UserLock Documentation
UserLock Documentation
Vous êtes ici: Guide de démarrage > 8 bonnes pratiques lors de l'utilisation de UserLock

8 bonnes pratiques lors de l'utilisation de UserLock

UserLock permet au service informatique de tirer parti des connexions Active Directory comme point de contrôle de sécurité critique. Au fur et à mesure que vous commencez à utiliser le logiciel, jetez un coup d’œil à ces conseils de bonnes pratiques pour tirer le meilleur parti de UserLock.

  1. Configurez un serveur de sauvegarde

    Comme avec tous vos systèmes informatiques, il est judicieux de configurer une sauvegarde. Si un serveur tombe en panne, votre réseau continuera à être protégé.

    Avec un serveur de sauvegarde installé, les connexions continueront à être surveillées et protégées. Tous les événements seront stockés dans un fichier distinct et écrits dans votre base de données lorsque le serveur principal sera de nouveau en ligne.

    Le diagramme ci-dessous montre comment cela fonctionne:

    Configurez un serveur de sauvegarde

  2. Créez un compte protégé pour le groupe AD "Tout le monde"

    Un «compte protégé» est un ensemble de règles vous permettant de définir les conditions d'accès au réseau. À l'aide de la limite de session personnalisée avancée, configurez un compte protégé pour votre groupe AD «Tout le monde» qui reflète la stratégie de sécurité interne de votre organisation:

    Créez un compte protégé

    Par exemple, si la plupart des utilisateurs doivent avoir accès à un maximum de 2 sessions ouvertes, quel que soit le type de session, appliquez ce paramètre au compte protégé "Tout le monde".

    Limites session

  3. Restreignez les administrateurs de domaine à certaines machines

    "Ne laissez pas les administrateurs informatiques utiliser leur identifiant d'utilisateur privilégié dans le Far West!"

    Appliquez le principe de privilège minimum en ne permettant pas aux administrateurs de domaine d'utiliser leurs informations d'identification pour dépanner les postes de travail des utilisateurs. Cela évite des conséquences graves telles que la diffusion de virus dormants ou le mouvement latéral à partir d'informations d'identification volées pour accéder à un serveur.

    Assurez-vous que vos administrateurs de domaine ne se connectent qu'aux machines dont ils ont besoin avec leurs comptes privilégiés. Vous pouvez le faire dans UserLock avec des restrictions de poste de travail:

    Créez un compte protégé pour votre groupe "Domain Admins"

    Nouveau compte à protéger

    Autoriser ces comptes à accéder uniquement aux contrôleurs de domaine ou aux machines fortement sécurisées (derrière votre forteresse!)

    Autoriser ces comptes à accéder uniquement aux contrôleurs de domaine ou aux machines

    Vous pouvez également rappeler à l'utilisateur avec un message personnalisé de ne pas utiliser cette connexion sur n'importe quel ordinateur.

    Pas autorisé à se conencter

    Remarque: Le message associé est personnalisable dans le menu "Messages" de la console UserLock.

  4. Configurez la console Web pour un accès continu

    Des choses peuvent arriver lorsque nous sommes loin de notre bureau ou hors site, mais nous devons encore réagir rapidement. Par exemple, bloquer un utilisateur, autoriser temporairement un utilisateur à une session supplémentaire, étendre les heures de travail autorisées, etc.

    La console Web UserLock permet au service informatique de gérer UserLock à distance et d'effectuer des tâches quotidiennes telles que la déconnexion des sessions verrouillées à distance ou la création d'une règle temporaire pour un utilisateur.

    Web Console

    Voir les instructions sur l'installation de la console Web

  5. Soyez alerté sur l'activité utilisateur suspecte

    Le statut de l'utilisateur dans UserLock vous permet de voir à quel moment les connexions d'un utilisateur ne sont pas attendues. Configurez les paramètres d'état utilisateur en fonction de votre stratégie informatique interne pour être alerté en cas d'activité anormale ou suspecte:

    Soyez alerté sur l'activité utilisateur suspecte

    Exemples de règles de statut utilisateur

    • La fréquence de connexion refusée par UserLock ou / et Active Directory dépasse la fréquence tolérée.
    • Deux points d’accès initiaux simultanés sont détectés à la fois à l’intérieur et à l’extérieur du réseau local (c’est-à-dire que l’utilisateur est connecté de l’intérieur et de l’extérieur du réseau en même temps). Cette option est désactivée par défaut.
    • Le nombre de points d’accès initial ouverts dépasse le nombre personnalisable.

