Aller au contenu 
Introduction
L’authentification au niveau du réseau (NLA) est un mécanisme de pré-authentification lors de la connexion à un bureau distant. Elle protège le serveur contre les accès non autorisés et réduit le risque d’attaques avant l’établissement d’une session complète. Aujourd’hui, elle est devenue une norme de sécurité dans les environnements informatiques d’entreprise.
Cependant, sur les systèmes plus anciens tels que Windows XP, la NLA nécessite une configuration manuelle. Dans cet article, nous allons voir comment activer l’authentification au niveau du réseau sur différentes versions de Windows et pourquoi cela est nécessaire.
Qu’est-ce que l’authentification au niveau du réseau
La NLA exige que le client passe par une authentification avant de démarrer une session RDP. Cela diffère de l’ancienne approche, où la connexion était établie immédiatement et les informations d’identification n’étaient vérifiées qu’après coup. Principaux avantages :
- Sécurité renforcée — protection contre la devinette des mots de passe et les attaques MITM.
- Réduction de la charge du serveur : les ressources ne sont pas gaspillées pour des connexions non confirmées.
Comment activer la NLA dans Windows
L’activation de l’authentification au niveau du réseau (NLA) dépend de la version du système d’exploitation. Vous trouverez ci-dessous des instructions détaillées pour Windows 10/11, les versions serveur et Windows XP SP3. Lors de la configuration, veillez à vérifier la compatibilité du client RDP, la disponibilité des mises à jour et le bon fonctionnement des services.
Windows 10 / 11 / Server 2016 et versions plus récentes
Option 1 : via l’interface graphique
- Ouvrez les propriétés du système :
- Appuyez sur Win + R, entrez SystemPropertiesRemote et appuyez sur Entrée.
- Ou : Démarrer → Panneau de configuration → Système → Paramètres avancés du système → onglet À distance.
2. Recherchez le bloc « Bureau à distance ».
3. Sélectionnez l’option :
« Autoriser les connexions uniquement à partir d’ordinateurs vérifiés par la sécurité réseau (recommandé) ».
4. Cliquez sur Appliquer et OK.
Option 2 : via l’éditeur de registre
- Ouvrez regedit en tant qu’administrateur.
2. Accédez au chemin d’accès suivant :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 3. Recherchez le paramètre UserAuthentication. S’il n’est pas présent, créez une valeur DWORD (32 bits) avec ce nom.
4. Définissez la valeur sur 1 (activé).
5. Redémarrez le serveur ou le service Bureau à distance (TermService).
Option 3 : via PowerShell
Ouvrez PowerShell en tant qu’administrateur et exécutez :
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name 'UserAuthentication' -Value 1 Windows Server 2008 / 2012 / 2019 / 2022
La configuration de NLA sur les systèmes d’exploitation serveur est similaire à celle des systèmes d’exploitation de bureau :
- Démarrez le Gestionnaire de serveur.
2. Accédez à : Serveur local → Bureau à distance
3. Cliquez sur « Désactivé » à côté de Bureau à distance → sélectionnez :
- « Autoriser les connexions uniquement à partir d’ordinateurs exécutant Bureau à distance avec authentification au niveau du réseau »
4. Appliquez les paramètres.
Vérifiez également que :
- Les rôles Services Bureau à distance sont installés.
- L’utilisateur dispose d’une autorisation d’accès RDP (il est membre du groupe Utilisateurs Bureau à distance).
- Un certificat SSL valide est utilisé (pour RDP-Tcp).
Windows XP SP3 (client uniquement)
Windows XP ne peut pas être un serveur compatible NLA, mais il peut se connecter à d’autres systèmes sur lesquels NLA est activé si les conditions suivantes sont remplies :
Étape 1 : Mettez à jour le client RDP
Téléchargez et installez Remote Desktop Connection Client 6.1 ou une version ultérieure (par exemple, à partir du site Web de Microsoft ou de Windows Update).
Étape 2 : Installez la prise en charge CredSSP
CredSSP (Credential Security Support Provider) est requis pour l’authentification au niveau du réseau. Pour l’activer :
- Installez la mise à jour KB951608 (disponible sur le site Web de Microsoft).
2. Après l’installation, modifiez le registre :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Security Packages"=hex(7):43,00,72,00,65,00,64,00,45,00,53,00,53,00,50,00,00,00 La valeur CredSSP est ajoutée à la liste des packages de sécurité.
3. Redémarrez votre ordinateur.
Étape 3 : Configurer la stratégie de groupe
Si vous utilisez une stratégie locale (sous Windows XP Pro) :
- Ouvrez gpedit.msc.
2. Accédez à : Configuration de l’ordinateur → Modèles d’administration → Système → Délégation des informations d’identification
3. Activez :
- « Autoriser la délégation des informations d’identification enregistrées avec l’authentification serveur NTLM uniquement »
- « Autoriser la délégation des informations d’identification récentes »
- Ajoutez la valeur : TERMSRV/*
4. Appliquez et redémarrez le système.
Recommandations supplémentaires
- Assurez-vous que le pare-feu Windows ou le logiciel antivirus ne bloque pas le port 3389.
- Sur le système d’exploitation du serveur, vérifiez l’état du service :
- Le service Services Bureau à distance (TermService) doit être dans l’état En cours d’exécution.
- Pour les systèmes de domaine, il est préférable de configurer les paramètres via GPO.
Erreurs courantes et solutions
Erreur | Raison | Comment réparer |
NLA requis | Ancien client | Mettez à jour RDP vers la version 6.1+ |
Protocole de sécurité non pris en charge | Système d’exploitation incompatible | Vérifier la prise en charge de CredSSP |
Accès refusé | Entrée interdite | Ajouter l’utilisateur au groupe souhaité |
Conseils d’utilisation de NLA
- Activez NLA par défaut sur toutes les nouvelles installations.
- Utilisez des stratégies de groupe pour une configuration centralisée.
- Mettez régulièrement à jour les clients et les serveurs vers les dernières versions.
Conclusion
La configuration de NLA est une étape obligatoire pour toute personne utilisant un bureau à distance. Elle minimise les risques et garantit la sécurité de votre infrastructure d’entreprise. Même sur des systèmes plus anciens, il est possible de se connecter à des serveurs RDP sécurisés avec la bonne configuration.
