Configuration requise
Domaine
Active Directory requis (sauf en cas de Serveur UserLock de Terminal indépendant).
Niveau fonctionnel de la forêt et du domaine: Windows Server 2008 ou plus récent.
Système d'exploitation
Choisissez votre version :
Serveur UserLock | Console UserLock | Fonctionnalité MFA | Service SSO | Pour les postes de travail à protéger | Pour les serveurs de terminaux à protéger | Pour les serveurs NPS et IIS | |
Versions Client Windows | |||||||
Windows 11 | check_circle | check_circle | check_circle | ||||
Windows 10 depuis la version 1809 | check_circle | check_circle | check_circle | ||||
Windows 10 avant la version 1809 | check_circle | check_circle | errorcheck_circle | ||||
Windows 8 & Windows 8.1 | check_circle | check_circle | errorcheck_circle | ||||
Windows 7 | check_circle | check_circleerror | errorcheck_circle | ||||
Windows Vista | check_circle | check_circle | |||||
Windows XP | check_circle | ||||||
Versions Client Mac | |||||||
Catalina | check_circle | ||||||
Mojave | check_circle | ||||||
High Sierra | check_circle | ||||||
Sierra | check_circle | ||||||
El Capitan | check_circle | ||||||
Ancienne version | |||||||
Versions Windows Serveur | |||||||
Windows Server 2022 | check_circle | check_circle | check_circle | check_circle | check_circle | check_circle | |
Windows Server 2019 | check_circle | check_circle | check_circle | check_circle | check_circle | check_circle | |
Windows Server 2016 | check_circle | check_circle | check_circle | check_circle | errorcheck_circle | check_circle | |
Windows Server 2012 R2 | check_circle | check_circle | check_circle | check_circle | errorcheck_circle | check_circle | |
Windows Server 2012 | check_circle | check_circleerror | check_circleerror | errorcheck_circle | check_circle | ||
Windows Serveur 2008 R2 | check_circle | check_circle | check_circleerror | errorcheck_circle | check_circle | ||
Windows Serveur 2008 | check_circle | check_circle | check_circle | check_circle | check_circle | ||
Windows Serveur 2003 R2 | check_circle | check_circle | check_circle | ||||
Windows Serveur 2003 | check_circle | check_circle | check_circle | ||||
Windows Serveur 2000 | |||||||
Serveur de Terminaux | |||||||
Citrix Metaframe XP | check_circle | ||||||
Citrix Presentation Server 4 | check_circle | ||||||
Citrix XenApp | check_circle | ||||||
Tous les serveurs de terminaux utilisant des sessions RDP (Microsoft) ou des sessions ICA (Citrix) | check_circle | check_circle | |||||
RemoteApp* | check_circle | check_circle | |||||
RD Web** | check_circle | check_circle |
Pour Windows Server Core, consultez cette page.
* La fonctionnalité est disponible cependant les utilisateurs ne peuvent pas s'inscrire à la MFA via une connexion RemoteApp. Il n'est pas possible de protéger avec la MFA les sessions RemoteApp qui nécessitent une élévation de privilèges (UAC).
** RDWEB HTM5 n'est pas supporté par la MFA.
Services et protocoles réseaux Windows
- Le service 'Registre à distance' doit être activé et démarré sur les machines protégées par UserLock.
- Le service UserLock est configuré par défaut pour utiliser le compte 'Service Réseau'. Pour certaines opérations, le service UserLock doit se dépersonnaliser avec un compte ayant les privilèges d'administration sur les machines cibles (voir ici).
- Le protocole ICMP (ping) doit être autorisé entre le serveur UserLock et les machines protégées par UserLock dans les deux sens de communication.
- Le protocole 'Partage de fichiers et d'imprimantes' Microsoft (SMB TCP 445) doit être autorisé entre le serveur UserLock et les machines protégées par UserLock dans les deux sens de communication.
