10. Renforcer la sécurité de votre installation WAPT - Côté Console

10.1. Génération de l’autorité de certification (CA) Fonctionnalité WAPT Enterprise uniquement

Lors de l’installation de WAPT, il vous est demandé de créer une paire .pem / .crt en cochant les cases Pour Signature de code et Pour usage en tant que CA.

Cette paire .pem / .crt permettra de signer les paquets WAPT et les nouveaux certificats.

10.1.1. Générer un nouveau certificat avec l’Autorité de Certification

Construire une nouvelle paire .pem / .crt.

Note

Le nouveau certificat ne sera pas un certificat auto-signé ;

Ce nouveau certificat sera signé par le CA (la clé générée lors de la première installation de WAPT) ;

Vous devez ensuite remplir la Clé privée de l’autorité et le Certificat de l’autorité.

Lors de la génération de la nouvelle paire pem/ crt, vous avez la possibilité de choisir si le nouveau certificat sera de type Pour Signature de code ou non.

Indication

Pour rappel, un certificat Pour Signature de code est réservé aux personnes ayant le rôle Administrateur dans le contexte de WAPT et un simple certificat SSL sans l’attribut Pour Signature de code est réservé aux personnes ayant le rôle Déployeur de paquet.

Les Administrateurs seront autorisés à signer les paquets qui CONTIENNENT un fichier exécutable setup.py (c’est-à-dire les paquets base).

Les personnes ayant le rôle de Déployeur de paquet seront autorisées à signer les paquets qui NE CONTIENNENT PAS le fichier exécutable setup.py (c’est-à-dire les paquets host, unit et group).

Génération d'un certificat sans l'attribut *Pour Signature de code*

Génération d’un certificat sans l’attribut Pour Signature de code

Les clés et les certificats qui ne sont pas Signature de code peuvent être distribués aux personnes chargées de déployer les paquets sur la base installée des appareils équipés de WAPT.

Une autre équipe disposant de certificats ayant l’attribut Pour Signature de code préparera les paquets WAPT contenant les applications qui devront être configurées conformément aux directives de sécurité de l”Organisation et aux personnalisations utilisateur souhaitées par celle-ci.

Génération d'un certificat avec l'attribut *Pour Signature de code*

Génération d’un certificat avec l’attribut Pour Signature de code

La génération d’une nouvelle paire .pem / .crt permettra également d’identifier formellement la personne qui a signé un paquet en recherchant l’attribut CN du certificat de paquet WAPT.

Indication

Les nouveaux certificats ne seront pas des Autorités de Certification, ce qui signifie qu’ils ne seront pas autorisés à signer d’autres certificats.

En règle générale, il n’y a qu’une seule paire pem / crt d”Autorité de Certification par Organisation.

Attention

Il n’est pas nécessaire de déployer des certificats enfants avec l’Agent WAPT.

Les certificats enfants sont utilisés avec la Console WAPT pour autoriser ou restreindre les actions dans la console.

10.1.2. Déploiement des certificats des administrateurs informatiques locaux sur les clients

Indication

Certaines organisations choisiront de laisser les administrateurs informatiques locaux effectuer des actions sur les appareils équipés de WAPT en leur délivrant des certificats personnels qui fonctionneront sur l’ensemble des appareils dont les administrateurs informatiques locaux sont responsables.

Les administrateurs informatiques du siège déploieront les certificats des administrateurs informatiques locaux sur les ordinateurs que les administrateurs locaux gèrent sur leurs sites respectifs.

Ainsi, les administrateurs informatiques locaux ne pourront pas gérer les ordinateurs situés au siège, mais uniquement sur leurs propres sites.

Il est possible de gérer simplement et de manière plus fine en utilisant Access Control Lists avec la version Enterprise de WAPT.

Vous devrez copier les certificats des administrateurs informatiques locaux autorisés sur les clients WAPT dans C:\program files(x86)\wapt\ssl.

Indication

Ne pas oublier de redémarrer le service WAPT sur les clients pour qu’ils utilisent leur nouveau certificat. Ouvrez une console en ligne de commande cmd.exe.

net stop waptservice && net start waptservice

Si vous voulez déployer les certificats en utilisant WAPT, utilisez un paquet de certificat

10.2. Afficher l’onglet des certificats dans la Console WAPT

Dans cet onglet, vous pouvez voir les certificats auxquels la machine accepte de faire confiance.

