Mirage File Portal s'exécute sur Windows Server 2008 ou versions ultérieures. Vous devez protéger cet hôte contre les vulnérabilités normales du système d'exploitation.
Utilisez des filtres de logiciels espions, des systèmes de détection d'intrusion et les autres mesures de sécurité imposées par les stratégies de votre entreprise.
Vérifiez que toutes les mesures de sécurité sont à jour, y compris les correctifs du système d'exploitation.
Tableau 1.
Configuration de protection pour le code MFP01
| Élément de configuration |
Description |
| Code |
MFP01 |
| Nom |
Maintient Mirage File Portal à jour à l'aide des correctifs adéquats. |
| Description |
En maintenant les correctifs de système d'exploitation à jour, les vulnérabilités du système d'exploitation sont atténuées. |
| Risque ou contrôle |
Si une personne malveillante parvient à accéder au système et réattribue les privilèges de Mirage File Portal, cette personne peut accéder à tous les transferts de fichiers via Mirage File Portal. |
| Niveau recommandé |
Enterprise |
| Condition ou étapes |
Utilise une application pour maintenir le système Mirage File Portal à jour à l'aide de correctifs, conformément aux recommandations standard du secteur ou aux directives internes, le cas échéant. |
Tableau 2.
Configuration de protection pour le code MFP02
| Élément de configuration |
Description |
| Code |
MFP02 |
| Nom |
Fournit une protection du système d'exploitation sur l'hôte de Mirage File Portal. |
| Description |
En fournissant une protection au niveau du système d'exploitation, les vulnérabilités du système d'exploitation sont atténuées. Cette protection comprend les logiciels anti-virus et anti-programme malveillant, et d'autres mesures similaires. |
| Risque ou contrôle |
Si une personne malveillante parvient à accéder au système et réattribue les privilèges de Mirage File Portal, cette personne peut accéder à tous les transferts de fichiers via Mirage File Portal. |
| Niveau recommandé |
Enterprise |
| Condition ou étapes |
Fournit une protection du système d'exploitation, telle que le logiciel anti-virus, conformément aux recommandations standard du secteur ou aux directives internes, le cas échéant. |
Tableau 3.
Configuration de protection pour le code MFP03
| Élément de configuration |
Description |
| Code |
MFP03 |
| Nom |
Limitez la connexion d'utilisateur privilégié. |
| Description |
Le nombre d'utilisateurs privilégiés autorisés à se connecter à Mirage File Portal en tant qu'administrateur doit être minimal. |
| Risque ou contrôle |
Si un utilisateur privilégié non autorisé accède à Mirage File Portal, le système devient plus vulnérable aux modifications non autorisées de téléchargements de fichiers. |
| Niveau recommandé |
Enterprise |
| Condition ou étapes |
Créez des comptes avec des privilèges de connexion spécifiques pour des particuliers. Ces comptes doivent faire partie du groupe d'administrateurs locaux. |
Tableau 4.
Configuration de protection pour le code MFP04
| Élément de configuration |
Description |
| Code |
MFP04 |
| Nom |
Implémentez une stratégie de mot de passe administrative. |
| Description |
Définissez une stratégie de mot de passe pour tous les systèmes Mirage File Portal. Le mot de passe doit inclure certains paramètres.
- Longueur minimale pour le mot de passe
- Types de caractères spéciaux obligatoires
- Modifications périodiques du mot de passe obligatoires
|
| Risque ou contrôle |
Si un utilisateur privilégié non autorisé accède à Mirage File Portal, le système devient plus vulnérable aux modifications non autorisées. |
| Niveau recommandé |
Enterprise |
| Condition ou étapes |
Définissez une stratégie de mot de passe pour Mirage File Portal. |
Tableau 5.
Configuration de protection pour le code MFP05
| Élément de configuration |
Description |
| Code |
MFP05 |
| Nom |
Supprimez le protocole réseau inutile. |
| Description |
Mirage File Portal utilise uniquement la communication IPv4. Vous devez supprimer les autres services tels que le partage de fichiers et d'imprimantes de NFS, le serveur Samba, Novell IPX, etc. |
| Risque ou contrôle |
Lorsque des protocoles inutiles sont activés, Mirage File Portal est vulnérable aux attaques réseau. |
| Niveau recommandé |
Enterprise |
| Condition ou étapes |
Dans le panneau de configuration ou l'outil d'administration du système d'exploitation de Mirage File Portal, supprimez ou désinstallez les protocoles inutiles. |
Tableau 6.
