Le Tableau de bord de sécurité est un outil pour offrir des conseils sur la manière d'améliorer la sécurité de la plateforme Devolutions Server et aussi des astuces sur la réduction de la charge de travail pour les administrateurs. Certaines astuces sont des meilleures pratiques bien connues dans la sécurité de l'information, d'autres sont un consensus entre nos propres équipes.
Les scores sont certes discutables et nous ne prétendons pas que chaque sujet a la même valeur relative pour tous les membres de notre communauté. Atteindre 100% n'est sûrement pas un objectif en soi, nous visons simplement à sensibiliser et à fournir des idées pour votre propre renforcement de la sécurité.
|
|
| Description |
Le protocole LDAPS doit être utilisé pour assurer la confidentialité et l'intégrité des communications sur le réseau. Sinon, des actions comme la réinitialisation de mots de passe pourraient envoyer le mot de passe en clair sur le réseau. |
| Atténuation |
Dans l'interface web Administration – Paramètres du serveur – Authentification – Domaine, vérifier Activer LDAPS. |
|
|
| Description |
Les copies de sauvegarde doivent être configurées sur un support externe ou un stockage en nuage pour éviter la perte permanente de données. |
|
|
| Description |
Des privilèges minimaux doivent être octroyés et appliqués pour que les comptes de service et de base de données fonctionnent. Les comptes de service et de base de données partagés et excessivement privilégiés peuvent induire une exposition inutile aux risques de sécurité. |
|
|
| Description |
Une configuration de serveur de courriel est requise pour transmettre des messages importants de l'application tels que des événements de sécurité ou des erreurs. |
| Atténuation |
Les paramètres du serveur de courriel sont dans l'interface Web Administration – Paramètres du serveur – Courriel. |
|
|
| Description |
Envoyer des journaux à un système externe est recommandé pour maintenir l'intégrité et la disponibilité des informations d'événement. |
| Atténuation |
Le journal est configuré dans l'interface web Administration – Paramètres du serveur – Journalisation. |
|
|
| Description |
Les communications sécurisées garantissent l'intégrité et la confidentialité des données transmises entre le client et le serveur. |
|
|
| Description |
Une durée de session excessive peut permettre une exposition au-delà du nécessaire pour les utilisateurs non autorisés. La durée de vie du jeton de rafraîchissement doit donc être configurée dans les 24 heures (1440 min). |
|
|
| Description |
Limiter le nombre d'administrateurs actifs au sein de la plateforme réduira la surface d'attaque d'un attaquant à seulement ces comptes configurés. Avoir plus de 5 administrateurs peut également être un signe de mauvaise séparation des tâches au sein de l'unité commerciale ou de l'organisation. |
|
|
| Description |
Le compte administratif MSSQL par défaut est un compte à haut niveau de privilège qui doit être utilisé uniquement pour gérer l'instance de base de données. Un utilisateur ou un compte de service moins chargé de privilèges est préféré pour réduire l'impact d'une compromission. |
|
|
| Description |
Les informations sensibles sont stockées dans le fichier de configuration web.config. Il est recommandé d'activer le chiffrement pour empêcher toute altération et assurer la confidentialité. |
|
|
| Description |
Le niveau de sécurité du coffre doit être réglé sur élevé dans les paramètres du coffre. Un coffre de haute sécurité n'a pas accès au mode hors ligne. |
| Atténuation |
Les paramètres du coffre se trouvent dans l'interface web de Devolutions Server sous Administration – Gestion des utilisateurs et de la sécurité – Coffres. Éditer un coffre pour ouvrir la fenêtre de modification des paramètres du coffre et sélectionner Élevé dans le menu déroulant sous Général – Niveau de sécurité. |
Donnez-nous vos commentaires