Sécurité : Gestion des paramètres de sécurité

Gestion

Sécurité

Authentification

Méthode d’authentification par défaut

La méthode d’authentification par défaut est Nom d’utilisateur & Mot de passe. Si l’authentification sans mot de passe est activée, FIDO2 sans mot de passe peut être sélectionné comme méthode d’authentification par défaut. Si l’authentification sans mot de passe est activée, l’une ou l’autre méthode d’authentification peut être sélectionnée lors de la connexion.

Activer l’authentification FIDO2 sans mot de passe

Cette fonction permet aux utilisateurs du fournisseur de sécurité local ou aux utilisateurs fournisseurs de s’enregistrer et de se connecter avec des authentificateurs certifiés FIDO2 au lieu d’un mot de passe. Les dispositifs d’authentification FIDO2 doivent prendre en charge CTAP2 et être en mesure d’effectuer la vérification de l’utilisateur à l’aide de la biométrie ou d’un code PIN.

Cette fonction est activée par défaut. Décochez la case pour la désactiver. Si elle est décochée :

  • la section Authentificateurs sans mot de passe dans Mon compte > Sécurité est masquée ;
  • l’option FIDO2 sans mot de passe n’est pas disponible dans les menus déroulants de connexion ;
  • les utilisateurs ne peuvent pas se connecter en utilisant des authentificateurs précédemment enregistrés.

Le fait de décocher cette fonction ne supprime pas les authentifications précédemment enregistrées. S’il est nécessaire de les supprimer, il faut le faire avant de désactiver la fonction.

Les utilisateurs dont l’authentification sans mot de passe est enregistrée peuvent continuer à se connecter en utilisant leur nom d’utilisateur et leur mot de passe. Cela peut être utile s’ils doivent se connecter en utilisant un appareil qui ne prend pas en charge l’authentification sans mot de passe.

Cette fonction ne peut pas se limiter à des utilisateurs ou groupes d’utilisateurs spécifiques.

Pour plus d’informations et pour enregistrer des authentificateurs, consultez Authentificateurs sans mot de passe.

Verrouillage du compte au bout de

Définissez le nombre de saisies incorrectes d’un mot de passe avant blocage du compte.

Durée du blocage du compte

Définissez la durée d’attente d’un utilisateur bloqué avant qu’il puisse se reconnecter. Vous pouvez aussi demander à un administrateur de débloquer son compte.

Mots de passe

Longueur minimum du mot de passe

Définissez des règles pour la longueur des mots de passe des comptes d’utilisateurs locaux.

Expiration du mot de passe par défaut

Définissez à quelle fréquence les mots de passe des comptes d’utilisateurs locaux doivent expirer.

Exiger des mots de passe complexes

Définissez des règles pour la complexité des mots de passe des comptes d’utilisateurs locaux.

Autoriser la réinitialisation du mot de passe

Autorisez les utilisateurs ayant une adresse e-mail configurée à réinitialiser leurs mots de passe. Le lien fourni dans les e-mails de réinitialisation de mot de passe est valide jusqu’à ce qu’un des événements suivants se produise :

  • Vingt-quatre heures se sont écoulées.
  • Le lien a été cliqué, et le mot de passe a bien été réinitialisé.
  • Le système envoie un autre lien à l’adresse e-mail.

Console du technicien d’assistance

Mettre fin à la session si le compte est en cours d’utilisation

Si un utilisateur essaie de se connecter à la console du technicien d’assistance avec un compte en cours d’utilisation et que la case Mettre fin à la session est cochée, la connexion précédente est interrompue pour autoriser la nouvelle.

Autoriser l’enregistrement des informations de connexion

Autorisez ou non la console du technicien d’assistance à mémoriser les informations d’authentification d’un utilisateur.

Déconnecter un technicien d’assistance inactif au bout de

Définissez le délai d’attente avant qu’un utilisateur inactif ne soit déconnecté d’une console du technicien d’assistance, afin de permettre à un autre utilisateur d’y accéder.

Activer l’alerte et la notification de déconnexion sur les délais d’inactivité dépassés

Définissez sur un utilisateur doit recevoir une invite avant d’être déconnecté en raison de son inactivité. La première notification se produit 30 secondes avant la déconnexion, et la seconde lorsque la déconnexion a eu lieu.

