Articles Tagués ‘Remote Desktop Services 2012 R2’

 

Une question intéressante m’a été posée récemment par un de mes clients :

Est-il possible de modifier le lien du bouton « Aide » du Portail RD Web Access ?

Eh bien, la réponse est Oui 🙂

Vous pouvez presque tout modifier sur le Portail RD Web Access 2012, 2012 R2 mais aussi 2016.

What is The default Link déjà o_O ?

Notez que par défaut, le lien programmé sur le bouton « Aide » est le suivant :

http://go.microsoft.com/fwlink/?LinkId=141038

Cette URL renvoie simplement vers une KB OnLine décrivant les RemoteApps et leur fonctionnement depuis le Portail RD Web Access, le lien de redirection est le suivant :

https://technet.microsoft.com/en-us/library/ff608240(WS.10).aspx?ocid=fwlink

Le besoin de mon client était de remplacer ce lien par l’URL de sa plateforme de Ticketing /Support (GLPI).

Solution ?

Le lien « Aide » a d’abord été renommé en « Support », cela permettra aux End Users rencontrant des problèmes (utilisation, fonctionnement) sur le Portail RD Web Access d’avoir un lien unique pour la création de ticket de support.

Maintenant, pour changer l’Hyperlink du bouton « Support » et spécifier une URL personnalisée, suivez les instructions suivants :

Note importante : je vous recommande de sauvegarder le dossier C:\Windows\Web\RDWeb avant d’apporter toute modification aux fichiers de configuration du Portail RD Web. Donc commencez par faire une copie /sauvegarde de ce dossier avant d’appliquer la procédure décrite ci-dessous :

  • Ouvrez une Session Windows sur le serveur RD Web Access et naviguez jusqu’au : C:\Windows\Web\RDWeb\Pages\fr-FR (ou C:\Windows\Web\RDWeb\Pages\en-US si votre OS Server est en EN’glais)
  • Editez le fichier Login.aspx (de préférence à l’aide de Notepad++)
  • Allez à la ligne N° 91 (sHelpSourceServer = ….) et remplacez l’URL http://go.microsoft.com/fwlink….. par votre URL.

  • Dans l’exemple suivant, l’URL http://glpi.BecomeITExpert.com sera spécifiée. Enregistrez la modification (File > Save) et fermez le fichier Login.aspx
  • Reconnectez-vous sur le portail RD Web Access et cliquez sur le Lien « Aide » (Support dans l’exemple suivant), et constatez la redirection vers l’URL spécifiée :

That’s All :).

J’espère que cette astuce pourra vous être utile.

D’autres RDS Tips & Tricks arrivent prochainement, so stay in touch

HK | Just Another IT Guy | Twitter | LinkedIn

Publicités

Hello RDS Guys,

Je viens de créer un partage « OneDrive » dans lequel j’ai ajouté tous les scripts (développés par mes soins) liés au rôle RDS et au protocole RDP.

Ils sont accessibles en free download, à l’URL suivante :

https://1drv.ms/f/s!Agu0mgqr6F71pUWk4wK4fwu6H5_Q

Enjoy !

HK

Cet article voit le jour suite à la demande d’un Follower :).

Sa question était la suivante :

Comment supprimer la partie « Sécurité » du portail RD Web Access ?

La partie « Sécurité » fait simplement référence aux deux options suivantes :

  • Ceci est un ordinateur public ou partagé
  • Ceci est un ordinateur privé

La capture d’écran suivante illustre ces deux options, par défaut affichées sur le portail RD Web Access:

4

Suivez les instructions suivantes pour supprimer tout le bloc « Sécurité » de votre Portail RDWA.

Note : si votre déploiement RDS comprend plusieurs serveurs RDWA, vous devez réaliser les opérations décrites ci-dessous sur chaque RD Web Access du déploiement.

  • Ouvrez une Session Windows sur le serveur RDWA
  • Installez Notepad++ (temporairement) pour faciliter la réalisation des opérations suivantes
  • Éditez (avec Notepad++) le fichier C:\Windows\Web\RDWeb\Pages\fr-FR\login.aspx
    • Note : si votre RDWA exécute WS2012 R2 en EN(glish), le fichier login.aspx est normalement placé dans C:\Windows\Web\RDWeb\Pages\en-US\login.aspx
  • Allez à la ligne 522 et ajoutez <!– 
  • Allez ensuite à la ligne 596 et saisissez –>

1

2

Le but étant de marquer tout le bloc de texte allant de la ligne 523 >> 598 comme « Commentaire » et donc bypasser les options de sécurité.

Enregistrez les modifications et reconnectez-vous sur le Portail RDWA.

Constatez la disparition du bloc « Sécurité » :)) :

3

Hello everyone,

Lors d’une intervention chez un de mes clients, la question suivante (concernant la personnalisation du Portail RDWA RDS 2012 R2) m’a été posée :

Peut-on faire disparaître l’onglet « Se connecter à un ordinateur distant » (ou « Connect to a remote PC » sur les OS en Anglais) du Portail RDWA (Remote Desktop Web Access) ?

