Hébergement

IIS

Sécuriser l’accès « bureau à distance » sous IIS

La première chose qu’on constate lorsqu’on configure un nouveau serveur Web c’est la quantité d’attaques ou de tentatives de connexion. Le serveur FTP par exemple ou l’accès au « Bureau à distance » que je vais traiter dans ce tutoriel.

J’ai déjà eu ce problème à l’occasion comme une crise soudaine. Mais cette semaine en configurent deux nouveaux serveurs Windows Server 2022, j’arrive seulement une fois sur 50 à me connecter tellement il y a de tentatives qui bloque l’accès. Je n’ai eu d’autre choix que de filtrer la connexion.

L’idée toute simple est de filtrer les tentatives de connexion à l’aide de deux filtres. Le premier consiste à modifier le port de connexion. Le deuxième est d’autoriser la connexion seulement à un ou plusieurs IP.

Modifier le port de connexion

Il faut modifier les registres avec RegEdit. Mais ne vous inquiéter pas c’est très simple.

1. Ouvrez l’éditeur de registre via la fenêtre standard de recherche rapide de Windows pour ouvrir RegEdit, dans le menu Windows taper « Exécuter » (Run).

2. Aller à : Ordinateur\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp (Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp)

3. Cliquer « RDP-Tcp » pour modifier le port puis cliquer Décimal (Decimal). Comme on peut voir, le port par défaut du bureau à distance est « 3389 ». Changez-le par « 33898 » (par exemple).

Ajouter une règle au pare-feu (firewall)

Il ne reste plus qu’à ajouter le port dans le Pare-feu (firewall) de Windows. Normalement, il est configuré pour accéder au port 3389, qui est le port par défaut du service Bureau à distance, mais nous avons maintenant modifié ce port et nous devons ajouter une nouvelle règle à notre pare-feu.

1. Ouvrez les paramètres avancés du pare-feu.

2. Cliquez le bouton de droit à gauche sur « Règles de trafic entrant » puis « Nouvelles règles » (Inbound Rules > New Rule...).

3. Sélectionnez le type de règle « Port ».

4. Entrer le numéro de port que vous avez précédemment spécifié dans l’Éditeur du Registre dans le paramètre « PortNumber » puis cliquez suivant.

5. Sélectionner « Autoriser la connexion » (Allow the connection) puis cliquez suivant.

6. Sélectionnez la règle pour les zones spécifiées puis cliquez suivant.

7. Et entrer le nom de la règle, par exemple « Bureau à distance perso (TCP-Entrant) »

Ajouter un ou plusieurs IP dans le pare-feu

C’est déjà ça, l’abuseur devra deviner votre PORT. Mais si vous avez toujours le même IP (et que vous êtes le seul à utiliser le bureau à distance), vous pouvez augmenter la sécurité en ajoutant à la règle votre IP. Toujours dans le pare-feu, votre nouvelle règle devrait se retrouver tout en haut.

1. Double cliquez sur la nouvelle règle.

2. Cliquez sur l’onglet « Étendue »

3. Dans « Adresse IP distante », cochez « Ces adresses IP : ».

4. Entrez votre IP (vous pouvez en entrer plusieurs).

5. IMPORTANT - Repartez le serveur.

Configurer la connexion à distance

1. Ouvrer le « Bureau à distance »

2. Et entrer votre IP suivi de deux points « : » et du nouveau port que vous avez précédemment spécifié dans l’Éditeur du Registre dans le paramètre « PortNumber ».

3. Connectez-vous, sans tracas...

Conclusion

Personnellement, modifier le port est la première chose que je fais sur un nouveau serveur. Il n’y a aucun risque de modifier le port. Par contre, ajouter dans la règle du pare-feu votre IP est une décision qu’il ne faut pas prendre à la légère. Si comme moi vous avez un IP fixe, mais que votre fournisseur d’accès Internet peut modifier à votre insu (ça m’est arrivé deux fois !!) vous n’aurez plus accès à votre bureau à distance ! Vous devez prévoir une solution de rechange, le fournisseur du serveur par exemple. Mais avec cette protection, finis les problèmes de connexion...