Sécurité : Gestion des paramètres de sécurité

Gestion

Sécurité

Authentification

Méthode d’authentification par défaut

La méthode d’authentification par défaut est Nom d’utilisateur & Mot de passe. Si l’authentification sans mot de passe est activée, FIDO2 sans mot de passe peut être sélectionné comme méthode d’authentification par défaut. Si l’authentification sans mot de passe est activée, l’une ou l’autre méthode d’authentification peut être sélectionnée lors de la connexion.

Activer l’authentification FIDO2 sans mot de passe

Cette fonction permet aux utilisateurs du fournisseur de sécurité local ou aux utilisateurs fournisseurs de s’enregistrer et de se connecter avec des authentificateurs certifiés FIDO2 au lieu d’un mot de passe. Les dispositifs d’authentification FIDO2 doivent prendre en charge CTAP2 et être en mesure d’effectuer la vérification de l’utilisateur à l’aide de la biométrie ou d’un code PIN.

Cette fonction est activée par défaut. Décochez la case pour la désactiver. Si elle est décochée :

  • la section Authentificateurs sans mot de passe dans Mon compte > Sécurité est masquée ;
  • l’option FIDO2 sans mot de passe n’est pas disponible dans les menus déroulants de connexion ;
  • les utilisateurs ne peuvent pas se connecter en utilisant des authentificateurs précédemment enregistrés.

Le fait de décocher cette fonction ne supprime pas les authentifications précédemment enregistrées. S’il est nécessaire de les supprimer, il faut le faire avant de désactiver la fonction.

Les utilisateurs dont l’authentification sans mot de passe est enregistrée peuvent continuer à se connecter en utilisant leur nom d’utilisateur et leur mot de passe. Cela peut être utile s’ils doivent se connecter en utilisant un appareil qui ne prend pas en charge l’authentification sans mot de passe.

Cette fonction ne peut pas se limiter à des utilisateurs ou groupes d’utilisateurs spécifiques.

Pour plus d’informations et pour enregistrer des authentificateurs, consultez Authentificateurs sans mot de passe.

Verrouillage du compte au bout de

Définissez le nombre de saisies incorrectes d’un mot de passe avant blocage du compte.

Durée du blocage du compte

Définissez la durée d’attente d’un utilisateur bloqué avant qu’il puisse se reconnecter. Vous pouvez aussi demander à un administrateur de débloquer son compte.

Mots de passe

Longueur minimum du mot de passe

Définissez des règles pour la longueur des mots de passe des comptes d’utilisateurs locaux.

Exiger des mots de passe complexes

Définissez des règles pour la complexité des mots de passe des comptes d’utilisateurs locaux.

Expiration du mot de passe par défaut

Définissez à quelle fréquence les mots de passe des comptes d’utilisateurs locaux doivent expirer.

Autoriser la réinitialisation du mot de passe

Autorisez les utilisateurs ayant une adresse e-mail configurée à réinitialiser leurs mots de passe. Le lien fourni dans les e-mails de réinitialisation de mot de passe est valide jusqu’à ce qu’un des événements suivants se produise :

  • Vingt-quatre heures se sont écoulées.
  • Le lien a été cliqué, et le mot de passe a bien été réinitialisé.
  • Le système envoie un autre lien à l’adresse e-mail.

Console d’accès

Mettre fin à la session si le compte est en cours d’utilisation

Si un utilisateur essaie de se connecter à la console d’accès avec un compte en cours d’utilisation et que la case Mettre fin à la session est cochée, la connexion précédente est interrompue pour autoriser la nouvelle connexion.

Autoriser l’enregistrement des informations de connexion

Autorisez ou non la console d’accès à mémoriser les informations d’authentification d’un utilisateur.

Déconnecter un utilisateur inactif au bout de

Définissez le délai d’attente avant qu’un utilisateur inactif ne soit déconnecté d’une console d’accès, afin de permettre à un autre utilisateur d’y accéder.

Activer l’alerte et la notification de déconnexion sur les délais d’inactivité dépassés

Réglez cette option de sorte qu’une notification soit transmise à un utilisateur inactif 30 secondes avant qu’une déconnexion ne se produise. L’utilisateur recevra aussi une autre notification dès que la déconnexion se sera produite.

Supprimer un utilisateur d’une session après une période d’inactivité

Cette option oblige un utilisateur à abandonner la session après une période d’inactivité définie. Ceci aide les clients BeyondTrust à satisfaire aux initiatives de conformité en matière d’inactivité. L’utilisateur reçoit une notification 1 minute avant la déconnexion et a la possibilité de réinitialiser le délai d’attente.