Retirer un technicien d’assistanced’une session après une inactivité

Cette option oblige un utilisateur à abandonner la session après une période d’inactivité définie. Ceci aide les clients BeyondTrust à satisfaire aux initiatives de conformité en matière d’inactivité. L’utilisateur reçoit une notification 1 minute avant la déconnexion et a la possibilité de réinitialiser le délai d’attente.

Un utilisateur est considéré comme actif dans une session lorsqu’un fichier est en cours de transfert, par le biais de onglet de transfert ou de l’interface de la messagerie, ou lorsqu’il clique sur la souris ou qu’il appuie sur un bouton de l’onglet de session. Le simple déplacement de la souris n’est pas considéré comme une activité. Dès l’interruption d’une activité, le compteur d’inactivité est mis en marche.

Autoriser la Console du technicien d’assistance mobile et la Console Web du technicien d’assistance à se connecter

Donnez aux utilisateurs la possibilité d’accéder à des systèmes distants à travers l’appli de la console du technicien d’assistance pour iOS et Android, ainsi qu’à travers la console Web du technicien d’assistance, une console du technicien d’assistance sur navigateur.

Afficher la vue en miniature dans la Console du technicien d’assistance

Lors d’une assistance technique apportée à un client ayant plusieurs écrans, cette option permet à l’utilisateur de voir des miniatures de tous les écrans disponibles. Ces miniatures ne sont pas enregistrées dans l'enregistrement de la session. Décochez cette case pour afficher des rectangles à la place des miniatures.

Autoriser les techniciens d’assistance à faire des captures d’écran distantes

Vous pouvez autoriser les utilisateurs à effectuer des captures d’écran du bureau distant depuis la console du technicien d’assistance.

Autoriser les techniciens d’assistance à contrôler la fenêtre du client d’utilisateur

L’activation de ce paramètre permet au technicien d’assistance d’agir en tant qu’utilisateur dans la fenêtre du client d’utilisateur, notamment en saisissant dans la messagerie instantanée, en envoyant des fichiers et en interagissant avec des liens et des boutons. Lorsque ce paramètre est désactivé, le contrôle de la fenêtre du client d’utilisateur par le technicien d’assistance se limite à la déplacer et à la réduire.

Lors d’une demande d’accroissement des droits, autorisez la saisie des informations d’authentification

Lors de l’accroissement d’une session pour qu’elle ait des droits d’administration, autorisez les utilisateurs à saisir manuellement les informations d’authentification, à les injecter à partir d’une banque de mots de passe ou à les fournir via une carte à puce virtuelle. Cela permet aux utilisateurs d’utiliser des informations d’authentification privilégiées autorisées pour accroitre le contexte du client d’utilisateur. Une fois accru, le client d’utilisateur s’exécutera dans le contexte du système local.

Autoriser le redémarrage avec des informations d’authentification cachées

Dans une session d’assistance technique s’exécutant avec les droits administratifs sur un ordinateur Windows distant, cela permet à un technicien d’assistance de redémarrer la machine distante sans l’assistance du client en demandant à l’utilisateur de saisir ses informations d’authentification avant le redémarrage. Ces informations d’authentification peuvent être enregistrées pendant la durée de la session d’assistance technique, permettant à la machine de se connecter automatiquement lorsqu’elle est redémarrée plusieurs fois.

Mode de synchronisation du presse-papiers

Le Mode de synchronisation du presse-papiers détermine comment les utilisateurs sont autorisés à synchroniser les presse-papiers lors d’une session de partage d’écran. Les paramètres disponibles sont les suivants :

  • Automatique : Les presse-papiers du client et du technicien d’assistance sont automatiquement synchronisés lorsque l’un ou l’autre change.
  • Mises à jour manuelles : Le technicien d’assistance doit cliquer sur l’une des icônes du presse-papiers sur la console du technicien d’assistance pour envoyer du contenu ou extraire du contenu du presse-papiers du point de terminaison.

vous DEVEZ redémarrer le logiciel sur la page d’état pour que ce paramètre prenne effet.

