Virtualisation de sessions

Terminal Server 2008: L’authentification au niveau réseau

Par Laurent Falguière ⋅ 24 October 2008 ⋅  Envoyer cet article ⋅  Imprimer cet article ⋅

Evaluer cet article:

 Loading ...

L’authentification au niveau réseau est une nouvelle fonctionnalité destinée à accroître la sécurité de Windows 2008. Il s’agit d’une demande d’authentification préalable (voir ci-dessous), qui intervient très tôt dans le process d’ouverture de session, avant l’établissement de la connexion bureau à distance (et avant que la fenêtre d’authentification ne soit affichée). Ce mécanisme limite donc la consommation de ressources du serveur avant que l’identité de l’utilisateur ne soit validée (si l’authentification préalable n’est pas valide, la connexion est abandonnée). Ceci réduit d’autant l’impact, par exemple, d’un déni de service basée sur une attaque brute force..

Pré-requis

Client

• Utiliser un système d’exploitation qui supporte le fournisseur de services de sécurité des informations d’identification (CredSSP): Windows Vista & 2008, XP SP3  sont les seuls systèmes d’exploitation supportés…
• Utiliser le Client Bureau à distance 6.0 ou supérieur (Windows Vista & 2008, XP SP3 disposent du client 6.1). Il est à noter que, bien que Windows XP SP2 dispose d’une version 6.1 du client Bureau à distance, il ne supporte pas  CredSSP, donc NLA ne fonctionnera pas…

Il est important de noter qu’activer l’authentification au niveau réseau ne permettra plus aux machines ne correspondant pas  aux pré-requis de se connecter…

Serveur

• Windows Server 2008

Comment l’activer dans Windows Server 2008?

A l’installation des services Terminal Server

Dans les propriétés Système

Panneau de configuration / Système / Paramètres système avancés, onglet Utilisation à distance

Dans la console Configuration des services Terminal Server

Dans les propriétés de RDP-Tcp, onglet Général

Par les stratégies de groupe

Le paramètre est accessible dans: Configuration Ordinateur / Stratégies/Modèles d’ administration / Composants Windows / Services Terminal Server / Terminal Server / Sécurité / Requérir l’authentification utilisateur pour les connexions à distance à l’aide de l’authentification réseau...

Erreurs Possibles

Le client n’est pas en version 6.x

Dans cet exemple : Client 5.2  et TS Windows 2008

Message d’erreur: Le client n’a pas pu établir de connexion avec l’ordinateur distant. Les causes probables de cette erreur sont les suivantes : 1) Les connexions à distance sont désactivées sur l’ordinateur distant. 2) Le nombre maximal de connexions a été dépassé sur l’ordinateur distant. 3) Une erreur de réseau s’est produite pendant l’établissement de la connexion

Le client ne prend pas en charge le fournisseur de services de sécurité des informations d’identification (CredSSP)

Dans cet exemple :  Windows 2003 avec Client 6.0 et TS Windows 2008

Message d’erreur: L’ordinateur distant nécessite une authentification au niveau du réseau, qui n’est pas prise en charge par votre ordinateur. Pour obtenir de l’assistance, contactez votre administrateur système ou le support technique.

Solution: Utiliser un OS supportant CredSSP (Vista, Windows XP SP3 ou Windows 2008)

Articles relatifs

• Terminal Server 2008: Le mode vidage (drain mode) (0)
• ClearType... (0)
• Les licences Terminal Server (1ère partie) (14)
• Webcasts Terminal Server 2008 (0)
• Terminal Server Easy Print (1)