-
Le compte de dépersonnalisation du service doit pouvoir accéder au partage administratif de chaque machine «\\nom_ordinateur\admin$» sur laquelle l'agent Station est installé.
Ce partage est activé par défaut sur un domaine. S'il était désactivé, pour l'activer :- Dans la clé de registre "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters", définissez les valeurs "AutoShareWks" et "AutoShareServer" (REG_DWORD) sur 1.
- Redémarrer le PC.
Nous vous recommandons fortement de vérifier que ces prérequis soient en place avant le déploiement des agents. Cliquez sur les liens ci-dessus pour les procédures.
How to check Windows services and network protocols requirements (en anglais)
Configurer les exigences des clients via des stratégies de groupe
Matériel
CPU & RAM
Le matériel requis dépend du nombre de sessions utilisateur qui seront
protégées par UserLock.
Un serveur de capacité moyenne devrait être en mesure de faire l'affaire dans la majorité des cas : un serveur
avec un processeur double cœur à 2 GHz, 2 Go de RAM disponibles et un disque dur récent est capable de gérer jusqu'à
10000 sessions simultanées.
Avec un tel processeur, UserLock peut traiter jusqu'à 100 événements de
connexion par seconde. Avec une telle fréquence de connexion il est possible d'authentifier
6000 utilisateurs par minute. Pour information, même dans une organisation avec une grande quantité d'utilisateurs (par exemple plus de 10000) cette fréquence n'est jamais atteinte.
Espace disque
Le processus d'installation requiert un espace disque de 500 Mo.
Il est également nécessaire de considérer l'espace disque par la base de données pour archiver l'historique des événements de session :
Un événement de connexion consomme 0,5 Ko d'espace disque. Typiquement un utilisateur génère au moins 4 événements de connexion par jour (une ouverture de session, un verrouillage, un déverrouillage et une fermeture de session) vous pouvez donc calculer l'espace disque utilisé par an.
Par exemple pour 100 utilisateurs :
100 X 4 X 0.5 Ko = 200 Ko/jour = 4 Mo/Mois (20 jours ouvrable) = 50 Mo/année
Vous pouvez adapter cette formule pour estimer l'évolution de la taille de votre base de données en fonction du nombre d'utilisateur et de la durée de rétention d'information que votre historique doit assurer.
Connexion réseau
Un événement de session génère un échange de 3 Ko à travers le réseau. La bande passante utilisée va donc dépendre de la fréquence des connexions.
Par exemple une fréquence de connexions de 100 connexions par seconde va générer
300 Ko/s. Une carte réseau de 100 Mb/s (10 MB/s) sera donc suffisante
dans la plupart des cas.
Par exemple, si 5000 utilisateurs se connectent dans un délai de 10 minutes, votre bande passante doit être d'au moins 25 Ko par seconde.
Cependant, si vous avez des liens réseau lents vers des sites distants,
il faudra tenir compte du nombre d'utilisateurs derrière ces connexions.
Base de données
L'ensemble de l'activité des sessions utilisateur est audité par UserLock et sauvegardé dans une base de données à des fins d'analyse et de reporting.
UserLock supporte les systèmes de base de données suivants :
- MS Access mdb file
- MS SQL Express 2005 et supérieurs - 32/64 bits
- Microsoft SQL Server 2008 supérieurs
- MySQL 5.6 et supérieurs
Merci de noter que les versions/éditions MS SQL LocalDB ne sont pas supportées.
Afin de faciliter l'évaluation de UserLock, le package d'installation
intègre une base de données de type MS Access afin d'archiver
l'ensemble des événements de sessions. Ce type de base de données est
seulement voué à l'évaluation et la phase de tests. Nous ne recommandons
pas son utilisation dans un environnement de production. Nous vous invitons
à implémenter une base de données MS SQL Server, la version
'Express' pouvant être suffisante dans le cadre d'environnement de
taille moyenne.