Nous espérons que vous êtes au fait de la vulnérabilité récemment signalée dans Desktop Central CVE-2020-10189. Elle a été mise en évidence par Steven Seeley de Source Incite le 6 mars 2020. Notre équipe de sécurité a travaillé 24 heures sur 24 pour corriger cette vulnérabilité, et publier le correctif le même jour. Cependant, nous voulions informer tous nos clients et les tenir au courant des détails de cette vulnérabilité RCE (Remote Code Execution). Nous vous demandons de lire attentivement cet avis de sécurité afin de comprendre le problème, ses implications et les mesures à prendre pour renforcer le réseau de vos utilisateurs finaux contre cette vulnérabilité. Cet avis est valable pour les utilisateurs de Desktop Central et de Desktop Central MSP.
Problème : Exécution arbitraire de codes non authentifiés
Quel est le problème ?
Desktop Central avait un téléchargement de fichier non authentifié, par lequel l'écriture arbitraire de fichiers était possible dans l'instance en cours d'exécution. De plus, un autre terminal non authentifié ne permettait pas de valider correctement les données fournies par l'utilisateur, ce qui peut entraîner la désérialisation de données non fiables. Ces deux failles de sécurité, combinées, permettent à un pirate d'exécuter un code arbitraire dans le contexte du SYSTEM sur les installations de Desktop Central concernées.
Qui est concerné ?
Les utilisateurs des builds 10.0.473 et inférieures de Desktop Central sont exposés au risque d'exploitation de cette vulnérabilité. Notez que les utilisateurs des versions 10.0.474 à 10.0.478 ne sont pas exposés à cette exploitation, mais qu'il leur est conseillé de passer à la dernière version pour bénéficier de mesures de sécurité renforcées.
Quelles ont été les mesures prises par l'équipe du Desktop Central pour régler ce problème ?
Le correctif initial pour la vulnérabilité du téléchargement arbitraire de fichiers a été publié dans la version 10.0.474 le 20 janvier 2020. Ce correctif annule l'exploitabilité de la vulnérabilité RCE. Cependant, la correction complète de la vulnérabilité de l'exécution de code à distance est maintenant disponible dans la version 10.0.479, qui a été publiée le 6 mars 2020.
Comment vérifier si mon installation a été compromise ?
Remarque : il s'agit d'une des méthodes permettant de vérifier si la vulnérabilité a été exploitée. S'il existe un fichier portant ces noms logger.txt, logger.zip, mdmlogs.zip, managedprofile_mdmlogs.zip dans le dossier \ManageEngine\DesktopCentral_Server\webapps\DesktopCentral\_chart, alors votre installation a été compromise. Si votre instance Desktop Central a été exploitée, utilisez la sauvegarde programmée de votre installation et restaurez-la pour une nouvelle instance sur une nouvelle installation. Si vous utilisez un certificat tiers, il est fortement recommandé de contacter votre autorité de certification pour réémettre vos certificats SSL et révoquer les précédents.
Comment le problème sera-t-il résolu ?
La servlet compromise a été supprimée. En outre, l'ensemble complet des paramètres a été validé, ce qui permet d'éviter l'injection de code non authentifié.
Comment appliquer le correctif pour cette vulnérabilité ?
Les clients de Desktop Central sont invités à effectuer une mise à niveau vers la dernière version. Suivez les étapes ci-dessous pour effectuer la mise à jour vers la dernière build :
1. Connectez-vous à la console de Desktop Central. Dans le coin supérieur droit, cliquez sur le numéro de build. 2. En cliquant sur votre version de build actuelle, vous pourrez trouver le dernier build applicable à votre réseau. 3. Téléchargez le PPM disponible et mettez à jour votre version.
Remarque : il est néanmoins fortement recommandé de passer à la dernière version pour bénéficier de mesures de sécurité renforcées et d'améliorations permettant un fonctionnement sans faille du produit.
La gestion des ressources informatiques est une tâche considérable pour toute entreprise, mais avec les outils appropriés, cette tâche peut être simplifiée ; les logiciels de gestion des ressources informatiques, par exemple, peuvent représenter un énorme avantage pour rationaliser la gestion de vos logiciels et matériels.
Qu'est-ce que la gestion des ressources informatiques ?
La gestion des ressources informatiques (ITAM) est "un ensemble de pratiques métier qui intègre les ressources informatiques dans toutes les entités de l'organisation. Elle réunit les responsabilités contractuelles, d'inventaire, financières et de gestion des risques pour gérer le cycle de vie global de ces ressources, y compris la prise de décisions tactiques et stratégiques dans un environnement informatique". L'ITAM est généralement combinée avec la gestion des services informatiques (ITSM) et la gestion des opérations informatiques (ITOM) pour apporter une approche globale à la gestion informatique de l'entreprise.