Les administrateurs peuvent empêcher les techniciens d’assistance d’accéder au presse-papiers, les autoriser à envoyer des données au point de terminaison ou à accéder dans les deux sens (envoyer et recevoir des données). Ces paramètres contrôlent les icônes de presse-papiers que le technicien d’assistance voit dans la console du technicien d’assistance lorsque le mode Manuel est sélectionné, ainsi que le déroulement de la synchronisation en mode Automatique.

Un contrôle granulaire de l’accès au presse-papiers peut être défini pour les règles de session et celles de groupe, ainsi qu’être octroyé à des techniciens d’assistance spécifiques. Veuillez consulter les liens ci-dessous pour chaque cas particulier :

Autoriser la recherche d’éléments de Jump externes

Cela permet la recherche d’éléments de Jump dans Remote Support via un gestionnaire d’informations d’authentification de point de terminaison (ECM) complètement configuré.

Vous devez redémarrer le logiciel pour que ce paramètre prenne effet. Lorsque vous activez ou désactivez ce paramètre, vous êtes invité à redémarrer maintenant ou à redémarrer plus tard à partir de la page État dans /login.

Jumpoint pour des sessions d’éléments de Jump externes

Ce champ est disponible uniquement lorsque l’option Autoriser la recherche d’éléments de Jump externes est cochée. Toutes les sessions démarrées à partir d’éléments de Jump externes sont exécutées via le Jumpoint sélectionné ici ou, dans le cas où plusieurs Jumpoints sont déployés sur des points de terminaison à travers des réseaux segmentés, le Jumpoint utilisé peut être sélectionné automatiquement par comparaison avec le Network ID d’un élément de Jump externe. Un Jumpoint doit être positionné sur le réseau de sorte à disposer d’une connectivité à l’un des éléments de Jump externes renvoyés par l’ECM.

Sélectionnez le Jumpoint à utiliser pour les sessions de Jump externes dans le menu déroulant des Jumpoints disponibles, ou laissez la sélection Automatiquement sélectionné par le Network ID de l’élément de Jump externe par défaut pour permettre à Remote Support de déterminer quel Jumpoint gère la session.

Le Network ID d’élément de Jump externe est un attribut que vous devez définir sur le Jumpoint à partir de Jump > Jumpoint dans /login. Il est équivalent à l’attribut Groupe de travail des systèmes gérés dans Password Safe. Sa valeur est comparée à la propriété Network ID pour les éléments de Jump externes renvoyés par l’ECM pour déterminer quel Jumpoint traitera une session.

Nom du groupe d’éléments de Jump externe

Ce champ est disponible uniquement lorsque l’option Autoriser la recherche d’éléments de Jump externes est cochée. Vous pouvez saisir un nom pour le groupe de Jump externe ou laisser l’option Éléments de Jump externes par défaut. Ce nom s’affiche en tant que nom du groupe de Jump lors de l’affichage des éléments de Jump dans la console du technicien d’assistance ou la console Web du technicien d’assistance. Cliquez sur Enregistrer si vous avez modifié le nom du groupe par défaut.

Enregistrer les commandes d’action spéciale « Exécuter en tant que » dans les rapports de session

Décochez cette option pour ne plus enregistrer et signaler toutes les commandes Exécuter en tant que. Puisque l’intégralité de la commande est enregistrée, toutes les informations d’authentification transmises en tant que paramètre de la commande seront enregistrées.

Clé de session

Longueur de clé de session

La Longueur de clé de session peut être réglée selon tout nombre de caractères, entre 7 et 20.

Clé de session à utilisation unique

Si l’option Clé de session à utilisation unique est cochée, une clé de session ne peut pas être utilisée plus d’une fois pour créer une session d’assistance technique.

Délai d’expiration maximum d’une clé de session

Durée de vie maximale d'une clé de session détermine la durée maximale pendant laquelle une clé de session peut rester valide. Dans la console du technicien d’assistance, un utilisateur peut définir la durée de vie de chaque clé de session générée, sans dépasser celle définie sur cette page. Si le client n’utilise pas la clé de session dans le délai imparti, elle expire et l’utilisateur devra émettre une nouvelle clé de session pour lancer une session.

