Aller au contenu

RangeeOS – Guide de sécurité

Modifié par ndzokam le 2025/11/07 05:18

Notre système d’exploitation Rangee OS Thin Client est déjà très sécurisé dans sa configuration par défaut. À ce jour, aucune attaque connue n’a exploité notre système comme point d’entrée pour des hackers ou d’autres intrus.

Néanmoins, il est possible de renforcer la sécurité du système au-delà des paramètres par défaut et de le protéger contre les attaques potentielles. Cet article fournit un aperçu de certaines configurations importantes pour la sécurité.

RangeeOS

Désactiver le service Samba

SMB est souvent utilisé comme point d’entrée potentiel. Sur Rangee OS, vous pouvez désactiver complètement SMB.

RangeeOS - Samba-Dienst deaktivieren

Information

En désactivant le service Samba, les fonctionnalités suivantes ne sont plus disponibles :

  •  Appartenance à un domaine
    (L’utilisation de la connexion utilisateur via un domaine reste possible)
  • Utilisation des imprimantes réseau SMB
  • Partage des imprimantes locales via SMB
  • Utilisation des partages de fichiers SMB
  • Partage de fichiers

Désactiver le service SSH

Vous pouvez contrôler le service SSH sur les appareils via KOMMBOX →  Remote-Administration avec l’option "SSH".

Désactiver l’accès fabricant

Information

L’accès fabricant ne nous permet aucun accès à travers les pare-feu. Pour que nous puissions nous connecter à un appareil, nous devons déjà avoir été invités dans votre réseau via d’autres outils de maintenance à distance.

L’accès fabricant sur RangeeOS se compose d’un compte "root" avec mot de passe et clé SSH. Les informations de connexion correspondantes sont conservées de manière sécurisée et ne sont pas communiquées à l’extérieur. Cet accès permet à notre support d’accéder à un terminal Linux et est utilisé uniquement à des fins de débogage.

Vous pouvez gérer l’accès fabricant sur les appareils via   KOMMBOX →  Remote-Administration avec l’option "Accès fabricant "

Désactiver la mise en cache des mots de passe pour la connexion utilisateur AD

Si l’option " Se connecter au domaine au démarrage du système "  est activée, les identifiants de l’utilisateur sont par défaut enregistrés pour l’utilisation du Single Sign-On (SSO). Ce comportement peut être contrôlé via   KOMMBOX Active Directory-Konfiguration →  Benutzeranmeldung en désactivant l’option "Mise en cache temporaire du mot de passe pour SSO ".

AD-Login.jpg

Si cette option est désactivée, une alternative à la connexion Active Directory au démarrage du système est également la connexion au démarrage de l’application:

RangeeOS - Passwortwechsel ohne global vorgeschaltete Domänen-Anmeldung

Contrôler / désactiver l’accès VNC

Vous pouvez configurer l’accès VNC via   KOMMBOX →  Remote-Administration  sous la rubrique  "VNC".

Si vous souhaitez utiliser l’accès VNC, il est recommandé de "définir un mot de passe" et de demander à l’utilisateur de confirmer l’accès via VNC grâce à l’option  " Comportement lors d’une connexion externe via VNC ".

Si vous n’avez pas besoin de l’accès VNC, vous pouvez le désactiver via l’option " Accès à distance via VNC " .

grafik.png

Activer le pare-feu client

Sur RangeeOS, l’outil en ligne de commande iptables permet de définir des règles de pare-feu personnalisées. Une instruction détaillée sur la création des règles et leur distribution via script est disponible ici :

RangeeOS - Firewall mit ipables Skript

Désactiver les Rangee Hybrid Tools

Les Rangee Hybrid Tools permettent de contrôler à distance diverses actions sur l’appareil. Si vous désactivez ces outils, les fonctionnalités suivantes ne seront plus disponibles :

  • Démarrage contrôlé par le serveur de connexions individuelles, retrait sécurisé des supports de stockage, etc.
  • AppControl
  • SoundControl
  • ClientControl
  • Détection automatique de l’IP du client et du token de connexion via la Redirection Rangee Browser

Vous pouvez gérer cette option dans KOMMBOX →  Remote-Administration   via "Activer les Rangee Hybrid Tools".

