Le paramètre de stratégie de groupe de sécurité RDS contrôle si les administrateurs locaux peuvent personnaliser les autorisations.

Les paramètres de la stratégie de groupe RDS d'Horizon 7 sont installés dans le dossier Configuration ordinateur > Stratégies > Modèles d'administration > Composants Windows > Services Bureau à distance > Hôte de session Bureau à distance > Sécurité.

Tableau 1. Paramètres de la stratégie de groupe de sécurité RDS
Paramètre Description
Server Authentication Certificate Template

Utilisez ce paramètre de stratégie pour spécifier le nom du modèle de certificat qui détermine le certificat sélectionné automatiquement pour authentifier un hôte RDS.

Un certificat est nécessaire pour authentifier un hôte RDS lorsque SSL (TLS 1.0) est utilisé pour sécuriser les communications entre un client et un hôte RDS pendant des connexions RDP (Remote Desktop Protocol).

Si vous activez ce paramètre de stratégie, vous devez spécifier un nom de modèle de certificat. Seuls les certificats créés à l’aide du modèle de certificat spécifié sont pris en compte lors de la sélection automatique d’un certificat pour authentifier l'hôte RDS. Un certificat est sélectionné automatiquement uniquement si aucun certificat n’a été spécifié.

S’il n’existe aucun certificat créé à l’aide du modèle de certificat spécifié, l'hôte RDS émet une demande d’inscription de certificat et utilise le certificat actif jusqu’à ce que la demande soit traitée. S’il existe plusieurs certificats créés à l’aide du modèle de certificat spécifié, le certificat dont la date d’expiration est la plus éloignée et qui correspond au nom actuel de l'hôte RDS est sélectionné.

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, un certificat auto-signé est utilisé par défaut pour authentifier l'hôte RDS. Vous pouvez sélectionner un certificat à utiliser pour authentifier l'hôte RDS dans l’onglet Général de l’outil Configuration d'hôte de session Bureau à distance.

Note : Si vous sélectionnez un certificat à utiliser pour authentifier l'hôte RDS, ce certificat est prioritaire sur ce paramètre de stratégie.
Set client connection encryption level

Spécifie s'il faut requérir l'utilisation d'un niveau de chiffrement spécifique pour sécuriser les communications entre les clients et les hôtes RDS lors des connexions RDP (Remote Desktop Protocol).

Si vous activez ce paramètre, toutes les communications entre les clients et les hôtes RDS doivent utiliser la méthode de chiffrement spécifiée dans ce paramètre lors des connexions à distance. Par défaut, le niveau de chiffrement est défini sur Élevé. Les méthodes de chiffrement suivantes sont disponibles :

  • High. Le paramètre Élevé chiffre les données envoyées du client au serveur et du serveur au client à l'aide d'un chiffrement renforcé sur 128 bits. Utilisez ce niveau de chiffrement dans les environnements comportant seulement des clients 128 bits (par exemple, des clients qui exécutent une connexion Bureau à distance). Les clients qui ne prennent pas en charge ce niveau de chiffrement ne peuvent pas se connecter aux serveurs d'hôte RDS.
  • Client Compatible. Le paramètre Compatible avec le client chiffre les données envoyées entre le client et le serveur avec la puissance de clé maximale prise en charge par le client. Utilisez ce niveau de chiffrement dans les environnements comportant des clients qui ne prennent pas en charge le chiffrement sur 128 bits.
  • Low. Le paramètre Faible chiffre seulement les données envoyées du client au serveur à l'aide d'un chiffrement sur 56 bits.

Si vous désactivez ou ne configurez pas ce paramètre, le niveau de chiffrement à utiliser pour les connexions à distance à l'hôte RDS n'est pas appliqué via la stratégie de groupe. Vous pouvez cependant configurer un niveau de chiffrement obligatoire pour ces connexions à l'aide de l'outil Configuration d'hôte de session Bureau à distance.

Important : La conformité FIPS peut être configurée via le paramètre de stratégie « Chiffrement système : utiliser des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature » dans le dossier Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité ou via le paramètre « Compatible FIPS » de l'outil Configuration d'hôte de session Bureau à distance. Le paramètre Compatible FIPS chiffre et déchiffre les données envoyées du client vers le serveur et du serveur vers le client, avec les algorithmes de chiffrement FIPS (Federal Information Processing Standard) 140-1, à l'aide des modules de chiffrement Microsoft. Utilisez ce niveau de chiffrement quand les communications entre les clients et les hôtes RDS nécessitent un niveau de chiffrement élevé. Si la compatibilité FIPS est déjà activée via le paramètre de stratégie de groupe « Chiffrement système : utiliser des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature », ce paramètre remplace le niveau de chiffrement spécifié dans ce paramètre de stratégie de groupe ou dans l'outil Configuration d'hôte de session Bureau à distance.
Always prompt for password upon connection

Spécifie si les services Bureau à distance demandent toujours un mot de passe au client lors de la connexion.

Vous pouvez utiliser ce paramètre pour forcer la demande de mot de passe aux utilisateurs se connectant aux services Bureau à distance, même s’ils ont déjà fourni le mot de passe dans le client Connexion Bureau à distance.

Par défaut, les services Bureau à distance autorisent les utilisateurs à se connecter automatiquement en entrant un mot de passe dans le client Connexion Bureau à distance.

Si vous activez ce paramètre de stratégie, les utilisateurs ne peuvent pas se connecter automatiquement aux services Bureau à distance en fournissant leurs mots de passe dans le client Connexion Bureau à distance. Un mot de passe leur est demandé pour ouvrir une session.

Si vous désactivez ce paramètre, les utilisateurs peuvent toujours se connecter automatiquement aux services Bureau à distance en fournissant leurs mots de passe dans le client Connexion Bureau à distance.