Fenêtre montrant les certificats approuvés par la machine sélectionnée

Fenêtre montrant les certificats approuvés par la machine sélectionnée

10.3. Configuration des listes de contrôle d’accès Fonctionnalité WAPT Enterprise uniquement

Indication

L’utilisateur SuperAdmin de WAPT est authentifié par un mot de passe stocké dans waptserver.ini comme valeur de l’attribut wapt_password. Les autres utilisateurs WAPT peuvent être des utilisateurs locaux htpasswd_path) ou des utilisateurs de comptes AD (ldap_auth_server / ldap_auth_base_dn).

Les ACL définissent les actions autorisées pour tous les types d’utilisateurs dans le contexte WAPT.

Note

Les ACLs par défaut au niveau utilisateur sont définies par default_ldap_users_acls dans waptserver.ini.

L’ACL par défaut pour un nouvel utilisateur est vue.

Attention

La sécurité est définie par le certificat déployé sur les clients, et non par les ACL.

Les ACL limitent simplement les actions que le serveur est autorisé à relayer de la Console WAPT aux Agents WAPT.

A la date du |date|, les Agents WAPT ne vérifient pas les droits ACL.

Pour configurer les ACL dans WAPT, allez dans Outils ‣ Gérer les utilisateurs WAPT et des droits.

Liste de menus pour la gestion des ACL dans la Console WAPT

Note

Au premier lancement après l’installation du Serveur WAPT, seul le compte SuperAdmin est présent dans la liste des utilisateurs.

Si le compte SuperAdmin n’existe pas ou ne possède pas le droit admin, le compte est recréé en redémarrant le service du Serveur WAPT.

Le compte SuperAdmin est authentifié en utilisant la valeur de wapt_password dans le fichier de configuration waptserver.ini.

Deux types de comptes sont gérables par ACL, local et Active Directory.

10.3.1. Compte d’utilisateur local

Les utilisateurs locaux sont définis par un fichier .htpasswd.

10.3.1.1. Configuration du Serveur WAPT

Pour utiliser un compte utilisateur local, vous devez créer un fichier nommé waptusers.htpasswd dans le même dossier sur le Serveur WAPT contenant le fichier waptserver.ini.

touch /opt/wapt/conf/waptusers.htpasswd
chown wapt /opt/wapt/conf/waptusers.htpasswd
  • Sur waptserver.ini ajoutez les paramètres htpasswd_path.

htpasswd_path = password file location

Indication

Redémarrer le service waptserver

10.3.1.2. Création du compte utilisateur

  • Dans la fenêtre Droits des Utilisateurs WAPT, cliquez sur Nouveau compte.

Créer un nouveau compte local

Il est possible de renommer des comptes en appuyant sur F2 sur la colonne User.

  • Sauvegardez en cliquant sur Enregistrer les comptes.

  • Pour définir un mot de passe, voir le point Changez le mot de passe.

  • Pour définir les droits, consultez la section gérer les droits ACL.

Si l’utilisateur local a un mot de passe dans waptusers.htpasswd, alors, le nom d’utilisateur apparaît en gras et Mots de passe est coché, sinon changez le mot de passe pour cet utilisateur.

10.3.1.3. Changer le mot de passe de l’utilisateur

Pour changer le mot de passe du compte sélectionné :

  • Faites un clic droit sur le compte ‣ Changer le mot de passe utilisateur sur le Serveur WAPT.

Liste de menus pour la gestion des ACL dans la Console WAPT
  • Saisissez le nouveau mot de passe.

Boîte de dialogue permettant de modifier le mot de passe de l'utilisateur dans le fichier htaccess

Boîte de dialogue permettant de modifier le mot de passe de l’utilisateur dans le fichier htaccess

L’utilisateur local apparaît en gras et la case Mots de passe est cochée.

10.3.2. Utilisateurs WAPT définis comme utilisateurs Active Directory

Pour gérer les utilisateurs WAPT avec votre Active Directory, vous devez activer l”authentification Active Directory.

Après une première connexion réussie, le compte AD apparaîtra automatiquement dans la liste des utilisateurs WAPT.

10.3.3. Blocage des comptes d’utilisateurs locaux

Pour désenregistrer les utilisateurs locaux, faites clic droit sur le compte ‣ Invalider le mot de passe de l’utilisateur sur le Serveur WAPT.

Liste de menus pour la gestion des ACL dans la Console WAPT

Le compte sera bloqué et ne pourra plus gérer quoi que ce soit dans WAPT.

