Qu’est-ce que la passerelle des services Bureau à distance ?
La Passerelle Bureau à distance est un service de rôle qui permet aux utilisateurs distants autorisés à se connecter à des ressources sur un réseau privé ou d’entreprise interne, à partir d’un périphérique connecté à Internet pouvant exécuter le client de Connexion Bureau à distance. Les ressources réseau peuvent être des serveurs Hôte de la session Bureau à distance, des serveurs Hôte de la session Bureau à distance exécutant des Programmes RemoteApp ou des ordinateurs sur lesquels le Bureau à distance est activé.
La Passerelle Bureau à distance fait appel au protocole RDP (Remote Desktop Protocol) sur HTTPS pour établir une connexion chiffrée, sécurisée entre les utilisateurs distants sur Internet et les ressources réseau internes sur lesquelles s’exécutent leurs applications de productivité.
Pourquoi utiliser la passerelle des services Bureau à distance ?
La Passerelle Bureau à distance présente de nombreux avantages :
- La Passerelle Bureau à distance permet à des utilisateurs distants de se connecter à des ressources réseau internes sur Internet à l’aide d’une connexion chiffrée, sans qu’il soit nécessaire de configurer des connexions de réseau privé virtuel (VPN, Virtual Private Network).
- La Passerelle Bureau à distance offre un modèle de configuration de sécurité complet qui vous permet de contrôler l’accès à des ressources réseau internes spécifiques. En effet, la Passerelle Bureau à distance établit une connexion RDP Bureau à distance point à point, au lieu d’autoriser l’accès des utilisateurs distants à toutes les ressources réseau internes.
- La Passerelle Bureau à distance permet à la plupart des utilisateurs distants de se connecter à des ressources réseau internes hébergées derrière des pare-feu sur des réseaux privés et des traducteurs d’adresses réseau (NAT, Network Address Translator). Grâce à la Passerelle Bureau à distance, vous n’avez pas besoin, dans ce cas, d’effectuer des procédures de configuration supplémentaires pour le serveur ou les clients de la Passerelle Bureau à distance.
Avant la parution de cette version de Windows Server, des mesures de sécurité empêchaient les utilisateurs distants de se connecter à des ressources réseau internes via des pare-feu et des traducteurs NAT. Cela est dû au fait que le port 3389, utilisé pour les connexions Bureau à distance, est généralement bloqué à des fins de sécurisation du réseau. La Passerelle Bureau à distance transmet quant à elle le trafic RDP (Remote Desktop Protocol) vers le port 443, en utilisant un tunnel HTTP SSL/TLS (Secure Sockets Layer/Transport Layer Security). Comme la plupart des entreprises ouvrent le port 443 pour activer la connectivité Internet, la Passerelle Bureau à distance tire avantage de cette conception de réseau pour fournir des connexions d’accès à distance à travers plusieurs pare-feu. - Le Gestionnaire de passerelle Bureau à distance vous permet de configurer des stratégies d’autorisation pour définir les conditions que les utilisateurs doivent remplir pour se connecter à des ressources réseau internes. Par exemple, vous pouvez spécifier les éléments suivants :
- Les personnes autorisées à se connecter à des ressources réseau internes (autrement dit, les groupes d’utilisateurs autorisés à se connecter).
- Les ressources réseau (groupe d’ordinateurs) auxquelles les utilisateurs peuvent se connecter.
- L’obligation ou non pour les ordinateurs clients d’appartenir à des groupes de sécurité Active Directory.
- Le choix d’autoriser ou non la redirection de périphérique .
- L’obligation pour les clients d’utiliser exclusivement l’authentification par carte à puce ou l’authentification par mot de passe, ou l’une des deux méthodes indifféremment.
- Les personnes autorisées à se connecter à des ressources réseau internes (autrement dit, les groupes d’utilisateurs autorisés à se connecter).
- Vous pouvez configurer des serveurs de Passerelle Bureau à distance et des clients des Services Bureau à distance afin qu’ils utilisent la protection d’accès réseau (NAP, Network Access Protection) pour optimiser la sécurité. NAP est une technologie de création, d’application et de correction de stratégie de contrôle d’intégrité qui est intégrée dansWindows Server® 2008 R2, Windows Server® 2008, Windows® 7, Windows Vista® et Windows® XP Service Pack 3. Avec NAP, les administrateurs système peuvent appliquer les spécifications d’intégrité, les spécifications de mise à jour de sécurité, les configurations d’ordinateur imposées et d’autres paramètres.
Pour plus d’informations sur la façon de configurer la Passerelle Bureau à distance pour qu’elle utilise la protection d’accès réseau (NAP) à des fins d’application de stratégies de contrôle d’intégrité pour des clients des Services Bureau à distance qui se connectent à des serveurs de la Passerelle Bureau à distance, voir la page concernant les services Bureau à distance sur le site Web TechCenter de Windows Server 2008 R2 (éventuellement en anglais) (Remarques Les ordinateurs qui exécutent Windows Server 2008 R2 ou Windows Server 2008 ne peuvent pas être utilisés comme clients NAP lorsque la Passerelle Bureau à distance applique la protection d’accès réseau (NAP). Seuls les ordinateurs qui exécutent Windows 7, Windows Vista ou Windows XP SP3 peuvent être utilisés comme clients NAP lorsque la Passerelle Bureau à distance applique la protection NAP.
https://go.microsoft.com/fwlink/?linkid=140433 ). - Vous pouvez utiliser un serveur de Passerelle Bureau à distance avec le Serveur Microsoft ISA (Internet Security and Acceleration) pour améliorer la sécurité. Dans ce scénario, vous pouvez héberger des serveurs de Passerelle Bureau à distance sur un réseau privé plutôt que sur un réseau de périmètre et gérer le Serveur ISA sur le réseau de périmètre. La connexion SSL (Secure Sockets Layer) entre le client des Services Bureau à distance et le Serveur ISA peut être interrompue au niveau du Serveur ISA qui est connecté à Internet.
Pour plus d’informations sur la façon de configurer ISA Server en tant que périphérique d’interruption de connexion SSL dans le cas de serveurs de Passerelle Bureau à distance, voir la page concernant les services Bureau à distance sur le site Web TechCenter de Windows Server 2008 R2 (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=140433 ). - Le Gestionnaire de passerelle Bureau à distance fournit des outils pour vous aider à surveiller l’état et les événements du serveur de Passerelle Bureau à distance. Le Gestionnaire de passerelle Bureau à distance vous permet de spécifier des événements (par exemple, les échecs de connexion au serveur de Passerelle Bureau à distance) que vous souhaitez surveiller à des fins d’audit.