Lorsque les employés travaillent à distance en dehors du domaine, UserLock peut continuer de protéger l'accès aux machines, lors des connexions au réseau et avec une liaison directe aux ressources basées dans le cloud.
Ajoutez l’authentification multifacteur (MFA), la gestion des accès et l’authentification unique (SSO) pour l’ensemble des identités Active Directory (AD), où qu’elles soient.
La MFA lors de la connexion sur une machine distante, sans avoir besoin de se connecter au VPN
Si les ordinateurs portables des employés distants ne sont pas correctement sécurisés, ils peuvent servir de point d’entrée pour des menaces malveillantes. UserLock continue de sécuriser les connexions informatiques sur les machines distantes, même lorsqu’il qu’il n’y a pas de connexion VPN sécurisée au réseau de l’entreprise.
1. Utilisation de UserLock Anywhere
Avec le télétravail, les employés ne se connectent pas toujours au VPN. Mettre en place UserLock Anywhere permet à l’agent UserLock installé sur la machine de rester en contact avec le service UserLock via internet. Permettant ainsi aux politiques de la MFA et de la gestion d’accès de continuer à être appliquées lors de la connexion de chaque utilisateur, peu importe la machine (surveillée) depuis laquelle l’employé télétravaille.
Comment installer UserLock Anywhere
2. Configuration de l’agent UserLock
Lorsque UserLock Anywhere n’est pas déployé, une demande d'accès hors ligne sur la machine peut quand même être gérée par l'agent UserLock installé sur l'ordinateur. Les administrateurs peuvent paramétrer UserLock de sorte à toujours permettre, toujours refuser ou toujours exiger la MFA pour toutes les questions hors ligne. L’option « forcer la MFA » refusera l’accès aux utilisateurs n’ayant pas déjà mis en place la MFA.
Comment gérer les connexions hors réseau
Accès sécurisé au réseau de l’entreprise pour les employés en dehors du domaine
Le fait qu’un grand nombre d’utilisateurs travaille en dehors du réseau de l’entreprise, augmente considérablement les risques de sécurité. Les cybercriminels, plus particulièrement les créateurs de ransomwares, sont très sensibles aux vulnérabilités des accès à distance. UserLock est compatible avec différents types de connexions distantes.
1. Appliquez la MFA aux
connexions VPN
Le VPN fonctionne en établissant des connexions chiffrées entre plusieurs appareils qui sont privés même s’ils traversent une infrastructure Internet publique.
La MFA de UserLock pour les sessions VPN prend en charge le protocole RADIUS (Remote Authentication Dial-In User Service). Ce protocole peut demander le mot de passe à usage unique dans une deuxième étape séparée, après que l'utilisateur ait saisi avec succès ses informations d'identification.
- Les solutions VPN qui reconnaissent le "protocole RADIUS" sont notamment Open VPN, Palo Alto, Fortinet, Pulse Secure Connect SSL...
Comment appliquer la MFA au VPN
2. Appliquez la MFA pour les connexions Windows RDP et les services de bureaux à distance (RD Gateway)
Le protocole de réseau à distance Microsoft (RDP) est également utilisé pour autoriser le bureau à distance sur un ordinateur. Le RDP ou le RD Gateway est un rôle de serveur Windows qui améliore le contrôle en fournissant une connexion chiffrée sécurisée au serveur via RDP.
Avec la MFA de UserLock, les administrateurs peuvent définir sous quelles conditions la MFA est demandée pour ces différentes connexions RDP.
- Les administrateurs peuvent d’abord personnaliser la MFA pour les connexions RDP en fonction de la connexion de l’utilisateur final à une autre machine depuis l’intérieur du réseau ou si la connexion à lieu en dehors du réseau de l’entreprise.
- Les administrateurs pourront ensuite choisir de considérer les connexions RDG comme étant internes ou externes au réseau et définir les circonstances de la MFA qui y sont liées.
Comment appliquer la MFA pour les connexions RD Gateway
Inscription de la MFA à distance
Il existe plusieurs façons d’installer la MFA pour les utilisateurs qui travaillent à distance et en dehors du réseau de l’entreprise.
En savoir plus
3. Appliquez la MFA pour les Accès Web au bureau à distance
Le RD Web Access est un moyen de se connecter à un serveur de bureau à distance, et d’accéder aux services de bureau à distance, sur Internet sans connexion VPN.
Les composants de la connexion RD Web installent les pages web et les scripts nécessaires au répertoire du serveur « Internet Information Services » (IIS), offrant aux utilisateurs une interface de page web pour leur poste de travail distant. Les utilisateurs ont uniquement besoin de leurs identifiants de connexion AD, d’une URL et d’un navigateur web supporté pour accéder aux bureaux et applications.
Avec la MFA de UserLock pour IIS, les administrateurs peuvent cibler une ou plusieurs applications web, nécessitant un second facteur d’authentification.
- UserLock détecte automatiquement les serveurs où IIS est installé et peut déployer automatiquement l’agent UserLock IIS. La fonctionnalité MFA de UserLock doit alors être installée sur le serveur IIS et l’application MFA de UserLock doit être ajoutée.
- Les paramètres du site internet sont alors configurés pour rediriger l’utilisateur vers l’inscription à la MFA si ce n’est pas déjà fait, et pour demander l’authentification MFA avant que l’accès à l’application IIS ne soit accordé.
Comment appliquer la MFA pour IIS
4. Appliquez la MFA lors des accès internet Outlook pour les serveurs Microsoft Exchange
OWA (Outlook Web Access) permet aux utilisateurs d’accéder à leur boite mail professionnelle depuis internet, en étant hors du domaine de l’entreprise, sans avoir à se connecter à un VPN.
