Code source wiki de RangeeOS - Sicherheitsguide
Modifié par ndzokam le 2025/11/07 05:18
Afficher les derniers auteurs
| author | version | line-number | content |
|---|---|---|---|
| 1 | Notre système d’exploitation Rangee OS Thin Client est déjà très sécurisé dans sa configuration par défaut. À ce jour, aucune attaque connue n’a exploité notre système comme point d’entrée pour des hackers ou d’autres intrus. | ||
| 2 | |||
| 3 | Néanmoins, il est possible de renforcer la sécurité du système au-delà des paramètres par défaut et de le protéger contre les attaques potentielles. Cet article fournit un aperçu de certaines configurations importantes pour la sécurité. | ||
| 4 | |||
| 5 | {{toc/}} | ||
| 6 | |||
| 7 | = RangeeOS = | ||
| 8 | |||
| 9 | == Désactiver le service Samba == | ||
| 10 | |||
| 11 | SMB est souvent utilisé comme point d’entrée potentiel. Sur Rangee OS, vous pouvez désactiver complètement SMB. | ||
| 12 | |||
| 13 | [[RangeeOS - Samba-Dienst deaktivieren>>doc:HowTos.RangeeOS - Samba-Dienst deaktivieren.WebHome]] | ||
| 14 | |||
| 15 | {{info}} | ||
| 16 | En désactivant le service Samba, les fonctionnalités suivantes ne sont plus disponibles : | ||
| 17 | |||
| 18 | * Appartenance à un domaine | ||
| 19 | (L’utilisation de la connexion utilisateur via un domaine reste possible) | ||
| 20 | * Utilisation des imprimantes réseau SMB | ||
| 21 | * Partage des imprimantes locales via SMB | ||
| 22 | * Utilisation des partages de fichiers SMB | ||
| 23 | * Partage de fichiers | ||
| 24 | {{/info}} | ||
| 25 | |||
| 26 | == Désactiver le service SSH == | ||
| 27 | |||
| 28 | Vous pouvez contrôler le service **SSH** sur les appareils via {{status title="KOMMBOX"/}}(% id="cke_bm_3642S" style="display:none" %) (%%) → {{status title="Remote-Administration"/}} avec l’option **"SSH"**. | ||
| 29 | |||
| 30 | == Désactiver l’accès fabricant == | ||
| 31 | |||
| 32 | {{info}} | ||
| 33 | L’accès fabricant ne nous permet aucun accès à travers les pare-feu. Pour que nous puissions nous connecter à un appareil, nous devons déjà avoir été invités dans votre réseau via d’autres outils de maintenance à distance. | ||
| 34 | {{/info}} | ||
| 35 | |||
| 36 | L’accès fabricant sur RangeeOS se compose d’un compte **"root"** avec mot de passe et clé SSH. Les informations de connexion correspondantes sont conservées de manière sécurisée et ne sont pas communiquées à l’extérieur. Cet accès permet à notre support d’accéder à un terminal Linux et est utilisé uniquement à des fins de débogage. | ||
| 37 | |||
| 38 | |||
| 39 | Vous pouvez gérer l’accès fabricant sur les appareils via {{status title="KOMMBOX"/}}(% id="cke_bm_3642S" style="display:none" %) (%%) → {{status title="Remote-Administration"/}} avec l’option **"Accès fabricant "** | ||
| 40 | |||
| 41 | |||
| 42 | |||
| 43 | == Désactiver la mise en cache des mots de passe pour la connexion utilisateur AD == | ||
| 44 | |||
| 45 | Si l’option **"** **Se connecter au domaine au démarrage du système "** est activée, les identifiants de l’utilisateur sont par défaut enregistrés pour l’utilisation du **Single Sign-On (SSO)**. Ce comportement peut être contrôlé via (% id="cke_bm_1295S" style="display:none" %) (%%) (% id="cke_bm_4161S" style="display:none" %) (%%) {{status title="KOMMBOX"/}}(% id="cke_bm_3642S" style="display:none" %) (%%) → {{status title="Active Directory-Konfiguration"/}} (% id="cke_bm_4211S" style="display:none" %) (%%)→ {{status title="Benutzeranmeldung"/}} en désactivant l’option **"Mise en cache temporaire du mot de passe pour SSO "**. | ||
| 46 | |||
| 47 | [[image:AD-Login.jpg||height="369" width="600"]] | ||
| 48 | |||
| 49 | Si cette option est désactivée, une alternative à la connexion Active Directory au démarrage du système est également la connexion au démarrage de l’application: | ||
| 50 | |||
| 51 | [[RangeeOS - Passwortwechsel ohne global vorgeschaltete Domänen-Anmeldung>>doc:HowTos.RangeeOS - Passwortwechsel ohne Systemweit vorgeschaltete Domänen-Anmeldung.WebHome]] | ||
