Tableau de bord de sécurité Remote Desktop Manager

Le Tableau de bord de sécurité est un outil qui offre des conseils sur la manière d'améliorer la sécurité de la plateforme Remote Desktop Manager ainsi que des astuces pour réduire la charge de travail des administrateurs. Certains conseils sont des bonnes pratiques communes en matière d'infosécurité, d'autres sont le fruit d'un consensus entre nos équipes propriétaires.

Les scores sont évidemment sujets à caution et nous ne prétendons pas que chaque sujet a la même valeur relative pour tous les membres de notre communauté. Atteindre 100% n'est sûrement pas un objectif en soi, nous cherchons simplement à sensibiliser et à fournir des idées pour votre propre renforcement de la sécurité.

KB4063

Amélioration des Éléments d'Action

Https devrait être utilisé pour se connecter à la source de données

Description HTTPS est utilisé pour protéger la communication entre le client et le serveur hébergeant la source de données. Le trafic via HTTP n'est pas crypté et est susceptible d'être intercepté et altéré par un tiers malveillant.
Mesures d'atténuation Configurez un certificat TLS sur le serveur et définissez l'URL de la source de données pour qu'elle commence par https:// Voir Configure SSL.

L'activité du coffre d'utilisateur doit être enregistrée

Description Les journaux d'activité du coffre d'utilisateur ne sont pas activés par défaut et sont utiles en cas de réponse à un incident.
Mesures d'atténuation Dans ***Administration – Paramètres du système – coffre d'utilisateur***, cochez Journaliser les activités du coffre d'utilisateur.

L'analyseur de force de mot de passe devrait utiliser zxcvbn

Description Zxcvbn est fortement recommandé comparé à l’ancien analyseur de mots de passe puisqu’il est plus fiable.
Mesures d'atténuation Dans Administration - Paramètres du système - Politique de mot de passe, définir le Calculateur de force de mot de passe a Zxcvbn.

L'ancienne sécurité devrait être désactivée

Description L'ancienne sécurité a été dépréciée et sera complètement supprimée à partir de la version 2023.3 de Remote Desktop Manager.
Mesures d'atténuation Dans Administration – Paramètres système – Gestion des coffres – Paramètres de sécurité – Sécurité, désactiver Utiliser l'ancienne sécurité. Voir Désactiver l'ancienne sécurité dans Remote Desktop Manager.

L'authentification à 2 facteurs (mfa) devrait être imposée

Description L'authentification à 2 facteurs (MFA) exige un moyen d'authentification supplémentaire lors de la connexion à une source de données. Ce contrôle empêche l'utilisation abusive de mots de passe compromis, divulgués ou faibles. Le logiciel peut être configuré pour appliquer l'exigence MFA à tous les utilisateurs.
Mesures d'atténuation Dans Administration - Paramètres du système - Paramètres de sécurité, cochez Forcer la configuration de 2-factor sur la source de données.

L'expiration du mot de passe devrait être activée pour les utilisateurs personnalisés

Description Certaines normes de sécurité exigent que les mots de passe soient modifiés à intervalles réguliers. PCI DSS 4.0 exige que les mots de passe soient changés tous les 90 jours lorsque le mot de passe est le seul facteur d'authentification.
Mesures d'atténuation L'expiration du mot de passe peut être configurée dans Administration - Paramètres du système - Paramètres de sécurité - Expiration du mot de passe de l'utilisateur personnalisé (jours).

La validation du certificat tls devrait être activée

Description La validation des certificats garantit que la connexion est établie avec la partie concernée et protège contre les attaques d'interception de données.
Mesures d'atténuation Dans Fichier - Options - Sécurité - Sécurité du certificat, décochez Ignorer les erreurs de certificats de l'application.

La variable du mot de passe de la source de données devrait être désactivée

Description Lorsque cette option est activée, la variable DATA_SOURCE_PASSWORD correspondra au mot de passe de la source de données. L’option de permettre une variable de mot de passe de la source de données n'est pas recommandée.
Mesures d'atténuation Dans Administration - Paramètres du système - Politique de mot de passe, décochez Autoriser des variables des mots de passe pour toutes les entrées.

Le cryptage transparent des données (tde) devrait être utilisé avec sql server

Description Le cryptage transparent des données chiffre les données de la base de données, ce qui réduit les risques en cas de vol de disques physiques ou de sauvegarde.

