Sécurité : Gestion des paramètres de sécurité
Gestion
Sécurité
Mots de passe
Longueur minimum du mot de passe
Définissez des règles pour la longueur des mots de passe des comptes d’utilisateurs locaux.
Exiger des mots de passe complexes
Définissez des règles pour la complexité des mots de passe des comptes d’utilisateurs locaux.
Expiration du mot de passe par défaut
Définissez à quelle fréquence les mots de passe des comptes d’utilisateurs locaux doivent expirer.
Autoriser la réinitialisation du mot de passe
Autorisez les utilisateurs ayant une adresse e-mail configurée à réinitialiser leurs mots de passe. Le lien fourni dans les e-mails de réinitialisation de mot de passe est valide jusqu’à ce qu’un des événements suivants se produise :
- Vingt-quatre heures se sont écoulées.
- Le lien a été cliqué, et le mot de passe a bien été réinitialisé.
- Le système envoie un autre lien à l’adresse e-mail.
Verrouillage du compte au bout de
Définissez le nombre de saisies incorrectes d’un mot de passe avant blocage du compte.
Durée du blocage du compte
Définissez la durée d’attente d’un utilisateur bloqué avant qu’il puisse se reconnecter. Vous pouvez aussi demander à un administrateur de débloquer son compte.
Console d’accès
Mettre fin à la session si le compte est en cours d’utilisation
Si un utilisateur essaie de se connecter à la access console avec un compte en cours d’utilisation et que la case Mettre fin à la session est cochée, la connexion précédente est interrompue pour autoriser la nouvelle connexion.
Autoriser l’enregistrement des informations de connexion
Autorisez ou non la access console à mémoriser les informations d’authentification d’un utilisateur.
Déconnecter un utilisateur inactif au bout de
Définissez le délai d’attente avant qu’un utilisateur inactif ne soit déconnecté d’une access console, afin de permettre à un autre utilisateur d’y accéder.
Activer l’alerte et la notification de déconnexion sur les délais d’inactivité dépassés
Réglez cette option de sorte qu’une notification soit transmise à un utilisateur inactif 30 secondes avant qu’une déconnexion ne se produise. L’utilisateur recevra aussi une autre notification dès que la déconnexion se sera produite.
Supprimer un utilisateur d’une session après une période d’inactivité
Cette option oblige un utilisateur à abandonner la session après une période d’inactivité définie. Ceci aide les clients BeyondTrust à satisfaire aux initiatives de conformité en matière d’inactivité. L’utilisateur reçoit une notification 1 minute avant la déconnexion et a la possibilité de réinitialiser le délai d’attente.
Un utilisateur est considéré comme actif dans une session lorsqu’un fichier est en cours de transfert, par le biais de onglet de transfert ou de l’interface de la messagerie, ou lorsqu’il clique sur la souris ou qu’il appuie sur un bouton de l’onglet de session. Le simple déplacement de la souris n’est pas considéré comme une activité. Dès l’interruption d’une activité, le compteur d’inactivité est mis en marche.
Méthode d’authentification par défaut de la Access Console
Sélectionnez la méthode d’authentification par défaut. La méthode d’authentification sélectionnée ici est automatiquement sélectionnée sur la page de connexion lorsque l’utilisateur se connectera à la access console la prochaine fois que le paramètre aura été modifié. Les utilisateurs peuvent au besoin sélectionner une méthode différente.
Vous pouvez modifier le paramètre à tout moment. Cependant, vous devez vous déconnecter de la access console et vous reconnecter pour voir le changement.
Autoriser la Access Console mobile et la Privileged Web Access Console à se connecter
Donnez aux utilisateurs la possibilité d’accéder à des systèmes distants à travers l’appli de la access console BeyondTrust pour iOS et Android, ainsi qu’à travers la privileged web access console, une access console sur navigateur.
Mode de synchronisation du presse-papiers
Le Mode de synchronisation du presse-papiers détermine comment les utilisateurs sont autorisés à synchroniser les presse-papiers lors d’une session de partage d’écran. Les paramètres disponibles sont les suivants :
- Automatique : Les presse-papiers du point de terminaison et de l’utilisateur sont automatiquement synchronisés lorsque l’un ou l’autre change.
