Formations à l'informatique et à l'électronique

Auteur : SD
Modifié le : 15-09-2017
Créé le : 30-01-2015

Le bureau à distance

Le bureau à distance est une fonctionnalité de Windows permettant d'accéder à l'interface graphique d'un poste à distance depuis un autre poste. Cette fonction est nativement présente dans toutes les versions de Windows (au moins depuis XP), il n'y a donc aucun logiciel à installer pour l'utiliser, il faut simplement l'activer.

Le bureau à distance utilise le protocole RDP (Remote Desktop Protocol) sur le port TCP 3389.

Sommaire

Activation
Qui peut se connecter au bureau distant ?
Se connecter au bureau distant
Options de connexion
Sécurité
Accès WAN derrière un routeur NAT
Comment éteindre l'ordinateur distant
Comment allumer l'ordinateur distant
Connexion Bureau à distance en ligne de commande
Articles connexes

Activation

Il est très simple d'activer le bureau à distance sur un poste Windows et ainsi le rendre accessible depuis un autre poste. Il a deux réglages à faire :

Activation du bureau à distance dans les propriétés système de Windows.

Capture d'écran activation du bureau à distance dans les propriétés sy

Autorisation du bureau à distance dans le pare feu Windows.

Capture d'écran activation du bureau à distance dans le pare feu Windo

Qui peut se connecter au bureau distant ?

Par défaut, les membres du groupe "Administrateurs" peuvent se connecter à distance à un poste.

Pour autoriser un utilisateur à utiliser le bureau à distance sans pour autant lui donner les droits administrateurs, il doit être membre du groupe "Utilisateurs du Bureau à distance".

Capture d'écran des groupes d'utilisateurs Windows dont Utilisateurs d

Se connecter au bureau distant

La connexion à l'ordinateur distant peut se faire depuis n'importe quel système d'exploitation (Windows, Linux, Android, Windows Phone,...).

Depuis Windows

Combinaison de touches Windows plus R

Le plus simple est d'exécuter directement le programme "mstsc.exe". Pour cela, appuyer simultanément sur les touches "Windows" + R du clavier (R comme RUN). Taper "mstsc" puis sur la touche "Entrée" ou cliquer sur le bouton "OK". Voir capture d'écran ci-dessous.

Capture d'écran Exécuter mstsc

Taper ensuite le nom ou l'IP de l'ordinateur sur lequel vous voulez vous connecter :

Capture d'écran adresse IP ordinateur distant mstsc

Depuis un autre système d'exploitation

Exemples de clients RDP :

Options de connexion

Ressources locales

L'onglet ressources locales, comme son nom l'indique, permet de partager des ressources de l'ordinateur local avec l'ordinateur distant. Ainsi les sons émis par l'ordinateur distant peuvent être émis sur l'ordinateur local, l'ordinateur distant peut imprimer sur une imprimante connectée à l'ordinateur local, le presse papier peut également être partagé il est ainsi possible de faire des copié / collé directement entre les deux ordinateurs.

Une autre option intéressante est la possibilité de partager n'importe quel disque de l'ordinateur local avec l'ordinateur distant. Cette option n'est pas activée par défaut, voir les captures d'écran ci-dessous pour l'activer.

dans l'onglet "Ressources locales", cliquer sur le bouton "Autres...".

Capture d'écran configuration des options de connexion RDP

Cocher les ressources à partager (port, disque dur, clé USB,...).

Capture d'écran configuration des options de connexion RDP

Le disque C: de l'ordinateur local est accessible depuis l'ordinateur distant.

Capture d'écran configuration partage disque dur RDP

Sécurité

Une fois le bureau à distance activé il est important de ne pas négliger la sécurité en particulier si l'accès est ouvert depuis le WAN (internet).

La première mesure est d'utiliser un mot de passe fort : minimum 10 caractères avec des lettres minuscules et majuscules, des chiffre et des caractères spéciaux.

1. Renommer ou désactiver le compte "Administrateur"

Les comptes les plus souvent attaqués sont les comptes par défaut il est donc préférable qu'ils ne soient pas actifs.

2. Mettre en place une stratégie de blocage de compte

Cette stratégie de sécurité permet de verrouiller le compte d'un utilisateur pendant un temps donné si celui-ci entre plusieurs fois de suite et dans un laps de temps donnée un mauvais mot de passe.