3

La question est oui :), et la procédure est assez simple, voir les instructions suivantes :

Note : la procédure décrite ci-après doit être appliquée sur chaque serveur RDWA de votre déploiement RDS

Lancez le Gestionnaire des services Internet (IIS) en exécutant InetMgr.exe depuis le menu « Exécuter »

Naviguez jusqu’à « Sites > Default Web Site > RDWeb > Pages »

Sous « ASP.NET« , cliquez « Paramètres d’application » et double-cliquez ensuite sur « ShowDesktops »

1

Changez la valeur par défaut (qu’est « true« ) par « false » et cliquez sur « OK »

2

Lancez l’invite de commande (CMD.exe) en tant qu’Administrateur et saisissez la commande suivante pour redémarrer IIS et ses services associés : IISReset /restart

Enfin, connectez-vous sur le portail RDWA, authentifiez-vous et constatez la disparition de l’onglet « Se connecter à un ordinateur distant« , voir image ci-après :

4

Extrait du livre RDS 2012 R2 – Guide du consultant

S’applique à : RDS Windows Server 2012 R2, RDS Windows Server 2016, Windows 8(.1), Windows 10

SniffPassword

Microsoft a apporté plusieurs améliorations en matière de sécurité au couple d’OS {Windows Server 2012 R2 & Windows 8.1} pour les protéger contre les attaques PtH (Pass-the-Hash). Les mots de passes des comptes utilisateurs ainsi que leur Hashes sont généralement stockés sur le Disque et la Mémoire du Poste de travail /Serveur, si votre machine est compromise, vos informations d’identification peuvent être réutilisées par un Hacker pour accéder à d’autres systèmes /plateformes /services critiques sans que vous soyez au courant.

Introduit avec Windows Server 2012 R2, la fonctionnalité « Restricted Admin Mode » ou « Mode d’Administration Restreinte » a été conçu pour protéger les comptes Administrateurs (locaux et du domaine) contre ce type d’attaque en s’assurant que les informations d’identification saisies lors d’une connexion Bureau à distance ne soient mémorisées et stockées dans la mémoire de la machine distante, qui peut potentiellement être compromise.

Quelques scénarios typiques

Equipe Help Desk utilisant un compte « Administrateur » pour effectuer du support N1/N2 à distance (via RDP) sur les machines des utilisateurs du réseau

Equipe IT Admins utilisant un compte « Administrateur du Domaine » pour effectuer du support N3 à distance (via RDP) sur des serveurs Membres.

Processus d’ouverture de Session RDP

Lorsque vous établissez une Connexion Bureau à distance sur une machine distante, vous êtes invités à vous authentifiez : Apparition de la fameuse boite de dialogue « Sécurité de Windows« :

LogOnWindows

L’authentification se fait dans un premier temps avec le service local RDP via le Process « Remote Interactive Logon ». Dans ce contexte, le mot « Interactive » signifie que l’utilisateur saisi « physiquement » son nom d’utilisateur et son mot de passe associé.

Le Service RDP tente ensuite d’ouvrir une Session Réseau sur la machine distante pour vérifier si l’utilisateur est autorisé à s’y connecter/accéder ou pas. Lors de cette phase, aucune information d’identification n’est requise. En effet, le ticket Kerberos ou Hash NTLM ayant été créés lors de l’ouverture de session initiale peuvent être utilisés pour l’authentification via réseau.

Une fois authentifié par le service RDP de la machine distante, les informations d’identification de l’utilisateur sont envoyées à travers un canal sécurisé vers la machine distante, l’ouverture de session « Interactive » a lieu ce qui permet à l’utilisateur distant de voir et accéder au Bureau à distance.

Prérequis

La fonctionnalité « Restricted Admin Mode » est supportée uniquement par les OS suivants :

OS Server : Windows Server 2012 R2 et Windows Server 2016

OS Client : Windows 8.1 et Windows 10

Donc avant de lancez une Connexion Bureau à distance en mode « Restricted Admin », assurez-vous que celle-ci est établie depuis et vers un des OS cités ci-dessus.

Dois-je utiliser le mode « Restricted Admin » ?

Si vous souhaitez restreindre les accès Bureau à distance sur des machines pouvant présentées un problème (machine présentant des problèmes de stabilité, potentiellement compromise, infectées par des virus…), vous pouvez envisager l’activation du mode « RestrictedAdmin », car comme expliqué ci-haut, vous pouvez être sûre que vos infos d’identifications ne peuvent être réutilisées par un programme malveillant ou un Hacker pour s’introduire sur d’autres machines du réseau jugées « critiques » comme les DC, BDD, Filers …

Cependant, certaines « Best Practices » de l’éditeur soulignent une préférence pour le « Hardening d’OS » incluant la mise en place de stratégies de sécurité pour renforcer la sécurité des comptes Administrateurs (locaux et du domaine), comme par exemple :

Le compte « Administrateur du Domaine » doit uniquement être utilisé pour s’authentifier sur les DCs pour gérer et administrer l’infrastructure AD et JAMAIS pour administrer les serveurs membres, les machines des utilisateurs du réseau …

Chaque machine du réseau doit avoir un compte « Administrateur » et mot de passe unique pour les besoins de gestion, d’administration et support

Comment utiliser le mode « Restricted Admin » ?

