Vous êtes sur la page 1sur 16

ADCS - Créer un Template pour certificat de bureau à distance via Active Directory

Certificate Services (AD CS).

Nous commençons par ouvrir la console de gestion de l'autorité de certification, en cliquant avec le
bouton droit de la souris sur les modèles de certificats et en sélectionnant Gérer.

Cela ouvrira une console de gestion de modèles. Faites défiler l'écran vers le bas et sélectionnez
Modèle d'ordinateur puis faites un clic droit dessus en sélectionnant Dupliquer le modèle.
Cela ouvrira une console de gestion de modèles. Faites défiler l'écran vers le bas et sélectionnez
Modèle d'ordinateur puis faites un clic droit dessus en sélectionnant Dupliquer le modèle.
Dans la fenêtre de propriété du certificat pour le nouveau modèle, nous accédons à l'onglet Général
et définissons un nom d'affichage et un nom de modèle. Je recommande d'utiliser le même et sans
espaces.
Nous devons nous assurer que les extensions appropriées sont définies pour que cela fonctionne à la
fois sur Windows et sur d'autres plates-formes pour TLS. Sous l'onglet Extensions, cliquez sur
Modifier pour modifier les extensions du certificat qui sera émis.
Nous allons sélectionner l'authentification du client et cliquez sur Supprimer.
Après avoir supprimé la stratégie d’authentification du client, cliquez maintenant sur Ajouter et dans
la fenêtre qui apparaît, cliquez sur Nouveau pour créer une nouvelle stratégie spécifique à
l’utilisation de RDP TLS.
Nous fournissons un nom à la stratégie. Dans l'exemple, je lui attribue le nom Remote Desktop
Authentication et un identificateur d'objet de 1.3.6.1.4.1.311.54.1.2. Ce certificat identifie le
certificat comme pouvant être utilisé pour authentifier un serveur RDP.

Sous l'onglet Sécurité, nous devons identifier les systèmes pouvant s'inscrire à l'aide de ce modèle.
Les ordinateurs de domaine sont déjà présents et avec l'autorisation Inscription, mais si vous
envisagez également d'activer RDP sur les contrôleurs de domaine, ajoutez le groupe de contrôleurs
de domaine et assurez-vous que l'autorisation Inscription est sélectionnée.
Si vous avez des ordinateurs qui ne peuvent pas s'inscrire à l'aide du modèle de certificat, un moyen
rapide de l'identifier est de rechercher dans l'observateur d'événements dans le journal système
Windows les événements portant l'ID 1064 de la source TerminaServices-
RemoteConnectionManager.
Pour rendre le certificat disponible pour l'inscription sur les ordinateurs, accédez à la console de
gestion de l'autorité de certification et sélectionnez sous le modèle de certificat de l'autorité de
certification, cliquez avec le bouton droit de la souris et sélectionnez Nouveau -> Modèle de certificat
à émettre.
Dans la fenêtre Activer les modèles de certificat, sélectionnez le modèle de certificat que vous venez
de créer, puis cliquez sur OK.
Nous devons maintenant configurer un objet de stratégie de groupe qui sera lié au conteneur Active
Directory où les hôtes pour lesquels nous souhaitons pouvoir demander le modèle de certificat. Nous
commençons par créer ou sélectionner un objet de stratégie de groupe existant et à le modifier.
Dans l'objet de stratégie de groupe, sélectionnez Computer Configuration -> Policies ->
Administrative Template -> Windows Components -> Remote Desktop Services -> Remote Desktop
Session Host -> Security et sélectionnez Server authentication certificate template.
Sur le paramètre, cliquez sur Activer et sous Nom du modèle de certificat, entrez le nom du modèle
de certificat que nous avons mis à disposition pour l'inscription et cliquez sur OK.
Pour que le serveur utilise TLS 1.0 (je sais que TLS 1.0 n'est pas le plus sûr), nous sélectionnons
Require use of specific layer for remote (RDP) connection.
Nous cliquons sur Activer et Security Layer, sélectionnez SSL (TLS 1.0) dans la liste déroulante, puis
cliquez sur OK.
Dans les paramètres de sécurité, je recommanderais également d'activer NLA, ils vont casser la
plupart des outils de forçage RDP publics. Sélectionnez Require user authentication for remote
connections by using Network Level Authentication et double-cliquez dessus. Sur l'écran des
propriétés, sélectionnez Activer et cliquez sur OK.

De plus, comme nous ne voulons pas que les utilisateurs acceptent simplement et qu’ils fassent
toujours confiance aux connexions car cela va à l’encontre de tous ces paramètres, nous nous
assurons que les clients valident toujours le certificat du serveur. Nous sélectionnons Computer
Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop
Settings -> Remote Desktop Connection Client. Double-cliquez sur Authentication for Client.
Sélectionnez Activer et définissez l'option sur Warn me if authentication fails.

Si le Bureau à distance n'est pas activé sur un autre objet de stratégie de groupe, vous devez accéder
à Connexions sous Remote Desktop Session Host et activer Allow users to connect remotely by
using Remote Desktop Service.