Si l'ordinateur fait partie d'un domaine Active Directory, cette stratégie peut-être déployée par GPO.

Procédure de mise en place de cette stratégie localement :

Combinaison de touches Windows plus R

Ouvrir la console de gestion de Stratégie de sécurité locale. Pour cela, appuyer simultanément sur les touches "Windows" + R du clavier (R comme RUN). Taper "secpol.msc" puis sur la touche "Entrée" ou cliquer sur le bouton "OK". Voir capture d'écran ci-dessous.

Capture d'écran Exécuter secpol.msc console de stratégie de sécurité l

Dans l'arborescence, se déplacer dans Paramètres de sécurité => Stratégies de comptes => Stratégie de verrouillage du compte.

Faire un clic droit sur le paramètres "Seuil de verrouillage du compte" et cliquer sur "Propriétés".

Capture d'écran console de stratégie de sécurité locale

Entrer le seuil désiré, dans l'exemple ci-dessous, le seuil est fixé à 3 tentatives.

Capture d'écran stratégie seuil de verrouillage du compte

Automatiquement les autres paramètres sont fixés à 30 minutes par défaut. Ils peuvent bien entendu être modifiés ensuite.

Capture d'écran stratégie durée de verrouillage du compte

La stratégie de sécurité est maintenant configurée.

Capture d'écran stratégie de verrouillage du compte configurée

3. Durcir les règles du Pare-feu

Dans le "Pare-feu Windows avec fonctions avancées de sécurité" il est possible d'appliquer une règle uniquement pour certaines IP. Placer ici les IP qui peuvent accéder au Bureau à distance.

Pare-feu Windows avec fonctions avancées de sécurité

4. Changer le port d'écoute

Il ne s'agit pas ici d'une mesure de sécurité au vrai sens du terme mais cela permet de "camoufler" un peu le service RDP (un peu comme le masquage du SSID en WiFi).

  1. Ouvrir l'éditeur de registre : "Regedit"
  2. Modifier la clé : "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TcpPortNumber"
  3. Modifier la valeur du port
  4. Redémarrer l'ordinateur
Capture d'écran regedit changer port écoute RDP

Accès WAN derrière un routeur NAT

Les réglages vus dans le paragraphe "Activation" permette un accès depuis le réseau local uniquement. Pour autoriser l'accès depuis le WAN, il faut faire une redirection de ports au niveau du routeur NAT qui vous connecte à Internet, typiquement votre BOX.

Capture d'écran configuration Freebox :

Capture d'écran configuration Freebox pour redirection port RDP 3389

Capture d'écran configuration Livebox :

Capture d'écran configuration Livebox pour redirection port RDP 3389

Comment éteindre l'ordinateur distant

Il peut être parfois nécessaire d'éteindre l'ordinateur distant. On se dit "facile" : Démarrer => Arrêter ! Manque de chance cette option n'est pas disponible :

Sur Windows 7

Capture d'écran menu démarrer Windows Arrêter non disponible en RDP

Sur Windows 8

Capture d'écran Windows 8 Arrêter non disponible en RDP

Pour contourner ce problème, le plus simple est de réduire toutes les fenêtres, de cliquer n'importe où sur le Bureau et enfin appuyer sur ALT+F4 pour voir apparaitre le menu ci-dessous :

Capture d'écran arret ordinateur RDP

Comment allumer l'ordinateur distant

Voir l'article sur le Wake On Lan

Connexion Bureau à distance en ligne de commande

Il est possible de lancer la connexion directement en ligne de commande. Exemple pour se connecter au serveur srv-02.sn.lan :

mstsc.exe /v:srv-02.sn.lan

Ou bien en spécifiant l'adresse IP du serveur :

mstsc.exe /v:192.168.8.253

Si vous avez changé le port d'écoute du bureau à distance :

mstsc.exe /v:192.168.8.253:numéroDePort

il est possible de spécifier d'autres options comme par exemple la taille de la fenêtre,... Pour plus d'informations, consulter l'aide de la commande mstsc :

mstsc.exe /?

Articles connexes

Le Wake On Lan
Windows Server 2008 - Créer et lier des GPO

Vous avez apprécié cet article ? Partagez le !

Article connexe : Le Wake On Lan