    Voir d'autres exemples ici

  6. Permettez aux utilisateurs de déconnecter à distance leurs sessions existantes

    Lorsque vous limitez vos utilisateurs à un certain nombre de sessions, vous risquez d’être préoccupé par l’augmentation du nombre de tickets d’assistance des utilisateurs qui ne ferment pas une session avant d’ouvrir une nouvelle session.

    En activant l'option ci-dessous dans les propriétés d'un compte protégé, vous pouvez inviter l'utilisateur à fermer la première session ouverte à distance avant de vous connecter au suivant.

    Permettez aux utilisateurs de déconnecter à distance leurs sessions existantes

    Fermer les sessions existantes

  7. Activez l'alerte qui avertit les utilisateurs finaux de l'utilisation de leurs propres informations d'identification

    Il est essentiel de sensibiliser les utilisateurs à la nécessité de protéger leurs informations d'identification et au fait qu'une faille de sécurité puisse provenir d'un compte, même le moins privilégié, pour toute politique de sécurité efficace.

    Activez l'option UserLock pour avertir les utilisateurs en temps réel lorsque leurs propres informations d'identification sont utilisées. Ce faisant, les utilisateurs peuvent réagir immédiatement en alertant le service informatique et en modifiant leur mot de passe. Au minimum, il est recommandé d'activer cette fonctionnalité pour vos utilisateurs les plus privilégiés.

    Avertir les utilisateurs en temps réel

    Vous pouvez sélectionner les événements qui déclencheront l'alerte.

    Evénements qui déclencheront l'alerte

  8. Utiliser les commandes informatiques

    UserLock vous permet de lancer des commandes personnalisées ciblant tout ordinateur directement depuis la console. Par défaut, seule la commande 'Remote Desktop' est déjà activée. Vous pouvez également activer les éléments suivants à partir du menu des commandes de l'ordinateur:

    • Ping
    • Gestion d'ordinateurt
    • Afficher le dossier Windows
    • Journal d'erreur de l'agent UserLock

    Utiliser les commandes informatiques

    De plus, vous pouvez également ajouter votre propre commande informatique.

    Par exemple la commande NsLookup:

    Par exemple la commande NsLookup

    Vous pouvez également utiliser des scripts PowerShell pour exécuter des commandes d'ordinateur

    Dans cet exemple, nous avons écrit un script PowerShell qui vérifie les prérequis de UserLock depuis le serveur UserLock vers l'ordinateur sélectionné. Vous pouvez l'utiliser pour résoudre les problèmes si votre ordinateur ne parvient pas à communiquer avec le serveur UserLock. Le script vérifiera les exigences et vous indiquera d'où vient le problème.

    Créez un script PowerShell “C:\Temp\Check-UserLockPrerequisitesFromServerToComputer.ps1” et définissez le contenu suivant:

    param ([Parameter()][string]$ComputerName)

    $IsError = $false
    $Cpu = Get-UserLockAgentDistribution $ComputerName
    $CpuFqdn = $Cpu.Fqdn
    $PingRes = Test-Connection $CpuFqdn -Quiet
    if ($PingRes -eq $false)
    {
    $IsError = $true
    Write-Error "Ping to $CpuFqdn failed."
    }

    $RemoteAdminSharePath = "\\$CpuFqdn\admin$"
    $FapsRes = Test-Path $RemoteAdminSharePath
    if ($FapsRes -eq $false)
    {
    $IsError = $true
    Write-Error "File and Printer Sharing Access to $RemoteAdminSharePath failed."
    }

    $Reg = [Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey('LocalMachine', $ComputerName)
    if ($Reg -eq $null)
    {
    $IsError = $true
    Write-Error "Access to remote registry of $ComputerName failed."
    }

    $RegKey = $Reg.OpenSubKey("SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon")
    if ($RegKey -eq $null)
    {
    $IsError = $true
    Write-Error "Access to remote registry key WinLogon of $ComputerName failed."
    }

    $NetbackupVersion1 = $RegKey.GetValue("Userinit")
    if (($NetbackupVersion1 -eq $null) -or ($NetbackupVersion1.Length -eq 0))
    {
    $IsError = $true
    Write-Error "Access to remote registry UserInit value of $ComputerName failed."
    }

    if ($IsError -eq $false)
    {
    Write-Host "All prerequisites are OK for the $ComputerName computer."
    }

    Ensuite, dans le menu Commandes de l'ordinateur, Nouveau:

    • CheckUserLockPrerequisitesFromServerToComputer
    • C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe
    • -noprofile -noexit -File C:\Temp\Check-UserLockPrerequisitesFromServerToComputer.ps1 -ComputerName {ComputerName}

    Commandes de l'ordinateur