Consulter ce message en ligne

 

Team Dev News Juillet / Août 2018

Les nouveautés et améliorations apportées au logiciel OmniWare au cours du mois de Juillet

Note technique sur les nouvelles options de sécurité disponibles dans cette nouvelle version 11.40.


Nouvelle Version 11.40.08.2 disponible en téléchargement


Générateur de clients
Le générateur de client compile un programme (.exe) et il n'est pas possible de le signer numériquement. Cela conduit certains antivirus et W10 Defender vers une détection de faux positifs. Nous avons dû reconcevoir le Générateur de Clients pour protéger les utilisateurs d'OmniWare de ces désagréments faux positifs.


Pour ce faire, un programme signé et nommé "Setup-ConnectionClient.exe" a été développé. Chaque utilisateur devra l'exécuter une fois sur son poste local. Il installe localement le client OmniWare requis. Au lieu d'un programme ".exe", le nouveau générateur de clients crée un fichier crypté avec l'extension ".connect". Cette extension de fichier ".connect" est associée au client de connexion OmniWare local. L'utilisateur devra simplement double-cliquer sur le fichier ".connect" pour démarrer sa session.


Cette version majeure intègre plusieurs améliorations importantes pour la sécurité.


Le Générateur de Client inclut une nouvelle version de Sumatra. (Pdf).
Une nouvelle version du pilote Ghostscript a été incluse.
Une nouvelle version de Jquery a été incluse.
Une nouvelle version de la DLL de sécurité OpenSSL a été incluse.


Cryptage CGI

Pour renforcer la sécurité, le code de communication CGI permet désormais l'utilisation de POST au lieu de GET. Par conséquent, lors de l'utilisation de HTTPS, les lignes de commande des URL sont cryptées.


Attaques par force brute

Les attaques par force brute du portail Web sont bloquées en cas de saisie incorrecte des informations d'identification de l'utilisateur. Après 10 tentatives (valeur par défaut), le portail Web interdit la connexion pendant 20 minutes (valeur par défaut). Se reporter à la note technique ci-dessous pour plus d'informations.


RDS-Knight est désormais installé après l'approbation du client lors de l'installation ou de la mise à jour (version d'évaluation) et l'onglet AdminTool Advance Security inclut la vignette pour démarrer RDS-Knight.


De nouvelles variables ont été créées dans AppControl.ini

onlyuserwithapp = yes déconnectera les utilisateurs sans application assignée
appcmdline = no interdit de démarrer une application avec une URL et une ligne de commande
whitelistadmin = yes évite que les administrateurs soient bloqués par ces règles de sécurité
printerdriver = no empêche l'installation automatique du pilote d'imprimante universelle Ghostprint si le client souhaite supprimer l'imprimante universelle.


Client HTML5
Dans settings.js, vous pouvez maintenant définir votre propre page de destination en fonction du code d'erreur. La liste des codes d'erreurs est située dans www \ software \ html5 \ language.js

Dans www \ software \ html5 \ settings.js, ajouter en dernière ligne
W.errorForwardLogon = {"err40": "https://www.mapage.com"};
ou
W.errorForwardLogon = {"err40": "https://www.mapage.com", "err30": "../index.html"};


Avec cette nouvelle fonctionnalité, chaque message d'erreur sera transmis sur le lien que vous avez défini. Si vous souhaitez éviter l'affichage d'un message en cas de problème, il suffit d'entrer une chaîne vide pour ce code d'erreur dans language.js, par exemple:
W.langstring.err40 = "";


La liste des sessions existantes dans la web-list (requête) peut maintenant être désactivée dans AppControl.ini. Pour ce faire, ajoutez la ligne suivante dans la section [Security] de AppControl.ini:
disable-existing-sessions-web-listing = yes
Veuillez noter que cela empêchera la fonction "Sticky Sessions" d'équilibrage de charge de fonctionner.


Autres Correctifs


Publication d'applications
L'administrateur peut maintenant déplacer vers le haut ou vers le bas les applications déclarées dans le panneau flottant pour une meilleure présentation.


OpenOnClient
Si aucun fichier n'était fourni en paramètre à OpenOnClient, une erreur se produisait. C'est corrigé. Si OpenOnClient est démarré sans fichier spécifié, le programme demande à l'utilisateur de sélectionner un fichier.


Dans le portail d'applications Web, Explorer démarrait lors de l'exécution d'une autre application. Cela a été corrigé.

La conception de Folder.exe a été modifiée pour améliorer son affichage.


La personnalisation de la barre des tâches OmniWare a été améliorée pour permettre le changement de la position des fenêtres minimisés (en haut de l'écran, en bas, à droite, à gauche ou au centre).


 

NOTES TECHNIQUE : ATTAQUES PAR FORCE BRUTE


Un système de surveillance supplémentaire à été apporté au serveur web. Les logs enregistrent les tentatives d'ouverture de sessions échouées. Lorsque 10 tentatives échouées sont constatées dans un intervalle de 10 minutes, le compte utilisateur correspondant n'est plus accessible pendant une période de 20 minutes.


