Sécurité : Gestion des paramètres de sécurité

Gestion

Sécurité

Mots de passe

Longueur minimum du mot de passe

Définissez des règles pour la longueur des mots de passe des comptes d’utilisateurs locaux.

Expiration du mot de passe par défaut

Définissez à quelle fréquence les mots de passe des comptes d’utilisateurs locaux doivent expirer.

Verrouillage du compte au bout de

Définissez le nombre de saisies incorrectes d’un mot de passe avant blocage du compte.

Exiger des mots de passe complexes

Définissez des règles pour la complexité des mots de passe des comptes d’utilisateurs locaux.

Autoriser la réinitialisation du mot de passe

Autorisez les utilisateurs ayant une adresse e-mail configurée à réinitialiser leurs mots de passe. Le lien fourni dans les e-mails de réinitialisation de mot de passe est valide jusqu’à ce qu’un des événements suivants se produise :

  • Vingt-quatre heures se sont écoulées.
  • Le lien a été cliqué, et le mot de passe a bien été réinitialisé.
  • Le système envoie un autre lien à l’adresse e-mail.

Durée du verrouillage du compte

Définissez la durée d’attente d’un utilisateur bloqué avant qu’il puisse se reconnecter. Vous pouvez aussi demander à un administrateur de débloquer son compte.

Console du technicien d’assistance

Mettre fin à la session si le compte est en cours d’utilisation

Si un utilisateur essaie de se connecter à la console du technicien d’assistance avec un compte en cours d’utilisation et que la case Mettre fin à la session est cochée, la connexion précédente est interrompue pour autoriser la nouvelle connexion.

Autoriser l’enregistrement des informations de connexion

Autorisez ou non la console du technicien d’assistance à mémoriser les informations d’authentification d’un utilisateur.

Déconnecter un technicien d’assistance inactif au bout de

Définissez le délai d’attente avant qu’un utilisateur inactif ne soit déconnecté d’une console du technicien d’assistance, afin de permettre à un autre utilisateur d’y accéder.

Activer l’alerte et la notification de déconnexion sur les délais d’inactivité dépassés

Définissez sur un utilisateur doit recevoir une invite avant d’être déconnecté en raison de son inactivité. La première notification se produit 30 secondes avant la déconnexion, et la seconde lorsque la déconnexion a eu lieu.

Méthode d’authentification par défaut de la console du technicien d’assistance

Sélectionnez la méthode d’authentification par défaut. La méthode d’authentification sélectionnée ici sera automatiquement sélectionnée sur la page de connexion lorsque le technicien d’assistance se connectera à la console du technicien d’assistance la prochaine fois que le paramètre aura été modifié. Les techniciens d’assistance peuvent au besoin sélectionner une méthode différente.

Vous pouvez modifier le paramètre à tout moment. Cependant, vous devez vous déconnecter de la console du technicien d’assistance et vous reconnecter pour voir le changement.

Retirer un technicien d’assistanced’une session après une inactivité

Cette option oblige un utilisateur à abandonner la session après une période d’inactivité définie. Ceci aide les clients BeyondTrust à satisfaire aux initiatives de conformité en matière d’inactivité. L’utilisateur reçoit une notification 1 minute avant la déconnexion et a la possibilité de réinitialiser le délai d’attente.

Un utilisateur est considéré comme actif dans une session lorsqu’un fichier est en cours de transfert, par le biais de onglet de transfert ou de l’interface de la messagerie, ou lorsqu’il clique sur la souris ou qu’il appuie sur un bouton de l’onglet de session. Le simple déplacement de la souris n’est pas considéré comme une activité. Dès l’interruption d’une activité, le compteur d’inactivité est mis en marche.

Autoriser la Console du technicien d’assistance mobile et la Console Web du technicien d’assistance à se connecter

Donnez aux utilisateurs la possibilité d’accéder à des systèmes distants à travers l’appli de la console du technicien d’assistance pour iOS et Android, ainsi qu’à travers la console Web du technicien d’assistance, une console du technicien d’assistance sur navigateur.

Afficher la vue en miniature dans la Console du technicien d’assistance

Lors d’une assistance technique apportée à un client ayant plusieurs écrans, cette option permet à l’utilisateur de voir des miniatures de tous les écrans disponibles. Ces miniatures ne sont pas enregistrées dans l'enregistrement de la session. Décochez cette case pour afficher des rectangles à la place des miniatures.

Autoriser les techniciens d’assistance à faire des captures d’écran distantes

Vous pouvez autoriser les utilisateurs à effectuer des captures d’écran du bureau distant depuis la console du technicien d’assistance.

