Procédure. Se connecter en Terminal Server avec un browser.

Procédure. Se connecter en Terminal Server avec un browser. - Management du SI - Systèmes & Réseaux Pro

Marsh Posté le 23-05-2005 à 09:04:31    

Bonjour,
 
La prise de main as distance est un outils bien utile pour dépanner les machines clientes ou même exécuter des applications que l'on n'as pas forcément en local sur sa machine. Seulement, pour vous connectez en TS vous passez la plus part du temps en clair. Si un hacker venait à mettre un sniffer réseau il aurait à sa disposition une mine d'information non négligeable ! Le mieux serait de se connecter par l'intermédiaire d'une page Web...
 
Cette solution existe depuis 2003, sur le site de Microsoft.  
http://www.microsoft.com/downloads [...] layLang=fr
 

Le contrôle ActiveX de la Connexion par le Web au Bureau à distance permet d'accéder à un ordinateur par le biais du Bureau à distance, via Internet, à partir d'un autre ordinateur exécutant Internet Explorer. Si vous souhaitez bénéficier de cette fonctionnalité, vous devez utiliser Internet Information Services (IIS) pour héberger un site Web.


 
Autrement dit, vous utilisez IE pour vous connectez en Termial Server sur une machine distante. Rien ne vous empêche de créer un VPN en la machine "serveur" et la machine "distante". Vous affichez votre page en SSL et vous êtes sécurisé. La connection en VPN et le crytphage en 128 bits sont parfaitement réalisable avec IIS. Avec EasyPHP c'est déjà plus difficile.
 

  • Avantages :


Si vous passez en VPN, plus en 128bits, les informations sont casi-inviolable.
Ergonomie agréable.
 

  • Inconveinients :


D'aprés les tests que j'ai fais, ce contrôle ActiveX fonctionne uniquement avec le SP2 de WindowsXP. Concernant Windows2000 et WindowsNT les tests sont à faire.
 
 
En attente de vos impressions.
@+
cvb
 
ps : Voici un premier lien qui pourrait expliquer le problème. A tester : http://support.microsoft.com/defau [...] r%3B328002


Message édité par cvb le 23-05-2005 à 11:06:59
Reply

Marsh Posté le 23-05-2005 à 09:04:31   

Reply

Marsh Posté le 23-05-2005 à 10:52:11    

Il me semble que les connexions tse sont cryptés, non ?
En tout cas tu as l'option dans la config tse des serveurs.


Message édité par Spud le 23-05-2005 à 10:52:30
Reply

Marsh Posté le 23-05-2005 à 10:55:15    

Spud a écrit :

Il me semble que les connexions tse sont cryptés, non ?
En tout cas tu as l'option dans la config tse des serveurs.


 
Je crois que c'est crypther en 58bits, mais je n'en suis pas certains. Effectivement.
L'option dont tu parles, je ne l'ai jamais vu ? elle était présente sous 2kServer ?

Reply

Marsh Posté le 28-06-2005 à 23:06:33    

oups, désolé je n'avais pas vu que tu avais repondu
c'est un peu tard mais je repond qd meme :)
dans 2kserver, tu peux choisir le niveau de cryptage. Le maxi doit etre en 128 bits, a verifier

Reply

Marsh Posté le 29-06-2005 à 07:57:23    

Spud a écrit :

oups, désolé je n'avais pas vu que tu avais repondu
c'est un peu tard mais je repond qd meme :)
dans 2kserver, tu peux choisir le niveau de cryptage. Le maxi doit etre en 128 bits, a verifier


 
 
rien n'est jamais trop tard ! ;)

Reply

Marsh Posté le 29-06-2005 à 09:19:23    

Désolé je voit pas l'interet de passer par IE ou par une page WEB!
Un VPN peut etre sécurisé sans page web.
Taper son mot de passe au clavier sur une page web reste pour moi plus dangereux que d'utilisé Bureau a distance dans un domaine AD et via un VPN sécurisé!
Si tu veut etre trankil et bien achéte des LS sa coute chers mais ca c sécurisé!

Reply

Marsh Posté le 29-06-2005 à 09:22:32    

Sm@No a écrit :

Désolé je voit pas l'interet de passer par IE ou par une page WEB!
Un VPN peut etre sécurisé sans page web.
Taper son mot de passe au clavier sur une page web reste pour moi plus dangereux que d'utilisé Bureau a distance dans un domaine AD et via un VPN sécurisé!
Si tu veut etre trankil et bien achéte des LS sa coute chers mais ca c sécurisé!


 
Je n'ai pas parlé de VPN et du renforcement de la sécurité.  
Je parle de la connection TS. Relie bien les premières lignes !;)


Message édité par cvb le 29-06-2005 à 09:22:59
Reply

Marsh Posté le 29-06-2005 à 09:28:08    

Oui ben en TSE applicatif ou bureau a distance le pb de connection est le mm.
Tu passe par un VPN pour ta

Reply

Marsh Posté le 29-06-2005 à 09:28:30    

Connection TS non?

