Propriétés Générales
La section 'Général' regroupe des paramètres de configuration influant sur le comportement de UserLock. L'entête de cette section affiche les informations relatives au serveur UserLock ('Type', version, 'Zone protégée').
Type du serveur UserLock
Affiche le type du serveur UserLock : 'serveur Principal', 'serveur de Sauvegarde' ou 'serveur de Terminal indépendant'.
Zone protégée
Le périmètre réseau que vous avez défini durant 'l'Assistant de configuration'. UserLock n'auditera et ne contrôlera l'activité des sessions que pour cette zone du réseau.
Seules les machines de cette zone sont listées dans le moteur de déploiement de l'agent présent dans la console (vue 'Distribution de l'agent').
Version du service
La version du service UserLock. Cette information permet à notre équipe technique de connaître votre version exacte lors d'éventuels échanges.
Type de stratégie
De multiples règles sur les groupes peuvent avoir pour conséquence des conflits entre différentes règles. Par exemple, un utilisateur peut appartenir à un groupe A et à un groupe B et essayer de se connecter à un ordinateur sur lequel le group A l'autorise à se connecter alors que le groupe B ne l'y autorise pas. Cette situation a pour conséquence un conflit que l'on peut résoudre par le type de stratégie sélectionné : La plus restrictive possible ou La moins restrictive possible. La stratégie définira donc si l'utilisateur A est autorisé à se connecter ou non.
Remarque : Un utilisateur peut appartenir à plusieurs Comptes protégés (utilisateur, groupe ou Unité Organisationnelle) permanents ou temporaires. UserLock détermine alors quelles sont les règles applicables en fonction des priorités détaillées dans la section d'aide Gestion des priorités.
Sessions
- Réveillez les ordinateurs lorsque cela est nécessaire: si activé, UserLock essaiera de réveiller les ordinateurs sur lesquels il y a des sessions qui bloquent actuellement la connexion de nouvelles sessions ou sur lesquelles il y a des sessions interdites.
- Considérer l'économiseur d'écran comme un verrouillage: Cette option est désactivée par défaut.
En activant cette option, UserLock considérera le démarrage de l'économiseur d'écran comme un verrouillage de session (si celui-ci est protégé par mot de passe).
Cette option permet d'affiner le résultat des rapports UserLock avec l'option 'Sous sessions' activée ainsi que l'efficacité des actions paramétrables en cas d'inactivité des sessions.
Après cela, redémarrez le service "UserLock Agent Service" ("ULAgentService") sur les machines cibles (les redémarrer si le système d’exploitation est Windows XP ou Windows Server 2003).
Si vous ne faîtes pas cela, la modification ne sera pas effective. Par conséquent, au démarrage de l’économiseur d’écran, un Verrouillage sera enregistré dans UserLock alors que la session n’est pas encore forcément verrouillée (par défaut , l’utilisateur a 5 secondes pour éviter le verrouillage). - Fermer les sessions illégitimes: Si cette option est activée, un processus
de sécurité additionnel permet de forcer en temps réel les règles UserLock après une période durant laquelle la protection est désactivée.
Lors d'un incident réseau ou d'une indisponibilité du serveur Principal sur lequel UserLock est installé la protection des sessions est désactivée
pour permettre aux utilisateurs l'ouverture de sessions et ne pas bloquer la production. Tous les événements de sessions sont bien sûr enregistrés
localement puis transmis au serveur lorsque la communication est rétablie, afin de permettre à l'administrateur d'analyser ces événements.
Cette option permet maintenant de forcer la fermeture des sessions pour les utilisateurs qui excèdent le nombre de sessions autorisées immédiatement après le rétablissement de la communication avec le serveur Principal UserLock.
De la même manière, après un changement apporté aux règles des comptes protégés, comme une réduction du nombre de sessions autorisées, des utilisateurs peuvent se trouver temporairement en dépassement des règles. Cette option permet alors de fermer les sessions excédantes.
Attention:- Seules les sessions interactives (station de travail et terminal) seront fermées. Les sessions Wi-Fi/VPN et IIS ne seront pas impactées par cette option.
- Le déploiement d'un 'serveur de Sauvegarde' permet de palier les indisponibilités du serveur Principal UserLock.
