> For the complete documentation index, see [llms.txt](https://docs.devolutions.net/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.devolutions.net/rdm/fr/knowledge-base/knowledge-base-articles/remote-desktop-manager-security-dashboard.md). # Tableau de bord de sécurité de Remote Desktop Manager Le tableau de bord de sécurité est un outil conçu pour fournir des conseils sur la façon d'améliorer la sécurité de la plateforme Remote Desktop Manager, ainsi que des astuces pour réduire la charge de travail des administrateurs. Certains conseils relèvent des meilleures pratiques courantes en matière de sécurité de l'information, d'autres sont le fruit d'un consensus entre nos propres équipes. Les scores sont certes sujets à discussion et nous ne prétendons pas que chaque sujet a la même valeur relative pour tous les membres de notre communauté. Atteindre 100 % n'est certainement pas une fin en soi ; nous cherchons simplement à sensibiliser et à proposer des idées pour votre propre renforcement de la sécurité. ### Éléments d'action d'amélioration #### Une politique de mot de passe par défaut devrait être configurée Les politiques de mot de passe définissent les exigences applicables aux mots de passe générés avec les générateurs de mots de passe. **Atténuation** Dans ***Administration*** – ***Politiques de mot de passe***, sélectionnez ***Ajouter*** pour créer une politique de mot de passe. Ensuite, la politique de mot de passe par défaut peut être sélectionnée dans ***Administration*** – ***Paramètres système*** – ***Politique de mot de passe***. *** #### Un fournisseur de sécurité devrait être utilisé Par défaut, les mots de passe ne sont pas protégés au repos. Lorsqu'un fournisseur de sécurité est configuré, les données sensibles contenues dans un espace de travail sont chiffrées. **Atténuation** Les fournisseurs de sécurité sont configurés dans ***Administration*** – ***Fournisseurs de sécurité***. *** #### Une clé maîtresse devrait être utilisée avec l'espace de travail L'utilisation d'une clé maîtresse chiffre le contenu sensible des fichiers d'espace de travail au format XML. **Atténuation** La clé maîtresse peut être définie sous ***Fichier*** – ***Changer la clé maîtresse***. *** #### Une version client minimale devrait être configurée La définition d'une version minimale de Remote Desktop Manager est recommandée pour s'assurer que les clients sont à jour et disposent des dernières fonctionnalités de sécurité. *** #### Les fichiers de configuration devraient être chiffrés à l'aide d'un mot de passe d'application Le mot de passe d'application devrait être utilisé pour chiffrer les informations sensibles dans les fichiers de configuration de Remote Desktop Manager. **Atténuation** Dans ***Fichier*** – ***Paramètres*** – ***Sécurité*** – ***Sécurité de l'application (local)***, choisissez ***Utiliser un mot de passe d'application*** et cochez ***Chiffrer les fichiers locaux à l'aide du mot de passe d'application***. *** #### HTTPS devrait être utilisé pour se connecter à l'espace de travail HTTPS est utilisé pour protéger la communication entre le client et le serveur hébergeant l'espace de travail. Le trafic via HTTP n'est pas chiffré et peut être intercepté et altéré par un tiers malveillant. **Atténuation** Configurez un certificat TLS sur le serveur et définissez l'URL de l'espace de travail pour qu'elle commence par **https\://**. Voir [Configure SSL](https://docs.devolutions.net/fr/server/kb/how-to-articles/configure-ssl/). *** #### La sécurité héritée devrait être désactivée La sécurité héritée a été dépréciée et sera complètement supprimée à partir de la version 2023.3 de Remote Desktop Manager. **Atténuation** Dans ***Administration*** – ***Paramètres système – Gestion des coffres – Paramètres de sécurité – Sécurité***, désactivez ***Utiliser la sécurité héritée***. Voir [Disable legacy security in Remote Desktop Manager](https://docs.devolutions.net/fr/rdm/kb/how-to-articles/migrate-legacy-security-permissions/). *** #### L'authentification multifacteur (MFA) devrait être imposée L'authentification multifacteur (MFA) exige un moyen d'authentification supplémentaire lors de la connexion à un espace de travail. Ce contrôle prévient l'abus de mots de passe compromis, divulgués ou faibles. Le logiciel peut être configuré pour imposer les exigences MFA à tous les utilisateurs. **Atténuation** Dans ***Administration*** – ***Paramètres système*** – ***Paramètres de sécurité***, activez ***Forcer la configuration de l'authentification à 2 facteurs de l'espace de travail***. *** #### Le mode hors ligne devrait être désactivé Par défaut, le mode hors ligne est activé et permet à Remote Desktop Manager de mettre automatiquement en cache les identifiants stockés dans les entrées sur le système client. Cette fonctionnalité devrait être désactivée dans les environnements à haute sécurité afin d'éviter toute exposition inutile de données sensibles. *** #### L'expiration des mots de passe devrait être activée pour les utilisateurs personnalisés Certaines normes de sécurité exigent que les mots de passe soient modifiés à intervalles réguliers. PCI DSS 4.0 exige que les mots de passe soient modifiés tous les 90 jours lorsque le mot de passe est le seul