HD-Tools.png

Vérifier le certificat TCMS

Dans KOMMBOX →  Remote-Administration →  TCMS-Einstellungen vous trouverez l’option  " Vérifier le certificat HTTPS ". Si cette option est activée, le certificat HTTPS du TCMS sera contrôlé pour en vérifier la validité.

Pour cela, il est nécessaire d’installer un certificat vérifiable sur le TCMS et de faire confiance à l’émetteur de ce certificat.
Voir à ce sujet :
Kommbox- bzw. TCMS Webserver Zertifikat austauschen
Zertifikate Installieren

Interdire la découverte TCMS

Si le "TCMS Discovery" est autorisé, n’importe quel TCMS peut " collecter " les appareils et les intégrer à sa propre gestion. Si le "TCMS Discovery"est interdit, le serveur de gestion utilisé par un client ne peut pas être remplacé à distance.

Vous pouvez gérer cette option via KOMMBOX →  Remote-Administration →  TCMS-Einstellungen sous "Discovery" 

Masquer le menu de démarrage

Vous pouvez rendre le menu de démarrage (GRUB) de RangeeOS inaccessible à l’utilisateur sur l’appareil. Pour ce faire, réglez le "Timeout"  dans   KOMMBOX →  WERKZEUGE  →  BOOT-KONFIGURATION   sur "0" .

En masquant le menu de démarrage, le panneau de secours (Rescue Panel) ne sera plus disponible.

Rescue Panel

Désactiver Fastboot

Si le mode Fastboot est activé sur l’appareil, le système d’exploitation est décompressé sur le disque dur du client et peut être modifié de manière permanente jusqu’à la prochaine mise à jour.
En désactivant Fastboot, vous vous assurez qu’aucune modification permanente ne peut être effectuée sur le système.

Vous pouvez gérer l’utilisation de Fastboot via KOMMBOX →  WERKZEUGE  →  Bootloader en désactivant l’option "Aktiviere RangeeOS Fastboot" .

Fastboot-Deaktivieren.png

Activer la vérification des signatures au démarrage

À partir de RangeeOS 12.00, il est possible de vérifier la signature des packages firmware et logiciels installés à chaque démarrage. Cela garantit que les packages logiciels n’ont pas été modifiés et qu’ils sont bien ceux fournis par le fabricant. Par défaut, la signature des packages est déjà vérifiée à chaque mise à jour logicielle. Une option supplémentaire permet d’effectuer cette vérification à chaque démarrage.

Information

La vérification des signatures prend entre 1 et 3 minutes selon le matériel utilisé.

Vous pouvez gérer l’utilisation de la vérification des signatures au démarrage dans   KOMMBOX →  WERKZEUGE  →  Bootloader via l’option Exiger la vérification de la signature des packages au démarrage" .

signatur.png

Activer USBGuard

L’utilisation de USBGuard permet de s’assurer que seuls les périphériques USB explicitement configurés peuvent être utilisés sur le client.

USB-Geräte Verwaltung mit USBGuard

TCMS

Vérification de la signature des clients

Grâce à la vérification de la signature des clients, vous pouvez définir dans le TCMS que seuls les clients préalablement autorisés peuvent s’enregistrer et être configurés.
Cette option est fonctionnellement équivalente à l’option " Vérifier le certificat TCMS " côté client et empêche les clients non autorisés de se connecter au TCMS et de recevoir une configuration.

TCMS - Signaturprüfung

Utilisation d’un port API supplémentaire

Dans la configuration standard, les Thin Clients communiquent avec le serveur de gestion via HTTPS sur le port 443 (TCP). C’est le même port que celui utilisé par l’interface web du TCMS.
En utilisant un port API supplémentaire, vous pouvez définir un port exclusivement réservé à la communication des Thin Clients avec le serveur.

La procédure correspondante est décrite dans notre HowTo zur Verfügbarmachung des TCMS über das Internet