Sécurité de rdp
Aurélien Bordes, Arnaud Ebalard, and Raphaël Rigo
ANSSI prenom.nom(@)ssi.gouv.fr
Résumé Cet article présente une étude de sécurité de RDP (Remote Desktop Protocol ). Il tire son origine du constat effectué sur le terrain que le protocole est très largement (mal) utilisé pour l’administration à distance de systèmes Windows. Après une revue du besoin et des propriétés attendues, une présentation du protocole est réalisée, suivie d’un historique orienté sécurité. Les mécanismes de sécurité mis en œuvre sont ensuite analysés en détails et leurs faiblesses résiduelles décrites. En particulier, les modes historiques de protections offerts par RDP, propriétaires, sont particulièrement vulnérables et permettent à un attaquant d’attenter à l’intégrité et à la confidentialité des échanges. La réalité des implémentations client et serveur Microsoft est ensuite détaillée. Tous ces éléments sont enfin pris en compte dans un ensemble de recommandations et de bonnes pratiques d’utilisation de RDP visant à renforcer la sécurité de l’administration à distance de systèmes Windows.
1
1.1
Introduction
Périmètre de la discussion
D’une simple solution de déport d’affichage dans Windows NT 4.0 TSE, l’écosystème RDP a évolué au fil des années, initialement pour supporter un plus grand nombre de périphériques et de fonctionnalités. Aujourd’hui, le protocole est au cœur d’une architecture de services complexe [5] 1 , nécessitant dans certains cas plus d’une demi-douzaine de rôles serveur différents. L’analyse de sécurité présentée dans cet article se concentre sur le cœur du protocole permettant la protection des données échangées et vise principalement les utilisations classiques de RDP, pour la connexion à distance ou pour des besoins d’administration. Elle ne couvre ainsi pas les évolutions d’architectures récentes (supportées par Windows 2008 R2), le déploiement de RemoteApp, etc. Du point de vue des implémentations, l’analyse se concentre principalement sur les