Windows Server RDS¶

Bureau Windows distant accessible via Kasm avec SSO transparent Active Directory. Fournit un environnement Windows complet (applications, navigateur, outils) a tous les utilisateurs de la plateforme.

Architecture¶

Kasm ──► RDP (3389) ──► Windows Server 2025
              │              │
              │              ├── RDS Session Collection (NEBULA-Desktop)
              │              ├── Kasm Desktop Service (4902)
              │              └── GPO restrictions (OU=RDS-Users)
              │
              └── Credentials AD ──► Samba AD (Kerberos)

Deploiement¶

Le deploiement RDS a ete realise entierement via PowerShell + CredSSP — le Gestionnaire de serveur Windows est incompatible avec Samba AD (erreurs Kerberos). Cette contrainte a ete contournee en encapsulant les commandes RDS dans des sessions CredSSP distantes.

Hardening des sessions¶

Les utilisateurs non-administrateurs sont restreints par une combinaison de GPO et de scripts de login :

PowerShell, cmd, regedit, taskmgr : bloques via GPO DisallowRun
Panneau de configuration, parametres : desactives
Installations : bloquees (msiexec interdit)
Navigateur : Firefox uniquement, Edge supprime, moteur de recherche verrouille sur SearXNG
Extension Bitwarden : deployee automatiquement via policies.json

Le filtrage est base sur les OU Active Directory : la GPO de restrictions est liee a OU=RDS-Users, ou Kasm AD Sync place automatiquement les utilisateurs.

Monitoring¶

Trois agents couvrent la visibilite complete :

Wazuh Agent : detection d'intrusion, audit Windows
Prometheus windows_exporter : metriques systeme (CPU, RAM, disque, sessions RDP)
QEMU Guest Agent : gestion VM depuis Proxmox

Competences demontrees¶

RDS : deploiement, collections de sessions, GPO, licencing
GPO : filtrage par OU, restrictions granulaires admin/non-admin
Hardening Windows Server : SMBv1 off, audit policies, services inutiles desactives
Automatisation : scripts VBS conditionnels, taches planifiees, policies.json Firefox