facteur d'authentification. **Atténuation** L'expiration des mots de passe peut être configurée dans ***Administration*** – ***Paramètres système*** – ***Paramètres de sécurité*** – ***Expiration du mot de passe des utilisateurs personnalisés (jours)***. *** #### Les événements à risque devraient être désactivés ou générer un avertissement Les événements d'entrée peuvent effectuer des actions puissantes, comme l'exécution d'un programme externe ou d'un script lors de l'ouverture d'une entrée. Ces événements représentent un risque s'ils sont modifiés par un acteur malveillant et peuvent être désactivés s'ils ne sont pas nécessaires. Remote Desktop Manager peut également être configuré pour afficher un avertissement lorsqu'un tel événement est sur le point d'être exécuté. **Atténuation** Dans ***Administration*** – ***Paramètres système*** – ***Sécurité***, définissez ***Événements de session*** sur ***Avertir en cas d'événements à risque***, ***Désactiver les événements à risque*** ou ***Désactiver tous les événements***. *** #### Les SMS ne devraient pas être utilisés pour l'authentification multifacteur Les SMS ne sont pas recommandés pour l'authentification à 2 facteurs. Un mécanisme plus robuste basé sur une application d'authentification ou une clé de sécurité physique devrait être utilisé à la place. *** #### Les connexions SQL devraient utiliser TLS TLS protège les communications entre Remote Desktop Manager et l'instance SQL Server. **Atténuation** Configurez SQL Server pour prendre en charge les connexions TLS et ajoutez **encrypt=true** à la connexion SQL Server. *** #### La variable de mot de passe de l'espace de travail devrait être désactivée Lorsque cette option est activée, la variable `DATA_SOURCE_PASSWORD` se résout en mot de passe de l'espace de travail. Cette option devrait être désactivée si elle n'est pas nécessaire. **Atténuation** Dans ***Administration – Paramètres système – Politique de mot de passe***, décochez ***Autoriser la variable de mot de passe de l'espace de travail***. *** #### L'analyseur de force des mots de passe devrait utiliser zxcvbn Zxcvbn est recommandé par rapport à l'analyseur de force des mots de passe hérité, car il est plus fiable. **Atténuation** Dans ***Administration – Paramètres système – Politique de mot de passe***, définissez ***Calculateur de force des mots de passe*** sur ***Zxcvbn***. *** #### La validation des certificats TLS devrait être activée La validation des certificats garantit que la connexion est établie avec la partie souhaitée et protège contre les attaques d'interception de données. **Atténuation** Dans ***Fichier – Paramètres – Sécurité – Sécurité des certificats***, décochez ***Ignorer les erreurs de certificat d'application***. *** #### Le chiffrement transparent des données (TDE) devrait être utilisé avec SQL Server Le chiffrement transparent des données chiffre les données de la base de données au repos, ce qui atténue les risques en cas de vol de disques physiques ou de bandes de sauvegarde. *** #### L'activité du coffre utilisateur devrait être journalisée Les journaux d'activité du coffre utilisateur peuvent fournir des informations supplémentaires lors de la réponse à un incident. **Atténuation** Dans ***Administration – Paramètres système – Coffre utilisateur***, cochez ***Journaliser les activités du coffre utilisateur***. *** #### Les coffres devraient être créés avec des autorisations restreintes par défaut Il est préférable d'accorder des droits aux utilisateurs selon les besoins. En activant cette option, les coffres seront créés avec un ensemble d'autorisations plus limité. **Atténuation** Dans ***Administration*** – ***Paramètres système*** – ***Sécurité***, cochez ***Créer des coffres avec un accès restreint par défaut***. *** #### Les avertissements pour les connexions RDP non approuvées devraient être activés Lorsqu'un certificat inconnu est présenté, le client RDP devrait être configuré pour afficher un avertissement (***M'avertir***) ou interrompre la connexion (***Ne pas se connecter***). **Atténuation** Dans ***Fichier*** – ***Paramètres*** – ***Types*** – ***Bureau à distance***, définissez ***Niveau d'authentification*** sur ***M'avertir*** ou ***Ne pas se connecter***. *** #### Le chiffrement Zip devrait utiliser le mode AES L'algorithme ZipCrypto est considéré comme non sécurisé et AES devrait être utilisé à la place. Il est vulnérable aux attaques par texte clair connu, qui peuvent permettre de récupérer le contenu de l'archive sans connaître le mot de passe (voir [Why You Should Never Use the NativeZip Crypto in Windows](https://blog.devolutions.net/2020/08/why-you-should-never-use-zipcrypto/) pour plus de détails sur cette attaque). **Atténuation** Dans ***Fichier – Paramètres – Avancé***, décochez ***Utiliser la compression ZipCrypto (non recommandé)***. *** #### Voir aussi * [Devolutions Blog - Spotlight on: Remote Desktop Manager security dashboard](https://blog.devolutions.net/2024/11/spotlight-on-remote-desktop-manager-security-dashboard/) --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.devolutions.net/rdm/fr/knowledge-base/knowledge-base-articles/remote-desktop-manager-security-dashboard.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.