Ces valeurs par défaut sont modifiables. Elles sont enregistrées dans le fichier :

C:\program files (x86)\OmniWare\client\www\cgi-bin\hb.exe.config


Ouvrir le fichier avec un bloc note et modifier les valeurs par défaut :


Activation / Désactivation (true / False)

    <add key="LockoutActivated" value="true" />


Interval de temps (en secondes, 600 par défaut soit 10 mn)    
    <add key="LockoutInterval" value="600" />


Nombre de tentatives permises (10 par défaut)

    <add key="LockoutLimit" value="10" />


Temps d'inaccessibilité du compte (en secondes, 1800 par défaut soit 20 mn)

    <add key="LockoutPeriod" value="1800" />
 


NOTES TECHNIQUE : CRYPTAGE CGI-BIN


Les codes de communications CGI utilisent désormais la méthode POST au lieu de GET. Cela permet de crypter l'ensemble des échanges qui ont lieu entre le navigateur client et le serveur web. Cette fonctionnalité n'est mise en oeuvre que si le protocole HTTPS est utilisé avec soit la passerelle Gateway soit le portail d'application.


OmniWare propose un certificat gratuit Let's encrypt totalement intégré. Par conséquent l'installation se fait très simplement. Le port 80 doit obligatoirement être ouvert (et translaté) pendant l'installation du certificat ou son renouvèlement.


L'utilisation obligatoire du protocole HTTPS se paramètre de la façon suivante :


Rechercher le fichier settings.bin dans omniware/client/webserver. S’il n’existe pas, il faut le créer. Ouvrir le fichier avec Notepad. Ajouter la ligne « disable_http_only = true ». Puis sauvegarder. Redémarrer le serveur web ensuite. Toutes les connexions seront redirigées en Https.

 

CORRECTIF MENSUEL MICROSOFT (KB)


KB4345418 et KB4054566 Juillet 2018

Microsoft a publié le 16 juillet dernier un correctif intégrant les KB4345418 et KB4054566. Si dans l’ensemble leur installation se déroule correctement, des problèmes sont apparus chez certains utilisateurs. Les symptômes du dysfonctionnement sont une utilisation anormalement élevée de l’activité du processeur et des problèmes de connexions RDS.


KB4345418 et KB4054566, une charge processeur à 100%
Le lot de mises à jour cumulatives publié le 16 juillet sont KB4345418 et KB4054566. KB4345418 s’adresse aux PC sous Windows 10 Anniversary Update (Windows 10 v1607) ou Windows Servers 2016 et KB4054566 vise les périphériques Windows 8.1, Windows RT 8.1 et Windows Server 2012 R2.


Selon les rapports, KB4345418 peut perturber AADCconnect (Azure Active Directory Connect) en provoquant de manière aléatoire une charge processeur à 100 %. La situation peut se produire avec certains services de surveillance. La seule solution trouvée pour le moment est de procéder à la désinstallation de l’update.


Dans d’autres cas c’est le service de Bureau à distance qui est touché. Il ne fonctionne plus sous Windows 10. Là encore la désinstallation de la mise à jour en question semble l’unique solution.


Pour le moment, Microsoft n’a pas encore reconnu ces problèmes. La prochaine grande maintenance de Windows est programmé pour le 14 aout prochain. Il s’agira d’un Patch Tuesday du mois d’aout.

 

NOUVEAU : RDS-TOOLS .FR, OUTILS DE SECURISATION ET MONITORING POUR LES ADMINS

 

Visiter le site : www.rds-tools.fr

 

LOGICIEL DE SECURISATION RDS-KNIGHT

 

Le logiciel de sécurisation des accès distants et de l'interface utilisateur RDS-Knight est disponible. Dans le même esprit de simplicité et d'efficacité qu'OmniWare, il permet d'activer des GPO par utilisateurs ou par groupes, sur tous les systèmes 64 bits, avec ou sans domaine. La sécurisation des accès RDP ainsi que le sécurisation de l'interface utilisateur et du bureau sont opérationnels en quelques clics via une interface ultra conviviale.

 

Révolutionnaire, ce logiciel remplace des heures de travail normalement nécessaires pour mettre en oeuvre des GPO et assure une sécurisation poussée, même aux non connaisseurs sur le plan des GPO. Il fonctionne sous OmniWare, mais également sous Microsoft RDS.

 

C'est aussi simple que cela et il vous suffit de le tester.


LOGICIEL DE MONITORING SERVER GENIUS, Outil de monitoring pour les sites RDS/TSE et Web.


Profitez du tarif Revendeur.

Consultez le site RDS-TOOLS FRANCE : www.rds-tools.fr

 

OmniWare

Expéditeur : www . Omniware . fr - OmniPrésence S.a.r.l

Désinscription. Adresser un email à Omniware. Merci.