Le durcissement de la sécurité consiste à mettre en œuvre diverses mesures de sécurité pour se protéger contre les cybermenaces et garantir la confidentialité, l'intégrité et la disponibilité du système. Les différentes documentations et articles de la base de connaissances ci-dessous sont organisés dans un ordre logique que vous pouvez suivre avant, pendant et après la configuration et le déploiement de Devolutions Server. Ils contiennent des informations utiles, des meilleures pratiques et des étapes à suivre pour garantir que votre Devolutions Server est aussi sécurisé que possible.
Le sujet actuel est principalement basé sur le tableau de bord sécurité. Voir tableau de bord sécurité de Devolutions Server pour une liste d'éléments d'action comprenant de brèves descriptions et des mesures d'atténuation.
Les spécifications matérielles et logicielles minimales recommandées pour Devolutions Server peuvent varier en fonction de votre utilisation prévue. Visiter les exigences système pour savoir ce qui est requis pour votre situation.
Les instances de Devolutions Server peuvent être installées selon différentes topologies. Déterminer celle qui est la plus adaptée à vos besoins dans Topologies. S'assurer que les ports requis sont disponibles.
Avant le déploiement d'une instance Devolutions Server, certains comptes sont nécessaires pour faire fonctionner les divers services impliqués dans un déploiement sécurisé de Devolutions Server.
Le nombre d'administrateurs ne doit pas dépasser cinq. Limiter le nombre d'administrateurs actifs au sein de la plateforme réduira la surface d'attaque d'un attaquant uniquement à ces comptes configurés. Avoir plus de cinq administrateurs peut aussi être un signe de mauvaise séparation des tâches au sein de l'unité d'affaires ou de l'organisation.
Les comptes de la base de données devraient être différents pour l'application web, le planificateur et les outils de gestion. Accorder et appliquer des privilèges minimums pour que les comptes de service et de base de données fonctionnent. Des comptes de service et de base de données partagés et excessivement privilégiés peuvent induire une exposition aux risques de sécurité inutile.
Le compte administratif MSSQL sa par défaut est un compte à privilèges élevés qui devrait uniquement être utilisé pour gérer l'instance de base de données. Un utilisateur ou un compte de service moins privilégié est préféré pour réduire l'impact d'un compromis.
La première décision est d'utiliser soit des comptes de domaine pour faire fonctionner la plateforme, soit d'utiliser des comptes SQL locaux couplés à des comptes de service locaux. Étant donné que cette décision est une question de préférence personnelle, nous prenons en charge les deux modèles. Voir chacun d'eux et ce qu'ils impliquent dans Enquête sur les comptes avant le déploiement et apprendre à les configurer dans Informations d'identification avancées.
Pour que l'authentification unique de domaine (SSO) soit utilisée pour se connecter à la base de données, vous devez définir pour que le Pool d'applications utilise un compte de domaine pour fonctionner. Suivre les étapes dans Configurer Devolutions Server pour utiliser l'authentification unique de domaine (SSO).
Bien que Devolutions Server ne dicte pas en soi quels ports utiliser pour l'accès à ses ressources, nous recommandons néanmoins la pratique de sécurité de la ségrégation réseau. Vous devez consulter votre administrateur système pour déterminer quels ajustements doivent être faits pour que le système interopère avec votre infrastructure. Voir Ports et pare-feux.
Les communications sécurisées garantissent l'intégrité et la confidentialité des données transmises entre le client et le serveur. En tant que tel, il est important de sécuriser les communications LDAP avec la méthode LDAP sur SSL (LADPS). Voir Domaine pour apprendre comment l'activer.
Après avoir configuré l'instance Devolutions Server et vous être connecté via une application client, vous pouvez suivre les étapes de Configurer SSL pour importer un certificat ou créer un certificat autogénéré, créer une liaison SSL, activer HTTPS, et configurer les paramètres SSL dans les applications clientes. Réaliser ces étapes dès le début peut ajouter un niveau de complexité qui peut vous empêcher de réussir la configuration initiale.
