Sécuriser n'importe quel serveur est une histoire sans fin où chaque expert peut
ajouter un autre chapitre.
Omniware bénéficie et est compatible avec l'infrastructure de sécurité existante
d'une entreprise (Active Directory, GPO, serveurs HTTPS, systèmes de télécommunication
SSL ou SSL, VPN, contrôle d'accès avec ou sans cartes ID, etc.).
Pour les clients qui souhaitent sécuriser facilement leurs serveurs, Omniware propose
un ensemble de moyens simples et efficaces pour appliquer de bons niveaux de sécurité.
Avec l’AdminTool, vous pouvez sélectionner un numéro de port TCP/IP différent pour
que le service RDP accepte les connexions. La valeur par défaut est 3389.
Vous pouvez choisir n'importe quel port arbitrairement, en supposant qu'il ne soit
pas déjà utilisé sur votre réseau et que vous définissiez le même numéro de port
sur vos pare-feux et sur chaque programme d'accès utilisateur Omniware.
Omniware inclut une fonctionnalité unique de transfert de port et de tunneling: quel que soit le port RDP défini, RDP sera également disponible sur HTTP et sur le numéro de port HTTPS
Si les utilisateurs souhaitent accéder à votre serveur Omniware en dehors de votre
réseau, vous devez vous assurer que toutes les connexions entrantes sur le port
choisi sont transférées vers le serveur Omniware.
Sous l'onglet Accueil, cliquez sur le bouton représentant un crayon à côté du "Port
RDP":
Changez le port RDP et sauvegardez.
L'AdminTool vous permet de refuser l'accès à tout utilisateur qui n'utilise pas un programme de connexion Omniware généré par l'administrateur. Dans ce cas, tout utilisateur qui tenterait d'ouvrir une session avec un client Bureau à distance autre que le client Omniware (en supposant qu'il dispose de l'adresse de serveur correcte, du numéro de port, d'une connexion valide et d'un mot de passe valide) sera automatiquement déconnecté.
L'administrateur peut décider que seuls les membres du groupe d'utilisateurs du Bureau à distance seront autorisés à ouvrir une session.
L'administrateur peut décider qu'un mot de passe est obligatoire pour ouvrir une session.
En définissant la stratégie de groupe locale applicable, l'administrateur peut spécifier
s'il faut appliquer un niveau de cryptage pour toutes les données envoyées entre
le client et l'ordinateur distant au cours d'une session de Terminal Server.
Si l'état est défini sur Activé, le chiffrement de toutes les connexions au serveur
est défini sur le niveau décidé par l'administrateur. Par défaut, le cryptage est
défini sur Elevé.
L'administrateur peut également définir comme règle que seuls les utilisateurs
disposant d'un client de connexion Omniware pourront ouvrir une session.
Tout accès entrant avec un RDP standard ou un accès web sera automatiquement rejeté.
Vous pouvez trouver plusieurs options de sécurité avancées en cliquant sur l'onglet Sessions - Autorisations:
Restrictions d'accès au portail Web
L'AdminTool comprend un outil qui permet de masquer les lecteurs de disque du serveur
pour empêcher les utilisateurs d'accéder aux dossiers via le Poste de travail ou
les boîtes de dialogue Windows standard.
Dans l'onglet Sessions - Paramètres, cliquez sur "Masquer les lecteurs de disque":
Cet outil fonctionne globalement. Cela signifie que même l'administrateur n'aura
pas un accès normal aux disques une fois les paramètres appliqués.
Dans l'exemple ci-dessous, tous les pilotes ont été sélectionnés à l'aide du bouton
"Tout sélectionner", ce qui permet de cocher toutes les cases correspondantes aux
lecteurs qui seront masqués à tout le monde:
Remarque: Cette fonctionnalité est puissante et ne désactive pas
l'accès aux lecteurs de disque. Cela empêche simplement l'utilisateur de l'afficher.
L'outil marque les lecteurs de disque comme étant masqués, mais il ajoute également
la propriété HIDDEN à la liste complète des dossiers et des utilisateurs racine
dans Document et Paramètres.
Si l'administrateur veut voir ces fichiers, il doit:
L'administrateur peut sécuriser l'accès à l'outil de l'administrateur en définissant un code PIN qui sera demandé à chaque démarrage, sous l'onglet Avancé de l'AdminTool, sous "Paramètres du produit":
Depuis la version Omniware 11.40, vous pouvez trouver un outil de sécurité complémentaire unique, que vous pourrez lancer sur les modules complémentaires:
Ce qui apporte 6 fonctionnalités puissantes pour la protection de vos serveurs.
Le rôle de protection des attaques par force brute sur le portail web est décrit à la section de cette page.
Depuis la version 12 de Omniware, vous pouvez activer l'authentification à deux facteurs de manière complémentaire pour votre portail web Omniware.
Vous trouverez de plus amples informations au sujet de cette nouvelle fonctionnalité sur cette page.
Le processus des certificats SSL est détaillé dans les pages suivantes:
- HTTPS, SSL & tutoriels sur les certificats.
- Omniware fournit un outil facile à utiliser pour générer un certificat SSL gratuit
et valide: Certificat SSL gratuit et facile
à installer.
- Choisir vos suites de chiffrement pour renforcer la
sécurité.
Le générateur de client donne la possibilité, via l'onglet Sécurité, de verrouiller le client Omniware sur:
Un nom de PC spécifique. Cela signifie que ce programme ne pourra pas démarrer à partir d’un autre PC.
Un numéro de série de lecteur physique (disque dur PC ou clé USB). C'est un moyen
très simple et puissant pour définir un niveau de sécurité élevé.
La seule façon de se connecter est d'utiliser un client spécifique. Ce client spécifique
ne peut démarrer que sur une clé USB spécifique ou un disque dur de PC.
Certains de nos clients fournissent des clés USB de lecture d'empreintes digitales
à chacun de leurs utilisateurs et chaque programme généré est verrouillé sur le
numéro de série de l'appareil.
De cette manière, ils peuvent limiter l'accès au programme du client lui-même, tout
en s'assurant qu'il ne peut pas être copié depuis la clé USB et utilisé ailleurs.
Pour plus d'information sur les fonctionnalités de sécurité, consultez la documentation du générateur de client portable et notre FAQ.