Un utilisateur est considéré comme actif dans une session lorsqu’un fichier est en cours de transfert, par le biais de onglet de transfert ou de l’interface de la messagerie, ou lorsqu’il clique sur la souris ou qu’il appuie sur un bouton de l’onglet de session. Le simple déplacement de la souris n’est pas considéré comme une activité. Dès l’interruption d’une activité, le compteur d’inactivité est mis en marche.

Autoriser la Console d’accès mobile et la Console d’accès Privileged Web à se connecter

Donnez aux utilisateurs la possibilité d’accéder à des systèmes distants à travers l’appli de la console d’accès BeyondTrust pour iOS et Android, ainsi qu’à travers la console d’accès Privileged Web, une console d’accès sur navigateur.

Mode de synchronisation du presse-papiers

Le Mode de synchronisation du presse-papiers détermine comment les utilisateurs sont autorisés à synchroniser les presse-papiers lors d’une session de partage d’écran. Les paramètres disponibles sont les suivants :

  • Automatique : Les presse-papiers du point de terminaison et de l’utilisateur sont automatiquement synchronisés lorsque l’un ou l’autre change.
  • Mises à jour manuelles : L’utilisateur doit cliquer sur l’une des icônes du presse-papiers sur la console d’accès pour envoyer du contenu ou extraire du contenu du presse-papiers du point de terminaison.

vous DEVEZ redémarrer le logiciel sur la page d’état pour que ce paramètre prenne effet.

Les administrateurs peuvent empêcher les utilisateurs d’accéder au presse-papiers, les autoriser à envoyer des données au point de terminaison ou à accéder dans les deux sens (envoyer et recevoir des données). Ces paramètres contrôlent les icônes de presse-papiers que l’utilisateur voit dans la console d’accès lorsque le mode Manuel est sélectionné, ainsi que le déroulement de la synchronisation en mode Automatique.

Un contrôle granulaire de l’accès au presse-papiers peut être défini pour les règles de session et celles de groupe, ainsi qu’être octroyé à des utilisateurs spécifiques. Veuillez consulter les liens ci-dessous pour chaque cas particulier :

Vous devez redémarrer le logiciel sur la page État pour que ce paramètre prenne effet.

Autoriser la recherche d’éléments de Jump externes

Cela permet la recherche d’éléments de Jump dans Password Safe, lorsque Privileged Remote Access (PRA) dispose d’une intégration Password Safe et d’un gestionnaire d’informations d’authentification de point de terminaison (ECM) complètement configuré.

vous devez redémarrer le logiciel pour que ce paramètre prenne effet. Lorsque vous activez ou désactivez ce paramètre, vous êtes invité à redémarrer maintenant ou à redémarrer plus tard à partir de la page État dans /login.

Jumpoint pour des sessions d’éléments de Jump externes

Ce champ est disponible uniquement lorsque l’option Autoriser la recherche d’éléments de Jump externes est cochée. Toutes les sessions démarrées à partir d’éléments de Jump externes sont exécutées via le Jumpoint sélectionné ici ou, dans le cas où plusieurs Jumpoints sont déployés sur des points de terminaison à travers des réseaux segmentés, le Jumpoint utilisé peut être sélectionné automatiquement par comparaison avec le Network ID d’un élément de Jump externe. Un Jumpoint doit être positionné sur le réseau de sorte à disposer d’une connectivité à l’un des éléments de Jump externes renvoyés par l’ECM.

Sélectionnez le Jumpoint à utiliser pour les sessions de Jump externes dans la liste déroulante des Jumpoints disponibles, ou laissez la sélection Automatiquement sélectionné par le Network ID de l’élément de Jump externe par défaut pour permettre à PRA de déterminer quel Jumpoint gère la session.

  • Le Network ID d’élément de Jump externe est un attribut que vous devez définir sur le Jumpoint à partir de Jump > Jumpoint dans /login. Il est équivalent à l’attribut Groupe de travail des systèmes gérés dans Password Safe. Sa valeur est comparée à la propriété Network ID pour les éléments de Jump externes renvoyés par l’ECM pour déterminer quel Jumpoint traitera une session.

    • Nom du groupe d’éléments de Jump externe

    Ce champ est disponible uniquement lorsque l’option Autoriser la recherche d’éléments de Jump externes est cochée. Vous pouvez saisir un nom pour le groupe de Jump externe ou laisser l’option Éléments de Jump externes par défaut. Ce nom s’affiche en tant que nom du groupe de Jump lors de l’affichage des éléments de Jump dans la console d’accès ou la console d’accès Web. Cliquez sur Enregistrer si vous avez modifié le nom du groupe par défaut.

