Sécurité : gestion des paramètres de sécurité

Gestion > Sécurité

Sécurité :: Options

Longueur minimum du mot de passe

Définissez des règles pour la longueur des mots de passe des comptes d’utilisateurs locaux.

Exiger des mots de passe complexes

Définissez des règles pour la complexité des mots de passe des comptes d’utilisateurs locaux.

Expiration du mot de passe par défaut

Définissez à quelle fréquence les mots de passe des comptes d’utilisateurs locaux doivent expirer.

Autoriser la réinitialisation du mot de passe

Autorisez les utilisateurs ayant une adresse e-mail configurée à réinitialiser leurs mots de passe. Le lien fourni dans les e-mails de réinitialisation de mot de passe est valide jusqu’à ce qu’un des événements suivants se produise :

  • Vingt-quatre heures se sont écoulées.
  • Le lien a été visité et le mot de passe a été réinitialisé.
  • Le système envoie un autre lien à l’adresse e-mail.

Autoriser l’enregistrement des informations de connexion

Autorisez ou non la console d’accès à mémoriser les informations d’authentification d’un utilisateur.

Blocage du compte au bout de

Définissez le nombre de saisies incorrectes d’un mot de passe avant blocage du compte.

Durée du blocage du compte

Définissez la durée d’attente d’un utilisateur bloqué avant qu’il puisse se reconnecter. Vous pouvez aussi demander à un administrateur de débloquer son compte.

Mettre fin à la session si le compte est en cours d’utilisation

Si un utilisateur essaie de se connecter à la console d’accès avec un compte en cours d’utilisation et que la case Mettre fin à la session est cochée, la connexion précédente est interrompue pour autoriser la nouvelle connexion.

Déconnecter un utilisateur inactif après

Définissez le délai d’attente avant qu’un utilisateur inactif ne soit déconnecté d’une console d’accès, afin de permettre à un autre utilisateur d’y accéder.

Supprimer un utilisateur d’une session après une période d’inactivité

Cette option oblige un utilisateur à abandonner la session après une période d’inactivité définie. Les clients BeyondTrust peuvent ainsi satisfaire les initiatives de conformité en matière d’inactivité. L’utilisateur reçoit une notification 1 minute avant la déconnexion et a la possibilité de réinitialiser le délai d’attente.

Un utilisateur est considéré comme actif dans une session lorsqu’un fichier est en cours de transfert, par le biais de onglet de transfert ou de l’interface de la messagerie, ou lorsqu’il clique sur la souris ou qu’il appuie sur un bouton de l’onglet de session. Le simple déplacement de la souris n’est pas considéré comme une activité. Dès l’interruption d’une activité, le compteur d’inactivité est mis en marche.

Permettre à la console d’accès BeyondTrust et à la console d’accès Privileged Web BeyondTrust de se connecter

Donnez aux utilisateurs la possibilité d’accéder à des systèmes distants à travers l’appli de la console d’accès BeyondTrust pour iOS et Android, ainsi qu’à travers la console d’accès Privileged Web, une console d’accès sur navigateur.

Mode de synchronisation du presse-papiers

Le Mode de synchronisation du presse-papiers détermine comment les utilisateurs sont autorisés à synchroniser les presse-papiers lors d’une session de partage d’écran. Les paramètres disponibles sont les suivants :

  • Non autorisé – l’utilisateur ne peut pas accéder au presse-papiers de l’ordinateur distant ou le modifier.
  • Autorisé à envoyer manuellement le presse-papiers de l’utilisateur au client – L’utilisateur peut cliquer sur un bouton pour envoyer le contenu du presse-papiers local vers celui de l’ordinateur distant.
  • Autorisé à envoyer manuellement le presse-papiers dans les deux sens – L’utilisateur peut cliquer sur un bouton pour envoyer le contenu du presse-papiers local vers celui de l’ordinateur distant, ou pour copier le contenu du presse-papiers distant vers son presse-papiers local.
  • Envoyer automatiquement les changements du presse-papiers dans les deux sens : les contenus des presse-papiers local et distant restent automatiquement les mêmes.

Vous DEVEZ redémarrer le logiciel sur la page d’état pour que ce paramètre prenne effet.

Validation du certificat SSL

Vous pouvez demander la Validation du certificat SSL pour forcer le logiciel BeyondTrust (y compris les consoles d’accès, les clients de points de terminaison et les Jump Clients) à vérifier que la chaîne de certificat est reconnue, que le certificat n’a pas expiré et que le nom du certificat correspond au nom d’hôte du serveur BeyondTrust. Si la chaîne du certificat ne peut être correctement validée, la connexion est impossible.

Si la vérification du certificat a été désactivée puis activée, toutes les consoles et tous les clients sont automatiquement mis à niveau lors de leur prochaine connexion. Notez que les agents de connexion LDAP ne sont pas automatiquement mis à niveau, mais doivent être réinstallés pour permettre à ce paramètre de prendre effet.

