Le durcissement de la sécurité consiste à mettre en œuvre diverses mesures de sécurité pour se protéger contre les cybermenaces et garantir la confidentialité, l'intégrité et la disponibilité du système. Les différents sujets de Documentation et de Base de Connaissances ci-dessous sont organisés dans un ordre logique que vous pouvez suivre avant, pendant et après la configuration et le déploiement de Devolutions Server. Ils contiennent des informations utiles, les meilleures pratiques et les étapes à suivre pour garantir que votre Devolutions Server soit aussi sécurisé que possible.
Le sujet actuel est principalement basé sur le Tableau de bord de sécurité. Voir Devolutions Server Tableau de bord de sécurité pour une liste des éléments d'action incluant des descriptions courtes et des mesures d'atténuation.
Exigences Système et Topologies
Les spécifications matérielles et logicielles minimales recommandées pour Devolutions Server peuvent varier en fonction de votre utilisation prévue. Visiter Exigences Système pour savoir ce qui est requis pour votre situation.
Les instances Devolutions Server peuvent être installées à travers différentes topologies. Déterminer laquelle est la plus adaptée à vos besoins dans Topologies. Assurer que les ports requis sont disponibles.
Paramètres des Comptes d'Administration
Avant le déploiement d'une instance Devolutions Server, certains comptes sont nécessaires pour opérer les différents services impliqués dans un déploiement sécurisé de Devolutions Server.
Le nombre d'administrateurs ne devrait pas dépasser 5. Limiter le nombre d'administrateurs actifs au sein de la plateforme réduira la surface d'attaque d'un attaquant à seulement ces comptes configurés. Avoir plus de 5 administrateurs peut également être un signe de mauvaise ségrégation des tâches au sein de l'unité commerciale ou de l'organisation.
Les comptes de base de données devraient être différents pour l'application web, le planificateur et les outils de gestion. Les privilèges minimaux devraient être accordés et appliqués pour que les comptes de service et de base de données fonctionnent. Les comptes de service et de base de données partagés et excessivement privilégiés peuvent induire une exposition inutile au risque de sécurité.
Le compte administratif par défaut MSSQL « sa » est un compte à haut privilège qui devrait uniquement être utilisé pour gérer l'instance de base de données. Un utilisateur ou compte de service moins privilégié est préféré pour réduire l'impact d'un compromis.
La première décision est d'utiliser soit des comptes de domaine pour opérer la plateforme, soit d'utiliser des comptes SQL locaux associés à des comptes de service locaux. Puisque cette décision est une question de préférence personnelle, nous soutenons les deux modèles. Voir chacun d'eux et ce qu'ils impliquent dans Enquête sur les Comptes Pré-Déploiement et apprendre à les configurer dans Identifiants Avancés.
Pour que l'authentification unique de domaine (SSO) soit utilisée pour se connecter à la base de données, vous devez configurer le Pool d'Applications pour utiliser un compte de domaine pour s'exécuter. Suivre les étapes dans Configurer Devolutions Server pour utiliser l'authentification unique de domaine (SSO).
Ports et Communication Sécurisée
Bien que Devolutions Server en lui-même ne dicte pas quels ports utiliser pour l'une des ressources auxquelles il accède, nous recommandons toujours la pratique de sécurité de ségrégation réseau. Vous devez consulter votre administrateur système pour déterminer quels ajustements doivent être faits pour que le système interopère avec votre infrastructure. Voir Ports et Pare-feux.
Les communications sécurisées garantissent l'intégrité et la confidentialité des données transmises entre le client et le serveur. En tant que tel, il est important de sécuriser les communications LDAP avec la méthode LDAP Over SSL (LADPS). Voir Domaines pour apprendre à l'activer.
Après avoir configuré l'instance Devolutions Server et vous être connecté via une application cliente, vous pouvez suivre les étapes dans Configurer SSL pour importer un certificat ou créer un certificat auto-signé, créer une liaison SSL, activer HTTPS et configurer les paramètres SSL dans les applications clientes. Effectuer ces étapes dès le début peut ajouter une couche de complexité qui peut vous empêcher de réussir dans la configuration initiale.
