Les systèmes de gestion des accès privilégiés (PAM) restreignent souvent la visibilité des mots de passe pour des raisons de sécurité. Dans Devolutions Server, et similaire à certains de nos partenaires, nous mettons en œuvre une approche de double permission : une permet de voir le mot de passe, et l'autre permet l'utilisation du mot de passe à travers Remote Desktop Manager agissant en votre nom. Nous appelons cette fonctionnalité injection des identifiants, communément appelée « agissant par procuration ». Essentiellement, Remote Desktop Manager agit comme un concierge qui, au lieu de vous donner une clé, ouvre directement la porte pour vous.
Cependant, cette fonctionnalité présente un défi avec Remote Desktop Manager, qui a été initialement conçu pour privilégier la facilité d'utilisation, la flexibilité et l'intégration avec près de 160 technologies différentes. Pour certaines de ces technologies, restreindre l'utilisation des mots de passe s'est avéré très complexe. La seule solution viable pour atténuer les risques était de désactiver complètement l'accès à certaines technologies. Cela inclut par exemple les lignes de commande, PowerShell, et divers outils de gestion.
Bien qu'il soit possible d'activer ces technologies dans le futur, actuellement, le risque de potentielles violations de sécurité — surtout en considérant qu'un utilisateur malveillant pourrait substituer un outil sécurisé par un autre non sécurisé de sa propre création — est trop grand pour être traité efficacement à l'heure actuelle.
Dans Devolutions Server, accorder la permission de voir le mot de passe peut contourner certains problèmes, mais si vos protocoles de sécurité l'interdisent ou si vous utilisez une intégration qui ne permet pas cette option, malheureusement, il n'y a actuellement pas de solution de contournement disponible.
Donnez-nous vos commentaires