Paramétrage de Remote Desktop

• Obligé un utilisateur à fermer une session après s’être déconnecté
• Empêché un programme de démarrer au logon afin que le poste de travail soit toujours montré immédiatement après une connexion Remote Desktop réussie
• Désactivé toutes les associations, à l’exception du pressepapiers

Sur les paramètres Remote Desktop du serveur, j’ai validé :

• Supprimer les dossiers temporaires en sortie
• Utiliser des dossiers temporaires par session
• Active Desktop est désactivé
• Permission : pleine sécurité
• Restreindre chaque utilisateur à une session : oui

J’ai copié Windows 2003 Service Pack 1 (SP1) sur le serveur, l’ai installé et ai réinitialisé le serveur. Ensuite, j’ai exécuté MBSA (Microsoft Baseline Security Analyzer) pour voir si d’autres correctifs étaient nécessaires ou non, ce qui s’est avéré plus difficile qu’il n’y paraît. Il me fallait l’utiliser sans accéder à Internet et sans exposer le serveur, peut-être sans correctifs, à la malveillance. Pour cela, j’ai téléchargé la base de données XML de MBSA, appelée mssecure.xml sur ma machine locale, puis l’ai copiée sur le serveur. J’ai ensuite exécuté MBSA qui n’a révélé aucun correctif manquant et qui n’a signalé aucune vulnérabilité. (J’ai exécuté à nouveau MBSA après avoir installé IIS, parce que MBSA ne scrute la présence des correctifs ou des vulnérabilités IIS qu’une fois qu’IIS est installé et opérationnel.)

Remarque: Une installation par défaut de Windows 2003 SP1 est plus simple que les étapes que je viens de décrire consistant à apporter les correctifs à la machine avant de relier le serveur à Internet. SP1 empêche tout accès au serveur tant que les correctifs ne sont pas terminés et donc, le risque d’attaque malveillante avant que les correctifs n’aient été appliqués est réduit. Toutefois, il est toujours plus sûr de déconnecter physiquement tout l’accès à Internet et de procéder manuellement aux correctifs.