Reply

Marsh Posté le 29-06-2005 à 09:35:54    

128Bits violable tous les jours!!!
Attention a Microsoft qui promet des merveilles!
Les proffesionnel utilise des logiciel de cryptage spéciaux pour leurs connection réseaux!
Si j'ai bien compris tu veut faire de l'assistance a distance?
Alors c'est bien un vpn qu'il te faut via une page web je pense que tu complique donc tu creer des failles!
Pour l'assistance a distance il faut passer dans un tunnel bien sécurisé avec des logiciels de cryptage si tu passe par le public sinon comme j'ai dit T'all ben LS!
Si j'ai pas compris la question fait moi un ptit résumé.
 

Reply

Marsh Posté le 29-06-2005 à 09:35:54   

Reply

Marsh Posté le 29-06-2005 à 09:46:28    

Sm@No a écrit :

128Bits violable tous les jours!!!
Attention a Microsoft qui promet des merveilles!
Les proffesionnel utilise des logiciel de cryptage spéciaux pour leurs connection réseaux!
Si j'ai bien compris tu veut faire de l'assistance a distance?
Alors c'est bien un vpn qu'il te faut via une page web je pense que tu complique donc tu creer des failles!
Pour l'assistance a distance il faut passer dans un tunnel bien sécurisé avec des logiciels de cryptage si tu passe par le public sinon comme j'ai dit T'all ben LS!
Si j'ai pas compris la question fait moi un ptit résumé.


 
Je me connecte en TS par l'intermédiare d'une page Web ! J'utilise un VPN + un crypthage 128bits pour la connection. Un tunel sécurisé à hauteur de 128 bits (si je me trompe pas) + du 128 bits (SSL) tu crois que l'on peut "cracker" les données ? je pense pas

Reply

Marsh Posté le 29-06-2005 à 09:51:34    

Sm@No a écrit :

128Bits violable tous les jours!!!


 
Faut peut etre pas non plus exagerer  :sarcastic:  
Le temps de cracker la clé (ce qui est tres loin d'etre aussi simple que ça) a moins d'etre connecté 24/24 la session TSE sera fermée depuis longtemps, a fortiori pour de l'assistance a distance.

Reply

Marsh Posté le 29-06-2005 à 10:09:26    

Elle te sert a koi la page web c'est sa que je comprend pas?
Pour la sécurité pas de PB tu est dans les normes "Microsoft".

Reply

Marsh Posté le 29-06-2005 à 10:13:13    

Sm@No a écrit :

Elle te sert a koi la page web c'est sa que je comprend pas?
Pour la sécurité pas de PB tu est dans les normes "Microsoft".


 
A utiliser par exemple le SSL pour se connecter en TS ! Par le mode de connection classique, tu ne pourras pas utiliser le SSL. Juste une apparté, le SSL  et le VPN, ne sont pas propre à Microsoft ;)

Reply

Marsh Posté le 29-06-2005 à 10:14:03    

Pas de pb sur la sécurité mais je parlé pas d'un forcage a la barbare de décryptage brut.
M'enfin le poulet il a raison y a pas de PB.
M'enfin mefit toi en local quand mm!
Et alors poukoi une page web?
 

Reply

Marsh Posté le 29-06-2005 à 10:16:06    

Ok!
Oui m'enfin se son les norme de sécurité dicté par microsoft mm si c'est pas eux qui l'ont inventé pas de PB.
 

Reply

Marsh Posté le 29-06-2005 à 10:24:36    

Ok nickel j'ai compris!
Tu veut du SSL.
Et bien ca a l'avantage d'etre gratuis.
Pas mal comme solution en rapport qualité prix!
 
 

Reply

Marsh Posté le 29-06-2005 à 10:29:54    

Sm@No a écrit :

Ok nickel j'ai compris!
Tu veut du SSL.
Et bien ca a l'avantage d'etre gratuis.
Pas mal comme solution en rapport qualité prix!


 
 
Obtenir un certificat SSL n'est pas trés compliqué, du moment que tu posséde un OS serveur ;) pour une entreprise à ca ira trés bien. Pas besoin de voir du coté de VeriSign...;)

Reply

Marsh Posté le 13-08-2006 à 16:32:43    

une petite faille, on s'y fait avec Windows, suffit de le savoir lol
http://www.certa.ssi.gouv.fr/site/ [...] index.html
http://www.microsoft.com/technet/s [...] 2-046.mspx


Message édité par cvb le 13-08-2006 à 16:35:49
Reply

Marsh Posté le 13-08-2006 à 21:54:34    

Elle date un peu ta faille :/

Reply

Marsh Posté le 13-08-2006 à 22:09:10    

Wolfman a écrit :

Elle date un peu ta faille :/


 
Je sais bien, je vais de m'en rendre compte maintenant en cherchant pourquoi ça ne fonctionnait pas sur mon poste ;) j'aurais peut être mieux fait d'éditer le premier topic !


