Règles d'accès distant des administrateurs système

La stratégie d'accès distant définit la liste des adresses IP et/ou des noms d'hôte à partir desquels les administrateurs peuvent accéder à l'organisation.

Par défaut, les administrateurs système peuvent uniquement se connecter depuis la console locale.

Figure 1. Gérer les règles d'accès à distance au système (règle de refus avec caractères génériques affichée)

La liste des règles d'accès distant des administrateurs système est différente de celle des autres administrateurs d'organisation. Il n'existe pas de section pour les utilisateurs et les WebPosts parce qu'ils ne peuvent pas être créés dans l'organisation Système. La liste SysAdmin Remote Access Rules (Règles d'accès distant des administrateurs système) détermine les adresses IP à partir desquelles les administrateurs système sont autorisés à se connecter.

La procédure de définition des règles d'accès distant est la même pour les administrateurs système et les administrateurs d'organisation. Pour des informations détaillées et des exemples, reportez-vous à la page Stratégie d'accès distant.

Hôtes de confiance

Seuls les administrateurs système sont autorisés à définir la liste des autorisations des hôtes de confiance pour l'organisation Sysadmin.

Vous pouvez y ajouter un nom d'hôte ou une adresse IP qui permettra à l'administrateur système de se connecter à MOVEit Transfer depuis un hôte correspondant à l'adresse IP ou au nom d'hôte spécifié.

Figure 2. Gérer les hôtes de confiance

Lors de la définition d'un hôte de confiance, vous limiterez généralement l'accès à une organisation spécifique. Désormais, les paramètres Trusted Hosts (Hôtes de confiance) accessibles aux administrateurs système s'appliquent uniquement à l'organisation Système. La définition des hôtes de confiance d'une organisation s'effectue à l'aide des règles configurables dans Security Policies - Remote Access (Stratégies de sécurité - Accès distant).

Dans le cadre d'opérations normales, les clients qui accèdent à MOVEit Transfer à partir de n'importe laquelle des interfaces locales, contournent le verrouillage d'IP normal et les contrôles de cohérence d'IP de session. Cela permet aux services comme le serveur FTP MOVEit Transfer et le serveur SSH MOVEit Transfer de fonctionner correctement, et de présenter l'adresse IP du client pour des besoins d'affichage et de journalisation. La liste des autorisations Trusted Hosts (Hôtes de confiance) permet aux administrateurs système d'approuver certains hôtes et de leur accorder les mêmes privilèges que ceux octroyés aux interfaces locales. Cette fonction est souvent utilisée lors de l'utilisation de l'API MOVEit Transfer dans une application Web séparée visant à fournir un accès avec connexion unique à MOVEit Transfer. Cela permet à la session API d'être transférée vers le navigateur du client, et d'être retournée, et cela permet également de présenter l'adresse IP du client pour des besoins d'affichage et de journalisation.

Remarque : Les hôtes ajoutés à la liste des autorisations Trusted Hosts (Hôtes de confiance) s'affranchissent d'un grand nombre des dispositifs de sécurité standard intégrés à MOVEit Transfer pour éviter les accès non autorisés. Ce n'est cependant pas le cas des clients qui se connectent via ces hôtes. N'AJOUTEZ JAMAIS D'HÔTE À CETTE LISTE SAUF SI VOUS SAVEZ CE QUE VOUS FAITES ! Pour des raisons de sécurité, le masque *.*.*.* (Toutes les adresses IP) n'est pas autorisé comme entrée de la liste des hôtes de confiance.

Stratégie de verrouillage IP

Les paramètres de la stratégie de verrouillage IP permettent à un administrateur système d'autoriser MOVEit Transfer à bloquer automatiquement une adresse IP utilisée par des clients qui ne parviennent pas à se connecter (authentification). Ce contrôle vous aide à vous protéger contre les techniques de « force brute » utilisées pour recueillir les noms d'utilisateur et les tentatives de contournement de l'accès par mot de passe.

Remarque : Les verrouillages IP sont activés par défaut et le blocage des adresses IP intervient après 15 tentatives en l'espace de 5 minutes.
Figure 3. Modifier les contrôles de la politique de verrouillage IP

Déterminer le nombre maximal autorisé de tentatives d'accès sur une période de temps donnée avant verrouillage de l'adresse IP. Une option d'expiration du verrouillage est également disponible. Elle déverrouille automatiquement les adresses IP bloquées au terme du délai spécifié.

Nom du contrôle d'IU

Paramètres pour bloquer (« verrouiller ») les adresses IP

Enable IP Lockout (Activer le verrouillage IP) Le contrôle Activer le verrouillage IP (bouton radio) active la fonctionnalité de politique de verrouillage et fournit des contrôles plus fins que vous pouvez configurer. Vous pouvez spécifier une limite pour les échecs de connexion dans un délai configuré(tentatives en minutes) ou appliquer une limite non chronométrée(Tentatives - pas de fenêtre temporelle).

Lockout IPs after (Verrouiller les IP après). Limiter le nombre d'échecs de connexion à ce nombre de tentatives.

  • Tries in n Minutes (Tentatives en n minutes). La valeur que vous indiquez dans ce champ ( n) est une fenêtre temporelle en minutes utilisée pour compter les tentatives de connexion infructueuses avant que l'IP ne soit verrouillée.
  • n Tries. (no time frame) (n tentatives. [pas de délai]) Appliquer une simple limite de tentatives infructueuses (n) provenant d'une adresse IP particulière avant de bloquer les tentatives suivantes.
Allow Org Admins to unlock all IP address (Autoriser les administrateurs d'org à déverrouiller toutes les adresses IP) Si vous choisissez d'activer ce contrôle, les utilisateurs administratifs disposeront d'un contrôle de déverrouillage (PARAMÈTRES - Politiques de sécurité - Accès à distance [Verrouillages IP]) où ils pourront réactiver l'accès pour les adresses IP qui ne respectent pas la politique.
Remarque : Les clients qui accèdent à MOVEit Transfer à partir de n'importe laquelle des interfaces locales (par opposition aux interfaces distantes), contournent le verrouillage d'IP normal et les contrôles de cohérence d'IP de session. Cela permet aux services comme le serveur FTP MOVEit Transfer et le serveur SSH MOVEit Transfer de fonctionner correctement.
Conseil : Les options Security Policies - Remote Access (Stratégies de sécurité - Accès distant) permettent aux administrateurs d'organisation d'accorder l'accès à certains hôtes (hôtes de confiance) et de leur offrir les mêmes privilèges que ceux octroyés aux interfaces locales.