15/11/2024

Le verrouillage des comptes utilisateurs avec DSM

Synology a intégré à DSM une fonctionnalité de protection des comptes utilisateurs qui va intervenir en complément de la fonctionnalité "Blocage auto". En effet, cette fonctionnalité va permettre de verrouiller l'utilisation d'un compte utilisateur lorsqu'il y a trop de tentatives de connexions malveillantes sur ce compte. Ainsi, si une adresse IP s'attaque au compte "florian" du NAS, elle risque d'être bloquée au bout d'un certain nombre de tentatives en échecs (compte tenu de la configuration effectuée à l'étape précédente), et le compte "florian" sera temporairement inaccessible pour une durée limitée (sauf depuis un appareil dit fiable) afin de le protéger complètement.

Dans la suite de cette partie, nous allons configurer la fonctionnalité "Protection du compte" de DSM. Premièrement, accédez au "Panneau de configuration", cliquez sur "Sécurité" (1) puis sur "Compte" (2). Ici, vous allez trouver la fonctionnalité "Protection du compte" (sous "Authentification à 2 facteurs") que vous pouvez activer via la case à cocher "Activer la protection du compte" (3).

Deuxièmement, nous pouvons remarquer la présence de deux zones : clients non fiables et clients fiables. En fait, il est possible d'apporter un peu plus de souplesse aux clients fiables puisque l'on peut estimer qu'il y a moins de chance qu'une attaque soit émise depuis une machine connue que depuis une machine inconnue. Ainsi, nous pouvons définir la configuration suivante :

Synology - Protection du compte

Dans cet exemple, s'il y a 5 tentatives de connexion en échecs sur un compte dans un intervalle de 1 minute, alors le compte sera protégé (verrouillé) pendant une durée de 30 minutes. En complément, on peut voir qu'on bloque à 10 tentatives au lieu de 5 tentatives sur un appareil fiable afin d'éviter les fausses alertes (exemple : un utilisateur qui galère un peu à se rappeler de son mot de passe).

Remarque importante : si l'attaque est émise à partir d'un client non fiable, le compte devra être déverrouillé par un compte administrateur. Par contre, si le verrouillage fait suite à une tentative émise depuis un client fiable, le compte peut être déverrouillé via un autre client fiable associé à ce compte.

À partir du moment où un compte est protégé, nous pouvons le retrouver à partir du bouton "Gérer les comptes protégés" de l'interface DSM, ou dans "Gérer les clients fiables". Pour être plus précis, c'est utile de connaître l'emplacement de ces deux listes pour être capable de lever un blocage manuellement. Voici un exemple :

La question que l'on peut se poser, c'est "comment Synology fait la différence entre un client non fiable et un client fiable ?". Bonne question ! Pour cela, cliquez sur l'icône "utilisateur" en haut à droite de l'interface DSM, puis dans l'onglet "Compte", cliquez sur "Protection du compte" (lien en haut, à droite du nom). Ici, vous pouvez voir l'état du compte, par exemple "Compte verrouillé" ou "Protection du compte activée".

En fait, on remarque aussi deux boutons :

  • Faire confiance au client actuel (qui devient ensuite "Client actuel fiable") : permets de définir le client actuel comme étant, en l'identifiant par son adresse IP et la méthode d'accès, par exemple le navigateur Firefox. Si vous utilisez la même machine avec le navigateur Chrome, c'est considéré comme un autre client.
  • Gérer les clients fiables : permets de voir et gérer les clients fiables associés à ce compte utilisateur. Pour être précis, un compte utilisateur peut avoir plusieurs clients fiables.

En complément, on peut voir le bouton "Annuler la protection" qui permet de déverrouiller le compte utilisateur sans attendre que la protection soit levée automatiquement (30 minutes, selon notre configuration).

Synology - Exemple de compte verrouillé

Note : lorsqu'un compte est verrouillé, une notification par e-mail est envoyée afin d'informer de l'incident de sécurité.

En conclusion, on peut dire que la fonctionnalité de "Protection de compte" offre la possibilité de mettre en "quarantaine" pendant une durée limitée un compte utilisateur qui serait victime d'une attaque informatique afin de le rendre accessible uniquement sous certaines conditions.

Ce module est à présent terminé mais nous avons encore du travail pour sécuriser notre NAS Synology, avec la gestion des flux réseaux pour terminer.

Chapitre Précédent
Retour au Module
Module Suivante
author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Résoudre le problème de resolv.conf qui se régénère automatiquement

Florian BURNEL 3

Apple – iOS 15 : à peine sortie, son écran de verrouillage déjà contourné !

Florian BURNEL 0

Microsoft corrige deux failles de sécurité dans PowerShell 7

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.