Configuration de protection pour le code MFP06
| Élément de configuration |
Description |
| Code |
MFP06 |
| Nom |
Désactivez les services inutiles. |
| Description |
Mirage File Portal nécessite un nombre minimal de services pour le système d'exploitation. Lorsque vous désactivez des services inutiles, vous améliorez la sécurité. Cela empêche les services de s'exécuter automatiquement au démarrage. |
| Risque ou contrôle |
Lorsque des services inutiles s'exécutent, Mirage File Portal est vulnérable aux attaques réseau. |
| Niveau recommandé |
Entreprise. |
| Condition ou étapes |
Vérifiez qu'aucun rôle de serveur n'est activé. Désactivez tous les services qui ne sont pas nécessaires. Plusieurs services Windows qui ne sont pas requis démarrent par défaut sur Server 2008. Vous devez désactiver ces services.
- Expérience des applications
- Gestion des applications
- Propagation des certificats
- Système d'événements Com+
- Client DHCP
- Client de suivi de lien distribué
- Coordinateur de transaction distribué
- Service de stratégie de diagnostic
- Agent de stratégie IPsec
- Spouleur d'impression
- Notifications d'événement système
|
Mirage File Portal est généralement déployé dans une zone DMZ ou dans un centre de données interne afin de contrôler l'accès au navigateur et aux données utilisateurs sur les réseaux potentiellement hostiles comme Internet. Dans une zone DMZ ou un centre de données interne, il est important d'utiliser un pare-feu afin de contrôler l'accès au protocole réseau.
Tableau 7.
Configuration de protection pour le code MFP07
| Élément de configuration |
Description |
| Code |
MFP07 |
| Nom |
Utilisez un pare-feu externe dans la zone DMZ pour contrôler l'accès au réseau. |
| Description |
Mirage File Portal est généralement déployé dans une zone DMZ. Vous devez contrôler quels protocoles et ports réseau sont autorisés, afin que la communication avec Mirage File Portal soit limitée au minimum requis. Mirage File Portal envoie automatiquement des demandes auxserveurs de gestion Mirage d'un centre de données et s'assure que tous les transferts de trafic sont réalisés au nom d'utilisateurs autorisés. |
| Risque ou contrôle |
L'autorisation de protocoles et de ports inutiles peut augmenter les risques d'une attaque d'un utilisateur malveillant, en particulier lorsqu'il s'agit de protocoles et de ports dédiés à la communication réseau depuis Internet. |
| Niveau recommandé |
Configurez un pare-feu sur un côté quelconque de Mirage File Portal, afin de limiter le nombre de protocoles et de ports réseau au minimum requis entre les navigateurs et les données de stockage Mirage. Vous devez déployer Mirage File Portal sur un réseau isolé pour limiter la portée des diffusions d'adresses de communication. Cette configuration permet d'empêcher un utilisateur malveillant sur le réseau interne de surveiller les communications entre Mirage File Portal et le serveur de gestion Mirage. Vous souhaiterez peut-être utiliser des fonctionnalités de sécurité avancées sur votre commutateur réseau afin d'empêcher une surveillance malveillante des communications Mirage Gateway avec des serveurs Mirage et pour vous protéger contre des attaques de surveillance, telles que l'empoisonnement du cache ARP. |
| Configuration de paramètre ou d'objets |
Pour plus d'informations sur les règles du pare-feu nécessaires pour un déploiement DMZ, reportez-vous au Guide d'installationVMware Mirage. |
Tableau 8.
Configuration de protection pour le code MFP08
| Élément de configuration |
Description |
| Code |
MFP08 |
| Nom |
N'utilisez pas de certificats de serveur par défaut autosignés sur Mirage File Portal. |
| Description |
Lorsque vous installez Mirage File Portal pour la première fois, le serveur HTTPS ne peut pas fonctionner tant que les certificats signés ne sont pas préparés. Mirage File Portal et le serveur HTTPS nécessitent des certificats de serveur SSL signés par une autorité de certification commerciale ou une autorité de certification organisationnelle. |
| Risque ou contrôle |
L'utilisation de certificats autosignés rend la connexion SSL/TSL plus vulnérable aux attaques d'intercepteurs. L'application de certificats d'autorité de certification de confiance atténue le potentiel de ces d'attaques. |
| Niveau recommandé |
Enterprise |
| Condition ou étapes |
Pour plus d'informations sur l'installation des certificats Mirage File Portal, reportez-vous au Guide d'installation VMware Mirage. |
| Test |
Utilisez l'outil d'analyse de vulnérabilité pour vous connecter à Mirage File Portal. Vérifiez c'est signé par l'autorité de certification appropriée. |
