Le télétravail étant la nouvelle norme à l'ère du coronavirus, vous envisagez probablement de permettre à votre personnel hors site de se connecter à distance. Utilisateurs ou administrateurs, voici comment le faire en toute sécurité.
L’accès à distance aux serveurs ou postes de travail est un excellent moyen de les administrer. C’est aussi une cible de choix pour les pirates informatiques.
Par exemple, si des pirates accèdent au compte administrateur de votre contrôleur de domaine, ils possèdent les clefs de votre infrastructure Windows et peuvent rapidement faire des ravages. Qu’il s’agisse d’envoyer des mails d’entreprise aux services comptables, de détourner des données confidentielles de votre entreprise ou de chiffrer tous les fichiers de votre entreprise dans le cadre d’attaques de ransomwares, les pirates informatiques qui utilisent le protocole RDP (Remote Desktop Protocol) peuvent être très dangereux.
Dans ce contexte et pour simplifier, nous utiliserons « RDP » pour désigner toutes sortes de logiciels de bureau à distance et d’accès à distance, y compris VNC, PC Anywhere, TeamViewer etc., et pas seulement le RDP de Microsoft. Bonne nouvelle?: il existe de nombreux moyens de défense contre les attaques RDP, à commencer par la désactivation. Si vous n’avez pas vraiment besoin d’un accès à distance, la solution la plus simple est de simplement bloquer cette fonctionnalité.
Si vous devez autoriser cet accès, il y a plusieurs moyens à votre disposition afin de le restreindre aux utilisateurs légitimes?:
Tout d’abord, n’autorisez l’accès qu’à partir d’adresses IP internes provenant du serveur VPN de votre entreprise. Cette solution présente l’avantage de ne pas exposer les ports de connexion RDP à l’internet public.
À propos d’exposition des ports, si c’est votre seul choix, vous pouvez utiliser un numéro de port non standard pour éviter les attaques de votre réseau par l’intermédiaire de ses ports. Gardez cependant à l’esprit que la plupart des scanners de réseau vérifient tous les ports pour l’activité RDP, ce qui doit être considéré comme une « sécurité par l’obscurité », car cela ne fournit pratiquement aucune sécurité supplémentaire contre des attaquants modestement sophistiqués. Vous devrez être extrêmement vigilant en examinant les activités d’accès au réseau et de connexion dans les journaux de votre serveur RDP, car il s’agit plutôt de savoir quand et non pas si un attaquant accède à votre réseau.
Deuxièmement, assurez-vous d’activer l’authentification multi-facteur (MFA) comme autre couche d’authentification pour les utilisateurs à distance.
Troisièmement, dans la mesure du possible, n’autorisez les connexions RDP entrantes qu’à partir des adresses IP publiques de vos utilisateurs. Le moyen le plus simple pour les employés à distance de rechercher leur adresse IP publique est d’effectuer la recherche suivante dans Google?: What is my IP address (ce qui signifie : Quelle est mon adresse IP). Le premier résultat sera leur adresse IP. Ensuite, vos travailleurs à distance peuvent fournir cette information à votre personnel de sécurité informatique afin que votre entreprise ou organisation puisse établir une liste blanche des adresses IP autorisées. Il est également possible d’établir une liste blanche d’adresses IP autorisées en autorisant leur sous-réseau, car les adresses IP domestiques dynamiques devraient normalement toujours faire partie d’un sous-réseau après un redémarrage du routeur ou une autre maintenance du réseau du côté client.
Même si vous sécurisez votre accès RDP, il a récemment fait l’objet d’une série d’exploits, alors pour éviter les problèmes, assurez-vous que l’ensemble des correctifs et mises-à jour sont faits.