- Ordre de fermeture des sessions : Défini quelle(s) session(s) seront
fermée(s) en premier si l'option 'Fermer les sessions illégitimes'
est activée. Vous pouvez choisir de fermer en premier les sessions
les plus récentes ou les plus anciennes.
Remarque : La notification de fermeture de session sera affichée aux utilisateurs durant une minute avant de s'initier.
Quotas
- Report du temps des quotas inutilisé : Si cette option est activée, le reliquat de temps non consommé à la fin de la période de quota sera automatiquement ajouté à la durée autorisée pour la prochaine période.
- Durée de notification de fermeture de session : Le nombre de minutes durant lequel la notification sera affichée aux utilisateurs lorsque la limite de leur quota est atteinte. La fermeture de session sera alors initiée après le nombre de minutes défini ici sauf si l'utilisateur choisi de fermer la session avant. Cette durée en minutes n'est pas déduite de la limite définie pour le quota: Si un quota quotidien de 8 heures est défini avec une durée de fermeture de session de 10 minutes, la fermeture de session sera initiée au plus tard après 8 heures et 10 minutes.
Heure locale
L'option 'Utiliser l'heure locale de l'agent pour appliquer les restrictions de temps' permet à UserLock d'utiliser l'heure de la machine au lieu de l'heure du serveur pour vérifier et appliquer les restrictions horaires.
Ceci est pratique lorsque le serveur UserLock est dans un fuseau horaire différent de celui des machines sur lesquelles se connectent les utilisateurs.
Note : Si vous activez cette option, nous vous suggérons de mettre en place un stratégie de sécurité afin que les utilisateurs n'est pas le droit de modifier les paramètres de locale l'horloge et éviter ainsi qu'il ne contourne les restrictions horaires.
Connexions hors réseau
Cette fonction nécessite l'installation de l'agent station UserLock 10.2 ou version ultérieure sur la machine. Lorsque la machine est hors ligne ou que l'agent station ne peut pas contacter le service, l'option que vous choisissez ici s'appliquera. Ce paramètre est global, il sera donc appliqué à tous les utilisateurs, qu'ils aient un compte protégé et / ou MFA activés. Voir ci-dessous pour plus de détails sur le fonctionnement de ce paramètre:
- Toujours autoriser les connexions: Par défaut, cette option est sélectionnée. Les utilisateurs pourront se connecter même si leur machine est hors ligne.
- Demander la MFA: Il est possible de demander à MFA des connexions hors ligne en sélectionnant l'option « Demander la MFA ». Cela s'appliquera aux utilisateurs pour lesquels la MFA a déjà été initialisée. La connexion sera autorisée si l'utilisateur s’est déjà connecté à la machine sur le réseau et avec l'agent (10.2 ou supérieur) installé. MFA sera demandée si elle est configurée. Consultez le tableau ci-dessous pour tous les scénarios possibles.
Si... ...alors L'utilisateur s'est connecté une fois avec le réseau L'utilisateur s'est authentifié une fois avec MFA et avec le réseau MFA demandée Connexion acceptée Connexion refusée Oui Oui check_circle Oui Non check_circle Non Non check_circle - Forcer la MFA: MFA requise pour les utilisateurs qui se sont déjà connectés à cette machine avec MFA et l'agent 10.2 ou supérieur. Refusez les connexions pour les utilisateurs qui ne se sont jamais authentifiés avec MFA sur cette machine.
Si... ...alors L'utilisateur s'est connecté une fois avec le réseau L'utilisateur s'est authentifié une fois avec MFA et avec le réseau MFA demandée Connexion acceptée Connexion refusée Oui Oui check_circle Oui ou Non Non check_circle - Toujours refuser les connexions: Cette option refusera les connexions hors ligne.
Recommandé pour « Demander la MFA » et « Forcer la MFA » : une fois activé, vous pouvez tester le comportement attendu en déconnectant la machine du réseau et du Wi-Fi, puis en vous connectant. Assurez-vous que l'agent station (10.2 ou supérieur) est installé avant de tester.
Pour plus de détails, voir ce cas d'utilisation.
UserLock Anywhere
L'implémentation de l'agent Anywhere fournit une méthode alternative en permettant à l'agent de contacter le service via Internet lorsque la connexion réseau n'est pas établie. Pour plus d'informations, Lire la documentation.