Les services de bureau à distance (RDS) permettent aux utilisateurs de se connecter à un ordinateur distant ou à une machine virtuelle via le réseau. Avec RDS, les utilisateurs peuvent contrôler un ordinateur distant, tout comme ils le font pour leur propre ordinateur. D'un autre point de vue, RDS permet à un serveur d'accueillir plusieurs sessions de clients simultanées. Dans un environnement PC, chaque utilisateur d'une organisation possède différentes applications installées sur son ordinateur. Toutefois, dans un environnement basé sur RDS, les utilisateurs peuvent disposer de « clients légers » qui se connectent simplement à un serveur terminal. Le serveur terminal peut ensuite se connecter à d'autres serveurs pour accéder aux données.
L'adoption de RDS au sein de l'entreprise permet de réduire les coûts, d'accroître la mobilité et d'assurer l'évolutivité. Il réduit également le temps et les efforts nécessaires à l'installation des postes de travail des utilisateurs finaux. D'un autre côté, il y a un grand défi à relever en matière de sécurité : la mise en œuvre des services Bureau à distance augmente le nombre de points de terminaison vulnérables, et les cyber-criminels ont désormais un moyen supplémentaire pour tenter une violation des données. Les administrateurs informatiques doivent donc surveiller en permanence les sessions RDS et s'assurer qu'aucune action malveillante n'est effectuée.
Dans cet article, nous allons d'abord voir comment les organisations peuvent déployer RDS à l'aide de PowerShell. Nous verrons ensuite comment ADAudit Plus, une solution complète d'audit Active Directory, peut aider à sécuriser les connexions de bureau à distance.
La commande cmdlet PowerShell New-SessionDeployment est utilisée pour déployer RDS. Les trois composants RDS obligatoires qui doivent être installés au moment du déploiement sont les suivants : 1) Courtier en connexion, 2) Hôte de session, et 3) Accès Web. Ces composants définissent comment les utilisateurs peuvent utiliser le RDS une fois déployé.
Voici comment vous pouvez déployer RDS :
New-SessionDeployment -ConnectionBroker server1.manageengine.com -WebAccessServer server1.manageengine.com -SessionHost server1.manageengine.com
Après le déploiement, pour auditer les activités se déroulant dans RDS, les administrateurs peuvent utiliser PowerShell. Par exemple, pour obtenir la liste des événements liés à une authentification RDP réussie (EventID 4624), les administrateurs informatiques peuvent utiliser cette commande cmdlet PowerShell :
Get-EventLog security -after (Get-date -hour 0 -minute 0 -second 0) | ?{$_.eventid -eq 4624 -and $_.Message -match 'logon type:\s+(10)\s'} | Out-GridView
Cependant, le moyen le plus simple d'auditer les activités de RDS consiste à utiliser ManageEngine ADAudit Plus