none
Se protéger (Serveur T.S.E.) RRS feed

  • Question

  • Bonjour à tous,

    Je voudrais des conseils .... L'entreprise que je gère possède un Windows server 2012 avec un serveur TSE dessus. Je souhaiterais protéger l'accès TSE distant (accessible de l'extérieur) contre le brute force. Avez vous une solution pour contrer ce soucis.

    Merci d'avance.

    mercredi 7 décembre 2016 12:37

Réponses

Toutes les réponses

  • Bonjour,

    Cela passe en général par une stratégie de verrouillage des accès lorsqu'une brute force est détectée.

    Le plus simple est une stratégie de verrouillage des comptes AD après un certain nombre d'essais infructueux, pour des solution plus complexe, il faudra passer par un équipement réalisant une pre authentification avec un mécanisme de soft lockout (verrouillage au niveau de l'accès extérieur, sans verrouiller le compte AD sous jacent)


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    mercredi 7 décembre 2016 13:18
  • Merci beaucoup Bruce de ta réponse et de ta rapidité.

    Si tu as un peu de temps à me consacrer. Peux tu m'orienter un peu .... où se situé cette stratégie ?

    Merci d'avance

    mercredi 7 décembre 2016 13:26
  • Ici : https://technet.microsoft.com/en-us/library/hh994563(v=ws.11).aspx


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    • Marqué comme réponse RTW Multimedia mercredi 7 décembre 2016 14:49
    mercredi 7 décembre 2016 14:26
  • En complément de réponse de Bruce, (qui est clairement la plus simple en mettre en place)

    Vous pouvez lancer les aménagements suivants :


    La solution de Bruce, bien que plus simple n'est pas forcément idéale dans des environnement ou un remote attacker voudrait locker volontairement les comptes pour provoquer un déni de service (ici un deni de login car le compte est verrouilé). Exemple : Il connait tous vos logins ou les devines et lances 5 tentatives de mot de passe et bloque tous les comptes (Effet catastrophique car toutes les autres applications seraient impactées, mails, file, etc). Le compte se déverrouille seule après un lapse de temps ou bien le support doit délocké le compte manuellement. Dans des cas avancés, l'attaque peut durer plus longtemps et oblige de désactiver l'accès à internet.

    Pour prévenir de ce comportement dit "brute force" la pre-authentification , l'AD FS et l'Extranet Lockout Protection me parait une solution envisageable si vos ressources le permettent.

    N'hésitez pas si vous avez besoin d'information complémentaires.



    mercredi 7 décembre 2016 14:49
  • Merci beaucoup ;) et bonne continuation.

    mercredi 7 décembre 2016 14:49
  • Merci Nathanaël pour ce complément d'information super intéressant, mais au vu de la taille de la société, elle est difficilement applicable (moyens, ...). Je voulais juste mettre en place un minimum de sécurité car pour le moment il n'y a qu'un utilisateur qui possède un accès distant mais dans le futur peut être que ta proposition me sera utile.

    Encore merci.

    mercredi 7 décembre 2016 14:56