour Windows 10)
  • Limiter le nombre d'utilisateurs pouvant se connecter à l'aide de Remote Desktop (par défaut, tous les administrateurs)
  • Définir une stratégie de verrouillage de compte (verrouiller un compte après un certain nombre de suppositions incorrectes)
  • Changer le port d'écoute pour le Bureau à distance (TCP 3389 par défaut)
  • N'utilisez pas d'autres produits tels que VNC ou PCAnywhere

En ce qui concerne votre question sur l’authentification à deux facteurs, je ne pense pas que cela existe sous Windows 10 Pro, mais uniquement sous Windows Server.

L'article Les 5 meilleures alternatives de Google Authenticator répertorie six produits bénéficiant d'un forfait gratuit (mais également payant): Google Authenticator, Authy, Duo, HDE OTP, Authenticator Plus, Authentificateur de connexion audio. Je n'ai jamais utilisé de tels produits, alors ne savez pas à quel point ils vous sont utiles.

4
harrymc

Sur la base des informations actuelles, mes recommandations sont les suivantes:

  • En configurant un tunnel SSH , vous obtenez une couche d'authentification supplémentaire, dans laquelle vous pouvez utiliser un autre nom d'utilisateur/mot de passe ou authentification par clé publiquepour vous connecter. Vous pouvez aussi activer l'obscurcissement , avec un mot de passe complètement différent , comme vous le souhaitiez . De cette façon, il sera également plus difficile pour une personne surveillant le trafic de voir qu'il s'agit de SSH - et pour se connecter, ils ont tous deux besoin de ce mot de passe et de la connexion SSH que vous avez configurée. Ajoutez à cela qu'il tunnelise le trafic RDP, qui est également chiffré.

    Sur la machine Windows , vous pouvez installerBitvise SSH Server et sur les Macs , vous pouvez ajouter le support d'obfuscationà OpenSSH intégré avec certains chemins par ZingLau .
  • 2FA pourraitêtre possible, mais ce ne sera ni facile ni gratuit. La connexion intégrée à la carte à puce nécessite un domaine Windows Active Directory, mais il existe des solutions tierces pour les ordinateurs autonomes. EIDAuthenticate supporte RDP et est disponible en format libre version open source, mais uniquement pour éditions personnelles (pourtant, ils pensent à un " programme d’utilisation à domicile ", leur contact pourrait donc accélérer cette réflexion). Mais dans votre cas, cela pourrait ne pas suffire car il s’agit uniquement de Windows et que vous vous connectez à partir d’un Mac.
  • La limitation des connexions entrantes au réseau local peut être facilement effectuée dans le pare-feu Windows .
  • Des choses générales comme mots de passe forts et mettre à jour tous les ordinateurs doivent être effectuées bien sûr. Je recommande également d’avoir des comptes utilisateur et administrateur séparés , et ne permettent aux comptes utilisateur (non privilégiés) que de se connecter via RDP, de sorte que compte administrateur doit se connecter localement.
  • La prochaine chose que je regarderais, serait la sécurité sur les clients qui se connectent, parce que s’ils sont compromis, tous les autres les choses que vous avez configurées n'aident pas beaucoup/. Mais je parle de principes de sécurité généraux, donc je ne vais pas entrer dans les détails avec cela.
3
PatrikN

Ce scénario est possible avec WebADM de RCDevs, qui est même gratuit jusqu'à 40 utilisateurs.

  1. Un mot de passe, différent du nom d'utilisateur utilisé pour se connecter lors de l'utilisation physique de la machine.

Oui, WebADM utilise LDAP, ActiveDirectory ... Vous pouvez donc utiliser un nom d'utilisateur/mot de passe différent.

  1. Authentification à deux facteurs.

Oui, vous pouvez utiliser TOTP, HOTP avec un jeton matériel/logiciel, un e-mail et un SMS.

  1. Limitez toutes les connexions entrantes aux machines du même réseau local.

Oui, vous pouvez définir une stratégie client.

  1. Trois ordinateurs seront connectés à l'hôte, principalement des Mac.

Oui, vous pouvez installer le plug-in Credential Provider pour Windows ou OSX avec une authentification hors ligne.

0
William