Avec la MFA de UserLock pour IIS, un second facteur d’authentification peut être ajouté aux connections OWA car les applications Exchange sont prises en charge par le serveur IIS.
- UserLock détecte les serveurs où IIS est installé et peut déployer automatiquement l’agent UserLock IIS. La fonctionnalité MFA de UserLock doit alors être installée sur le serveur IIS et l’application MFA de UserLock doit être ajoutée.
- Les paramètres du site internet sont alors configurés pour rediriger l’utilisateur vers l’inscription à la MFA si ce n’est pas déjà fait, et pour demander la MFA pour chaque accès des utilisateurs aux emails.
Comment appliquer la MFA pour IIS
A noter : UserLock peut également protéger Exchange Online (disponible en tant que service autonome ou faisant partie d’office 365) avec la MFA. Voir les ressources situées dans le cloud.
5. La MFA sur Microsoft DirectAccess et AlwaysOn VPN
DirectAccess permet la connectivité entre les utilisateurs distants et les ressources du réseau sans avoir besoin de connexion VPN. Avec les connexions DirectAccess, les ordinateurs clients distants sont toujours connectés à votre entreprise, les utilisateurs distants n’ont pas besoin de démarrer et d’arrêter les connexions, comme c’est le cas avec les connexions VPN.
AlwaysOn VPN, le remplaçant de DirectAccess, établit automatiquement une connexion VPN chaque fois qu’un client autorisé dispose d’une connexion internet active.
Chacune de ces deux méthodes permet de sécuriser la connexion à la machine distante. Contrairement à un VPN traditionnel, il n’y a pas de demande d’informations d’identification de l’utilisateur.
Par conséquent avec UserLock, la MFA peut continuer à être demandée lorsqu’un utilisateur distant est invité à s’identifier.
Un accès direct et sécurisé aux ressources situées dans le cloud
Les entreprises souhaitent que les télétravailleurs bénéficient d’une sécurité optimale lors de leurs connexions aux ressources dans le cloud. L’accès direct peut réduire la charge sur le réseau et améliorer l’expérience utilisateur, mais souvent aux dépens de la sécurité.
Plutôt que de réacheminer ces applications via le réseau central, UserLock permet de combiner la MFA avec l’authentification unique (SSO) pour des connexions sécurisées et directes aux applications situées dans le cloud.
En conservant Active Directory (AD) comme fournisseur d’identité, la SSO de UserLock permet à chaque utilisateur de se connecter qu’une seule fois, avec leurs identifiants de connexion AD. Combiné à une MFA granulaire, cela signifie qu’un second facteur d’authentification peut être ajouté pour vérifier l’identité des utilisateurs avant qu’ils n’accèdent au cloud.
1. L’accès via un navigateur pour les utilisateurs déjà authentifiés sur le réseau Windows
L’accès est immédiatement accordé. La SSO de UserLock confirme l’identité de l’utilisateur auprès de l’application cloud et l’authentifie sans qu’il ait à se connecter à l’application. Il n’y a pas de différence en étant au sein du réseau de l’entreprise ou en télétravail.
(La MFA peut être redemandée si cela est requis dans les paramétrages de l’administrateur).
2. L’accès via un navigateur pour les utilisateurs qui ne sont pas authentifiés au réseau Windows
L’utilisateur renseigne son adresse email professionnelle dans l’application cloud pour se connecter. La SSO de UserLock demandera alors à l’utilisateur de fournir ses identifiants de connexion au domaine Windows (ainsi qu’un second facteur d’authentification s’il est activé). L’utilisateur est connecté avec succès et redirigé vers l’application. Il n’y a pas de différence entre un navigateur de smartphone, un navigateur d’ordinateur ou une application mobile.
(La MFA peut être demandée si cela est requis dans les paramétrages de l’administrateur)
3. L’accès à une deuxième application cloud
L’accès est immédiatement accordé. L’authentification multifacteur peut toutefois être demandée à chaque connexion si cela est requit dans les paramètres administrateurs.
Encore plus de sécurité avec la gestion des accès
Une fois l’authentification faite, les restrictions de connexion contextuelles ainsi que la gestion des sessions à distance permettent de sécuriser davantage les identités AD et l’accès distant à l’ensemble des ressources.
Quelques exemples :
1. Limitez l’accès à distance aux seules machines autorisées
UserLock peut limiter l'accès VPN aux seules machines autorisées de l'entreprise. Toute autre tentative d'accès à partir de n'importe quelle autre machine sera alors refusée.
2. Restreignez l’accès à distance pour certains pays
La restriction géographique permet à un administrateur de limiter les connexions distantes selon le pays (géolocalisation). Cette restriction autorise ou refuse les connexions depuis une liste sélectionnable de pays.
3. Appliquez des temps de connexion et des horaires de travail
En raison de l'adoption rapide du travail à domicile, de nombreuses entreprises ne peuvent plus appliquer de politiques de temps pour les connexions au réseau dans le but de réduire les risques de sécurité ou les heures supplémentaires non autorisées.
UserLock Anywhere peut continuer d’appliquer ces restrictions même si la machine est en dehors du réseau de l’entreprise. L’agent UserLock reste en contact avec le service et peut forcer la déconnexion de l’utilisateur s’il dépasse les horaires de travail autorisées.
L’accès à distance devenant la règle et non plus l’exception, UserLock aide les administrateurs à atténuer l’augmentation des risques de sécurité en protégeant les entreprises des accès inappropriés ou suspicieux.
François Amigorena - Président et PDG de IS Decisions