OmniWare Team Dev News

 

 

Team Dev News Août 2016

Retrouvez chaque mois les nouveautés et améliorations apportées au logiciel OmniWare. Egalement ce mois ci, un chapitre dédié à la sécurité.

 

Version 9.40.8.31 disponible en téléchargement

Voici notre commentaire sur les versions mises en ligne au mois d'août

 

Fenêtre Serveur / GPO, ouvertures et fermetures des sessions
Certains paramètres étaient remis par défaut lors d'une mise à jour d'OmniWare. Ceci a été corrigé et les paramètres définis par l'administrateur sont désormais conservés.

 

Mise en compatibilité avec la dernière version Windows 10. Correction du "gèle" en mode RemoteApp pouvant survenir dans certains cas de mise à jour Windows 10.

 

Le processus de logoff a été amélioré et rendu plus rapide.

 

L'apparence du panneau flottant utilise désormais le standard d'apparence Windows 10.

 

OmniWare est rendu compatible avec Java 9 (coté serveur). Java 9 pas recommandé actuellement en production (version Béta) mais OmniWare est J9 Ready.


Imprimante Universelle

L'imprimante Universelle fait l'objet d'améliorations pour permettre à l'administrateur de paramétrer des valeurs par défaut (marges...). Ce point sera prochainement documenté.


Client HTML5
Correction d'un bug concernant Microsoft Edge qui entrainait parfois un blocage du script coté navigateur client.


Amélioration du jeton de logon avec prise en charge multi domaines et codage utf8-base64.


Firefox Mobile introduisait un bug sur le scrolling. Cela à été corrigé et nous sommes à nouveau pleinement compatible. Prise en charge de la touche AltGr sur la dernière version de Firefox (@, \,...).

 

OmniWare est rendu compatible avec le Navigateur open source Pale Moon.

 

Correctifs Windows
Après vérification, les correctifs Microsoft du mois de d'août n'ont aucun impact sur OmniWare.

 

Retrouvez l'historique complet de la Team Dev News en page news de notre site web.

 

Le saviez-vous ? Chapitre spécial "Sécurité"

 

Les attaques Brute Force et les cryptages par les ransomwares, de plus en plus courants, sont une

préoccupation majeure de nos partenaires Revendeurs pour leurs clients finaux. C'est pourquoi nous consacrons

ce chapitre à la sécurité.

 

Nous ne prétendons pas éviter à 100% une intrusion, cependant quelques reflexes de bonne conduite sont

indispensables. OmniWare intègre plusieurs moyens de protéger les serveurs. Nous allons passer en revue les

points cruciaux dont il faut tenir compte.

 

Les attaques Brute Force sont effectuées avec des moteurs puissants qui recherchent les logins et mots de

passe selon différentes méthodes (dictionnaires, algorithmes...). Elles visent essentiellement le port RDP TSE

défini par défaut dans Windows. Il s'agit du port 3389. C'est pourquoi il est vivement recommandé de modifier

ce port (fenêtre Admintool / Serveur / Port RDP) et de choisir un port exotique au-dessus de la valeur 50000.

Il est moins courant de rechercher le protocole qui se cache derrière un port exotique et donc plus difficile

de s'introduire sur le système. Cela suppose bien évidement une validation de la possibilité de connexion

distante depuis les sites des utilisateurs (hôtels, salons, domiciles...).

 

Pour les mêmes raisons, il est plus que conseillé de définir des mots de passe complexes qui contiennent un

mélange de majuscules, minuscules, et caractères spéciaux. Des sites gratuits sont disponibles sur internet

pour générer ce type de mot de passe. Si vos utilisateurs changent eux même leurs mots de passe, activez

l'option de sécurité mot de passe complexes dans les GPO.

 

Le respect de ces règles forme une première barrière. OmniWare intègre plusieurs options qui permettent de renforcer la sécurité.

 

Nouveau Add-On RDP Defender
Soucieux d'apporter à nos clients une sécurisation accrue, OmniWare intègre désormais depuis la version 9.40

un utilitaire qui permet de détecter et bloquer les attaques Brute Force. RDP Defender tient un log des

tentatives de connexion et bloque les adresses IP qui dépassent un nombre de tentatives trop élevé. Paramétré

par défaut à 10, vous pouvez définir ce nombre ainsi que le temps de remise à zéro du compteur. Afin d'éviter

un blocage des administrateurs ou des utilisateurs, il est également possible de définir une liste blanche.

RDP Defender est disponible dans la fenêtre Admintool / Sécurité et très simple à mettre en œuvre sur la

plupart des serveurs.

 

 

Cependant, sur certains serveurs et selon le mode d'authentification, il peut s'avérer obligatoire d'activer la GPO suivante : Configuration Ordinateur / Paramètres Windows / Paramètres de sécurité / Stratégies locales / Options de sécurité / Sécurité Reseau : Restreindre NTLM : Trafic entrant NTLM : Refuser tous les comptes. Préalablement à cette activation, vous pouvez tester les effets en activant la GPO Auditer l'authentification (3 lignes au dessus). Le firewall Windows doit être actif, les adresses IP bloquées y sont insérées.

 

Autres options
La fenêtre Admintool / Sécurité / Options de sécurité détient également quelques fonctionnalités assez

drastiques. L'option "Rejeter les sessions venant d'un client RDP" n'autorise la connexion qu'à partir des

clients signés OmniWare (RDP, TSWeb). Le firewall sur le nom NetBios des PC clients empêche toutes les

connexions depuis les clients qui ne figurent pas dans la liste. Ces options sont documentées dans notre

Manuel d'Administration disponible sur notre site web en page Téléchargement.

 

L'alternative TSWeb
L'accès au serveur par le portail TSWeb s'effectue via les ports 80 ou 443. Le protocole full web, tunnelisé

et encrypté n'utilise pas le port RDP. Il n'est donc pas nécessaire d'ouvrir le port RDP sur le routeur. RDP

Defender est opérationnel sur le client RemoteApp Windows, pas sur le client HTML5. Mais les ports 80 ou

443 ne sont en général pas sujets aux attaques par Brute Force puisqu'on tombe sur un site web.

 

OmniWare est régulièrement testé avec des outils tiers sur la sécurité (SSL, TLS, ...) et nous obtenons

régulièrement les notes maximales. L'équipe de développement travaille continuellement sur ce sujet afin de

produire un logiciel qui reste au sommet des standards de sécurité. OmniWare est donc comparativement à TSE

une alternative Bureau à Distance très sécurisée.


F.A.Q

Existe t-il un log Windows des connexions RDP entrantes sur le serveur ?

 

Oui, Windows enregistre un log des identifiants et IP sources entrants dans le journal d'évènements suivants :

Observateur d'évènements / Journaux des applications et services / Microsoft / Windows / Terminalservices-

RemoteConnectionManager / Operational

 

 

OmniWare

Expéditeur : www . Omniware . fr - OmniPrésence S.a.r.l.

Je ne souhaite plus recevoir la Team Dev News