| 52 | |||
| 53 | == Contrôler / désactiver l’accès VNC == | ||
| 54 | |||
| 55 | Vous pouvez configurer l’accès VNC via {{status title="KOMMBOX"/}}(% id="cke_bm_3642S" style="display:none" %) (%%) → {{status title="Remote-Administration"/}} sous la rubrique **"VNC".** | ||
| 56 | |||
| 57 | Si vous souhaitez utiliser l’accès VNC, il est recommandé de **"définir un mot de passe"** et de demander à l’utilisateur de **confirmer l’accès via VNC** grâce à l’option ** " Comportement lors d’une connexion externe via VNC "**. | ||
| 58 | |||
| 59 | Si vous n’avez pas besoin de l’accès VNC, vous pouvez le désactiver via l’option **" Accès à distance via VNC " **. | ||
| 60 | |||
| 61 | [[image:grafik.png||height="253" width="600"]] | ||
| 62 | |||
| 63 | == Activer le pare-feu client == | ||
| 64 | |||
| 65 | Sur RangeeOS, l’outil en ligne de commande iptables permet de définir des règles de pare-feu personnalisées. Une instruction détaillée sur la création des règles et leur distribution via script est disponible ici : | ||
| 66 | |||
| 67 | [[RangeeOS - Firewall mit ipables Skript>>doc:HowTos.RangeeOS - Firewall mit ipables Skript.WebHome]] | ||
| 68 | |||
| 69 | == Désactiver les Rangee Hybrid Tools == | ||
| 70 | |||
| 71 | Les Rangee Hybrid Tools permettent de contrôler à distance diverses actions sur l’appareil. Si vous désactivez ces outils, les fonctionnalités suivantes ne seront plus disponibles : | ||
| 72 | |||
| 73 | * Démarrage contrôlé par le serveur de connexions individuelles, retrait sécurisé des supports de stockage, etc. | ||
| 74 | * AppControl | ||
| 75 | * SoundControl | ||
| 76 | * ClientControl | ||
| 77 | * Détection automatique de l’IP du client et du token de connexion via la Redirection Rangee Browser | ||
| 78 | |||
| 79 | Vous pouvez gérer cette option dans(% id="cke_bm_4161S" style="display:none" %) (%%) {{status title="KOMMBOX"/}}(% id="cke_bm_3642S" style="display:none" %) (%%) → {{status title="Remote-Administration"/}} via "Activer les Rangee Hybrid Tools". | ||
| 80 | |||
| 81 | [[image:HD-Tools.png||height="226" width="600"]] | ||
| 82 | |||
| 83 | == Vérifier le certificat TCMS == | ||
| 84 | |||
| 85 | Dans (% id="cke_bm_4161S" style="display:none" %) (%%) {{status title="KOMMBOX"/}}(% id="cke_bm_3642S" style="display:none" %) (%%) → {{status title="Remote-Administration"/}} (% id="cke_bm_4211S" style="display:none" %) (%%)→ {{status title="TCMS-Einstellungen"/}} vous trouverez l’option ** "** **Vérifier le certificat HTTPS "**.** **Si cette option est activée, le certificat HTTPS du TCMS sera contrôlé pour en vérifier la validité. | ||
| 86 | |||
| 87 | (% class="box warningmessage" %) | ||
| 88 | ((( | ||
| 89 | Pour cela, il est nécessaire d’installer un certificat vérifiable sur le TCMS et de faire confiance à l’émetteur de ce certificat. | ||
| 90 | Voir à ce sujet : | ||
| 91 | [[Kommbox- bzw. TCMS Webserver Zertifikat austauschen>>doc:HowTos.Allgemein - Kommbox- bzw\. TCMS Webserver Zertifikat austauschen.WebHome]] | ||
| 92 | [[Zertifikate Installieren>>doc:Handbuecher.Handbuch11.Kapitel 3 - Administration des Clients.3\.K\. Tools.3\.K\.I\. Zertifikate.WebHome]] | ||
| 93 | ))) | ||
| 94 | |||
| 95 | == Interdire la découverte TCMS == | ||
| 96 | |||
| 97 | Si le **"TCMS Discovery"** est autorisé, n’importe quel TCMS peut **" collecter " **les appareils et les intégrer à sa propre gestion. Si le **"TCMS Discovery"**est interdit, le serveur de gestion utilisé par un client ne peut pas être remplacé à distance. | ||
| 98 | |||
| 99 | Vous pouvez gérer cette option via (% id="cke_bm_4161S" style="display:none" %) (%%) {{status title="KOMMBOX"/}}(% id="cke_bm_3642S" style="display:none" %) (%%) → {{status title="Remote-Administration"/}} (% id="cke_bm_4211S" style="display:none" %) (%%)→ {{status title="TCMS-Einstellungen"/}} sous **"Discovery"** | ||
| 100 | |||
| 101 | == Masquer le menu de démarrage == | ||