Le cryptage zip devrait utiliser le mode aes

Description L'algorithme ZipCryto est considéré comme peu sûr : AES est préférable. Il est vulnérable aux attaques de type « à texte clair connu » (de l’anglais known-plaintext) qui permettent de récupérer le contenu de l'archive sans connaître le mot de passe (voir Why You Should Never Use the Native .Zip Crypto in Windows pour plus de détails sur cette attaque).
Mesures d'atténuation Dans Fichier - Options - Avancé, décochez Utiliser la compression ZipCrypto (non recommandé).

Le mode hors ligne devrait être désactivé

Description Par défaut le mode hors-ligne est activé, les identifiants sont mis automatiquement en cache dans le système client. Le mode hors-ligne devrait être désactivé pour un meilleur contrôle de la sécurité des données sensibles.

Les avertissements pour les connexions rdp non fiables doivent être activés

Description Lorsqu'un certificat inconnu est présenté, le client RDP doit être configuré pour afficher un avertissement (M'avertir) ou interrompre la connexion (Ne pas connecter).
Mesures d'atténuation Dans Fichier - Options - Types - Bureau à distance, définir le Niveau d'authentification a M'avertir ou Ne pas connecter.

Les coffres devraient être créés avec des permissions restreintes par défaut

Description Il est préférable de fournir des droits aux utilisateurs seulement au besoin. Lorsque vous activez cette option, Remote Desktop Manager attribuera un ensemble de permissions plus limité aux utilisateurs lors de la création d’un coffre.
Mesures d'atténuation Dans Administration - Paramètres du système - Paramètres de sécurité, cochez Créer un coffre avec un accès restreint par défaut.

Les connexions sql devraient utiliser tls

Description TLS protège les communications entre Remote Desktop Manager et l'instance de SQL Server.
Mesures d'atténuation Configurez le serveur SQL pour qu'il prenne en charge les connexions TLS et ajoutez encrypt=true à la chaîne de connexion du serveur SQL.

Les événements à risque devraient être désactivés ou générer un avertissement

Description Certains événements d'entrée peuvent effectuer des actions puissantes telles que l'exécution d'un programme ou d'un script externe. Ces événements représentent un risque s'ils sont modifiés par un acteur malveillant. Ces types d'événements peuvent être désactivés s'ils ne sont pas nécessaires, ou Remote Desktop Manager peut être configuré pour afficher un avertissement lorsqu'un tel événement est sur le point d'être exécuté.
Mesures d'atténuation Dans Administration - Paramètres du système - Paramètres de sécurité, définir Événements à risque à Désactivé ou Activé avec des avertissements.

Les fichiers de configuration devraient être chiffrés à l'aide d'un mot de passe d'application

Description Le mot de passe de l'application devrait être utilisé pour chiffrer les informations sensibles dans les fichiers de configuration Remote Desktop Manager.
Mesures d'atténuation Dans Fichier - Options - Sécurité - Sécurité de l'application (local), choisir Utiliser le mot de passe d'application et cochez Chiffrer les fichiers locaux en utilisant le mot de passe de l'application.

Les sms ne devraient pas être utilisés pour l'authentification à 2 facteurs

Description Le SMS n'est pas recommandé pour le 2FA. Un mécanisme plus puissant basé sur une application d'authentification ou une clé de sécurité physique doit être utilisé à la place.

Un fournisseur de sécurité devrait être utilisé

Description Par défaut, les mots de passe ne sont pas protégés. Lorsqu'un fournisseur de sécurité est configuré, les données sensibles contenues dans une source de données sont cryptées.
Mesures d'atténuation Les Fourniseurs de sécurité sont configurées dans Administration - Fourniseurs de sécurité.

Un modèle de mot de passe par défaut devrait être configuré

Description Les modèles de mots de passe définissent les exigences relatives aux mots de passe générés par les générateurs de mots de passe.
Mesures d'atténuation Dans Fichier - Modèles, sélectionnez Modèles de mot de passe pour créer un modèle. Ensuite, le modèle par défaut peut être sélectionné dans Administration - Paramètres du système - Modèles de mot de passe.

Une clé maîtresse devrait être utilisée avec la source de données

Description L'utilisation d'une clé maîtresse permet de crypter le contenu sensible des fichiers sources de données basés sur XML.
Mesures d'atténuation La clé maîtresse peut être définie sous Fichier - Modifier la clé maîtresse.

Une version minimale du client doit être configurée

Description Définir une version minimale de Remote Desktop Manager est recommandé afin de s'assurer que les clients possèdent les dernières fonctionnalités de sécurité.