Autoriser les techniciens d’assistance à contrôler la fenêtre du client d’utilisateur

L’activation de ce paramètre permet au technicien d’assistance d’agir en tant qu’utilisateur dans la fenêtre du client d’utilisateur, notamment en saisissant dans la messagerie instantanée, en envoyant des fichiers et en interagissant avec des liens et des boutons. Lorsque ce paramètre est désactivé, le contrôle de la fenêtre du client d’utilisateur par le technicien d’assistance se limite à la déplacer et à la réduire.

Lors d’une demande d’accroissement des droits, autorisez la saisie des informations d’authentification

Lors de l’accroissement d’une session pour qu’elle ait des droits d’administration, autorisez les utilisateurs à saisir manuellement les informations d’authentification, à les injecter à partir d’une banque de mots de passe ou à les fournir via une carte à puce virtuelle. Cela permet aux utilisateurs d’utiliser des informations d’authentification privilégiées autorisées pour accroitre le contexte du client d’utilisateur. Une fois accru, le client d’utilisateur s’exécutera dans le contexte du système local.

Autoriser le redémarrage avec des informations d’authentification cachées

Dans une session d’assistance technique s’exécutant avec les droits administratifs sur un ordinateur Windows distant, cela permet à un technicien d’assistance de redémarrer la machine distante sans l’assistance du client en demandant à l’utilisateur de saisir ses informations d’authentification avant le redémarrage. Ces informations d’authentification peuvent être enregistrées pendant la durée de la session d’assistance technique, permettant à la machine de se connecter automatiquement lorsqu’elle est redémarrée plusieurs fois.

Mode de synchronisation du presse-papiers

Le Mode de synchronisation du presse-papiers détermine comment les utilisateurs sont autorisés à synchroniser les presse-papiers lors d’une session de partage d’écran. Les paramètres disponibles sont les suivants :

  • Automatique : Les presse-papiers du client et du technicien d’assistance sont automatiquement synchronisés lorsque l’un ou l’autre change.
  • Mises à jour manuelles : Le technicien d’assistance doit cliquer sur l’une des icônes du presse-papiers sur la console du technicien d’assistance pour envoyer du contenu ou extraire du contenu du presse-papiers du point de terminaison.

vous DEVEZ redémarrer le logiciel sur la page d’état pour que ce paramètre prenne effet.

Les administrateurs peuvent empêcher les techniciens d’assistance d’accéder au presse-papiers, les autoriser à envoyer des données au point de terminaison ou à accéder dans les deux sens (envoyer et recevoir des données). Ces paramètres contrôlent les icônes de presse-papiers que le technicien d’assistance voit dans la console du technicien d’assistance lorsque le mode Manuel est sélectionné, ainsi que le déroulement de la synchronisation en mode Automatique.

Un contrôle granulaire de l’accès au presse-papiers peut être défini pour les règles de session et celles de groupe, ainsi qu’être octroyé à des techniciens d’assistance spécifiques. Veuillez consulter les liens ci-dessous pour chaque cas particulier :

Clé de session

Longueur de clé de session

La Longueur de clé de session peut être réglée selon tout nombre de caractères, entre 7 et 20.

Clé de session à utilisation unique

Si l’option Clé de session à utilisation unique est cochée, une clé de session ne peut pas être utilisée plus d’une fois pour créer une session d’assistance technique.

Délai d’expiration maximum d’une clé de session

Durée de vie maximale d'une clé de session détermine la durée maximale pendant laquelle une clé de session peut rester valide. Dans la console du technicien d’assistance, un utilisateur peut définir la durée de vie de chaque clé de session générée, sans dépasser celle définie sur cette page. Si le client n’utilise pas la clé de session dans le délai imparti, elle expire et l’utilisateur devra émettre une nouvelle clé de session pour lancer une session.

Portail public

Forcer le site public à utiliser le HTTPS

Il est possible d'obtenir une sécurité supplémentaire avec Forcer le site public à utiliser SSL (https). L'utilisation de HTTPS force la connexion Internet vers votre portail public d'assistance technique à utiliser le cryptage SSL, ajoutant une couche de sécurité supplémentaire pour empêcher les utilisateurs non autorisés d'accéder aux comptes.

Bloquez les ressources externes, les scripts inline et les styles inline sur le site public

Empêchez votre site public de charger des ressources externes, d’exécuter des scripts inline ou d’afficher des styles inline. Cette option est activée en envoyant l’en-tête HTTP Content-Security-Policy (CSP) avec la valeur default-src 'self'.