Message édité par cvb le 13-08-2006 à 22:09:32
Reply

Marsh Posté le 17-01-2007 à 15:18:19    

Bonjour,
Vous faites passer RDP dans SSL ? ou SSL est juste utilisé pour arriver sur la page hebergée sur IIS ?

Reply

Marsh Posté le 17-01-2007 à 18:38:11    

Salut,
 
J'utilise le SSL pour accéder à la page héberger par IIS ! La page (contrôle ActiveX) c'est du TS à travers le Web...donc à travers IIS aussi

Reply

Marsh Posté le 19-01-2007 à 14:34:13    

D'acc merci. En fait je suis chargé de sécuriser l'acces par le bureau à distance sur un parc ou un serveur est dédié à terminal serveur. Apres pas mal de recherche, je pense qu'une fois le controle ActiveX telechargé sur la page sécurisé, celui ci agit comme le client de bureau de bureau à distance en utilisant RDP sans etre encapsulé. J'ai donc sécurisé le tse avec TLS (dans les propriété de la connexion RDP). Ensuite, j'ai proposé la solution TSWeb pour la portabilité qui sera sécurisé avec TLS comme tu l'as dis dans ton post. J'espere que c'est pas trop lourd... Vous en pensez quoi ?

Reply

Marsh Posté le 19-01-2007 à 22:59:17    

Bonsoir,
 
Je vais être franc avec toi ! je ne l'ai jamais mis en place sur un plan professionel. Pourquoi, car je me suis confronté à des erreurs d'exécution du composant TSE (Contrôle ActiveX). Il fonctionnait sur des machines et par sur d'autres alors que le niveau de sécurité de IE était au plus bas...
 
Las dessus, je peux difficilement répondre aux contraintes techniques...
Peut être que certains l'on mis en place, et t'en diront plus !  
 
Bien Cordialement,
Marc


Message édité par cvb le 19-01-2007 à 23:07:42
Reply

Marsh Posté le 25-01-2007 à 11:42:18    

Bonjour Marc,
J'ai mis la solution en place mais je n'utiliserai pas tsweb. Il est possible de sécuriser rdp avec TLS, ça marche à condition d'avoir le client rdp 5.2. Avec tsweb, tu peux sécuriser l'acces à la page web ou tu entres l'adresse du serveur mais pas la connexion rdp car le client ActiveX ne le prend pas en charge. Voilà apres il existe peut etre un client ActiveX qui le gere si vous le connaissez je suis preneur ! A bientot

Reply

Marsh Posté le 25-01-2007 à 13:27:25    

Merci pour ton informations !
Cordialement,
:hello:

Reply

Marsh Posté le 05-06-2007 à 09:34:01    

bonjour
 
je fais remonter ce post car c'est exactement ce que je dois faire pour le stage, vous utiliser quoi pour faire le VPN moi c'est openVPN. Pour faire passer le flux dans le vpn lors de la onnetion via le navigutateur comment vous faites ???
 
merci

Reply

Marsh Posté le 05-06-2007 à 11:34:16    

Et bah dites donc il y en a des conneries sur ce topic :/

 

TSE via l'activeX ne fait pas transiter le flux TSE en HTTPS via la machine qui a IIS.
En fait le client va chercher l'ActiveX sur le serveur web et le  ActiveX initie directement la connexion vers le serveur TSE.
http://technet2.microsoft.com/wind [...] x?mfr=true

 

http://technet2.microsoft.com/QueryWS/GetOpenContent.aspx?assetID=2998bd05-aa20-4ee4-b894-98d24d5b2896&DocumentSet=en-US&RenderKey=XML

 

How Remote Desktop Web Connection works

 

Remote Desktop Web Connection connects to the Terminal Server as follows:

 

1. The user opens a Web browser and requests the initial Remote Desktop Web Connection (DHTML) login page.

 

2. The IIS server sends the page, and if this if the first time the client has connected, the user is also prompted to download the Remote Desktop ActiveX Control.

 

3. The user populates the connection information which includes the Terminal Server name.

 

4. The client computer creates a connection directly to the Terminal Server computer by using port 3389.


Message édité par Je@nb le 05-06-2007 à 11:34:33
Reply

Marsh Posté le 05-06-2007 à 12:01:53    

Je@nb et pour mon topic  :)

Reply

Marsh Posté le 05-06-2007 à 12:19:47    

Bah peut importe la technologie VPN utilisée tant qu'elle encapsule de l'ip.
Il suffit après qu'au niveau routage l'adresse ip du serveur TSE soit routée vers l'interface du VPN.
 
Avec OpenVPN si le serveur VPN est le serveur TSE alors il suffit d'entrer l'adresse ip privée du serveur vpn, si c'est une autre machine il faut je pense pousser la route vers le client et dire au client d'utiliser l'adresse ip du serveur (en théorie hein :D car en pratique j'ai jamais touché à openvpn)

Reply

Marsh Posté le 05-06-2007 à 14:06:55    

ok et s'il s'agit d'un accès distant ?

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed