Le bureau à distance est une fonctionnalité de Windows permettant d'accéder à l'interface graphique d'un poste à distance depuis un autre poste. Cette fonction est nativement présente dans toutes les versions de Windows (au moins depuis XP), il n'y a donc aucun logiciel à installer pour l'utiliser, il faut simplement l'activer.
Le bureau à distance utilise le protocole RDP (Remote Desktop Protocol) sur le port TCP 3389.
Il est très simple d'activer le bureau à distance sur un poste Windows et ainsi le rendre accessible depuis un autre poste. Il a deux réglages à faire :
Activation du bureau à distance dans les propriétés système de Windows.
Autorisation du bureau à distance dans le pare feu Windows.
Par défaut, les membres du groupe "Administrateurs" peuvent se connecter à distance à un poste.
Pour autoriser un utilisateur à utiliser le bureau à distance sans pour autant lui donner les droits administrateurs, il doit être membre du groupe "Utilisateurs du Bureau à distance".
La connexion à l'ordinateur distant peut se faire depuis n'importe quel système d'exploitation (Windows, Linux, Android, Windows Phone,...).
Le plus simple est d'exécuter directement le programme "mstsc.exe". Pour cela, appuyer simultanément sur les touches "Windows" + R du clavier (R comme RUN). Taper "mstsc" puis sur la touche "Entrée" ou cliquer sur le bouton "OK". Voir capture d'écran ci-dessous.
Taper ensuite le nom ou l'IP de l'ordinateur sur lequel vous voulez vous connecter :
Exemples de clients RDP :
L'onglet ressources locales, comme son nom l'indique, permet de partager des ressources de l'ordinateur local avec l'ordinateur distant. Ainsi les sons émis par l'ordinateur distant peuvent être émis sur l'ordinateur local, l'ordinateur distant peut imprimer sur une imprimante connectée à l'ordinateur local, le presse papier peut également être partagé il est ainsi possible de faire des copié / collé directement entre les deux ordinateurs.
Une autre option intéressante est la possibilité de partager n'importe quel disque de l'ordinateur local avec l'ordinateur distant. Cette option n'est pas activée par défaut, voir les captures d'écran ci-dessous pour l'activer.
dans l'onglet "Ressources locales", cliquer sur le bouton "Autres...".
Cocher les ressources à partager (port, disque dur, clé USB,...).
Le disque C: de l'ordinateur local est accessible depuis l'ordinateur distant.
Une fois le bureau à distance activé il est important de ne pas négliger la sécurité en particulier si l'accès est ouvert depuis le WAN (internet).
La première mesure est d'utiliser un mot de passe fort : minimum 10 caractères avec des lettres minuscules et majuscules, des chiffre et des caractères spéciaux.
Les comptes les plus souvent attaqués sont les comptes par défaut il est donc préférable qu'ils ne soient pas actifs.
Cette stratégie de sécurité permet de verrouiller le compte d'un utilisateur pendant un temps donné si celui-ci entre plusieurs fois de suite et dans un laps de temps donnée un mauvais mot de passe.
Si l'ordinateur fait partie d'un domaine Active Directory, cette stratégie peut-être déployée par GPO.
Procédure de mise en place de cette stratégie localement :
Ouvrir la console de gestion de Stratégie de sécurité locale. Pour cela, appuyer simultanément sur les touches "Windows" + R du clavier (R comme RUN). Taper "secpol.msc" puis sur la touche "Entrée" ou cliquer sur le bouton "OK". Voir capture d'écran ci-dessous.
Dans l'arborescence, se déplacer dans Paramètres de sécurité => Stratégies de comptes => Stratégie de verrouillage du compte.
Faire un clic droit sur le paramètres "Seuil de verrouillage du compte" et cliquer sur "Propriétés".
Entrer le seuil désiré, dans l'exemple ci-dessous, le seuil est fixé à 3 tentatives.
Automatiquement les autres paramètres sont fixés à 30 minutes par défaut. Ils peuvent bien entendu être modifiés ensuite.
La stratégie de sécurité est maintenant configurée.
Dans le "Pare-feu Windows avec fonctions avancées de sécurité" il est possible d'appliquer une règle uniquement pour certaines IP. Placer ici les IP qui peuvent accéder au Bureau à distance.
Il ne s'agit pas ici d'une mesure de sécurité au vrai sens du terme mais cela permet de "camoufler" un peu le service RDP (un peu comme le masquage du SSID en WiFi).
Les réglages vus dans le paragraphe "Activation" permette un accès depuis le réseau local uniquement. Pour autoriser l'accès depuis le WAN, il faut faire une redirection de ports au niveau du routeur NAT qui vous connecte à Internet, typiquement votre BOX.
Capture d'écran configuration Freebox :
Capture d'écran configuration Livebox :
Il peut être parfois nécessaire d'éteindre l'ordinateur distant. On se dit "facile" : Démarrer => Arrêter ! Manque de chance cette option n'est pas disponible :
Sur Windows 7
Sur Windows 8
Pour contourner ce problème, le plus simple est de réduire toutes les fenêtres, de cliquer n'importe où sur le Bureau et enfin appuyer sur ALT+F4 pour voir apparaitre le menu ci-dessous :
Voir l'article sur le Wake On Lan
Il est possible de lancer la connexion directement en ligne de commande. Exemple pour se connecter au serveur srv-02.sn.lan :
mstsc.exe /v:srv-02.sn.lan
Ou bien en spécifiant l'adresse IP du serveur :
mstsc.exe /v:192.168.8.253
Si vous avez changé le port d'écoute du bureau à distance :
mstsc.exe /v:192.168.8.253:numéroDePort
il est possible de spécifier d'autres options comme par exemple la taille de la fenêtre,... Pour plus d'informations, consulter l'aide de la commande mstsc :
mstsc.exe /?
Article connexe : Le Wake On Lan