    Enregistrer les commandes d’action spéciale « Exécuter en tant que » dans les rapports de session

    Décochez cette option pour ne plus enregistrer et signaler toutes les commandes Exécuter en tant que. Puisque l’intégralité de la commande est enregistrée, toutes les informations d’authentification transmises en tant que paramètre de la commande seront enregistrées.

    Divers

    Nombre de jours de conservation des informations enregistrées

    Dans Nombre de jours de conservation des informations enregistrées, définissez la durée pendant laquelle les informations de journalisation doivent être stockées sur la B Series Appliance. Ces informations comprennent les données de rapport de la session ainsi que les enregistrements. Vous pouvez conserver les données de rapport et d’enregistrement d’une session sur une B Series Appliance pendant 90 jours au maximum. Il s’agit de la valeur par défaut pour une nouvelle installation. Il arrive que les enregistrements de certaines sessions ne soient pas disponibles, même lorsque la limite de conservation n’est pas dépassée. Les contraintes liées à l’espace du disque ou le paramètre Nombre de jours de conservation des informations enregistrées peuvent être à l’origine de ce problème.

    La B Series Appliance exécute un script de maintenance chaque jour pour vérifier que l’utilisation du disque est inférieure à 90 %. Si cette limite est dépassée, le script supprime les enregistrements de session selon une formule donnée jusqu’à ce que l’utilisation du disque soit inférieure à 90 %. Si le paramètre Nombre de jours de conservation des informations enregistrées a été modifié récemment, il est possible qu’il ne soit pris en compte qu’après un délai de 24 heures.

    Lorsqu’on souhaite conserver les données ou les enregistrements au-delà du délai fixé, BeyondTrust conseille d’utiliser l’API de rapport.

    Clé pré-partagée de communication entre appliances

    cette fonction n’est disponible que pour les clients possédant une BeyondTrust Appliance B Series dans leurs locaux. Les clients du Cloud BeyondTrust n’ont pas accès à cette fonction.

    Entrez un mot de passe dans le champ Clé pré-partagée de communication entre appliances pour établir une relation de confiance entre deux B Series Appliances. Des clés correspondantes sont requises pour la configuration de deux B Series Appliances ou plus pour des fonctions, telles que la reprise en séquence ou le clustering. La clef doit comporter au moins 6 caractères et contenir au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial.

    Nombre de jours de conservation des informations enregistrées sur les éléments de Jump

    Choisissez la durée pendant laquelle les données de rapport d’éléments de Jump seront accessibles à partir de l’appliance. Comme les données sont purgées une seule fois par jour, elles peuvent rester accessibles jusqu’à 24 heures au-delà du paramètre sélectionné ici.

    Restrictions de réseau

    Déterminez les réseaux IP pouvant accéder aux interfaces /login et /api ainsi qu’à la console d’accès BeyondTrust sur votre B Series Appliance. Si vous activez des restrictions réseau, vous pouvez également définir les réseaux sur lesquels une console d’accès ou plusieurs peuvent être utilisées.

    Interface d’administration (/login) et interface API (/api)

    • Toujours appliquer des restrictions réseau : lorsque sélectionnée, vous avez la possibilité de créer soit une liste d’autorisations contenant uniquement les réseaux autorisés, soit une liste de refus contenant les réseaux auxquels l’accès est refusé. Lorsque cette option est sélectionnée, vous pouvez déterminer quelles restrictions, le cas échéant, devraient s’appliquer aux consoles d’accès bureau, mobile et Web.
    • Ne jamais appliquer de restrictions réseau : lorsque sélectionnée, aucune restriction n’est appliquée et aucune autre option ne permet d’appliquer de restrictions pour les consoles de bureau, mobile et Web.

    Console d’accès bureau et mobile

    • Toujours appliquer des restrictions réseaux : lorsque sélectionnée, elle hérite des restrictions réseau mises en place pour l’interface d’administration.
    • Ne jamais appliquer de restrictions réseau : lorsque cette option est sélectionnée, aucune restriction n’est appliquée aux consoles de bureau et mobile, mais vous avez la possibilité d’appliquer des restrictions pour la console d’accès Web.
    • N’appliquer des restrictions réseau que pour la première authentification d’un utilisateur : cela applique les restrictions sélectionnées ci-dessus, mais seulement lors de la première connexion d’un utilisateur.