Le mode « Restricted Admin » est représenté par un paramètre de l’outil MSTSC.exe (Application Cliente : Connexion Bureau à distance).

Cette fonctionnalité correspond au paramètre /RestrictedAdmin, lancez MSTSC /? depuis l’invite de commande (CMD.exe) ou le Menu Démarré et constatez la disponibilité du mode « /RestrictedAdmin »:

MSTSCPI

Activer ou Désactiver le mode « Restricted Admin » 

Le Mode « Restricted Admin » est désactivé par défaut.

Pour activer cette fonctionnalité, une nouvelle clé doit être créée au niveau du BDR (Base de Registre), voir les paramètres suivants:

Chemin : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Valeur DWORD (32-bits) : DisableRestrictedAdmin

Données de la valeur : 0

Vous pouvez également activer cette fonctionnalité d’une manière centralisée sur un ensemble de serveurs /postes de travail via GPO, et ce via l’utilisation du paramètre de Stratégie de groupe suivant :

Chemin : Configuration Ordinateur | Stratégies | Modèles d’administration | Système | Délégation d’informations d’identification

Paramètre : Limiter la délégation d’informations d’identification à des serveurs distants

Valeur du paramètre : Activé

Une fois activé, si vous établissez une Connexion Bureau à distance (en mode Normal sans le paramètre /RestrictedAdmin) sur un serveur distant, le message suivant apparaît:

RestrictedAdminIssue

Maintenant, essayez de vous connecter à votre machine distante via l’utilisation de la commande : MSTSC /RestrictedAdmin

Note : Cette commande peut être lancée depuis le Menu Démarrée ou l’Invite de commande (CMD.exe)

Comme illustré dans l’image ci-après, la connexion Bureau à distance avec le mode « RestrictedAdmin » renforcé permet l’ouverture de la Session Bureau à distance :

AccèsBàD_OK

Limitations du mode « Restricted Admin »

Comme expliqué précédemment, quand le mode « Restricted Admin » est activé, l’utilisateur authentifié sur la machine distante n’a pas la possibilité de se connecter sur d’autres machines ni ressources du réseaux,
En effet, la délégation étant restreinte, les connections vers les autres machines s’effectuent via le compte d’ordinateur local.

Vous risquez (par exemple) de ne pas pouvoir vous connecter à un lecteur réseau depuis une Session Bureau à distance.

Dans l’exemple suivant, une Connexion Bureau à distance (en mode Restricted Admin) a été ouverte sur le DC. Le Gestionnaire de Serveur du DC a été lancé et une tentative de Connexion sur le serveur distant RDS01 a échouée (pas de délégation d’informations d’identification):

SrvPool_N.OK

Cette fois ci, une Connexion Bureau à distance (en mode normal : sans le Mode Restricted Admin) a été ouverte sur le DC. Le Gestionnaire de Serveur du DC a été lancé et une tentative de Connexion sur le serveur distant RDS01 a réussie (délégation d’informations d’identification ):

SrvPool_OK

RDSUserSessionControl

RDS User Session Control est un outil graphique gratuit développé par [Ramon Bruin], il peut être exécuté d’une manière autonome sur n’importe quel serveur exécutant Windows Server 2012 et 2012 R2
RDS USer Session Control permet de localiser une ou plusieurs sessions Bureau à distance et de la fermer ou prendre le contrôle de celle-ci par la suite (Shadow Mode)

Cet outil est accompagné d’un fichier INI (settings.ini) qui contient le FQDN du serveur Broker à interroger.
Vous devez donc éditer ce fichier et spécifiez le FQDN de votre serveur Broker avant d’exécuter l’outil RDS User Session Control

Téléchargement

L’outil est disponible en téléchargement gratuit ici

RDSSendMessageTool_ImgaLaUne

J’ai l’honneur de vous annoncer la mise en ligne de mon premier outil graphique, il s’agit de RDSSendMessage Tool, en version 1.0 (First Release), donc vos feedback sont les bienvenus :)).

RDSSendMessage est un outil graphique gratuit qui vous permet de lister les sessions Bureaux à distance hébergées sur un ou plusieurs Serveurs Hôtes de Session (RDSH :RD Session Host), et d’envoyer par la suite des messages via réseau aux différents utilisateurs Bureaux à distance. Aucune installation n’est requise, il s’agit en effet d’un exécutable que vous pouvez lancer depuis n’importe quel serveur RDS du déploiement ou depuis une machine d’administration ayant les outils RSAT installés.

Prérequis

Framework .NET 3.5

Téléchargement

L’outil est disponible en téléchargement gratuit ici.