Une fois qu'un modèle de certificat a été configuré pour la distribution de certificats de bureau à distance (voir l'article „Configurer un modèle de certificat pour les certificats Remote Desktop (RDP)„), une stratégie de groupe est également nécessaire pour demander aux ordinateurs participants d'utiliser les certificats provenant du modèle.
Mise en œuvre
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Tout d'abord, un nouvel objet de stratégie de groupe (GPO) est créé et modifié via la console de gestion des stratégies de groupe (gpmc.msc).
Naviguez vers „ Configuration ordinateur “ – „ Composants Windows “ – „ Services Bureau à distance “ – „ Hôte de session Bureau à distance “ – „ Sécurité “. Sélectionnez ensuite l'option „ Modèle de certificat d'authentification du serveur “ et modifiez-la.
Réglez le paramètre sur „ Enabled “ et indiquez le nom de l'objet (le nom sans espaces) du modèle de certificat.
La stratégie de groupe peut désormais être distribuée aux machines participantes.
Comportement côté client
Pour mieux comprendre le comportement côté client, il est utile de consulter la description dans la boîte de dialogue de configuration :
Si aucun certificat créé à partir du modèle de certificat spécifié n'est trouvé, le serveur hôte de session RD émettra une demande d'enregistrement de certificat et utilisera le certificat actuel jusqu'à ce que la demande soit traitée. Si plusieurs certificats créés à partir du modèle de certificat spécifié sont trouvés, le certificat dont la date d'expiration est la plus éloignée et qui correspond au nom actuel du serveur hôte de session RD sera sélectionné.
Cela signifie que le client se comportera comme suit :
- Existe-t-il déjà un certificat (valide) délivré par la modèle de certificat configuré est disponible (par exemple, parce qu'il a été distribué au préalable via l'inscription automatique), celui-ci est utilisé et lié à l'hôte de session Bureau à distance.
- Si aucun certificat n'est disponible, l'hôte de session Bureau à distance en demande un, même si le modèle de certificat n'est pas configuré pour l'inscription automatique (reconnaissable au Événement avec l'ID 1063 de la source Terminalservices-RemoteConnectionManager).
- S'il n'existe qu'un seul certificat qui expirera dans moins de deux jours, un nouveau certificat est demandé par l'hôte de session Bureau à distance (également reconnaissable à l'icône Événement avec l'ID 1063 de la source Terminalservices-RemoteConnectionManager).
La configuration fonctionnera ainsi même si le modèle de certificat pour les certificats de bureau à distance n'a pas été configuré pour l'inscription automatique. Pour une meilleure gestion, il est toutefois recommandé d'utiliser l'inscription automatique.
Par exemple, les scanners de vulnérabilités tels que Qualys signaleront une anomalie si les certificats du bureau à distance ne sont renouvelés que deux jours avant leur expiration.
Prochaines étapes
Pour savoir comment vérifier si les clients utilisent effectivement les certificats Remote Desktop, consultez l'article „Identification du certificat Remote Desktop (RDP) actif" décrit.
Liens complémentaires :
- Configurer un modèle de certificat pour les certificats Remote Desktop (RDP)
- Identification du certificat Remote Desktop (RDP) actif
Sources externes
- Configuration des certificats Remote Desktop (Microsoft, archive.org)
Français 
Deutsch 
English
Les commentaires sont fermés.