- Mises à jour manuelles : L’utilisateur doit cliquer sur l’une des icônes du presse-papiers sur la access console pour envoyer du contenu ou extraire du contenu du presse-papiers du point de terminaison.
vous DEVEZ redémarrer le logiciel sur la page d’état pour que ce paramètre prenne effet.
Les administrateurs peuvent empêcher les utilisateurs d’accéder au presse-papiers, les autoriser à envoyer des données au point de terminaison ou à accéder dans les deux sens (envoyer et recevoir des données). Ces paramètres contrôlent les icônes de presse-papiers que l’utilisateur voit dans la access console lorsque le mode Manuel est sélectionné, ainsi que le déroulement de la synchronisation en mode Automatique.
Un contrôle granulaire de l’accès au presse-papiers peut être défini pour les règles de session et celles de groupe, ainsi qu’être octroyé à des utilisateurs spécifiques. Veuillez consulter les liens ci-dessous pour chaque cas particulier :
- Utilisateurs : Ajouter des autorisations utilisateur pour un utilisateur ou un administrateur : Utilisateurs et sécurité > Utilisateurs > Ajouter > Autorisations de session > Partage d’écran
- Règles de session : configuration de règles de demande et d’autorisation de session : Utilisateurs et sécurité > Règles de session > Ajouter > Autorisation > Partage d’écran
- Règles de groupe : application d'autorisations utilisateur à des groupes d'utilisateurs : Utilisateurs et sécurité > Règles de groupe > Ajouter > Autorisations de session [défini]
vous DEVEZ redémarrer le logiciel sur la page d’état pour que ce paramètre prenne effet.
Autoriser la recherche d’éléments de Jump externes
Cela permet la recherche d’éléments de Jump dans Password Safe, lorsque Privileged Remote Access dispose d’une intégration Password Safe et d’un gestionnaire d’informations d’authentification de point de terminaison complètement configuré.
vous DEVEZ redémarrer le logiciel sur la page d’état pour que ce paramètre prenne effet.
Jumpoint pour des sessions d’éléments de Jump externes
Ce champ est disponible uniquement lorsque Autoriser la recherche d’éléments de Jump externes est coché. Sélectionnez le Jumpoint pour les sessions de Jump externes dans la liste déroulante des Jumpoints disponibles. Toutes les sessions démarrées à partir d’éléments de Jump externes sont exécutées via le Jumpoint sélectionné ici.
Nom du groupe d’éléments de Jump externe
Ce champ est disponible uniquement lorsque Autoriser la recherche d’éléments de Jump externes est coché. Saisissez le nom de votre choix pour le groupe de Jump externe. Ce nom apparaît lors de l’affichage des groupes de Jump dans la console d’accès ou la console d’accès Web. Le nom par défaut, Éléments de Jump externes, peut être utilisé.
vous DEVEZ redémarrer le logiciel sur la page d’état pour que ce paramètre prenne effet.
Divers
Nombre de jours de conservation des informations enregistrées
Dans Nombre de jours de conservation des informations enregistrées, définissez la durée pendant laquelle les informations de journalisation doivent être stockées sur la B Series Appliance. Ces informations comprennent les données de rapport de la session ainsi que les enregistrements. Vous pouvez conserver les données de rapport et d’enregistrement d’une session sur une B Series Appliance pendant 90 jours au maximum. Il s’agit de la valeur par défaut pour une nouvelle installation. Il arrive que les enregistrements de certaines sessions ne soient pas disponibles, même lorsque la limite de conservation n’est pas dépassée. Les contraintes liées à l’espace du disque ou le paramètre Nombre de jours de conservation des informations enregistrées peuvent être à l’origine de ce problème.
La B Series Appliance exécute un script de maintenance chaque jour pour vérifier que l’utilisation du disque est inférieure à 90 %. Si cette limite est dépassée, le script supprime les enregistrements de session selon une formule donnée jusqu’à ce que l’utilisation du disque soit inférieure à 90 %. Si le paramètre Nombre de jours de conservation des informations enregistrées a été modifié récemment, il est possible qu’il ne soit pris en compte qu’après un délai de 24 heures.