| 102 | |||
| 103 | Vous pouvez rendre le **menu de démarrage (GRUB)** de RangeeOS **inaccessible à l’utilisateur** sur l’appareil. Pour ce faire, réglez le **"Timeout"** dans {{status title="KOMMBOX"/}} → {{status title="WERKZEUGE"/}} → {{status title="BOOT-KONFIGURATION"/}} sur **"0"** . | ||
| 104 | |||
| 105 | En masquant le menu de démarrage, le panneau de secours (Rescue Panel) ne sera plus disponible. | ||
| 106 | |||
| 107 | [[Rescue Panel>>doc:Handbuecher.Handbuch11.Kapitel 4 - Erweiterte Administration.4\.F\. Rescue Panel.WebHome]] | ||
| 108 | |||
| 109 | == Désactiver Fastboot == | ||
| 110 | |||
| 111 | Si le mode Fastboot est activé sur l’appareil, le système d’exploitation est décompressé sur le disque dur du client et peut être modifié de manière permanente jusqu’à la prochaine mise à jour. | ||
| 112 | En désactivant Fastboot, vous vous assurez qu’aucune modification permanente ne peut être effectuée sur le système. | ||
| 113 | |||
| 114 | Vous pouvez gérer l’utilisation de Fastboot via {{status title="KOMMBOX"/}} → {{status title="WERKZEUGE"/}} → {{status title="Bootloader"/}} en désactivant l’option **"Aktiviere RangeeOS Fastboot" .** | ||
| 115 | |||
| 116 | |||
| 117 | [[image:fastboot.png||alt="Fastboot-Deaktivieren.png" height="327" width="600"]] | ||
| 118 | |||
| 119 | == Activer la vérification des signatures au démarrage == | ||
| 120 | |||
| 121 | À partir de RangeeOS 12.00, il est possible de vérifier la signature des packages firmware et logiciels installés à chaque démarrage. Cela garantit que les packages logiciels n’ont pas été modifiés et qu’ils sont bien ceux fournis par le fabricant. Par défaut, la signature des packages est déjà vérifiée à chaque mise à jour logicielle. Une option supplémentaire permet d’effectuer cette vérification à chaque démarrage. | ||
| 122 | |||
| 123 | {{info}} | ||
| 124 | La vérification des signatures prend entre 1 et 3 minutes selon le matériel utilisé. | ||
| 125 | {{/info}} | ||
| 126 | |||
| 127 | Vous pouvez gérer l’utilisation de la vérification des signatures au démarrage dans {{status title="KOMMBOX"/}} → {{status title="WERKZEUGE"/}} → {{status title="Bootloader"/}} via l’option **" **Exiger la vérification de la signature des packages au démarrage**" .** | ||
| 128 | |||
| 129 | [[image:signatur.png||height="327" width="600"]] | ||
| 130 | |||
| 131 | == Activer USBGuard == | ||
| 132 | |||
| 133 | L’utilisation de USBGuard permet de s’assurer que seuls les périphériques USB explicitement configurés peuvent être utilisés sur le client. | ||
| 134 | |||
| 135 | [[USB-Geräte Verwaltung mit USBGuard>>doc:HowTos.RangeeOS - USB-Geräte Verwaltung mit USBGuard.WebHome]] | ||
| 136 | |||
| 137 | = TCMS = | ||
| 138 | |||
| 139 | == Vérification de la signature des clients == | ||
| 140 | |||
| 141 | Grâce à la vérification de la signature des clients, vous pouvez définir dans le TCMS que seuls les clients préalablement autorisés peuvent s’enregistrer et être configurés. | ||
| 142 | Cette option est fonctionnellement équivalente à l’option " Vérifier le certificat TCMS " côté client et empêche les clients non autorisés de se connecter au TCMS et de recevoir une configuration. | ||
| 143 | |||
| 144 | [[TCMS - Signaturprüfung>>doc:HowTos.TCMS - Signaturprüfung.WebHome]] | ||
| 145 | |||
| 146 | == Utilisation d’un port API supplémentaire == | ||
| 147 | |||
| 148 | Dans la configuration standard, les Thin Clients communiquent avec le serveur de gestion via HTTPS sur le port 443 (TCP). C’est le même port que celui utilisé par l’interface web du TCMS. | ||
| 149 | En utilisant un port API supplémentaire, vous pouvez définir un port exclusivement réservé à la communication des Thin Clients avec le serveur. | ||
| 150 | |||
| 151 | La procédure correspondante est décrite dans notre [[HowTo zur Verfügbarmachung des TCMS über das Internet>>doc:HowTos.TCMS - TCMS übers Internet verfügbar machen.WebHome]] |