Protection 📝 Se protéger contre le détournement des sessions RDP sous Windows 11

[Sylvain*]

Se protéger contre le détournement des sessions RDP sous Windows 11

Introduction

Le RDP (Remote Desktop Protocol) est largement utilisé pour l’administration à distance des postes Windows. Lorsqu’il est mal sécurisé, un attaquant peut détourner une session RDP existante, prendre le contrôle d’un poste sans authentification supplémentaire ou injecter du code dans une session active. Ces attaques exploitent des failles de configuration, des jetons d’authentification persistants ou l’absence de journalisation. Ce tutoriel présente les meilleures pratiques pour sécuriser les connexions RDP sous Windows 11.

---

Prérequis

• Connaissance de la configuration réseau et de la gestion des utilisateurs

• Accès administrateur au poste ou au contrôleur de domaine

• Outils recommandés : Gpedit.msc, PowerShell, Sysmon, Defender for Endpoint

---

Niveau de difficulté

• Étape #1 : Restreindre l’accès RDP aux utilisateurs autorisés

• Étape #2 : Appliquer une stratégie d’authentification renforcée

• Étape #3 : Configurer le timeout et la déconnexion des sessions inactives

• Étape #4 : Surveiller les connexions RDP suspectes

• Étape #5 : Appliquer une isolation réseau et un contrôle par pare-feu

---

Les Avantages

• Étape #1 : Réduction de la surface d’attaque

• Étape #2 : Protection contre les interceptions d’identifiants

• Étape #3 : Limitation de la persistance des sessions RDP

• Étape #4 : Visibilité sur les accès distants en temps réel

• Étape #5 : Blocage de l’accès externe non autorisé

---

Les Inconvénients

• Étape #1 : Requiert une gestion stricte des groupes d’accès

• Étape #2 : Incompatibilité possible avec des clients anciens

• Étape #3 : Interruption possible d’activités légitimes si mal configurée

• Étape #4 : Surveillance manuelle si non automatisée

• Étape #5 : Nécessite des compétences réseau avancées

---

Étape #1

Ouvrir Gpedit.msc

Aller à :

Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Attribution des droits utilisateur

Modifier :

Autoriser l’ouverture d’une session via Services Bureau à distance

Supprimer les utilisateurs non autorisés et limiter aux administrateurs désignés

---

Étape #2

Activer l’authentification NLA (Network Level Authentication)

Aller dans :

Paramètres système > Bureau à distance > Autoriser uniquement les connexions à l’aide de NLA

Appliquer une stratégie GPO :

Configuration ordinateur > Modèles d’administration > Composants Windows > Services Bureau à distance > Hôte de session > Sécurité > Exiger NLA

Éviter l’utilisation de comptes à privilèges pour les sessions interactives

---

Étape #3

Définir une limite de temps pour les sessions inactives :

Configuration utilisateur > Modèles d’administration > Composants Windows > Services Bureau à distance > Limiter la durée des sessions

Appliquer un délai de déconnexion automatique :

Déconnecter la session après X minutes d’inactivité

Empêcher le verrouillage prolongé de sessions ouvertes

Forcer la fermeture des sessions après déconnexion

---

Étape #4

Activer l’audit des connexions RDP :

Gpedit.msc > Paramètres Windows > Paramètres de sécurité > Stratégie d’audit > Connexions réussies/échouées

Installer Sysmon pour journaliser :

ID 3 : Connexion réseau

ID 10 : ProcessAccess (RDP hijack via tscon.exe)

Surveiller l’exécution de :

tscon.exe

Intégrer les événements à un SIEM ou à Microsoft Defender for Endpoint

---

Étape #5

Restreindre le port TCP 3389 via pare-feu :

Pare-feu Windows > Règles de trafic entrant > Bloquer tout sauf les IP internes

Activer le filtrage IP ou VPN obligatoire

Surveiller les connexions entrantes via :

netstat -anob | findstr :3389

Appliquer l’isolation réseau via VLAN ou règles NAC

---

Astuce

Utilisez Remote Desktop Gateway avec double authentification pour sécuriser l’accès distant même en cas d’exposition du port 3389.

---

Mise en garde

Le simple fait de laisser une session RDP ouverte et inactive peut permettre son détournement à l’aide d’outils comme tscon.exe sans aucune authentification supplémentaire.

---

Conseil

Désactivez le RDP par défaut sur les postes utilisateurs et utilisez-le uniquement dans des environnements administrés avec audit, journalisation et contrôle d’accès strict.

---

Solutions alternatives

• secure rdp windows 11 group policy

• detect tscon rdp session hijack

• remote desktop gateway windows server

---

Références utiles

• Microsoft – Services Bureau à distance

• Microsoft – Stratégies d’audit

• Microsoft – Pare-feu Windows avec sécurité avancée

---

Conclusion

Le détournement des sessions RDP représente une menace critique dans les environnements Windows. En durcissant la configuration, en surveillant les accès et en limitant la disponibilité du protocole, vous renforcez efficacement la sécurité des connexions distantes sous Windows 11.