UserLock Guide de Démarrage rapide Version 8.5
Introduction UserLock est une solution logicielle d'entreprise unique sécurisant les accès utilisateur sur le réseau afin de réduire le risque d'une brèche de sécurité provenant de menaces internes. UserLock offre une réponse immédiate à tout comportement utilisateur suspicieux et répond aux normes de conformité des réglementations majeures en terme de contrôle et gestion d'accès utilisateur. Avec un processus de déploiement simple, les responsables informatiques peuvent rapidement implémenter UserLock et initier instantanément une surveillance en temps réel associée à une politique de contrôle d'accès utilisateur, afin de sécuriser leur réseau Windows Active Directory. Il permet de prévenir et limiter le nombre de sessions simultanées sur les réseaux Microsoft Windows, par utilisateur, groupe et par type de session (station, terminale, interactive, VPN/Wi-Fi et/ou IIS). Ces règles de contrôle d'accès peuvent être définies de manière granulaire et personnalisée d'un utilisateur à un autre, ou d'un groupe à un autre. Le Guide de Démarrage Rapide de UserLock a pour vocation de vous montrer, pas à pas, l installation et la configuration du logiciel. Le but est de vous familiariser avec la console Windows de UserLock et ses concepts basiques. Les fonctionnalités avancées comme le serveur de Terminal Indépendant, la console Web, les Comptes protégés temporaires, les protections des sessions RAS et IIS, les restrictions de postes de travail et de temps, etc. ne seront pas abordées ici. Vous trouverez une description complète dans le fichier d aide de UserLock. Si toutefois vous rencontrez des difficultés ou si vous avez des questions, notre équipe technique est à votre disposition pour vous répondre. Table des Matières 1. INSTALLER UN SERVEUR USERLOCK... 3 1.1. ASSISTANT D INSTALLATION USERLOCK... 3 1.2. ASSISTANT DE CONFIGURATION USERLOCK... 5 2. DESCRIPTION DE L INTERFACE... 6 3. DEPLOYER L AGENT USERLOCK... 7 4. CONFIGURER UNE LIMITE DE SESSIONS SIMULTANEES A 1... 10 5. GENERER UN RAPPORT D HISTORIQUE DES SESSIONS... 13 6. CONFIGURER USERLOCK... 15 6.1. PRIORITE ENTRE PLUSIEURS COMPTES PROTEGES... 15 6.2. PERSONNALISATION DES MESSAGES... 16 6.3. STATUT UTILISATEUR... 17 2
1. Installer un serveur UserLock La première étape consiste à installer le serveur Principal UserLock au sein de la zone réseau que vous souhaitez protéger. L installation peut être effectuée sur n importe quel serveur membre de votre domaine. Il n y a aucun besoin d installer UserLock sur un Contrôleur de Domaine. Les systèmes d exploitation supportés sont Windows 2003/2008/2008R2/2012 Server. Le serveur hôte n a besoin d être dédié que sur de très larges environnements. En cas de doute sur l architecture, n hésitez pas à contacter notre équipe de support technique. Le processus d installation s effectue en deux étapes par l intermédiaire d assistants : l assistant d Installation UserLock et l assistant de Configuration UserLock. 1.1. Assistant d Installation UserLock Vous pouvez télécharger le package d installation UserLock_x86.exe ici. Le package est le même pour les langues française et anglaise. Il est compatible 32 et 64-bits. Exécutez le fichier téléchargé directement sur le serveur hôte pour lancer le processus d installation. 1. Choisissez votre langage. 2. Bienvenue. Cliquez sur "Suivant >". 3. Contrat de Licence. Lisez attentivement le Contrat de Licence, acceptez le et cliquez sur "Suivant >". 4. Saisissez vos références et cliquez sur "Suivant >". 3
5. Conservez la case "Installation standard" cochée et cliquez sur Suivant >. 6. UserLock est prêt pour l installation. Cliquez sur Suivant >. 7. L installation de UserLock est en cours. 8. UserLock est installé. Cliquez sur "Terminer". L assistant de Configuration UserLock s ouvre. 4
1.2. Assistant de Configuration UserLock Une fois l installation du logiciel finalisée, l assistant de Configuration s ouvre. 1. Bienvenue. Cliquez sur "Suivant >". 2. Cochez "Serveur Principal". Cliquez sur "Suivant >". 3. Zone Protégée. Sélectionnez la zone réseau à protéger : Tout, un ou plusieurs domaines ou Unités Organisationnelles. Cliquez sur "Suivant >". 4. Compte de service. Entrez un compte administrateur du domaine et son mot de passe pour le service UserLock. Cliquez sur "Suivant >". 5. Le serveur UserLock est maintenant configuré. 5
2. Description de l interface La console UserLock est composée de 5 principaux éléments de navigation. 1 : Arborescence menu : Permet la navigation dans les menus UserLock. 2 : Fenêtre principale : Affiche les différentes vues de UserLock, les formulaires de configuration des rapports et options sélectionnés dans l arborescence de configuration. Cette fenêtre est multi-onglet. 3 : Panneau Accès rapide : Raccourcis des actions possibles sur les vues de la fenêtre principale. 4 : Barre d historique : Permet de naviguer à travers les différentes vues précédemment affichées. 5 : Menu contextuel. Il est possible d interagir avec les objets de l interface par le menu contextuel (clicdroit). Vous retrouverez les actions disponibles dans le panneau Accès rapide. Le menu contextuel est aussi disponible depuis l Arborescence de configuration et donne accès à des options spécifiques. 6