L’en-tête CSP ordonne au navigateur d’ignorer les ressources comme les images, les polices de caractère, les feuilles de style, les scripts, les cadres et d’autres sous-ressources venant d’ailleurs que son domaine d’origine. Il ignorera également les scripts et les styles inline, qu’ils soient inclus dans l’en-tête ou le corps de la page. Ceci affecte également les scripts et les styles inline ajoutés de façon dynamique lors de l’exécution avec JavaScript.

Toutes les ressources que vous souhaitez utiliser doivent être transférées sur le serveur dans Portails publics > Magasin de fichiers. N’activez pas cette option si vous avez personnalisé le modèle de votre site public pour qu’il utilise des scripts inline, des styles inline ou des ressources externes à votre site BeyondTrust.

Activer le démarrage de session simplifié

Tentez de démarrer des sessions en utilisant ClickOnce ou Java. Si cette option est décochée, le client d'utilisateur doit être téléchargé et lancé manuellement.

Désactiver l’indexation du site public

Cochez Désactiver l’indexation du site public pour empêcher les moteurs de recherche d’indexer les sites publics hébergés sur votre Serveur d’accès à distance sécurisé.

Divers

Nombre de jours de conservation des informations enregistrées

Dans Nombre de jours de conservation des informations enregistrées, définissez la durée pendant laquelle les informations de journalisation doivent être stockées sur le serveur. Ces informations comprennent les données de rapport de la session ainsi que les enregistrements. Vous pouvez conserver les données de rapport et d’enregistrement d’une session sur un Serveur d’accès à distance sécurisé pendant 90 jours au maximum. Il s’agit de la valeur par défaut pour une nouvelle installation. Il arrive que les enregistrements de certaines sessions ne soient pas disponibles, même lorsque la limite de conservation n’est pas dépassée. Les contraintes liées à l’espace du disque ou le paramètre Nombre de jours de conservation des informations enregistrées peuvent être à l’origine de ce problème.

Le Serveur d’accès à distance sécurisé exécute un script de maintenance chaque jour pour vérifier que l’utilisation du disque est inférieure à 90 %. Si cette limite est dépassée, le script supprime les enregistrements de session selon une formule donnée jusqu’à ce que l’utilisation du disque soit inférieure à 90 %. Si le paramètre Nombre de jours de conservation des informations enregistrées a été modifié récemment, il est possible qu’il ne soit pris en compte qu’après un délai de 24 heures.

Lorsqu’on souhaite conserver les données ou les enregistrements au-delà du délai fixé, BeyondTrust conseille d’utiliser le Client d’intégration ou l’API de rapport.

Clé pré-partagée de communication entre serveurs

cette fonction n’est disponible que pour les clients possédant un Serveur d’accès à distance sécurisé dans leurs locaux. Les clients du Cloud BeyondTrust n’ont pas accès à cette fonction.

Entrez un mot de passe dans le champ Clé pré-partagée de communication entre instances pour établir une relation de confiance entre deux serveurs. Des clés correspondantes sont requises pour la configuration de deux serveurs ou plus pour des fonctions, telles que la reprise en séquence ou le clustering. La clef doit comporter au moins 6 caractères et contenir au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial.

Activer la récupération de l’historique de la messagerie instantanée

Cochez cette case pour que la fenêtre de messagerie instantanée récupère les messages de discussion si une session est interrompue puis reprise.

Exige la vérification de client Remote Support lors des tentatives d’accroissement

Vous devez fournir une vérification de client Remote Support lors des accroissements.

Validation du certificat SSL

Vous pouvez également demander à ce que la Validation du certificat SSL force le logiciel BeyondTrust (y compris chaque console du technicien d’assistance, chaque client d’utilisateur, les clients de présentation et les Jump Clients) à vérifier que la chaîne du certificat est reconnue, que le certificat n’a pas expiré et que le nom du certificat correspond au nom d’hôte du Serveur d’accès à distance sécurisé. Si la chaîne du certificat ne peut être correctement validée, la connexion est impossible.

Si la vérification du certificat a été désactivée puis activée, toutes les consoles et tous les clients sont automatiquement mis à niveau lors de leur prochaine connexion. Notez que les agents de connexion LDAP ne sont pas automatiquement mis à niveau, mais doivent être réinstallés pour permettre à ce paramètre de prendre effet.

