Libre-service TI

Space shortcuts

Page tree

Versions Compared

Old Version 4

changes.mady.by.user Annick Lachapelle

Saved on

compared with

New Version Current

changes.mady.by.user Annick Lachapelle

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Image Added


Panel
Image Removed

Maintenant implantée à l’UdeM, l’authentification forte à deux facteurs (A2F) ajoute un niveau de sécurité additionnel aux comptes personnels uniques pour chacun des membres de la communauté universitaire. Elle permet de vérifier que vous êtes bien la personne que vous prétendez être lorsque vous vous connectez à des services en ligne importants.

Mais qu’en est-il des autres comptes à hauts privilèges

qui permettent

de

donner des accès à nos systèmes aux invités d’une unité? Ou des comptes qui sont utilisés pour exécuter des opérations d’administrateur

gestion des accès utilisés par un responsable informatique ou une personne déléguée dans une unité pour gérer les accès d'un membre de son unité? Afin d’avoir le niveau de sécurité recommandé par le Ministère de la Cybersécurité et du Numérique, ces comptes nécessitent urgemment l’intégration à l’authentification

forte (A2F)

A2F. La sécurisation des comptes "ca-unité" s'effectuera dans les prochains mois pour l'ensemble des unités de l'UdeM.

Vers la sécurisation des comptes de gestion à hauts privilèges

Afin de sécuriser un compte, l’utilisateur propriétaire doit être le seul à utiliser ce compte qui connaît le mot de passe qui y est associé. Par conséquent, le compte à haut privilège doit être unique à un utilisateur propriétaire et non partagé par plusieurs. Le compte à haut privilège sera associé au profil utilisateur de son propriétaire et celui-ci devrait inscrire un deuxième facteur d’authentification qui sera associé à ce compte.

La sécurisation des comptes à hauts privilèges annonce la fin des comptes d’administrateurs actuels connus sous l’appellation

« CA

« ca-

unité »

unité ». Ceux-ci étant souvent partagés

,

et/ou utilisés pour d’autres opérations que la gestion des permissions locales

(OGLP),

telles que l’exécution de scripts

,

ou l'automatisation de certaines tâches

, il

. Il est alors difficile d’en assurer l’unicité ou la sécurité. Renommer les comptes « ca-

unité1 »

unité1 », « ca-

unité2 »

unité2 » deviendrait rapidement fastidieux

.

et ne réduirait pas le risque de partage.

Pour assurer la sécurité d'un compte de gestion, celui-ci doit être utilisé par une seule personne qui en contrôle l'utilisation, la sécurité et les accès.  Par conséquent, le compte de gestion à hauts privilèges "admu_code d'accès" sera associé à un utilisateur-propriétaire unique dont lui seul connait le mot de passe UNIP ainsi que la 2e méthode d'authentification A2F reliée.  

Ce qui change:

  • Le compte de gestion à hauts privilèges ne pourra plus être partagé.
  • Le mot de passe du compte de gestion à hauts privilèges ainsi que les méthodes d'authentification à deux facteurs (A2F) reliées seront choisis, connus ou modifiés par son propriétaire uniquement.
  • Le compte « admu_code d’accès »

Comment procéder?

Un compte « admu_code d’accès »
  • sera créé pour chaque utilisateur dont la fonction et/ou les tâches nécessitent
d’avoir un accès à l’Outil
  • de gérer les permissions d'accès par l'Outil de gestion des permissions locales
. Une revue des rôles utilisateur sera effectuée annuellement.
  • (OGLP) ou par un autre système. 
  • Les permissions d'accès ou privilèges de gestion de ce compte seront limitées aux besoins tels que déterminés par son gestionnaire.
  • Le compte
  • Les comptes « ca-unité » qui sont utilisés pour l’automatisation de certaines tâches seront remplacés par des comptes de services.
    • Les comptes
    • « ca-unité » qui
    sont indiqués
    • est utilisé dans l’automatisation de certaines tâches ou indiqué dans des scripts locaux et/ou du domaine
    SIM pour la gestion des permissions/opérations devront être modifiés pour le compte « admu-code d’accès »
    • devra être remplacé par un compte de service.
    • Pour des raisons de sécurité, un compte de gestion, de fonction ou d'administrateur n'est pas autorisé à utiliser le VPN de l'UdeM. 

    Comment se préparer à la sécurisation du compte "ca-unité"?

    L'analyse de l'utilisation du compte "ca-unité" dans votre unité est une réflexion nécessaire afin d'assurer une transition harmonieuse vers la sécurisation du compte de gestion à hauts privilèges de votre unité. Consultez le document "Comment me préparer à la sécurisation du compte ca-unité" pour débuter l'analyse.



    Info
    titleDocumentation

    Comment me se préparer à la sécurisation du compte "ca-unité" 

    Guide d'accompagnement - Sécurisation des comptes à hauts privilèges ca-unité 

    Excel_Analyse de l'utilisation du compte ca-unité_Formulaire à compléter

    Processus Guide de sécurisation des comptes à hauts privilèges Faire une demande de création ca-unité 


        


    UI Expand
    titleFAQ


    UI Expand
    titleComment modifier le mot de passe d'un compte admu_code d'accès?

    Vous pouvez modifier le mot de passe d'un compte admu_code d'

    accès 
    FAQ

    accès de façon autonome de deux façons: 

    Sinon, communiquez avec un responsable technique de votre unité ou un membre du Centre de services des TI qui pourra réinitialiser le mot de passe par Indigo 2.0. 


    UI Expand
    title
    Quelles sont les applications qui pourraient nécessiter un accès par un compte à hauts privilèges?

    Pour vous aider à compléter le fichier Excel des besoins de votre unité, voici les applications qui pourraient nécessiter un accès par un compte à hauts privilèges:

    • Outil de gestion des permissions locales (OGLP)
    • Info personnelles (compte personnel)
    • Logithèque UdeM
    • Active Directory – inscrire machine dans le domaine ou éditer des GPO
    • SCCM
    • Poste de travail- Compte administrateur local sur les postes
    • Boîtes aux lettres partagées (selon besoin)
    • DOCUM (gestion des accès et quotas)