Les systèmes de gestion des accès privilégiés (gestion des accès privilégiés) limitent souvent la visibilité des mots de passe pour des raisons de sécurité. Dans Devolutions Server, et de manière similaire à certains de nos partenaires, nous mettons en œuvre une approche à double autorisation : une permet de visualiser le mot de passe, et l'autre autorise l'utilisation du mot de passe via Remote Desktop Manager agissant en votre nom. Nous appelons cette fonctionnalité injection des identifiants, communément appelée "agir par procuration." Essentiellement, Remote Desktop Manager agit comme un concierge qui, au lieu de vous donner une clé, ouvre directement la porte pour vous.
Cependant, cette fonctionnalité présente un défi avec Remote Desktop Manager, qui a été initialement conçu pour prioriser la facilité d'utilisation, la flexibilité et l'intégration avec près de 160 technologies différentes. Pour certaines de ces technologies, restreindre l'utilisation des mots de passe s'est avéré très complexe. La seule solution viable pour atténuer les risques était de désactiver complètement l'accès à certaines technologies. Parmi celles-ci, on trouve les lignes de commande, PowerShell et divers outils de gestion.
Bien qu'il soit possible d'activer ces technologies à l'avenir, actuellement, le risque de potentielles violations de sécurité — surtout si l'on considère qu'un utilisateur malveillant pourrait remplacer un outil sécurisé par un autre non sécurisé qu'il a créé lui-même — est trop grand pour être traité efficacement à ce jour.
Dans Devolutions Server, octroyer l'autorisation de voir le mot de passe peut contourner certains problèmes, mais si vos protocoles de sécurité l'interdisent ou si vous utilisez une intégration qui ne propose pas cette option, malheureusement, il n'existe pas de solution de contournement disponible actuellement.
Donnez-nous vos commentaires