    Console Web (/console)

    • Toujours appliquer des restrictions réseau : lorsque cette option est sélectionnée, la console d’accès Web hérite des restrictions mises en place pour l’interface d’administration.
    • Ne jamais appliquer de restrictions réseau : lorsque cette option est sélectionnée, aucune restriction n’est appliquée à la console d’accès Web, même si des restrictions sont en place pour les autres méthodes de console d’accès.

    Pour plus d’informations, veuillez consulter le Guide de la Console d’accès Privileged Web.

    Restrictions de ports pour l’interface Web d’administration

    cette fonction n’est disponible que pour les clients possédant une BeyondTrust Appliance B Series dans leurs locaux. Les clients du Cloud BeyondTrust n’ont pas accès à cette fonction.

    Définissez les ports d’accès à l’interface /login.

    Configuration du proxy

    Configurez un serveur proxy pour contrôler le flux de données pour les informations envoyées par la B Series Appliance. Cela s’applique aux événements sortants et aux appels d’API.

    Protocole proxy

    Configurez les types de proxy HTTP ou HTTPS pour la connectivité sortante à partir de la B Series Appliance.

    Activer la configuration du proxy

    Cochez la case pour activer les paramètres de proxy sortant.

    Hôte proxy

    Saisissez l’adresse IP ou le nom d’hôte de votre serveur proxy.

    Port proxy

    Saisissez le port qu’utilise votre serveur proxy. Le port par défaut est 1080.

    Nom d’utilisateur et mot de passe de proxy

    Si votre serveur proxy requiert une authentification, indiquez un nom d’utilisateur et un mot de passe.

    Tester

    Cliquez sur Tester pour vous assurer que les paramètres de configuration sont correctement saisis. Le résultat actuel du test est affiché dans la zone Dernier résultat du test. Les messages d’erreur indiquent ce qui doit être corrigé dans les paramètres de configuration.

    Configuration ICAP

    Vous pouvez configurer les transferts de fichiers pour qu’ils passent par l’appliance Secure Remote Access et soient analysés par un serveur Internet Content Adaptation Protocol (ICAP). Si le serveur ICAP indique qu’un fichier est malveillant, il n’est pas envoyé.

     

    Les transferts de fichiers ne peuvent pas être envoyés à un serveur ICAP dans les cas suivants : Transferts de fichiers basés sur le Jump en tunnel par protocole, transferts de fichiers du presse-papiers dans les sessions RDP et transferts de fichiers d’outils externes dans les sessions RDP ou Shell Jump. Même si le protocole ICAP est activé, ces transferts ne sont pas analysés.

    l’activation d’ICAP ou la modification de l’URL ICAP nécessite le redémarrage de l’appliance pour s’assurer que les clients sont reconnectés et correctement configurés. Dans un environnement Atlas, une synchronisation est nécessaire.

    L’utilisation d’ICAP réduit les performances des transferts de fichiers en raison des étapes et de l’analyse supplémentaires. Si le serveur ICAP est hors service, les transferts de fichiers échouent.

    Une mauvaise configuration ICAP empêche les Jumpoints de fonctionner correctement.

    Paramètres ICAP

    Saisissez l’URL du serveur ICAP. Celle-ci est fournie par le fournisseur de votre serveur ICAP. Le port par défaut est 1344. Si vous utilisez un autre port, vous devez le saisir avec l’URL, dans le format suivant : icap://example.com:0000 ou icaps://example.com:0000.

    Si le protocole est icaps://, cochez la case Utiliser un certificat AC. Cliquez ensuite sur Choisir un certificat et transférez le certificat.

    si vous utilisez un certificat ICAPS auto-signé et que vous ne fournissez pas de certificat AC permettant de le valider, tous les transferts de fichiers de session échoueront.

    Les certificats expirés ou non valides entraînent l’échec des transferts de fichiers de session, qu’un certificat AC ait été fourni ou non.

    Cliquez sur Enregistrer les paramètres ICAP avant de procéder aux tests.

    Test de la connexion ICAP

    Après avoir saisi et enregistré les paramètres ICAP, cliquez sur TEST AVEC UN FICHIER et sélectionnez un fichier à transférer. Trois résultats sont possibles :

    • une erreur de connexion. Un en-tête d’erreur et les journaux ICAP s’affichent (s’ils sont disponibles).
    • un fichier malveillant est détecté. Un en-tête d’avertissement et les détails de la réponse s’affichent. La nature exacte du contenu malveillant ne s’affiche pas.
    • Aucun problème n’est détecté. Les détails de la réponse s’affichent.