Lorsqu’on souhaite conserver les données ou les enregistrements au-delà du délai fixé, BeyondTrust conseille d’utiliser l’API de rapport.
Clé pré-partagée de communication entre appliances
cette fonction n’est disponible que pour les clients possédant une BeyondTrust Appliance B Series dans leurs locaux. Les clients du Cloud BeyondTrust n’ont pas accès à cette fonction.
Entrez un mot de passe dans le champ Clé pré-partagée de communication entre appliances pour établir une relation de confiance entre deux B Series Appliances. Des clés correspondantes sont requises pour la configuration de deux B Series Appliances ou plus pour des fonctions, telles que la reprise en séquence ou le clustering. La clef doit comporter au moins 6 caractères et contenir au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial.
Restrictions de réseau
Déterminez les réseaux IP pouvant accéder aux interfaces /login et /api ainsi qu’à la access console BeyondTrust sur votre B Series Appliance. Si vous activez des restrictions réseau, vous pouvez également définir les réseaux sur lesquels une access console ou plusieurs peuvent être utilisées.
Interface d’administration (/login) et interface API (/api)
- Toujours appliquer des restrictions réseau : lorsque sélectionnée, vous avez la possibilité de créer soit une liste Autoriser contenant uniquement les réseaux autorisés, soit une liste Refuser contenant les réseaux auxquels l’accès est refusé. Lorsque cette option est sélectionnée, vous pouvez déterminer quelles restrictions, le cas échéant, devraient s’appliquer aux consoles d’accès bureau, mobile et Web.
- Ne jamais appliquer de restrictions réseau : lorsque sélectionnée, aucune restriction n’est appliquée et aucune autre option ne permet d’appliquer de restrictions pour les consoles bureau, mobile et Web.
Console d’accès bureau et mobile
- Toujours appliquer des restrictions réseaux : lorsque sélectionnée, elle hérite des restrictions réseau mises en place pour l’interface d’administration.
- Ne jamais appliquer de restrictions réseau : lorsque cette option est sélectionnée, aucune restriction n’est appliquée aux consoles bureau et mobile, mais vous avez la possibilité d’appliquer des restrictions pour la access console.
- N’appliquer des restrictions réseau que pour la première authentification d’un utilisateur : cela applique les restrictions sélectionnées ci-dessus, mais seulement lors de la première connexion d’un utilisateur.
Console Web (/console)
- Toujours appliquer des restrictions réseau : lorsque cette option est sélectionnée, la access console hérite des restrictions mises en place pour l’interface d’administration.
- Ne jamais appliquer de restrictions réseau : lorsque cette option est sélectionnée, aucune restriction n’est appliquée à la access console, même si des restrictions sont en place pour les autres méthodes de console d’accès.
Pour plus d’informations, veuillez consulter le Guide de la Privileged Web Access Console.
Restrictions de ports pour l’interface Web d’administration
cette fonction n’est disponible que pour les clients possédant une BeyondTrust Appliance B Series dans leurs locaux. Les clients du Cloud BeyondTrust n’ont pas accès à cette fonction.
Définissez les ports d’accès à l’interface /login.
Configuration du proxy
Configurez un serveur proxy pour contrôler le flux de données pour les informations envoyées par la B Series Appliance. Cela s’applique aux événements sortants et aux appels d’API.
Protocole proxy
Configurez les types de proxy HTTP ou HTTPS pour la connectivité sortante à partir de la B Series Appliance.
Activer la configuration du proxy
Cochez la case pour activer les paramètres de proxy sortant.
Hôte proxy
Saisissez l’adresse IP ou le nom d’hôte de votre serveur proxy.
Port proxy
Saisissez le port qu’utilise votre serveur proxy. Le port par défaut est 1080.
Nom d’utilisateur et mot de passe de proxy
Si votre serveur proxy requiert une authentification, indiquez un nom d’utilisateur et un mot de passe.
Tester
Cliquez sur Tester pour vous assurer que les paramètres de configuration sont correctement saisis. Le résultat actuel du test est affiché dans la zone Dernier résultat du test. Les messages d’erreur indiquent ce qui doit être corrigé dans les paramètres de configuration.
