Tableau de bord de sécurité Devolutions Server

Sur cette page

Le Tableau de bord de sécurité est un outil pour offrir des conseils sur la manière d'améliorer la sécurité de la plateforme Devolutions Server et aussi des astuces sur la réduction de la charge de travail pour les administrateurs. Certaines astuces sont des meilleures pratiques bien connues dans la sécurité de l'information, d'autres sont un consensus entre nos propres équipes.

Les scores sont certes sujets à discussion et nous ne prétendons pas que chaque rubrique a la même valeur relative pour tous les membres de notre communauté. Atteindre 100 % n'est sûrement pas un objectif final en soi, nous visons simplement à sensibiliser et à fournir des idées pour votre propre renforcement de sécurité.

KB4707

Améliorer les éléments d'action

Configurer l'annuaire actif pour utiliser un canal de communication sécurisé
Description Le protocole LDAPS doit être utilisé pour assurer la confidentialité et l'intégrité des communications sur le réseau. Sinon, des actions comme la réinitialisation de mots de passe pourraient envoyer le mot de passe en clair sur le réseau.
Atténuation Dans l'interface web Administration – Paramètres du serveur – Authentification – Domaine, vérifier Activer LDAPS.

Les copies de sauvegarde doivent être activées et configurées
Description Les copies de sauvegarde doivent être configurées sur un support externe ou un stockage en nuage pour éviter la perte permanente de données.

Les comptes de la base de données doivent être différents pour l'application web, le planificateur et les outils de gestion
Description Des privilèges minimaux doivent être octroyés et appliqués pour que les comptes de service et de base de données fonctionnent. Les comptes de service et de base de données partagés et excessivement privilégiés peuvent induire une exposition inutile aux risques de sécurité.

Les notifications par courriel doivent être configurées
Description Une configuration de serveur de courriel est requise pour transmettre des messages importants de l'application tels que des événements de sécurité ou des erreurs.
Atténuation Les paramètres du serveur de courriel sont dans l'interface Web Administration – Paramètres du serveur – Courriel.

Configurer une destination de journalisation externe
Description Envoyer des journaux à un système externe est recommandé pour maintenir l'intégrité et la disponibilité des informations d'événement.
Atténuation Le journal est configuré dans l'interface web Administration – Paramètres du serveur – Journalisation.

Les communications https sécurisées doivent être activées
Description Les communications sécurisées garantissent l'intégrité et la confidentialité des données transmises entre le client et le serveur.

Les sessions doivent être revalidées dans les 24 heures
Description Une durée de session excessive peut permettre une exposition au-delà du nécessaire pour les utilisateurs non autorisés. La durée de vie du jeton de rafraîchissement doit donc être configurée dans les 24 heures (1440 min).

Le nombre d'administrateurs ne doit pas dépasser 5
Description Limiter le nombre d'administrateurs actifs au sein de la plateforme réduira la surface d'attaque d'un attaquant à seulement ces comptes configurés. Avoir plus de 5 administrateurs peut également être un signe de mauvaise séparation des tâches au sein de l'unité commerciale ou de l'organisation.

Éviter le compte de base de données mssql 'sa' par défaut
Description Le compte administratif MSSQL par défaut est un compte à haut niveau de privilège qui doit être utilisé uniquement pour gérer l'instance de base de données. Un utilisateur ou un compte de service moins chargé de privilèges est préféré pour réduire l'impact d'une compromission.

Chiffrer le fichier de configuration du serveur
Description Les informations sensibles sont stockées dans le fichier de configuration web.config. Il est recommandé d'activer le chiffrement pour empêcher toute altération et assurer la confidentialité.

Le niveau de sécurité du coffre doit être réglé sur élevé
Description Le niveau de sécurité du coffre doit être réglé sur élevé dans les paramètres du coffre. Un coffre de haute sécurité n'a pas accès au mode hors ligne.
Atténuation Les paramètres du coffre se trouvent dans l'interface web de Devolutions Server sous Administration – Gestion des utilisateurs et de la sécurité – Coffres. Éditer un coffre pour ouvrir la fenêtre de modification des paramètres du coffre et sélectionner Élevé dans le menu déroulant sous Général – Niveau de sécurité.
Devolutions Forum logo Donnez-nous vos commentaires