TechEd EMEA 2008 IT Professionals - Windows Server 2008 Terminal Services Deep Dive - Gateway Security & Certificates

Et voici les notes que j’ai prises durant une session dédiée à Terminal Server et présentée par Alex Balcanquall  – Senior Product Manager terminal Services Team : Windows Server 2008 Terminal Services Deep Dive - Gateway Security & Certificates

TS Scenarios
 – Mobile Workers
 – Task Workers
 – Branch Office
 – Controlled Partner Access
 – Outsourcing
 – Merger Integration

“TS Gateway is not designed to replace VPN SSL” ==> mais bon ça reste un VPN SSL dédié aux accès Terminal Server ;-)

Rappel sur les nouveautés de Terminal Server dans Windows Server 2008 (et donc dispo aussi dans R2)

Network Level Authentication (RDP 6.0) permet de limiter les attaques de types DoS sur un TS (générer plein de connexions qui feraient gérer par le serveur plein de fenêtres de logon et donc une consommation importante de ressources)

Rappels sur le fonctionnement de TS Gateway :
 Architecture
 Connection Access Policies
 Ressources Access Policies
 Utilisation de TS Gateway combinée avec NAP (pour la partie configuration des clients, un script est disponible sur le site https://technet.microsoft.com/ts)

200 à 300 connections simultanées sont possibles sur une machine Dual-Xeon bi-core avec 4 Go de RAM

Attention : limité à 256 connexions max dans l'édition standard de Windows Server 2008

Configuration des CAPs dans le NPS (pas de support des autres implémentations de Radius)

Pour les fermes de TS Gateway, sur chaque membre il faut définir la liste des autres membres de la ferme.

Chez Microsoft IT : 6 Gateways (2 Redmond, 2 en Inde, 2 à Dublin) réparties en 3 clusters de 2 pour 1000 users en simultané.

Automatic detect TS Gateway ==> Veut dire utilise le paramètre donné par GPO

3 types de certificats sont utilisable pour la TS Gateway
- certificat auto-signé : pas le meilleur choix
- certificat tierce parties : acheté à fournisseur de certificat (Verisign..), problème du prix parfois
- certificat d'une CA interne

Nouveautés dans Windows 2008 R2 :

TS change de nom --> Remote Desktop Services

  •  RD Gateway
  • RD Connection Broker
  • RemoteApp and Desktop WebAccess Server

Secure Device Redirection (le client est obligé de respecté alors qu'avant (2008 server et versions précédentes) il fallait brider le server TS en désactivant les fonctions qu'on ne voulait pas)

RDS Gateway in windows Server 2008 R2
 Nouvel onglet : RDP Gateway Messaging
     permet à l'admin d'envoyer un message aux utilisateurs (ex: maintenance)
     permet de définir un message d'agrement pour les utilisateurs
 Silent re-authentication
 Session and Idle Time out
  Disconnect use after a specific time
 Consent Message
  cf. ci dessus
 Pluggable Authentication and Authorization
  Platform support to add custom authnetication and authorization policies

Les bonnes idées / trucs & astuces de la session :

Mettre une gateway entre le datacenter et les stations d'admin (via les CAP en limitant les groupes de machines autorisées)

Dans les RAP, utiliser un maximum les FQDN car c'est ce qu'on utilise le plus souvent dans les certificats