Si vous ne configurez pas ce paramètre, l’ouverture de session automatique n’est pas spécifiée au niveau de la stratégie de groupe. Toutefois, un administrateur peut toujours forcer la demande d’un mot de passe en utilisant l’outil Configuration d'hôte de session Bureau à distance.

Require secure RPC communication

Spécifie si un hôte RDS requiert des communications RPC sécurisées avec tous les clients ou bien autorise des communications non sécurisées.

Vous pouvez utiliser ce paramètre pour renforcer la sécurité des communications RPC avec les clients en autorisant seulement les demandes authentifiées et chiffrées.

Si vous activez ce paramètre, les services Bureau à distance acceptent les demandes des clients RPC qui prennent en charge les demandes sécurisées et n’autorisent pas les communications non sécurisées avec les clients non approuvés.

Si vous désactivez ce paramètre, les services Bureau à distance requièrent toujours la sécurité pour tout le trafic RPC. Cependant, les communications non sécurisées sont autorisées pour les clients RPC qui ne répondent pas à la demande.

Si vous ne configurez pas ce paramètre, les communications non sécurisées sont autorisées.

Note : L'interface RPC sert à administrer et configurer les services Bureau à distance.
Require use of specific security layer for remote (RDP) connections

Spécifie s'il faut requérir l'utilisation d'une couche de sécurité spécifique pour sécuriser les communications entre les clients et les hôtes RDS lors des connexions RDP (Remote Desktop Protocol).

Si vous activez ce paramètre, toutes les communications entre les clients et les hôtes RDS doivent utiliser la méthode de sécurité spécifiée dans ce paramètre lors des connexions à distance. Les méthodes de sécurité suivantes sont disponibles :

  • Negotiate. La méthode Négocier applique la méthode la plus sécurisée qui est prise en charge par le client. Si TLS (Transport Layer Security) version 1.0 est pris en charge, il est utilisé pour authentifier l'hôte RDS. Si TLS n’est pas pris en charge, le chiffrement RDP (Remote Desktop Protocol) natif est utilisé pour sécuriser les communications, mais l'hôte RDS n’est pas authentifié.
  • RDP. La méthode RDP utilise le chiffrement RDP natif pour sécuriser les communications entre le client et l'hôte RDS. Si vous sélectionnez cette valeur, l'hôte RDS n’est pas authentifié.
  • SSL (TLS 1.0). La méthode SSL nécessite l’utilisation de TLS 1.0 pour authentifier l'hôte RDS. Si TLS n’est pas pris en charge, la connexion échoue.

Si vous désactivez ou ne configurez pas ce paramètre, la méthode de sécurité à utiliser pour les connexions à distance aux hôtes RDS n'est pas appliquée via la stratégie de groupe. Vous pouvez cependant configurer une méthode de sécurité obligatoire pour ces connexions à l'aide de l'outil Configuration d'hôte de session Bureau à distance.

Require user authentication for remote connections by using Network

Utilisez ce paramètre de stratégie pour spécifier s’il faut requérir l’authentification utilisateur pour les connexions à distance à l'hôte RDS en utilisant l’authentification au niveau du réseau. Ce paramètre de stratégie renforce la sécurité en imposant l’authentification utilisateur plus tôt dans le processus de connexion à distance.

Si vous activez ce paramètre de stratégie, seuls les ordinateurs client qui prennent en charge l’authentification au niveau du réseau peuvent se connecter à l'hôte RDS.

Pour déterminer si un ordinateur client prend en charge l’authentification au niveau du réseau, démarrez Connexion Bureau à distance sur l’ordinateur client, cliquez sur l’icône dans le coin supérieur gauche de la boîte de dialogue Connexion Bureau à distance, puis cliquez sur À propos de. Dans la boîte de dialogue À propos de la Connexion Bureau à distance, recherchez l’expression « Authentification au niveau du réseau prise en charge ».

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l’authentification au niveau du réseau n’est pas nécessaire pour l’authentification utilisateur avant d’autoriser les connexions à distance à l'hôte RDS.

Vous pouvez spécifier que l’authentification au niveau du réseau soit requise pour l’authentification utilisateur à l’aide de l’outil Configuration d'hôte de session Bureau à distance ou de l’onglet Utilisation à distance dans Propriétés système.

Important : La désactivation ou la non-configuration de ce paramètre de stratégie offre moins de sécurité, car l’authentification utilisateur est effectuée plus tard dans le processus de connexion à distance.
Do not allow local administrators to customize permissions

Spécifie si vous devez désactiver les droits de l'administrateur à personnaliser des autorisations de sécurité dans l'outil de configuration de l'hôte RDS.

Vous pouvez utiliser ce paramètre pour empêcher les administrateurs d'apporter des changements aux groupes d'utilisateurs sur l'onglet Autorisations de l'outil de configuration de l'hôte de session Bureau à distance. Par défaut, les administrateurs peuvent apporter ces changements.

Si l'état est défini sur Activé, l'onglet Autorisations de l'outil de configuration de l'hôte de session Bureau à distance ne peut pas servir à personnaliser les descripteurs de sécurité par connexion ou à modifier les descripteurs de sécurité par défaut d'un groupe existant. Tous les descripteurs de sécurité sont en lecture seule.

Si l'état est défini sur Désactivé ou Non configuré, les administrateurs du serveur disposent de privilèges de lecture/écriture complets sur les descripteurs de sécurité de l'utilisateur de l'onglet Autorisations dans l'outil de configuration de l'hôte de session Bureau à distance.

Note : Le mode de gestion préféré de l'accès utilisateur consiste à ajouter un utilisateur au groupe Utilisateurs de poste de travail distant.