3. Déployer l agent UserLock L agent Station de UserLock vous permet d appliquer les règles de restrictions pour les sessions utilisateur. Vous pouvez déployer cet agent sur toutes les machines de votre zone protégée équipées de Windows XP à Windows 8. Vous pouvez également l installer sur vos serveurs Windows de 2003 à Windows Server 2012 R2 pour superviser les sessions locales et les sessions terminales. Sélectionnez "Distribution de l agent" dans le menu pour accéder à la vue du moteur de déploiement. Vous pouvez déployer l agent de deux manières. La première, en sélectionnant les machines cibles dans la liste de la fenêtre principale puis en cliquant sur "Installer" dans le panneau Accès rapide. Vous pourrez suivre l évolution du déploiement dans un nouvel onglet une fois le processus lancé. Comme vous pouvez le constater dans la vue Distribution de l agent, plusieurs types d agents UserLock sont affichés dans la colonne "Type". Pour en savoir plus sur les différents types d agents, nous vous invitons à consulter le fichier d aide. Différentes options vous permettent de moduler le contenu ou la manière dont les informations sont affichées. Des filtres prédéfinis sont disponibles depuis le panneau "Accès rapide" et des fonctions avancées depuis les entêtes de colonne. Ceci peut être particulièrement utile si votre zone protégée couvre un très large environnement. 7
La seconde manière d installer l agent Station consiste à activer le Mode de déploiement automatique en cliquant sur "Démarrer le mode automatique" depuis le panneau Accès rapide ou le menu contextuel de "Distribution de l agent". S il n est pas présent, l agent Station de UserLock sera alors automatiquement déployé sur chaque station de la zone protégée, i.e. chaque station affichée dans la vue Distribution de l agent. Par défaut, ce mode automatique exclut les serveurs de son déploiement et ne cible que les systèmes d exploitation de type station. Vous pouvez ajuster le comportement du moteur de déploiement dans les "Propriétés" de la vue Distribution de l agent. Ce mode est pratique lors d ajout de nouvelles machines sur votre réseau et donc dans votre zone protégée. Vous n aurez aucune action supplémentaire à effectuer puisque UserLock récupère régulièrement la liste des machines depuis Active Directory. Il détectera alors automatiquement l absence de l agent Station et l installera. Notez que l activation de l agent sur les systèmes d exploitation Windows Serveur 2003 et Windows XP nécessite un redémarrage pour activer la protection UserLock. Vous pouvez redémarrer directement les machines dans la vue Distribution de l agent. Sélectionnez la ou les machines cibles dans la liste et cliquez sur Redémarrer dans le panneau Accès rapide. Vous pouvez également planifier ce redémarrage hors des horaires de travail indépendamment de UserLock. Il est cependant possible de déployer l'agent Station à l'aide d'une solution tierce ou des "Stratégies de groupe Microsoft". A ce titre nous fournissons deux packages MSI de l'agent Station. 8
Une fois l agent Station déployé sur une machine, l ensemble de l activité des sessions de celle-ci sera audité et enregistré dans la base de données UserLock. Pour vérifier que l agent est actif et fonctionne correctement, il suffit d ouvrir une session sur une machine (où l agent Station est déployé) et d afficher la vue Sessions utilisateur. La nouvelle session sera listée, affichant l utilisateur connecté, l heure et la date de la connexion et d autres informations additionnelles relative à la session et la machine. 9
4. Configurer une limite de sessions simultanées à 1 Les stratégies UserLock sont appliquées à l aide des Comptes protégés. La vue Comptes protégés affiche l'ensemble des règles existantes pour le serveur UserLock, vous permettant de créer, éditer ou supprimer celles-ci selon vos besoins. Les actions disponibles sont affichées dans le panneau "Accès rapide" ou depuis le menu contextuel (clic droit dans la vue) après avoir sélectionné un "Compte protégé" existant. Cliquez sur "Comptes protégés" dans le menu. Puis sur «Ajouter un groupe» depuis le panneau Accès rapide. La fenêtre de création de compte s ouvre. Entrez le groupe "Tout le monde" ou "Everyone" (vous pouvez le choisir depuis le sélecteur Active Directory). Laissez les options "Créer un nouveau compte" et "Permanent" sélectionnées. Validez en cliquant "OK". Cliquez sur "Ajouter un groupe". Entrez "Tout le monde" ou "Everyone" et validez. Le nouveau Compte protégé s ajoute dans la liste de la fenêtre principale. Par défaut, un nouveau Compte protégé n a pas de restriction à sa création. Pour afficher les Propriétés de ce Compte protégé, sélectionnez-le dans la liste puis cliquez sur "Propriétés" dans le panneau Accès rapide. Vous pouvez également double-cliquer dessus ou utiliser le menu contextuel. 10