Si vous mettez à niveau votre Devolutions Server d'une version antérieure à 2022.1 à la version 2022.2 ou ultérieure, suivez les étapes dans URI d'accès. Lors du processus de mise à niveau ou du processus d'installation de Devolutions Server, nous devons fournir un URI d'accès. Cet URI est une URL de redirection utilisée par le système OAuth et redirige le trafic d'authentification vers l'URI d'accès.
Pour garantir que la communication entre l'instance Devolutions Server et la base de données SQL Server est chiffrée, une procédure détaillée doit être suivie sur l'instance SQL Server. Voir Chiffrement des connexions SQL Server.
Lors de l'utilisation de comptes de connexion SQL Server, chiffrer les fichiers web.config et appsettings.json est d'une importance capitale, car des informations sensibles y sont stockées. Visiter Chiffrement du fichier web.config pour plus d'informations et de recommandations.
La clé de chiffrement est utilisée pour chiffrer les entrées de données (connexions, coffre de l'utilisateur, documentation, et pièces jointes). Les clés de chiffrement sont générées et stockées dans le fichier encryption.config uniquement sur le serveur. Apprendre à les exporter, importer, et régénérer dans Gérer les clés de chiffrement.
Pour les entreprises qui nécessitent des normes fédérales de traitement de l'information (FIPS en abrégé), se référer à FIPS (chiffrement).
Le gestionnaire de sauvegarde, accessible depuis l'interface web de Devolutions Server, permet aux administrateurs de configurer les paramètres de sauvegarde de la base de données et du dossier de l'application web et de planifier les sauvegardes à intervalles récurrents. Les sauvegardes doivent être activées et configurées sur un support externe ou un stockage en nuage pour éviter une perte permanente de données. Voir Devolutions Server reprise après sinistre pour plus d'infos sur les sauvegardes requises en cas d'incidents.
Concernant les journaux, il est recommandé de les envoyer à un système externe pour maintenir l'intégrité et la disponibilité des informations sur les événements. Configurer la fonctionnalité de journalisation dans l'interface web de Devolutions Server.
Une durée de session excessive peut permettre une exposition au-delà du nécessaire à des utilisateurs non autorisés. La durée de vie du jeton de rafraîchissement doit donc être configurée dans les 24 heures (1 440 minutes). Cela peut être configuré dans les paramètres avancés du serveur via l'interface web Devolutions Server.
Une configuration de serveur de courriel est requise pour transmettre les messages importants de l'application tels que les événements de sécurité ou les erreurs. Ils peuvent être configurés dans l'interface web. Voir Configurer un courriel SMTP ou Configurer un courriel SMTP avec Azure pour les étapes de configuration et les informations sur chaque paramètre.
Il est recommandé d'ajouter une autre couche de sécurité en activant et en définissant un mot de passe pour la console Devolutions Server. Apprendre à propos de ce réglage de mot de passe et de tous les autres réglages de la console Devolutions Server dans Console Devolutions Server.
Le tableau de bord sécurité de Devolutions Server est un outil qui offre des conseils sur la façon d'améliorer la sécurité de la plateforme Devolutions Server et des astuces pour réduire la charge de travail des administrateurs. Certaines astuces sont des meilleures pratiques en matière de sécurité de l'information, d'autres sont un consensus entre nos propres équipes. Il est accessible à tout moment dans l'interface web de Devolutions Server, dans Administration – Tableau de bord sécurité.
Les scores sont certes discutables et nous ne prétendons pas que chaque rubrique ait la même valeur relative pour tous les membres de la communauté. Atteindre 100 % n'est sûrement pas un objectif en soi ; nous visons simplement à sensibiliser et à fournir des idées pour votre propre renforcement de la sécurité.
Donnez-nous vos commentaires