Le Tableau de bord de sécurité est un outil qui offre des conseils sur la manière d'améliorer la sécurité de la plateforme Remote Desktop Manager ainsi que des astuces pour réduire la charge de travail des administrateurs. Certains conseils sont des bonnes pratiques communes en matière d'infosécurité, d'autres sont le fruit d'un consensus entre nos équipes propriétaires.
Les scores sont évidemment sujets à caution et nous ne prétendons pas que chaque sujet a la même valeur relative pour tous les membres de notre communauté. Atteindre 100% n'est sûrement pas un objectif en soi, nous cherchons simplement à sensibiliser et à fournir des idées pour votre propre renforcement de la sécurité.
Amélioration des Éléments d'Action
Https devrait être utilisé pour se connecter à la source de données
Description
HTTPS est utilisé pour protéger la communication entre le client et le serveur hébergeant la source de données. Le trafic via HTTP n'est pas crypté et est susceptible d'être intercepté et altéré par un tiers malveillant.
Mesures d'atténuation
Configurez un certificat TLS sur le serveur et définissez l'URL de la source de données pour qu'elle commence par https://
Voir Configure SSL.
L'activité du coffre d'utilisateur doit être enregistrée
Description
Les journaux d'activité du coffre d'utilisateur ne sont pas activés par défaut et sont utiles en cas de réponse à un incident.
Mesures d'atténuation
Dans ***Administration – Paramètres du système – coffre d'utilisateur***, cochez Journaliser les activités du coffre d'utilisateur.
L'analyseur de force de mot de passe devrait utiliser zxcvbn
Description
Zxcvbn est fortement recommandé comparé à l’ancien analyseur de mots de passe puisqu’il est plus fiable.
Mesures d'atténuation
Dans Administration - Paramètres du système - Politique de mot de passe, définir le Calculateur de force de mot de passe a Zxcvbn.
L'ancienne sécurité devrait être désactivée
Description
L'ancienne sécurité a été dépréciée et sera complètement supprimée à partir de la version 2023.3 de Remote Desktop Manager.
L'authentification à 2 facteurs (mfa) devrait être imposée
Description
L'authentification à 2 facteurs (MFA) exige un moyen d'authentification supplémentaire lors de la connexion à une source de données. Ce contrôle empêche l'utilisation abusive de mots de passe compromis, divulgués ou faibles. Le logiciel peut être configuré pour appliquer l'exigence MFA à tous les utilisateurs.
Mesures d'atténuation
Dans Administration - Paramètres du système - Paramètres de sécurité, cochez Forcer la configuration de 2-factor sur la source de données.
L'expiration du mot de passe devrait être activée pour les utilisateurs personnalisés
Description
Certaines normes de sécurité exigent que les mots de passe soient modifiés à intervalles réguliers. PCI DSS 4.0 exige que les mots de passe soient changés tous les 90 jours lorsque le mot de passe est le seul facteur d'authentification.
Mesures d'atténuation
L'expiration du mot de passe peut être configurée dans Administration - Paramètres du système - Paramètres de sécurité - Expiration du mot de passe de l'utilisateur personnalisé (jours).
La validation du certificat tls devrait être activée
Description
La validation des certificats garantit que la connexion est établie avec la partie concernée et protège contre les attaques d'interception de données.
Mesures d'atténuation
Dans Fichier - Options - Sécurité - Sécurité du certificat, décochez Ignorer les erreurs de certificats de l'application.
La variable du mot de passe de la source de données devrait être désactivée
Description
Lorsque cette option est activée, la variable DATA_SOURCE_PASSWORD correspondra au mot de passe de la source de données. L’option de permettre une variable de mot de passe de la source de données n'est pas recommandée.
Mesures d'atténuation
Dans Administration - Paramètres du système - Politique de mot de passe, décochez Autoriser des variables des mots de passe pour toutes les entrées.
Le cryptage transparent des données (tde) devrait être utilisé avec sql server
Description
Le cryptage transparent des données chiffre les données de la base de données, ce qui réduit les risques en cas de vol de disques physiques ou de sauvegarde.
Le cryptage zip devrait utiliser le mode aes
Description
L'algorithme ZipCryto est considéré comme peu sûr : AES est préférable. Il est vulnérable aux attaques de type « à texte clair connu » (de l’anglais known-plaintext) qui permettent de récupérer le contenu de l'archive sans connaître le mot de passe (voir Why You Should Never Use the Native .Zip Crypto in Windows pour plus de détails sur cette attaque).
