UserLock Documentation
UserLock Documentation
Vous êtes ici: Référence > Agents > L'agent Station > Technologie de l'agent

Technologie de l'agent Station

L'agent 'Station' UserLock est conçu pour auditer, contrôler et protéger les postes de travail stations, serveurs et serveurs de terminaux. L'agent à pour but d'auditer toute l'activité des sessions interactives sur ce type de machine et de protéger leurs accès en appliquant la politique de contrôle d'accès utilisateur définie à l'aide des règles de 'Comptes protégés'.  

L'agent 'Station' est basé sur deux technologies. La technologie utilisé dépend du système d'exploitation de la machine cible.

A partir de Windows 10 version 1809 et Server 2019

Depuis la version 12.2, UserLock a intégré un fournisseur d'informations d'identification qui permet au service d'interagir avec la connexion Windows avant que la session ne soit ouverte. Le fournisseur d'informations d'identification est une DLL qui désactive le fournisseur d'informations d'identification Microsoft « PasswordCredentialProvider » afin qu'il ne soit pas affiché pour l'utilisateur.

  • Lorsque l'utilisateur se connecte avec ses identifiants Windows, le fournisseur d'identifiants UserLock vérifie dans Active Directory si l'utilisateur est autorisé à se connecter.
  • Si l'utilisateur est refusé par Active Directory, l'événement est enregistré dans UserLock.
  • Si la connexion est autorisée, le fournisseur d'informations d'identification contacte le serveur UserLock pour vérifier si les politiques UserLock autorisent l'utilisateur à se connecter.
  • Si l'utilisateur est refusé par UserLock, l'événement est enregistré dans UserLock et la connexion est refusée.
  • Si l'utilisateur doit être inscrit à la MFA, les boîtes de dialogue d'inscription ne sont pas affichées par le fournisseur d'informations d'identification (cette technologie offre très peu de possibilités d'interface graphique), mais par la partie du processus de connexion de l'agent qui prend en charge la gestion de l'inscription.
  • Si le serveur UserLock n'est pas accessible, le fournisseur d'informations d'identification gère la MFA hors ligne conformément aux paramètres définis dans "Connexions hors réseau".

Lorsque le mot de passe d'un utilisateur expire, le processus suivant est requis si l'authentification multifacteur est configurée :

  1. Détection d'expiration du mot de passe : lors de la connexion, le système détecte un mot de passe expiré et demande un changement.
  2. Validation de l'authentification multifacteur : si l'authentification multifacteur est activée, l'utilisateur doit valider avec succès son authentification multifacteur (par exemple, OTP, application d'authentification) avant de pouvoir modifier son mot de passe.
  3. Échec de validation : si la validation de l'authentification multifacteur échoue, l'utilisateur ne peut pas procéder au changement de mot de passe.
  4. Changement de mot de passe : après une authentification multifacteur réussie, l'utilisateur peut modifier son mot de passe en suivant les règles de complexité définies.

Cela garantit des mises à jour de mot de passe sécurisées lorsque l'authentification multifacteur est en place.

A partir de Windows Vista / Windows Server 2008

L'agent 'Station' est un service Windows configuré pour s'exécuter en tant que 'Système local'.

Lorsqu'une session a été autorisée par l'authentification Windows, le système démarre le processus 'UserInit' pour initialiser la session. UserLock configure le système pour démarrer son propre exécutable 'ULAgentExe.exe' à la place. Ce programme demande au serveur UserLock si la session est autorisée par les règles de contrôle d'accès utilisateur ('Comptes Protégés'). Si la session est autorisée, le processus 'UserInit' sera lancé pour initialiser normalement la session. Dans le cas contraire la session est fermée.

Pour les machines Windows XP/2003/2003R2

L'agent station est une DLL (librairie dynamique) de type GINA (Graphical Identification and Authentication Dynamic-Link Library).

Chaque fois qu'un utilisateur se connecte ou se déconnecte, le processus 'WINLOGON' appelle la librairie GINA de UserLock pour authentifier l'utilisateur. La librairie GINA de UserLock transfère dans un premier temps l'appel vers la librairie standard GINA de Microsoft. Si l'utilisateur est authentifié avec succès par la sécurité Windows, l'agent notifie le serveur UserLock qui appliquera ses propres règles de contrôle d'accès utilisateur ('Comptes Protégés') afin d'accepter ou rejeter l'ouverture de session.

L'agent station agit comme un niveau d'authentification additionnel à la sécurité standard de Windows.

D'autres produits nécessitent le remplacement de la DLL GINA d'origine de Microsoft, par exemple le client Novell, les systèmes d'authentification par 'Smart Card' ou d'anciennes versions de PCAnywhere. Si vous utilisez de tels produits vous devez vérifier dans un premier temps que l'agent UserLock fonctionne correctement avec le dit produit sur un seul poste de travail avant de le déployer à grande échelle.

La technologie GINA a été supprimée depuis Windows Vista. UserLock utilise une technologie basé sur un service Windows à partir de ce système d'exploitation.