Portail public

Forcer le site public à utiliser le HTTPS

Il est possible d'obtenir une sécurité supplémentaire avec Forcer le site public à utiliser SSL (https). L'utilisation de HTTPS force la connexion Internet vers votre portail public d'assistance technique à utiliser le cryptage SSL, ajoutant une couche de sécurité supplémentaire pour empêcher les utilisateurs non autorisés d'accéder aux comptes.

Bloquez les ressources externes, les scripts inline et les styles inline sur le site public

Empêchez votre site public de charger des ressources externes, d’exécuter des scripts inline ou d’afficher des styles inline. Cette option est activée en envoyant l’en-tête HTTP Content-Security-Policy (CSP) avec la valeur default-src 'self'.

L’en-tête CSP ordonne au navigateur d’ignorer les ressources comme les images, les polices de caractère, les feuilles de style, les scripts, les cadres et d’autres sous-ressources venant d’ailleurs que son domaine d’origine. Il ignorera également les scripts et les styles inline, qu’ils soient inclus dans l’en-tête ou le corps de la page. Ceci affecte également les scripts et les styles inline ajoutés de façon dynamique lors de l’exécution avec JavaScript.

Toutes les ressources que vous souhaitez utiliser doivent être transférées sur la B Series Appliance dans Portails publics > Magasin de fichiers. N’activez pas cette option si vous avez personnalisé le modèle de votre site public pour qu’il utilise des scripts inline, des styles inline ou des ressources externes à votre site BeyondTrust.

Activer le démarrage de session simplifié

Tentez de démarrer des sessions en utilisant ClickOnce ou Java. Si cette option est décochée, le client d'utilisateur doit être téléchargé et lancé manuellement.

Désactiver l’indexation du site public

Cochez Désactiver l’indexation du site public pour empêcher les moteurs de recherche d’indexer les sites publics hébergés sur votre B Series Appliance.

Divers

Nombre de jours de conservation des informations enregistrées

Dans Nombre de jours de conservation des informations enregistrées, définissez la durée pendant laquelle les informations de journalisation doivent être stockées sur la B Series Appliance. Ces informations comprennent les données de rapport de la session ainsi que les enregistrements. Vous pouvez conserver les données de rapport et d’enregistrement d’une session sur une B Series Appliance pendant 90 jours au maximum. Il s’agit de la valeur par défaut pour une nouvelle installation. Il arrive que les enregistrements de certaines sessions ne soient pas disponibles, même lorsque la limite de conservation n’est pas dépassée. Les contraintes liées à l’espace du disque ou le paramètre Nombre de jours de conservation des informations enregistrées peuvent être à l’origine de ce problème.

La BeyondTrust Appliance B Series exécute un script de maintenance chaque jour pour vérifier que l’utilisation du disque est inférieure à 90 %. Si cette limite est dépassée, le script supprime les enregistrements de session selon une formule donnée jusqu’à ce que l’utilisation du disque soit inférieure à 90 %. Si le paramètre Nombre de jours de conservation des informations enregistrées a été modifié récemment, il est possible qu’il ne soit pris en compte qu’après un délai de 24 heures.

Lorsqu’on souhaite conserver des données ou des enregistrements au-delà du délai fixé, BeyondTrust conseille d’utiliser le Client d’intégration ou l’API de rapport.

Clé pré-partagée de communication entre appliances

cette fonction n’est disponible que pour les clients possédant une BeyondTrust Appliance B Series dans leurs locaux. Les clients du Cloud BeyondTrust n’ont pas accès à cette fonction.

Entrez un mot de passe dans le champ Clé pré-partagée de communication entre appliances pour établir une relation de confiance entre deux B Series Appliances. Des clés correspondantes sont requises pour la configuration de deux B Series Appliances ou plus pour des fonctions, telles que la reprise en séquence ou le clustering. La clef doit comporter au moins 6 caractères et contenir au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial.

Nombre de jours de conservation des informations enregistrées sur les éléments de Jump

Choisissez la durée pendant laquelle les données de rapport d’éléments de Jump seront accessibles à partir de l’appliance. Comme les données sont purgées une seule fois par jour, elles peuvent rester accessibles jusqu’à 24 heures au-delà du paramètre sélectionné ici.

Activer la récupération de l’historique de la messagerie instantanée

Cochez cette case pour que la fenêtre de messagerie instantanée récupère les messages de discussion si une session est interrompue puis reprise.