URI d'Accès
Si vous mettez à niveau votre Devolutions Server d'une version antérieure à 2022.1 vers 2022.2 ou ultérieure, suivre les étapes dans URI d'Accès. Pendant le processus de mise à niveau ou le processus d'installation de Devolutions Server, nous devons fournir une URI d'Accès. Cette URI est une URL de redirection qui est utilisée par le système OAuth et redirige le trafic d'authentification vers l'URI d'Accès.
Chiffrement
Pour garantir que la communication entre l'instance Devolutions Server et la base de données SQL Server soit chiffrée, une procédure extensive doit être suivie sur l'instance SQL Server. Voir Chiffrer les Connexions à SQL Server.
Lors de l'utilisation de comptes de connexion SQL Server, chiffrer les fichiers web.config et appsettings.json est d'une importance capitale, car des informations sensibles y sont stockées. Visiter Chiffrer le Fichier web.config pour plus d'informations et de recommandations.
La clé de chiffrement est utilisée pour chiffrer les entrées de données (connexions, coffre d'utilisateur, documentation et pièces jointes). Les clés de chiffrement sont générées et stockées dans le fichier encryption.config sur le serveur uniquement. Apprendre à les exporter, les importer et les régénérer dans Gérer les Clés de Chiffrement.
Pour les entreprises qui exigent FIPS (Federal Information Processing Standards), se référer à FIPS (Chiffrement).
Sauvegarde et Gestion des Journaux
Le Gestionnaire de Sauvegarde accessible depuis l'interface web Devolutions Server permet aux administrateurs de configurer les paramètres pour sauvegarder la base de données et le dossier de l'application web. Les sauvegardes devraient être activées et configurées vers un support externe ou un stockage cloud pour éviter la perte permanente de données.
Apprendre également sur les exigences et les étapes pour configurer correctement le Planificateur de Sauvegarde Devolutions Server et les instructions sur comment restaurer votre instance Devolutions Server suite à un désastre dans Sauvegarde et Restauration Devolutions Server.
Concernant les journaux, il est recommandé de les envoyer à un système externe pour maintenir l'intégrité et la disponibilité des informations d'événement. Configurer la fonctionnalité Journalisation dans l'interface web Devolutions Server.
Durée de Vie du Jeton de Rafraîchissement
Une durée de session excessive peut permettre une exposition au-delà du nécessaire aux utilisateurs non autorisés. La durée de vie du jeton de rafraîchissement devrait donc être configurée dans les 24 heures (1440 min.). Ceci peut être configuré dans les Paramètres Avancés du Serveur via l'interface web Devolutions Server.
Notifications par Courriel
Une configuration de serveur de courriel est requise pour transmettre des messages d'application importants tels que les événements de sécurité ou les erreurs. Ils peuvent être configurés dans l'interface web. Voir Configurer un Courriel SMTP ou Configurer un Courriel SMTP Avec Azure pour les étapes de configuration et les informations sur chaque paramètre.
Mot de Passe Console de Devolutions Server
Il est recommandé d'ajouter une autre couche de sécurité en activant et en définissant un mot de passe pour la Console de Devolutions Server. Apprendre sur ce paramètre de mot de passe et tous les autres paramètres de Console de Devolutions Server dans Console de Devolutions Server.
Tableau de Bord de Sécurité Devolutions Server
Le Tableau de Bord de Sécurité Devolutions Server est un outil offrant des conseils sur comment améliorer la sécurité de la plateforme Devolutions Server et également des astuces pour réduire la charge de travail pour les administrateurs. Certains conseils sont des meilleures pratiques communes en infosec, d'autres sont un consensus entre nos propres équipes. Il peut être consulté à tout moment dans l'interface web Devolutions Server, dans Administration – Gestion de la Sécurité – Tableau de Bord de Sécurité.
Les scores sont certes discutables et nous ne prétendons pas que chaque sujet a la même valeur relative pour tous les membres de la communauté. Atteindre 100% n'est sûrement pas un objectif en soi, nous visons simplement à sensibiliser et à fournir des idées pour votre propre durcissement de la sécurité.
