Recommandations de sécurité du serveur préféré
Meilleures pratiques de sécurité recommandées pour la configuration de serveur préféré
Cet article souligne les recommandations de sécurité critiques pour la configuration des serveurs préférés, afin de garantir une application sécurisée et efficace des mises à jour dans votre environnement. Ces directives concernent l'utilisation des protocoles HTTPS et SMB, les méthodes d'authentification appropriées, les exigences FQDN (Nom de domaine entièrement qualifié) et les configurations qui minimisent les risques associés aux connexions non sécurisées.
Recommandations de sécurité clés
-
Éviter d'utiliser des adresses IP
Les serveurs préférés doivent être configurés pour utiliser des noms de domaine entièrement qualifiés (FQDN) au lieu d'adresses IP brutes. Cela garantit la compatibilité et la sécurité pour tous les protocoles :
-
Pour HTTPS :
-
Les certificats doivent correspondre au FQDN du serveur. L'utilisation d'une adresse IP pour l'URL du serveur invalide le certificat.
-
Un certificat non valide peut compromettre l'intégrité des données, et la désactivation de la validation des certificats augmente considérablement les risques car elle permet les attaques de type « man-in-the-middle » (Homme du milieu).
-
Validez toujours les certificats. S'ils ne correspondent pas, bloquez la connexion pour maintenir la sécurité.
-
-
Pour SMB (chemins UNC) :
-
L'authentification Kerberos, méthode préférée, nécessite l'utilisation d'un FQDN. En son absence, l'authentification bascule sur le mode NTLM, moins sécurisé.
-
-
-
Préférer l'authentification Kerberos
Kerberos doit être la méthode d'authentification par défaut chaque fois que possible, car elle est plus sécurisée que NTLM :
-
Pourquoi Kerberos est meilleur :
-
Les mots de passe ne sont jamais envoyés au serveur cible. Kerberos utilise à la place des tickets signés, validés par un contrôleur de domaine, pour accorder l'accès au serveur.
-
Les tickets sont propres au serveur et ne peuvent pas être réutilisés pour accéder à d'autres machines, ce qui réduit le risque d'utilisation abusive des références d'authentification.
-
-
Basculement vers NTLM :
-
NTLM v1 ne doit jamais être utilisé, car il est très vulnérable aux attaques comme le craquage de hachage.
-
NTLM v2 peut être utilisé comme système de secours, mais il est moins sécurisé que Kerberos. Augmentez la longueur des mots de passe pour renforcer la protection NTLM v2 contre les attaques par force brute.
-
-
-
Version et configuration du protocole SMB
Les versions et configurations de protocole SMB jouent un rôle important dans la sécurisation des transferts de fichiers. Suivez ces directives :
-
Désactivez SMB v1 :
-
Il est obsolète, non sécurisé et désactivé par défaut sur les systèmes modernes. N'activez et n'utilisez jamais SMB v1.
-
-
Activez la signature SMB (SMB v2) :
-
Protège contre les attaques par relecture en garantissant que chaque message est vérifié.
-
-
Préférez SMB v3 avec cryptage :
-
SMB v3 prend en charge à la fois la signature et le cryptage. Le cryptage protège les données en transit, si bien que même les utilisateurs du même réseau ne peuvent pas afficher le contenu des fichiers.
-
-
-
Références d'authentification d'écriture vs de lecture
Distinguez les références d'authentification d'écriture (utilisées par l'agent de synchronisation) de celles servant à la lecture (utilisées par les postes client) lors de la configuration des serveurs préférés :
-
Références d'authentification pour l'écriture :
-
Elles sont plus sensibles car elles permettent à l'agent de synchronisation de télécharger des fichiers vers le serveur préféré. Appliquez toujours des configurations sécurisées (comme Kerberos ou SMB v3 avec cryptage) pour les opérations d'écriture.
-
-
Référence d'authentification pour la lecture :
-
Utilisées par les postes client pour récupérer les mises à jour. Bien que des configurations sécurisées soient préférables, la restriction aux seuls protocoles sécurisés peut créer des problèmes de compatibilité sur les systèmes plus anciens. Il faut trouver l'équilibre entre exigences de sécurité et besoins opérationnels.
-
-
-
Modes de sécurité par défaut
Les paramètres de sécurité par défaut suivants sont recommandés dans votre environnement pour protéger les configurations de serveur préféré :
-
Appliquez des connexions sécurisées pour les opérations d'écriture :
-
L'agent de synchronisation ne doit utiliser que des configurations SMB sécurisées lors de l'écriture sur le serveur préféré. Rejetez les paramètres non sécurisés comme SMB v1 ou NTLM v1.
-
Si l'administrateur choisit d'autoriser les connexions SMB non sécurisées, cela augmente le risque.
-
-
Autorisez les connexions non sécurisées pour les opérations de lecture (facultatif) :
-
Pour les postes client qui utilisent des références d'authentification de lecture, autorisez (si nécessaire) l'utilisation de protocoles moins sécurisés pour prendre en charge les systèmes ancienne version ou sans correctifs. Cependant, limitez ce paramètre à des scénarios spécifiques et soyez conscient des risques.
-
-
-
Sécurité des mots de passe et références d'authentification
Veillez à appliquer des pratiques d'authentification robustes :
-
Utilisez des mots de passe complexes, dépassant de préférence 14 caractères, pour limiter les risques de craquage des mots de passe par force brute avec NTLM v2.
-
Évitez les méthodes d'authentification de base, comme la transmission de noms d'utilisateur et de mots de passe au format texte brut ou codage base64.
-
Récapitulatif
En suivant les recommandations ci-dessus, vous limitez l'exposition aux risques de sécurité tout en maintenant la compatibilité dans toute votre entreprise. Préférez toujours l'authentification Kerberos, utilisez des FQDN, appliquez le cryptage SMB v3 et validez soigneusement les certificats pour bien sécuriser votre configuration de serveur préféré.
Contactez le support Ivanti pour obtenir de l'aide.