Exige la vérification de client Remote Support lors des tentatives d’accroissement

Vous devez fournir une vérification de client Remote Support lors des accroissements.

Validation du certificat SSL

Vous pouvez également demander à ce que la Validation du certificat SSL force le logiciel BeyondTrust (y compris chaque console du technicien d’assistance, chaque client d’utilisateur, les clients de présentation et les Jump Clients) à vérifier que la chaîne du certificat est reconnue, que le certificat n’a pas expiré et que le nom du certificat correspond au nom d’hôte du B Series Appliance. Si la chaîne du certificat ne peut être correctement validée, la connexion est impossible.

Si la vérification du certificat a été désactivée puis activée, toutes les consoles et tous les clients sont automatiquement mis à niveau lors de leur prochaine connexion. Notez que les agents de connexion LDAP ne sont pas automatiquement mis à niveau, mais doivent être réinstallés pour permettre à ce paramètre de prendre effet.

Lorsque la Validation du certificat SSL est activée, des contrôles de sécurité sont effectués en complément de la sécurité intégrée de BeyondTrust afin de valider la chaîne du certificat SSL utilisée pour sécuriser les communications. Il est vivement conseillé d'activer la validation SSL. Si la validation du certificat est désactivée, un message d'avertissement apparaît sur votre interface d'administration. Vous pouvez le masquer pendant trente jours.

pour activer la validation du certificat SSL, vous devez fournir votre certificat SSL à BeyondTrust pour qu’il soit incorporé à votre logiciel BeyondTrust.

Pour plus d’informations, veuillez consulter Certificats SSL et Remote Support BeyondTrust.

Restrictions de réseau

Déterminez les réseaux IP pouvant accéder aux interfaces /login et /api, ainsi qu’à la console du technicien d’assistance sur votre BeyondTrust Appliance B Series. Si vous activez des restrictions réseau, vous pouvez également définir les réseaux sur lesquels une console du technicien d’assistance ou plusieurs peuvent être utilisées.

Définir les règles réseau pour les interfaces suivantes :

Interface d’administration (/login) et interface API (/api)
  • Toujours appliquer des restrictions réseau : quand ce paramètre est sélectionné, vous pouvez créer une liste d’autorisations contenant uniquement les réseaux autorisés ou une liste de refus contenant les réseaux auxquels l’accès est refusé. Lorsque cette option est sélectionnée, vous pouvez déterminer quelles restrictions, le cas échéant, devraient s’appliquer aux consoles d’accès bureau, mobile et Web.
  • Ne jamais appliquer de restrictions réseau : lorsque sélectionnée, aucune restriction n’est appliquée et aucune autre option ne permet d’appliquer de restrictions pour les consoles bureau, mobile et Web.
Console du technicien d’assistance mobile et de bureau
  • Toujours appliquer des restrictions réseaux : lorsque sélectionnée, elle hérite des restrictions réseau mises en place pour l’interface d’administration.
  • Ne jamais appliquer de restrictions réseau : lorsque cette option est sélectionnée, aucune restriction n’est appliquée aux consoles bureau et mobile, mais vous avez la possibilité d’appliquer des restrictions pour la console du technicien d’assistance.
  • N’appliquer des restrictions réseau que pour la première authentification d’un utilisateur : cela applique les restrictions sélectionnées ci-dessus, mais seulement lors de la première connexion d’un utilisateur.
Console Web (/console)
  • Toujours appliquer des restrictions réseau : lorsque cette option est sélectionnée, la console du technicien d’assistance hérite des restrictions mises en place pour l’interface d’administration.
  • Ne jamais appliquer de restrictions réseau : lorsque cette option est sélectionnée, aucune restriction n’est appliquée à la console du technicien d’assistance, même si des restrictions sont en place pour les autres méthodes de console d’accès.

Pour plus d’informations, veuillez consulter le Guide de la Console Web du technicien d’assistance .

Définissez vos restrictions réseau :

Saisissez les préfixes d’adresse réseau, à raison d’un par ligne. Le masque de réseau est facultatif, et peut être fourni soit sous forme décimale pointée, soit sous forme d’un entier représentant un ensemble de bits de masquage (bitmask). Les entrées sans masque de réseau sont considérées comme des adresses IP seules.