10.3.4. Liste des droits

De nombreux droits et restrictions peuvent être définis pour chaque utilisateur dans la Console WAPT.

Liste des droits des utilisateurs

Droit

description

Admin

Comme SuperAdmin, tous les droits sont accordés sauf Mot de passe.

Voir

Permet de visualiser uniquement les informations sur la Console WAPT.

Inscrire machine

Permet d’utiliser les informations d’identification de l’administrateur pour enregistrer manuellement une machine sur le Serveur WAPT.

Désinscrire machine

Permet de supprimer une machine depuis la Console WAPT.

Modifier la machine

Permet de modifier le paquet machine sur la Console WAPT.

Modif paquets

Permet de modifier les paquets de base qu’elle est autorisée à modifier.

Modif groupes

Permet de modifier les paquets de groupe sur la Console WAPT.

Modif self-service

Permet de modifier les règles de self-service sur la Console WAPT.

Modif WUA

Permet de modifier les règles WUA / WSUS sur la Console WAPT.

Modif paquets AD OU

Permet de modifier les paquets unit sur la Console WAPT.

Modif paquets Profile

Permet de modifier les packages profile sur la Console WAPT.

Lancer les instalations

Permet d’appliquer à distance des mises à jour sur son périmètre, si la machine est en statut PENDING.

Actions distantes machine

Permet d’utiliser les outils Windows de Gestion de l’ordinateur avec la Console WAPT.

Modifier requêtes

Permet de créer ou modifier des requêtes de rapport.

Lancer requête

Permet de exécuter des rapports SQL existants.

Mot de passe

Définit un utilisateur local

10.3.5. Gestion des droits

Par défaut, le SuperAdmin est l’utilisateur du Certificat CA.

Pour les autres utilisateurs, il est possible d’associer un certificat généré par la PKI du WAPT ou par une autre CA.

Ces certificats peuvent ou non être des enfants de l’autorité de certification WAPT.

Attention

Si les certificats ne sont pas émis par l’autorité de certification :

  • Les paquets mis à jour sont disponibles uniquement sur les ordinateurs où les certificats sont déployés.

  • Les ACL sont valides uniquement sur le périmètre des hôtes où le certificat de l’administrateur est déployé.

10.3.5.1. Associer un certificat à un utilisateur

Indication

Par défaut, aucun certificat n’est défini pour aucun utilisateur (y compris SuperAdmin).

Le compte dans la Console WAPT apparaît en italic si aucun certificat n’est associé à l’utilisateur.

Pour associer un certificat à un utilisateur, faites clic droit sur l’utilisateur ‣ Associer un certificat à l’utilisateur.

Liste de menus pour la gestion des ACL dans la Console WAPT

Ensuite, choisissez le certificat à associer à l’utilisateur.

10.3.5.2. Ajouter / supprimer des droits

Pour ajouter ou supprimer des droits, sélectionnez la cellule avec clic gauche et cochez-la en appuyant sur la barre d'espace.

Vérifier les droits ACL

Indication

Il est possible d’effectuer une sélection multiple en utilisant les raccourcis clavier control+clic gauche et en appuyant sur la barre d'espace.

10.3.5.3. Restreindre le périmètre des droits accordés à l’utilisateur

Il est possible d’associer un périmètre à un droit donné à un utilisateur.

10.3.5.3.1. Vue
Définition du périmètre autorisé

Périmètre

description

Tout refuser

Aucun droit de regard n’est autorisé (non coché).

Autoriser sur tout le périmètre

Permet de visualiser à droite tous les Agents WAPT.

Autoriser des périmètres spécifiques

La visualisation est autorisée sur le périmètre sélectionné défini comme une liste de certificats.

Autoriser où le certificat d’utilisateur est déployé

La visualisation est autorisée uniquement sur le périmètre où le certificat de l’Administrateur WAPT est déployé.

10.3.5.3.2. Modifier les paquets de groupe

Indication

Tous les paquets de groupe fonctionnent sur le même principe, décrit ci-dessous.

Définition du périmètre autorisé

Périmètre

description

Interdire tous les paquets

Aucune édition n’est autorisée pour aucun paquet (non coché).

Autoriser tous les paquets

Le droit de modification est autorisé pour tous les paquets WAPT.

Autoriser des noms de paquets spécifiques

Permet le droit d’édition pour les paquets WAPT sélectionnés dans la liste.