La prison de Qingyuan de la province de Guangdong est un établissement pénitentiaire de 1000 employés situés à Qingyuan, une ville du nord-ouest de la province du Guangdong en République populaire de Chine.
Comme la plupart des établissements pénitenciaires, les registres de la prison sont considérés comme la plus sensible informatique du réseau de la prison de Qingyuan. Ces fichiers comprennent des informations personnelles sur les détenus comme des détails de transfert, les dossiers de libération conditionnelle et les activités enregistrées dans la prison elle-même. Il est donc primordial que les accès à ces données soient régulés et surveillés.
La problématique
La sécurité de connexion native Active Directory était incapable de vérifier l'accès au réseau des utilisateurs
Les administrateurs informatiques supervisent 600 PC fonctionnant sous les systèmes d'exploitation Windows XP et Windows 7 et connectés à Windows Server 2008 R2.
Initialement, la prison utilisait les contrôles standards de Microsoft Active Directory pour gérer les connexions au réseau. Cependant, ces contrôles étaient limités, et avec la gestion Active Directory il n’était pas possible de restreindre les sessions simultanées. Ce qui signifiait qu’un employé pouvait se connecter à un ordinateur dans un service puis aller sur un autre ordinateur à l’autre bout de la prison et se connecter à nouveau, rendant difficile la surveillance de l’ordinateur sur lequel travaillait réellement l’employé. Cela représentait un risque de sécurité significatif, annulant la capacité de la prison à identifier ses utilisateurs.
La prison était aussi confrontée régulièrement à des risques de sécurité. Par exemple, un employé aurait involontairement transféré un virus sur le réseau en utilisant une clé USB infectée et le temps que le virus soit détecté sur le réseau, il était trop tard pour localiser le point de départ ou même pour essayer d’identifier l’utilisateur sur l’ordinateur à ce moment-là. Le fait de ne pas avoir de contrôle d’accès complets ou de capacités de surveillances rend difficile l’investigation sur ce type d’événement.
La solution
Etendre la sécurité Active Directory pour garantir que l’utilisateur est bien qui il prétend être
Afin de mieux gérer et surveiller l’accès au réseau des utilisateurs, les administrateurs informatiques de la prison ont essayé d’utiliser leurs propres scripts dans Active Directory, mais cela n’a pas suffit pour répondre aux exigences de gestion d’accès granulaires.
Après de nombreuses recherches et comparaisons des solutions disponibles, les administrateurs informatiques ont identifié deux options possibles : La première consistait à investir massivement dans une solution de script personnalisée et la seconde à acheter une solution logicielle de gestion des accès abordable. Les administrateurs informatiques ont opté pour la seconde solution et ont acheté UserLock de IS Decisions.
Grâce à UserLock ils étaient en mesure d’implémenter une politique de contrôle d’accès selon laquelle un utilisateur ne pouvait pas se connecter qu’avec un seul ordinateur Active Directory à la fois. Cette capacité, ainsi que la fonctionnalité de surveillance et d'audit de UserLock, a permis aux administrateurs informatiques de vérifier le comportement de connexion sur l'ensemble du réseau.
Les avantages
Une technologie non perturbatrice qui travaille avec Active Directory pour sécuriser l’accès au réseau
La prison de Guangdong Qingyuan a installé UserLock en avril 2015. Zhiwen Tang a trouvé l’installation simple et a pu rapidement former l'équipe informatique qui, à son tour, a formé tous les employés avec peu ou pas de formation sur l'utilisation du logiciel.
C’était la solution parfaite pour nos besoins en termes de gestion et surveillance des accès et pour interdire les sessions simultanées. Nous utilisons UserLock depuis des mois maintenant et il répond à toutes nos politiques de sécurité d’accès au réseau
Zhiwen TANG
Responsable du réseau informatique
L’implémentation était simple et cela a pris deux mois pour déployer UserLock à 600 PC. L’équipe de IS Decisions a été utile tout au long de l’installation et les administrateurs informatiques ont pu trouver tout ce dont ils avaient besoin grâce au support en ligne une fois le système opérationnel.
Les rapports UserLock simplifient le processus de documentation et peuvent facilement trier les informations et les produire au format PDF à des fins de création de rapports.