Lorsque la Validation du certificat SSL est activée, des contrôles de sécurité sont effectués en complément de la sécurité intégrée de BeyondTrust afin de valider la chaîne du certificat SSL utilisée pour sécuriser les communications. Il est vivement conseillé d'activer la validation SSL. Si la validation du certificat est désactivée, un message d'avertissement apparaît sur votre interface d'administration. Vous pouvez le masquer pendant trente jours.

pour activer la validation du certificat SSL, vous devez fournir votre certificat SSL à BeyondTrust pour qu’il soit incorporé à votre logiciel BeyondTrust.

Pour plus d’informations, veuillez consulter la section Certificats SSL et Remote Support BeyondTrust.

Restrictions de réseau

Déterminez quels réseaux IP peuvent accéder à /login, à /api et à la console du technicien d’assistance sur votre Serveur d’accès à distance sécurisé. Si vous activez des restrictions réseau, vous pouvez également définir les réseaux sur lesquels une console du technicien d’assistance ou plusieurs peuvent être utilisées.

Définir les règles réseau pour les interfaces suivantes :

Interface d’administration (/login) et interface API (/api)

  • Toujours appliquer des restrictions réseau : lorsque sélectionnée, vous avez la possibilité de créer soit une liste blanche contenant uniquement les réseaux autorisés, soit une liste noire contenant les réseaux auxquels l’accès est refusé. Lorsque cette option est sélectionnée, vous pouvez déterminer quelles restrictions, le cas échéant, devraient s’appliquer aux consoles d’accès bureau, mobile et Web.
  • Ne jamais appliquer de restrictions réseau : lorsque sélectionnée, aucune restriction n’est appliquée et aucune autre option ne permet d’appliquer de restrictions pour les consoles bureau, mobile et Web.

Console du technicien d’assistance mobile et de bureau

  • Toujours appliquer des restrictions réseaux : lorsque sélectionnée, elle hérite des restrictions réseau mises en place pour l’interface d’administration.
  • Ne jamais appliquer de restrictions réseau : lorsque cette option est sélectionnée, aucune restriction n’est appliquée aux consoles bureau et mobile, mais vous avez la possibilité d’appliquer des restrictions pour la console du technicien d’assistance.
  • N’appliquer des restrictions réseau que pour la première authentification d’un utilisateur : cela applique les restrictions sélectionnées ci-dessus, mais seulement lors de la première connexion d’un utilisateur.

Console Web (/console)

  • Toujours appliquer des restrictions réseau : lorsque cette option est sélectionnée, la console du technicien d’assistance hérite des restrictions mises en place pour l’interface d’administration.
  • Ne jamais appliquer de restrictions réseau : lorsque cette option est sélectionnée, aucune restriction n’est appliquée à la console du technicien d’assistance, même si des restrictions sont en place pour les autres méthodes de console d’accès.

Pour plus d’informations, veuillez consulter le Guide de la Console Web du technicien d’assistance.

Définissez vos restrictions réseau :

Saisissez les préfixes d’adresse réseau, à raison d’un par ligne. Le masque de réseau est facultatif, et peut être fourni soit sous forme décimale pointée, soit sous forme d’un entier représentant un ensemble de bits de masquage (bitmask). Les entrées sans masque de réseau sont considérées comme des adresses IP seules.

  • Liste blanche : n’autoriser que les réseaux spécifiés.
  • Liste noire : bloquer les réseaux spécifiés.

Restrictions de ports pour l’interface Web d’administration

cette fonction n’est disponible que pour les clients possédant un Serveur d’accès à distance sécurisé dans leurs locaux. Les clients du Cloud BeyondTrust n’ont pas accès à cette fonction.

Définissez les ports d'accès à l'interface /login.

Configuration du proxy

Configurez un serveur proxy pour contrôler le flux de données pour les informations envoyées par le serveur. Cela s’applique aux événements sortants et aux appels d’API.

Protocole proxy

Configurez les types de proxy HTTP ou HTTPS pour la connectivité sortante à partir du serveur.

Activer la configuration du proxy

Cochez la case pour activer les paramètres de proxy sortant.

Hôte proxy

Saisissez l’adresse IP ou le nom d’hôte de votre serveur proxy.

Port proxy

Saisissez le port qu’utilise votre serveur proxy. Le port par défaut est 1080.

Nom d’utilisateur et mot de passe de proxy

Si votre serveur proxy requiert une authentification, indiquez un nom d’utilisateur et un mot de passe.

Tester

Cliquez sur Tester pour vous assurer que les paramètres de configuration sont correctement saisis. Le résultat actuel du test est affiché dans la zone Dernier résultat du test. Les messages d’erreur indiquent ce qui doit être corrigé dans les paramètres de configuration.