Par défaut, les sessions des Services Bureau à distance sont configurées pour négocier le niveau de chiffrement appliqué du client vers le serveur Hôte de la session Bureau à distance. Vous pouvez améliorer la sécurité des sessions des Services Bureau à distance en requérant l’utilisation du protocole TLS (Transport Layer Security) 1.0. TLS 1.0 vérifie l’identité du serveur Hôte de la session Bureau à distance et chiffre toutes les communications entre le serveur Hôte de la session Bureau à distance et l’ordinateur client. Le serveur Hôte de la session Bureau à distance et l’ordinateur client doivent être configurés correctement pour que TLS assure une sécurité optimale.
 | Remarques |
Pour plus d’informations sur l’hôte de la session Bureau à distance, voir la page Services Bureau à distance du TechCenter de Windows Server 2008 R2, éventuellement en anglais ( |
Il existe trois couches de sécurité.
| Couche de sécurité | Description |
|---|---|
SSL (TLS 1.0) |
SSL (TLS 1.0) est utilisé pour authentifier le serveur et chiffrer toutes les données transmises entre le serveur et le client. |
Négocier |
Il s’agit du paramètre par défaut. La couche la plus fiable prise en charge par le client est utilisée. S’il est pris en charge, SSL (TLS 1.0) sera utilisé. Si le client ne prend pas en charge SSL (TLS 1.0), la couche de sécurité RDP sera utilisée. |
Couche de sécurité RDP |
Les communications entre le serveur et le client utilisent le chiffrement RDP natif. Si vous sélectionnez la couche de sécurité RDP, vous ne pouvez pas utiliser l’authentification réseau. |
Un certificat, utilisé pour vérifier l’identité du serveur Hôte de la session Bureau à distance et chiffre les communications entre Hôte de la session Bureau à distance et le client, est requis pour utiliser la couche de sécurité TLS 1.0. Vous pouvez sélectionner un certificat que vous avez installé sur le serveur Hôte de la session Bureau à distance ou utiliser le certificat auto-signé par défaut.
 | Attention |
Nous vous recommandons de vous procurer et d’installer un certificat délivré par l’une des autorités de certification publiques approuvées qui participent au programme de certificat racine Microsoft. |
Par défaut, les connexions des Services Bureau à distance sont chiffrées au plus haut niveau de sécurité disponible. Toutefois, certaines versions plus anciennes du client Connexion Bureau à distance ne prennent pas en charge ce niveau élevé de chiffrement. Si votre réseau comporte de tels clients hérités, vous pouvez définir le niveau de chiffrement de la connexion pour envoyer et recevoir des données au niveau de chiffrement le plus élevé pris en charge par ces clients.
Il existe quatre niveaux de chiffrement.
| Niveau de chiffrement | Description |
|---|---|
Compatible FIPS |
Ce niveau permet de chiffrer et de déchiffrer les données envoyées du client au serveur et du serveur au client à l’aide des méthodes de chiffrement validées FIPS 140-1 (Federal Information Processing Standard). Les clients qui ne prennent pas en charge ce niveau de chiffrement ne peuvent pas se connecter. |
Haut |
Ce niveau permet de chiffrer les données envoyées du client au serveur et du serveur au client à l’aide du chiffrement 128 bits. Utilisez ce niveau lorsque le serveur Hôte de la session Bureau à distance s’exécute dans un environnement contenant uniquement des clients 128 bits (tels que des clients Connexion Bureau à distance). Les clients qui ne prennent pas en charge ce niveau de chiffrement ne peuvent pas se connecter. |
Client compatible |
Il s’agit du paramétrage par défaut. Ce niveau permet de chiffrer les données envoyées entre le client et le serveur à la puissance maximale prise en charge par le client. Utilisez ce niveau lorsque le serveur Hôte de la session Bureau à distance s’exécute dans un environnement comportant des clients mixtes ou hérités. |
Faible |
Ce niveau permet de chiffrer les données envoyées du client au serveur à l’aide du chiffrement 56 bits. Les données envoyées du serveur au client ne sont pas chiffrées. |
Suivez la procédure ci-dessous pour configurer les paramètres d’authentification et de chiffrement du serveur pour une connexion sur le serveur Hôte de la session Bureau à distance.
Pour être autorisé à effectuer cette procédure, vous devez au minimum faire partie du groupe Administrateurs local, ou à un groupe équivalent, sur le serveur Hôte de la session Bureau à distance à configurer. Consultez les informations détaillées sur l'utilisation des comptes et des appartenances au groupe appropriés sur le site Web suivant :
 | Pour configurer les paramètres d’authentification du serveur et de chiffrement pour une connexion |
Sur le serveur hôte de la session Bureau à distance, ouvrez la Configuration de l’hôte de la session Bureau à distance. Pour ouvrir la Configuration de l’hôte de la session Bureau à distance, cliquez sur Démarrer, pointez sur Outils d’administration, Services Bureau à distance, puis cliquez sur Configuration de l’hôte de la session Bureau à distance.
Sous Connexions, cliquez avec le bouton droit sur le nom de la connexion, puis cliquez sur Propriétés.
Dans la boîte de dialogue Propriétés pour la connexion, sur l’onglet Général, sélectionnez les paramètres d’authentification du serveur et de chiffrement appropriés à votre environnement en tenant compte des conditions requises de sécurité et du niveau de sécurité que les ordinateurs clients peuvent prendre en charge.
Si vous sélectionnez SSL (TLS 1.0), sélectionnez un certificat qui est installé sur le serveur Hôte de la session Bureau à distance ou cliquez sur Par défaut pour générer un certificat auto-signé. Si vous utilisez un certificat auto-signé, le nom du certificat apparaît avec la mention Généré automatiquement.
Cliquez sur OK.
Vous pouvez également configurer les paramètres d’authentification du serveur et de chiffrement en appliquant les paramètres de stratégie de groupe suivants :
- Définir le niveau de chiffrement de la connexion client
- Nécessite l’utilisation d’une couche de sécurité spécifique pour les connexions distantes (RDP)
- Modèle de certificat d’authentification serveur
- Requérir l’authentification utilisateur pour les connexions à distance à l’aide de l’authentification au niveau du réseau
Ces paramètres de stratégie de groupe se trouvent sous Configuration utilisateur\Stratégies\Modèles d’administration\Composants Windows\Services Bureau à distance\Hôte de la session Bureau à distance\Sécurité et peuvent être configurés à l’aide de l’Éditeur d’objets de stratégie de groupe ou de la console de gestion des stratégies de groupe (GPMC, Group Policy Management Console). Notez que ces paramètres de stratégie de groupe prévalent sur les paramètres configurés dans Configuration de l’hôte de la session Bureau à distance, à l’exception du paramètre de stratégie Modèle de certificat d authentification serveur.
Vous pouvez configurer le serveur Hôte de la session Bureau à distance pour utiliser FIPS comme niveau de chiffrement en appliquant le paramètre de stratégie de groupe Chiffrement système : utilisez des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature. Ce paramètre de stratégie de groupe se trouve dans Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité et peut être configuré à l’aide de l’Éditeur de stratégie de groupe locale ou de la console de gestion des stratégies de groupe (GPMC, Group Policy Management Console). Notez que ce paramètre de stratégie de groupe prévaut sur le paramètre configuré dans Configuration de l’hôte de la session Bureau à distance et sur le paramètre Définir le niveau de chiffrement de la connexion client.
Pour plus d’informations sur les paramètres de stratégie de groupe pour les Services Bureau à distance, voir les références techniques relatives aux Services Bureau à distance, éventuellement en anglais (