Administration du serveur : Définissez des restrictions liés aux comptes, aux réseaux et aux ports, activez un serveur STUN, installez un protocole Syslog, activez un accord de connexion, réinitialisez un compte d’administrateur

Sécurité :: Administration du serveur

Sécurité :: Restrictions du serveur

Gérez l’accès aux comptes d’interface d’administration /appliance en définissant le nombre d’échecs de connexion autorisé. Configurez la durée de blocage d’un compte lorsque la limite d’échecs de connexion est dépassée. Paramétrez aussi le nombre de jours de validité d’un mot de passe avant son expiration, et limitez la réutilisation d’anciens mots de passe.

Vous pouvez limiter l’accès à l’interface d’administration de votre serveur en définissant des adresses de réseau autorisées ou non. Il est également possible de sélectionner les ports pour lesquels cette interface est accessible.

Dans le champ Adresses autorisées, définissez les adresses IP ou les réseaux qui sont toujours autorisés à accéder à /appliance. Dans le champ Adresses interdites, définissez les adresses IP ou les réseaux qui ne sont jamais autorisés à accéder à /appliance. Utilisez le menu déroulant d’Action par défaut pour autoriser ou interdire les adresses IP et les réseaux ne figurant pas dans les champs ci-dessus. Dans les cas de chevauchement, la correspondance la plus spécifique est privilégiée.

Ainsi, si vous souhaitez autoriser l’accès à 10.10.0.0/16, mais que vous interdisez l’accès à 10.10.16.0/24 et à toute autre adresse, il convient d’indiquer 10.10.0.0/16 dans le champ Adresses autorisées, d’indiquer 10.10.16.0/24 dans le champ Adresses interdites, et réglez l’Action par défaut sur Interdire.

 

Sécurité :: Administration du serveur :: Service STUN

Il est possible de configurer le serveur BeyondTrust pour qu’il exécute un service STUN sur le port UDP 3478 pour faciliter les connexions pair à pair entre les clients BeyondTrust. Cochez la case Activer le service STUN local pour utiliser cette fonctionnalité.

 

Syslog

Vous pouvez configurer votre serveur pour envoyer des messages de connexion à trois serveurs syslog au maximum. Saisissez le nom d’hôte ou l’adresse IP du serveur syslog hôte recevant les messages de ce serveur dans le champ Serveur Syslog distant. Sélectionnez le format de date pour les messages de notification d’événement. Choisissez parmi les normes RFC 5424, l’un des formats BSD existants ou le format Syslog via le protocole TLS. Le syslog sur TLS utilise par défaut le port TCP 6514. Tous les autres formats utilisent par défaut UDP 514. Cependant, les valeurs par défaut peuvent être modifiées. Les connexions au serveur BeyondTrust sont envoyées à l’aide de la fonction local0.

pour les déploiements dans le cloud, les ports sont toujours statiques sur les ports par défaut.

lorsqu’un serveur syslog est ajouté ou modifié, une alerte est envoyée par e-mail à l’administrateur. Les informations de l’administrateur sont configurées dans la section Sécurité > Configuration e-mail > Sécurité :: Contact administrateur.

Pour en savoir plus sur les messages Syslog, consultez la section à l’adresse www.beyondtrust.com/docs/privileged-remote-access/how-to/integrations/syslog/.

 

Accord de connexion en amont

Vous pouvez activer un accord de connexion que les utilisateurs devront accepter pour pouvoir accéder à l’interface d’administration /appliance. Cet accord configurable permet de spécifier des restrictions et des règles de politique interne relatives aux connexions utilisateur.

 

Réinitialiser le compte de l’administrateur

Vous pouvez sélectionner Réinitialiser le compte de l’administrateur pour attribuer la valeur de défaut au nom d’utilisateur et au mot de passe de l’administrateur d’un site lorsqu’il est nécessaire d’oublier ou de remplacer la connexion.