Un "Compte protégé" est identifié par son nom qui correspond au nom Active Directory du compte utilisateur, du groupe utilisateur ou de l'unité organisationnelle utilisateur sélectionné lors de sa création. Ses paramètres de configurations sont organisés en sections regroupant les règles de restriction d un même type. Toutes les restrictions ont un statut d activation basé sur le modèle des "Stratégies de Groupe Microsoft" qui permet une granularité dans la priorité des restrictions. La section nommée "Général" permet de définir les règles de nombre maximum de sessions simultanées qu'un utilisateur membre du Compte protégé pourra ouvrir sur le réseau. Ce nombre maximum de sessions concurrentes peut être défini pour chaque type de session supporté par UserLock. Ces règles seront appliquées sur les machines de la zone protégée sur lesquelles le type d agent UserLock requis correspondant sera installé. Dans les paramètres "Nombre de sessions simultanées autorisées", basculez le statut d activation de "Sessions interactive" de "Non configuré" à "Limité à" et saisissez la valeur "1". Le type de session Interactive regroupe les sessions de type Station et Terminal. Le nombre total de sessions Interactives ouvertes correspond donc à l addition du nombre de sessions ouvertes Station plus Terminal. Des options supplémentaires sont disponibles au bas de la section Général pour ajuster le comportement lors de l application des restrictions (voir l aide pour plus de détails). Activons deux d entre elles : Permettre à l utilisateur de fermer une session existante si le nombre de sessions a été atteint Cette option permet à un utilisateur de fermer à distance ses sessions ouvertes depuis d'autres machines depuis l'endroit où il essaie d'ouvrir une nouvelle session interactive (session station ou terminal), lorsque cette dernière est refusée pour avoir atteint le nombre limite. Au lieu de retourner devant l'une de ses précédentes machines pour fermer la session, il pourra initier une fermeture de session à distance en sélectionnant la session désirée et en cliquant sur "Fermer". Le nombre de sessions ouvertes diminuera et lui permettra alors d'ouvrir une nouvelle session. Attention, cette fermeture à distance est forcée. Tout fichier non sauvegardé sera perdu. Afficher le message de bienvenue Activez le "Message de bienvenue" pour afficher aux utilisateurs à l'ouverture de session les événements de connexion précédents impliquant leur identifiant. Cette notification pop-up est personnalisable depuis la vue "Message". Validez la configuration de ce Compte protégé en cliquant sur "OK" dans le panneau Accès rapide. 11
Les règles de Comptes protégés sont appliquées en temps réel : Dès la validation, tous les utilisateurs de ce groupe sont maintenant limités à une session interactive simultanée. Si un utilisateur de ce Compte protégé essaie d ouvrir une seconde session, UserLock refusera cette tentative sur toutes les stations de la zone protégée où l agent est actif et affichera un message d avertissement à l utilisateur concerné. Message de refus d ouverture de session. Message de refus avec l option suivante activée "Permettre à l utilisateur de fermer une session existante si le nombre de sessions a été atteint". "Message de bienvenue" lors d une ouverture de session effective. 12
5. Générer un rapport d historique des sessions Tous les événements de sessions sur une machine où un agent UserLock est actif sont enregistrés dans une base de données. Le moteur de rapports UserLock permet d exploiter ces données à l aide de rapport prédéfinis à des fins d analyses ou d investigations. Les quelques tests effectués précédemment lors de l installation de l agent Station et la mise en place d un Compte protégé ont déjà généré des événements de session sauvegardés en base de données. Vous pouvez afficher un historique de ces événements : Dans le menu déployez le nœud "Reporter", puis sélectionnez "Historique des sessions". La fenêtre principale affiche alors les options de configuration, de filtres et de groupes pour ce rapport. Différentes sections sont à votre disposition pour configurer les rapports selon vos besoins: Configuration, Filtre de groupe, Tri/Groupe, Temps et Présentation du rapport. Vous trouverez la définition de toutes les options et critères disponibles dans notre documentation. Générez le rapport directement sans modifier de critères en cliquant sur "Lancer" depuis le panneau Accès rapide. 13