Le logiciel de gestion des ressources informatiques est la sous-section de l'ITAM qui couvre le matériel et les logiciels en général. Les entreprises peuvent utiliser un logiciel ITAM pour voir comment les ressources sont utilisées, ce qui, à son tour, les aide à trouver et à supprimer toute partie superflue de matériel et de logiciel afin de réduire les frais généraux.
Pourquoi les logiciels de gestion des ressources informatiques sont-ils si importants ?
Une entreprise est composée de différents services, et chaque service aura son propre ensemble de ressources informatiques. Ces ressources informatiques sont coûteuses et nécessitent souvent une maintenance régulière, comme le renouvellement des licences, les mises à jour, etc. pour conserver leur valeur. Avec le bon logiciel ITAM, les techniciens seront en mesure de surveiller tout le matériel et les logiciels à partir d'un seul endroit central, ce qui réduira les coûts et améliorera la productivité d'une entreprise.
Selon Gartner, "la gestion des ressources informatiques fournit un compte rendu précis des coûts et des risques liés au cycle de vie des ressources technologiques afin de maximiser la valeur marchande des décisions en matière de stratégie technologique, d'architecture, de financement, de contrats et d'approvisionnement". L'ITAM ne se limite pas à la gestion du matériel ou des logiciels ; elle comprend également l'adoption d'une approche globale où l'ensemble de l'infrastructure informatique, la technologie utilisée, les finances, les procédures de données et les décisions commerciales peuvent toutes être examinées et rationalisées.
Exemples de gestion des ressources informatiques
En général, la gestion des ressources peut être utilisée pour désigner de nombreux éléments différents dans un environnement informatique. Vous trouverez ci-dessous certains des types de gestion des ressources informatiques les plus courants.
Gestion du matériel :
Elle comprend la gestion des ressources matérielles, notamment les ordinateurs de bureau, les ordinateurs portables, les serveurs, les claviers, les souris, les imprimantes, les dispositifs IoT, etc.
Gestion des logiciels :
Elle comprend la gestion des ressources informatiques telles que les applications, les programmes et les logiciels.
Gestion des ressources numériques :
Elle concerne la gestion des fichiers, dossiers, photos, vidéos et autres fichiers média de l'entreprise qui font également partie des ressources informatiques.
Gestion des licences :
Elle comprend la gestion des logiciels commerciaux en fonction de leur utilisation et de leur importance pour la productivité.
Comprendre la gestion du cycle de vie des ressources informatiques
Les entreprises gèrent tous les différents types de ressources au sein de leurs environnements, y compris les ressources physiques et numériques. La gestion de ces ressources complexes est une activité courante et essentielle. Le fait de maintenir le matériel en bon état et de le réparer rapidement en cas de panne permet d'améliorer l'efficacité de l'entreprise dans son ensemble, tandis que la mise à jour des applications et le contrôle du nombre de licences achetées par rapport à celles utilisées permettent d'obtenir de meilleurs rendements à long terme.
Les logiciels de gestion des ressources informatiques impliquent le processus d'identification, d'acquisition, de mise en service, de maintenance et d'élimination des périphériques et applications de réseau.
Identification
Les services informatiques doivent identifier le type de périphériques et de logiciels requis pour les différents services de leur entreprise. Une fois ces types identifiés, l'étape suivante consiste à chercher des fournisseurs à sélectionner et à déterminer la durée pendant laquelle vous souhaitez acheter ces logiciels sous licence.
Acquisition
Les ressources peuvent être acquises sous différentes formes ; par exemple, elles peuvent être développées, achetées ou prêtées.
Intégration
Après l'achat, la ressource doit être installée à l'intérieur du réseau et intégrée à d'autres éléments essentiels de votre entreprise.
Maintenance
Un bon entretien de ces ressources permettra de réduire les frais généraux de votre entreprise. Un entretien régulier, des réparations et des mises à jour joueront un rôle essentiel dans le cycle de vie de l'ITAM.
Élimination
Une fois que les ressources ont dépassé leur durée de vie, les services informatiques doivent les céder et en acquérir de nouvelles en fonction de ce qui est disponible sur le marché actuel ainsi que des besoins de l'entreprise au moment de l'achat.
Comment un logiciel de gestion des ressources informatiques peut-il contribuer à rationaliser la continuité des activités ?
Avec un logiciel de gestion des ressources informatiques approprié, les administrateurs informatiques peuvent facilement rationaliser l'ensemble du cycle de vie des ressources informatiques de l'entreprise. Vous trouverez ci-dessous certains des avantages à utiliser un logiciel de gestion des ressources informatiques.
Gestion automatisée de l'inventaire :
Découvrez automatiquement tous les périphériques et applications réseau lorsqu'ils entrent ou sortent de l'environnement de l'entreprise.