Mesures d'atténuation
Dans Fichier - Options - Avancé, décochez Utiliser la compression ZipCrypto (non recommandé).
Le mode hors ligne devrait être désactivé
Description
Par défaut le mode hors-ligne est activé, les identifiants sont mis automatiquement en cache dans le système client. Le mode hors-ligne devrait être désactivé pour un meilleur contrôle de la sécurité des données sensibles.
Les avertissements pour les connexions rdp non fiables doivent être activés
Description
Lorsqu'un certificat inconnu est présenté, le client RDP doit être configuré pour afficher un avertissement (M'avertir) ou interrompre la connexion (Ne pas connecter).
Mesures d'atténuation
Dans Fichier - Options - Types - Bureau à distance, définir le Niveau d'authentification a M'avertir ou Ne pas connecter.
Les coffres devraient être créés avec des permissions restreintes par défaut
Description
Il est préférable de fournir des droits aux utilisateurs seulement au besoin. Lorsque vous activez cette option, Remote Desktop Manager attribuera un ensemble de permissions plus limité aux utilisateurs lors de la création d’un coffre.
Mesures d'atténuation
Dans Administration - Paramètres du système - Paramètres de sécurité, cochez Créer un coffre avec un accès restreint par défaut.
Les connexions sql devraient utiliser tls
Description
TLS protège les communications entre Remote Desktop Manager et l'instance de SQL Server.
Mesures d'atténuation
Configurez le serveur SQL pour qu'il prenne en charge les connexions TLS et ajoutez encrypt=true à la chaîne de connexion du serveur SQL.
Les événements à risque devraient être désactivés ou générer un avertissement
Description
Certains événements d'entrée peuvent effectuer des actions puissantes telles que l'exécution d'un programme ou d'un script externe. Ces événements représentent un risque s'ils sont modifiés par un acteur malveillant. Ces types d'événements peuvent être désactivés s'ils ne sont pas nécessaires, ou Remote Desktop Manager peut être configuré pour afficher un avertissement lorsqu'un tel événement est sur le point d'être exécuté.
Mesures d'atténuation
Dans Administration - Paramètres du système - Paramètres de sécurité, définir Événements à risque à Désactivé ou Activé avec des avertissements.
Les fichiers de configuration devraient être chiffrés à l'aide d'un mot de passe d'application
Description
Le mot de passe de l'application devrait être utilisé pour chiffrer les informations sensibles dans les fichiers de configuration Remote Desktop Manager.
Mesures d'atténuation
Dans Fichier - Options - Sécurité - Sécurité de l'application (local), choisir Utiliser le mot de passe d'application et cochez Chiffrer les fichiers locaux en utilisant le mot de passe de l'application.
Les sms ne devraient pas être utilisés pour l'authentification à 2 facteurs
Description
Le SMS n'est pas recommandé pour le 2FA. Un mécanisme plus puissant basé sur une application d'authentification ou une clé de sécurité physique doit être utilisé à la place.
Un fournisseur de sécurité devrait être utilisé
Description
Par défaut, les mots de passe ne sont pas protégés. Lorsqu'un fournisseur de sécurité est configuré, les données sensibles contenues dans une source de données sont cryptées.
Mesures d'atténuation
Les Fourniseurs de sécurité sont configurées dans Administration - Fourniseurs de sécurité.
Un modèle de mot de passe par défaut devrait être configuré
Description
Les modèles de mots de passe définissent les exigences relatives aux mots de passe générés par les générateurs de mots de passe.
Mesures d'atténuation
Dans Fichier - Modèles, sélectionnez Modèles de mot de passe pour créer un modèle. Ensuite, le modèle par défaut peut être sélectionné dans Administration - Paramètres du système - Modèles de mot de passe.
Une clé maîtresse devrait être utilisée avec la source de données
Description
L'utilisation d'une clé maîtresse permet de crypter le contenu sensible des fichiers sources de données basés sur XML.
Mesures d'atténuation
La clé maîtresse peut être définie sous Fichier - Modifier la clé maîtresse.
Une version minimale du client doit être configurée
Description
Définir une version minimale de Remote Desktop Manager est recommandé afin de s'assurer que les clients possèdent les dernières fonctionnalités de sécurité.