Lorsque la validation du certificat SSL est activée, des contrôles de sécurité sont effectués en complément de la sécurité intégrée de BeyondTrust afin de valider la chaîne du certificat SSL utilisée pour sécuriser les communications. Il est vivement conseillé d’activer la validation SSL. Si la validation du certificat est désactivée, un message d’avertissement apparaît sur votre interface d’administration. Vous pouvez le masquer pendant trente jours.

pour activer la validation du certificat SSL, vous devez fournir votre certificat SSL à BeyondTrust pour qu’il soit incorporé à votre logiciel BeyondTrust.

Pour plus d’informations, veuillez consulter la section Certificats SSL et BeyondTrust Privileged Remote Access.

Nombre de jours de conservation des informations enregistrées

Dans Nombre de jours de conservation des informations enregistrées, définissez la durée pendant laquelle les informations de journalisation doivent être stockées sur le serveur. Ces informations comprennent les données de rapport de la session ainsi que les enregistrements. Vous pouvez conserver les données de rapport et d’enregistrement d’une session sur un serveur BeyondTrust pendant 90 jours au maximum. Il s’agit de la valeur par défaut pour une nouvelle installation. Il arrive que les enregistrements de certaines sessions ne soient pas disponibles, même lorsque la limite de conservation n’est pas dépassée. Les contraintes liées à l’espace du disque ou le paramètre Nombre de jours de conservation des informations enregistrées peuvent être à l’origine de ce problème.

Le serveur BeyondTrust exécute un script de maintenance chaque jour pour vérifier que l’utilisation du disque est inférieure à 90 %. Si cette limite est dépassée, le script supprime les enregistrements de session selon une formule donnée jusqu’à ce que l’utilisation du disque soit inférieure à 90 %. Si le paramètre Nombre de jours de conservation des informations enregistrées a été modifié récemment, il est possible qu’il ne soit pris en compte qu’après un délai de 24 heures.

Lorsqu’on souhaite conserver les données ou les enregistrements au-delà du délai fixé, BeyondTrust conseille d’utiliser l’API de rapport.

Clé pré-partagée de communication entre serveurs

Entrez un mot de passe dans le champ Clé pré-partagée de communication entre instances pour établir une relation de confiance entre deux serveurs. Des clés correspondantes sont requises pour la configuration de deux serveurs ou plus pour des fonctions, telles que la reprise en séquence ou le clustering. La clef doit comporter au moins 6 caractères et contenir au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial.

Sécurité :: Restrictions réseau

Déterminez les réseaux IP pouvant accéder aux interfaces /login et /api ainsi qu’à la console d’accès BeyondTrust sur votre serveur BeyondTrust. Si vous activez des restrictions réseau, vous pouvez également définir les réseaux sur lesquels les consoles d’accès peuvent être utilisées.

Interface d’administration (/login) et interface API (/api)

  • Toujours appliquer des restrictions réseau : lorsque sélectionnée, vous avez la possibilité de créer soit une liste blanche contenant uniquement les réseaux autorisés, soit une liste noire contenant les réseaux auxquels l’accès est refusé. Lorsque cette option est sélectionnée, vous pouvez déterminer quelles restrictions, le cas échéant, devraient s’appliquer aux consoles d’accès bureau, mobile et Web.
  • Ne jamais appliquer de restrictions réseau : lorsque sélectionnée, aucune restriction n’est appliquée et aucune autre option ne permet d’appliquer de restrictions pour les consoles bureau, mobile et Web.

Console d’accès bureau et mobile

  • Toujours appliquer des restrictions réseaux : lorsque sélectionnée, elle hérite des restrictions réseau mises en place pour l’interface d’administration. Ces restrictions s’étendent également à l’interface de la console d’accès Web (/console)
  • Ne jamais appliquer de restrictions réseau : lorsque sélectionnée, aucune restriction n’est appliquée aux consoles bureau et mobile, mais vous avez la possibilité d’appliquer des restrictions pour la console d’accès Web.
  • N’appliquer des restrictions réseau que pour la première authentification d’un utilisateur : cela applique les restrictions sélectionnées ci-dessus, mais seulement lors de la première connexion d’un utilisateur. Si sélectionnée, la console Web hérite des restrictions appliquées à l’interface d’administration.

Console Web (/console)

  • Toujours appliquer des restrictions réseau : lorsque sélectionnée, la console d’accès Web hérite des restrictions mises en place pour l’interface d’administration.
  • Ne jamais appliquer de restrictions réseau : lorsque sélectionnée, aucune restriction n’est appliquée à la console d’accès Web, même si des restrictions sont en place pour les autres méthodes de console d’accès.

Pour plus d’informations, veuillez consulter la section Guide de la console d’accès Privileged Web.

Sécurité :: Restrictions de ports pour l’interface Web d’administration

Définissez les ports d’accès à l’interface /login.