  • Liste d’autorisations : n’autoriser que les réseaux spécifiés.
  • Liste de refus : bloquer les réseaux spécifiés.

Restrictions de ports pour l’interface Web d’administration

cette fonction n’est disponible que pour les clients possédant une BeyondTrust Appliance B Series dans leurs locaux. Les clients du Cloud BeyondTrust n’ont pas accès à cette fonction.

Définissez les ports d’accès à l’interface /login.

Configuration du proxy

Configurez un serveur proxy pour contrôler le flux de données pour les informations envoyées par la B Series Appliance. Cela s’applique aux événements sortants et aux appels d’API.

Protocole proxy

Configurez les types de proxy HTTP ou HTTPS pour la connectivité sortante à partir de la B Series Appliance.

Activer la configuration du proxy

Cochez la case pour activer les paramètres de proxy sortant.

Hôte proxy

Saisissez l’adresse IP ou le nom d’hôte de votre serveur proxy.

Port proxy

Saisissez le port qu’utilise votre serveur proxy. Le port par défaut est 1080.

Nom d’utilisateur et mot de passe de proxy

Si votre serveur proxy requiert une authentification, indiquez un nom d’utilisateur et un mot de passe.

Tester

Cliquez sur Tester pour vous assurer que les paramètres de configuration sont correctement saisis. Le résultat actuel du test est affiché dans la zone Dernier résultat du test. Les messages d’erreur indiquent ce qui doit être corrigé dans les paramètres de configuration.

Configuration ICAP

Vous pouvez configurer les transferts de fichiers pour qu’ils passent par l’appliance Secure Remote Access et soient analysés par un serveur Internet Content Adaptation Protocol (ICAP). Si le serveur ICAP indique qu’un fichier est malveillant, il n’est pas envoyé.

 

Les transferts de fichiers ne peuvent pas être envoyés à un serveur ICAP dans les cas suivants : Transferts de fichiers basés sur le Jump en tunnel par protocole, transferts de fichiers du presse-papiers dans les sessions RDP et transferts de fichiers d’outils externes dans les sessions RDP ou Shell Jump. Même si le protocole ICAP est activé, ces transferts ne sont pas analysés.

L’activation d’ICAP ou la modification de l’URL ICAP nécessite le redémarrage de l’appliance pour s’assurer que les clients sont reconnectés et correctement configurés. Dans un environnement Atlas, une synchronisation est nécessaire.

L’utilisation d’ICAP réduit les performances des transferts de fichiers en raison des étapes et de l’analyse supplémentaires. Si le serveur ICAP est hors service, les transferts de fichiers échouent.

Une mauvaise configuration ICAP empêche les Jumpoints de fonctionner correctement.

Paramètres ICAP

Saisissez l’URL du serveur ICAP. Celle-ci est fournie par le fournisseur de votre serveur ICAP. Le port par défaut est 1344. Si vous utilisez un autre port, vous devez le saisir avec l’URL, dans le format suivant : icap://example.com:0000 ou icaps://example.com:0000.

Si le protocole est icaps://, cochez la case Utiliser un certificat AC. Cliquez ensuite sur Choisir un certificat et transférez le certificat.

Si vous utilisez un certificat ICAPS auto-signé et que vous ne fournissez pas de certificat AC permettant de le valider, tous les transferts de fichiers de session échoueront.

Les certificats expirés ou non valides entraînent l’échec des transferts de fichiers de session, qu’un certificat AC ait été fourni ou non.

Cliquez sur Enregistrer les paramètres ICAP avant de procéder aux tests.

Test de la connexion ICAP

Après avoir saisi et enregistré les paramètres ICAP, cliquez sur TEST AVEC UN FICHIER et sélectionnez un fichier à transférer. Trois résultats sont possibles :

  • une erreur de connexion. Un en-tête d’erreur et les journaux ICAP s’affichent (s’ils sont disponibles).
  • un fichier malveillant est détecté. Un en-tête d’avertissement et les détails de la réponse s’affichent. La nature exacte du contenu malveillant ne s’affiche pas.
  • Aucun problème n’est détecté. Les détails de la réponse s’affichent.