Gestion des licences :
Identifier les matériels et les logiciels existant au sein de l'entreprise afin de mesurer l'utilisation des licences et des renouvellements de garantie.
Interdiction des applications :
Les logiciels indésirables, tels que les applications sociales, les jeux et les torrents qui entravent l'efficacité devraient être interdits dans l'environnement des entreprises afin de stimuler la productivité des employés et la sécurité informatique.
Blocage des EXE :
Toutes les EXE libres et autres applications utilisant des EXE qui ne sont pas adaptées au réseau d'entreprise doivent être bloquées.
Mesure de l'utilisation des logiciels :
L'utilisation qui en est faite de logiciels commerciaux à travers le réseau aidera les administrateurs informatiques à identifier la bonne quantité de licences qui devraient être renouvelées pour l'année suivante.
Pourquoi Desktop Central, en tant que logiciel de gestion des ressources informatiques, fera la différence
Desktop Central, le logiciel de gestion des ressources informatiques de ManageEngine, vous permet de gérer les ressources informatiques de manière globale. Grâce à ses capacités ITAM uniques, Desktop Central peut vous aider dans l'ensemble du processus de gestion de l'inventaire informatique, y compris la gestion des licences, des périphériques USB, des utilisateurs et des groupes ainsi que d'autres configurations spécifiques au réseau pour les navigateurs, les imprimantes, les lecteurs réseau, les pare-feux et le Wi-Fi.
Par rapport aux autres logiciels de gestion des actifs informatiques sur le marché, Desktop Central offre la plus large gamme de fonctionnalités à un prix ne vous obligeant pas à casser votre tirelire . Gérez vos smartphones, tablettes, serveurs, ordinateurs de bureau, ordinateurs portables et bornes d'information avec la prise en charge des systèmes d'exploitation Windows, Mac, Linux, iOS, Android, TvOS, Chrome OS, etc.
Téléchargez dès maintenant votre version d'essai gratuite de Desktop Central et démarrez sans tarder votre implémentation ITAM. Desktop Central est un logiciel de gestion des ressources informatiques qui est fourni gratuitement pour 50 points d'extrémité. Laissez ManageEngine Desktop Central être le moteur de votre stratégie ITAM.
Les serveurs de fichiers sont un élément essentiel de l’infrastructure informatique de chaque entreprise. Toute modification involontaire des autorisations sur les serveurs de fichiers stratégiques peut compromettre les données, entraînant de lourdes amendes pour non-conformité et des perturbations de l'activité.
La première étape dans la prévention des abus de privilèges consiste à suivre les autorisations sur vos serveurs de fichiers Windows. Les auditeurs de conformité demandent souvent aux administrateurs informatiques de fournir la liste des autorisations NTFS accordées à un groupe ou à un utilisateur individuel. Construire une telle liste à l'aide d'outils natifs Active Directory (AD) nécessite des scripts PowerShell, ce qui est fastidieux et prend du temps. Et utiliser des outils AD natifs pour gérer les autorisations du serveur de fichiers pour plusieurs objets est également un problème. C’est là qu'ADManager Plus, un puissant outil de gestion des rapports et du partage NTFS, entre en jeu.
Les rapports des autorisations de partage et des autorisations NTFS d’ADManager Plus aide les administrateurs à générer des états sur les autorisations d’accès aux fichiers et dossiers de partage et NTFS, afin qu’ils puissent auditer et re-certifier l’accès aux données sensibles. Avec cet outil, les administrateurs peuvent également définir des autorisations NTFS détaillées avec des restrictions d’accès par utilisateur et par groupe afin de garantir l’absence d’accès excessif aux fichiers sensibles.
Les administrateurs peuvent également répertorier les dossiers pour lesquels des comptes spécifiés disposent d'autorisations, et modifier ou révoquer les autorisations instantanément si des autorisations sont accordées à la mauvaise personne. Pour réduire les risques de perte de données et respecter le principe d'accès juste à temps, les administrateurs peuvent fournir un accès temporel aux fichiers et dossiers critiques.
En utilisant ADManager Plus, vous pouvez sécuriser les données de votre entreprise en gardant une trace de toutes les attributions d’autorisations de partage et NTFS existantes et en modifiant ou en supprimant les autorisations non souhaitées en une seule fois.
Pour en savoir plus sur la gestion des autorisations NTFS d’ADManager Plus et la création de rapports, cliquez ici.
Lorsque les employés quittent les entreprises, leurs comptes utilisateurs restent souvent dans l'Active Directory sans attirer beaucoup l'attention. Les mots de passe de ces comptes demeurent inchangés lorsqu'ils ne sont plus utilisés, ce qui pourrait compromettre la sécurité. Pour une sûreté optimale, les entreprises devraient toujours s'assurer que les comptes d'utilisateurs inactifs ou obsolètes sont protégés ou, mieux encore, supprimés.
