Sécurité

Chiffrement des communications

Entre les agents UserLock, les consoles d'administration UserLock et le service UserLock:

Pour l'échange de clés : des courbes elliptiques standard sont utilisées : Elliptic-curve Diffie–Hellman (ECDH) 521-bit, 384-bit, 256-bit.

Pour le service UserLock, les clés privées existent uniquement durant l'exécution en cours.

Pour l'agent, de nouvelles clés privées sont crées à chaque connexion.

La clé réelle est dérivée à l'aide du hachage SHA sur la clé précédemment calculée (SHA-384 ou SHA-256).

Pour le chiffrement symétrique : AES en mode CBC, avec une longueur de clé en fonction du hachage SHA utilisé: 256 bits avec SHA-384, 128 bits avec SHA-256.

Sous Windows, l'API CNG est utilisée. Sur macOS, OpenSSL est utilisé, mais actuellement sans module FIPS.

Stockage de mot de passe

Sur le serveur, le service UserLock stocke les mots de passe avec DPAPI. Seul le compte de service UserLock (NETWORK_SERVICE) peut déchiffrer les mots de passe.

• Avancé
  • Appartenance aux Comptes Protégés
  • Référence de la base de données
  • Connexions refusées par Active Directory
  • Sécurité
  • Prérequis avancés
  • Comment appliquer les prérequis du pare-feu à UserLock Server et aux machines protégées ?