Mise en œuvre des meilleures pratiques de sécurité RDP

Dans cette période de crise COVID, une très grande majorité des organisations s’est vue contrainte de déployer en masse, et sans aucune étude préalable sur les risques et la sécurité, de nouveaux moyens d’accès distants pour leurs collaborateurs. Le confinement est donc rapidement devenu synonyme de « télétravail » et il a fallu dans l’urgence, permettre aux employés d’accéder à leur environnement de travail depuis leur domicile. Les organisations qui sont dotées de serveurs Windows, à savoir la quasi-totalité, s’appuient en majorité sur le protocole RDP (Remote Desktop Protocol), pour y accéder à distance. Et dans cette urgence sanitaire, bon nombre d’employés l’utilisent pour se connecter au réseau de leur organisation. Ce protocole, toujours en proie à des problèmes de sécurité, écoute les tentatives de connexions entrantes authentifiées sur le port 3389. Ce port, connu de tous les utilisateurs malveillants, est le premier à être visé par des cyberattaques. RDP devient donc « LA » passerelle d’entrée idéale pour les cybercriminels. La protection des connexions qui utilisent RDP est donc de la plus haute importance pour les organisations aujourd'hui.

Les bonnes pratiques de sécurité RDP

Pour adopter les meilleures pratiques de sécurité RDP, les organisations doivent déjà comprendre le fonctionnement de ce protocole, de manière à pouvoir protéger le plus efficacement possible, les accès à leurs réseaux et garantir la sécurité de leurs données. Vous trouverez ci-dessous une liste des 10 meilleures pratiques de sécurité RDP que les responsables informatiques doivent mettre en œuvre dans leur organisation :

1. Activez les mises à jour automatiques de Microsoft. Donnez la priorité aux correctifs des vulnérabilités RDP.
2. Renforcez la complexité des mots de passe et utilisez une authentification double facteurs (MFA) pour les connexions RDP.
3. Mettez en œuvre des politiques de verrouillage de compte.
4. Utilisez un autre port que 3389 pour RDP.
5. Restreignez les accès RDP à une liste de confiance (groupe d’adresses IP par exemple) et n’autorisez les accès serveurs qu’à cette liste de confiance. En d’autres termes, vos serveurs n’accepteront pas les tentatives de connexions de toutes autres adresses IP de celles définies dans votre liste de confiance.
6. N’autorisez que les connexions RDP à partir d'ordinateurs utilisant l'authentification au niveau du réseau (NLA) sur TLS. NLA (Network Level Authentication) n'est pas activé par défaut dans les anciennes versions de Windows.
7. Adoptez le principe du moindre privilège pour garantir que seules les bonnes personnes, celles qui ont besoin de se connecter à distance auront un accès à RDP et ce, avec le minimum de droit sur le système d’information.
8. Utilisez au minimum un VPN (Virtual Private Network) pour permettre aux utilisateurs distants d'accéder au réseau de l’organisation. Pour des raisons de sécurité, une solution ZTNA (Zero Trust Network Access) est fortement recommandée pour que les utilisateurs n'accèdent qu'aux ressources dont ils ont besoin et pas au réseau complet de l’organisation.
9. Supervisez les accès RDP pour analyser les comportements anormaux, liés notamment aux tentatives de connexions infructueuses.
10. Passez par un broker de connexion sécurisé pour accèder à distance à l'organisation.

Adopez les technologies ZTNA

Mais attention, même avec une politique de mots de passe renforcée et une authentification multi-facteurs, RDP ne devrait jamais être ouvert à Internet car il rend les réseaux vulnérables aux attaques par déni de service et au verrouillage de compte utilisateur.

Systancia propose une solution d’accès distants sécurisée Systancia Gate, qui permet d’apporter aux organisations :

• Un gage de qualité par sa certification ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information).
• Un très haut niveau de sécurité grâce à son architecture ZTNA avec rupture protocolaire, ses mécanismes natifs de MFA (Multi-Factor Authentification), son contrôle de conformité du poste et surtout sans avoir à ouvrir de port sur les Firewalls de l'organisation.

Sources de ce billet sur ce lien.