Le rapport Historique des sessions est généré dans un nouvel onglet. Depuis cet aperçu, vous pouvez directement imprimer le résultat obtenu ou exporter ce rapport dans différents formats à l aide des actions disponibles depuis le panneau Accès rapide ou le menu contextuel. Plusieurs types de rapports prédéfinis sont disponibles dans la console UserLock. Vous trouverez leurs spécificités dans la documentation du logiciel. Il est également possible de planifier la génération des rapports afin de les recevoir automatiquement dans votre boîte E-mail aux périodes souhaitées. 14
6. Configurer UserLock 6.1. Priorité entre plusieurs Comptes protégés Par défaut la priorité entre plusieurs Comptes protégés de type groupe ou Unité Organisationnelle est réglée sur la moins restrictive possible. Si un utilisateur appartient à plusieurs Comptes protégés de type groupe ou Unité Organisationnelle pour lesquels des règles du même type sont définies avec des valeurs différentes (autres que "Non configuré"), la règle appliquée sera par défaut la plus permissive. Ce comportement peut être réglé à l opposé depuis les Propriétés du serveur UserLock. Effectuez un clic-droit sur le nom de votre serveur UserLock dans le menu, puis sur "Propriétés" dans le menu contextuel. Choisissez l option la plus adaptée à votre politique de contrôle d accès utilisateur et validez par "OK" dans le panneau Accès rapide. Attention : Si un utilisateur est membre d un ou plusieurs Comptes Protégés de type groupe ou Unité Organisationnelle, mais également d un Compte Protégé propre à son compte utilisateur, pour lesquels des règles du même type sont définies avec des valeurs différentes (autres que "Non configuré"), les règles définies sur le Compte Protégé utilisateur auront toujours la priorité, quel que soit le Type de stratégie configuré dans les Propriétés du serveur UserLock. 15
6.2. Personnalisation des messages La vue Messages permet de modifier le contenu des messages par défaut utilisés par UserLock. Vous pouvez utiliser cette vue pour personnaliser les messages ou les notifications affichés à l'utilisateur ou les alertes envoyées aux opérateurs UserLock. Sélectionnez "Messages" dans le menu UserLock. La fenêtre principale affichera toutes les notifications à disposition. Il vous suffit de cliquer dans le message souhaité pour activer son édition. Toutes les modifications sont sauvegardées automatiquement. Un message est constitué d'un identifiant et du texte. Des variables dynamiques incluses entre deux caractères pourcentages (%Variable_Dynamique%) sont disponibles pour donner de plus amples informations. Pour avoir la liste des variables dynamiques et leur signification, nous vous invitons à consulter la documentation de l application. 16
6.3. Statut utilisateur La surveillance en temps réel de UserLock propose un indicateur de risque appelé "Statut utilisateur" pour identifier plus facilement les comportements d'accès inappropriés ou suspicieux ainsi que les menaces potentielles de sécurité interne sur le réseau. En corrélant l'activité des événements d'accès de chaque utilisateur à leurs règles personnalisées associées à l'authentification de leur compte, le "Statut utilisateur" permet d'obtenir une vue plus exhaustive de l'activité réseau et des risques de sécurité. Un statut est assigné à chaque utilisateur et évolue en fonction de ses actions lors des accès ou tentatives d'accès sur le réseau. Une activité jugée comme présentant un risque ou un risque élevé est clairement signalée dans la vue "Sessions utilisateur" et permet d'alerter les administrateurs et les opérateurs UserLock en temps réel de tout événement de session sur le réseau considéré comme suspect, anormal ou inhabituel. Certains critères de l évolution des Statuts utilisateur sont prédéfinis. Nous vous invitons à ajuster ces critères à votre stratégie de sécurité réseau. Effectuez un clic-droit sur le nom de votre serveur UserLock dans le menu, puis sur "Propriétés" dans le menu contextuel. Tous les Statuts utilisateur et leurs critères de bascule sont détaillés dons la section éponyme. Pour chaque Statut utilisateur, vous trouverez sa définition et les événements de sessions amenant l utilisateur à cet indicateur. Il vous suffit d ajuster les différentes valeurs lorsque celles-ci sont éditables. Des alertes Pop-up et E-mail peuvent également être définies pour avertir les administrateurs et les opérateurs UserLock d'un changement de Statut utilisateur. Cochez les cases correspondantes aux statuts pour lesquels vous souhaitez l'émission d'une notification et saisissez les destinataires E-mail ou/et les noms des machines cibles des popups. 17
Les Statuts utilisateur sont affichés dans la vue Sessions utilisateur, permettant de rapidement détecter tout comportement d accès sur le réseau inapproprié ou suspicieux. Un rapport "Base de données" est disponible pour obtenir l historique des changements de statuts de cet indicateur de risque. Les changements des statuts sont listés pour chaque utilisateur en précisant le statut précédent, le ou les raisons de changement de statut ainsi que leur date. 18