TroutTrout
All docs

Configurer l'accès RDP

Médiez le RDP via Access Gate : atteignez un poste HMI sans aucune exposition RDP entrante, protégez le bureau derrière une identité avec un écran d'accès, et limitez qui le voit par enclave.

3 min read · Last updated 2026-06-23

Médiez le RDP via Access Gate : atteignez un poste HMI sans aucune exposition RDP entrante, protégez le bureau derrière une identité avec un écran d'accès, et limitez qui le voit par enclave, avec TLS/NLA négocié et journalisé de façon centralisée.

Ce que vous obtenez

  • Bureau protégé par l'identité. L'utilisateur s'authentifie via l'écran d'accès d'Access Gate avant qu'une session RDP ne soit médiée vers le HMI.
  • Portée d'accès par enclave/ACL. Seuls les actifs de l'enclave de l'opérateur sont atteignables ; le HMI n'est jamais directement exposé sur le réseau. Voir Listes de contrôle d'accès.
  • DNS, authentification et journalisation centralisés. Chaque session RDP est relayée et enregistrée via un unique point de contrôle conscient de l'identité, sans règle de pare-feu RDP par hôte.
  • Aucune installation client ni logiciel RDP multi-OS. La session se déroule dans le navigateur, de sorte qu'un opérateur sous macOS, Windows ou Linux se connecte de la même manière.

Configuration

1. Ajouter l'actif

Enregistrez le HMI (wonderware-hmi, 172.31.144.39:3389, RDP) en tant qu'actif et placez-le dans l'enclave. Voir Protéger un actif avec les enclaves.

Asset details for the RDP connection
Asset details for the RDP connection

2. Créer ou attribuer l'enclave

Placez le HMI et l'opérateur dans la même enclave pour qu'Access Gate médie la connexion.

RDP access enclave
RDP access enclave

3. Se connecter

L'utilisateur s'authentifie via l'écran d'accès d'Access Gate, puis sélectionne l'appareil qu'il veut atteindre.

User authenticated, with access listed
User authenticated, with access listed

4. Session RDP établie

RDP access to the HMI
RDP access to the HMI

Comment le RDP négocie la sécurité

Le RDP choisit une couche de sécurité pendant la poignée de main X.224. Le broker d'Access Gate demande, dans cet ordre : SSL (TLS), puis HYBRID (NLA/CredSSP), puis RDP (hérité). Le serveur doit pouvoir en satisfaire une, sinon le client refuse avec Server refused connection.

Exemple de la configuration xrdp qui compte (/etc/xrdp/xrdp.ini) :

security_layer=negotiate     ; propose TLS/NLA, repli sur RDP
crypt_level=high
certificate=                 ; vide, utilise /etc/xrdp/cert.pem par défaut
key_file=                    ; vide, utilise /etc/xrdp/key.pem par défaut
ssl_protocols=TLSv1.2, TLSv1.3

Justification du durcissement : conservez security_layer=negotiate et crypt_level=high afin que le broker obtienne TLS/NLA, et non du RDP hérité. Le piège : xrdp doit pouvoir lire sa clé privée TLS, sinon il se rétrograde silencieusement et le client refuse la session.

Récapitulatif

Avec l'actif dans une enclave et l'écran d'accès en façade, le HMI n'est atteignable que via Access Gate : négocié en TLS, protégé par l'identité, entièrement journalisé, sans aucune exposition RDP directe.

Sur le même sujet

Previous
Configurer l'accès SSH à distance
Next
Configurer l'accès SMB