Les scores
Performance
Caractéristiques
Rapport qualité/prix
Facilité d'utilisation
Support
Total
Verdict
UserLock s’associe de manière transparente à Windows Active Directory pour offrir des contrôles de connexion d’utilisateur facilement gérés, une gestion essentielle des sessions simultanées et une mine d’informations sur les audits.
Avec le RGPD (règlement général sur la protection des données) pleinement en vigueur, les entreprises doivent protéger les données confidentielles des accès non autorisés. Une administration stricte des comptes d’utilisateur Active Directory (AD) est essentielle et bien que la stratégie de groupe soit l’outil de choix, la configuration de processus tels que les stratégies de connexion et d’accès peut s'avérer fastidieuse, en particulier pour les PME ayant une expertise informatique sur site limitée.
UserLock de IS Decisions simplifie ces processus en fournissant une gestion en temps réel des connexions utilisateur pour plusieurs types de session, des restrictions d'accès au poste de travail, une surveillance de session et un audit détaillé. Un avantage important de UserLock est qu'il complète AD et ne nécessite aucune modification de son schéma.
Une autre caractéristique remarquable est la capacité de UserLock à contrôler les connexions de compte utilisateur simultanées – une chose qui manque notoirement à AD et la stratégie de groupe. L'ancien outil LoginLimit a été mis à jour récemment pour prendre en charge les serveurs AD Windows 2012 R2, mais ne peut bloquer que toutes les sessions simultanées.
Installation et déploiement
La console UserLock fournit de nombreuses informations en temps réel sur les sessions actives
UserLock nécessite un hôte exécutant Windows Server 2008 et au-dessus. Pour le test, nous l’avons installé sur un système Windows Server 2016. Le processus a pris cinq minutes et a été facilité par l’importante documentation en ligne.
Pour une redondance essentielle, UserLock peut être installé sur un autre hôte en tant que serveur de sauvegarde, qui prend automatiquement le relais en cas de défaillance du serveur principal. Vous pouvez également installer UserLock dans un mode autonome local pour protéger les serveurs de terminaux.
Le premier contact avec la console de gestion bien conçue de UserLock déclenche un assistant qui nous a aidés à confirmer le serveur AD du laboratoire et à configurer un compte de service avec un accès administratif à tous les ordinateurs protégés. Ensuite, le déploiement de l'agent peut être défini sur automatique ou vous pouvez l'exécuter manuellement en sélectionnant des ordinateurs AD dans le volet Distribution de l'agent.
Un travail préparatoire est nécessaires car les ordinateurs Windows requièrent le service de registre distant et le partage de fichiers et d'impression activés. Nous avons également utilisé MacBooks exécutant macOS High Sierra et ceux-ci devaient être activés SSH à partir de leur panneau de préférences de partage local.
Nous avons chargé les agents manuellement et avons constaté que chaque tâche prenait environ 20 secondes. Sélectionnez n'importe quel ordinateur protégé dans le volet de distribution de l'agent et un menu déroulant propose des options pour redémarrer, arrêter ou réactiver ces derniers et exécuter des sessions RDP directes.
Détail de protection rapprochée
Tous les agents UserLock s'installent facilement à partir de l'écran Distribution d'agents
UserLock commence à auditer toutes les sessions dès que l'agent est installé afin que vous puissiez passer directement à la création de comptes protégés. Les règles et restrictions de connexion peuvent être appliquées aux comptes d'utilisateurs, d'administrateurs, de groupes et d'unités organisationnelles AD. Vous pouvez également créer des comptes temporaires pour des invités et des sous-traitants.
Les règles sont extrêmement polyvalentes, car vous pouvez définir le nombre de points d'accès initiaux permettant de contrôler les points d'entrée dans le réseau. UserLock se distingue par ses règles de session simultanées, car nous pouvons définir le nombre de postes de travail auxquels un utilisateur peut se connecter simultanément et appliquer des restrictions aux sessions de terminal, interactives, sans fil / VPN et IIS.
De plus, vous pouvez limiter les utilisateurs à des ordinateurs AD et à des plages d’adresses IP spécifiques, limiter l’accès par périodes, définir la durée des sessions et appliquer des quotas de temps. Les règles fournissent des contrôles granulaires car elles peuvent être appliquées aux groupes AD pour la protection générale des larges bases d'utilisateurs et complétées par des règles utilisateur individuelles qui ont la priorité.
Une fonctionnalité de sécurité précieuse qui arrêtera le partage de mot de passe sur le lieu de travail est la possibilité d’avertir les utilisateurs si leur compte est utilisé pour se connecter à un autre ordinateur. Si cela se produit, ils recevront un message contextuel indiquant l'ordinateur utilisé et leur conseillant de contacter leur administrateur qui aura également reçu une alerte par courrier électronique de la part de UserLock.
Contrôles utilisateur
UserLock fournit une multitude de fonctionnalités de connexion et de contrôle de session
Lors des tests, nous avons constaté que UserLock fonctionnait de manière transparente et contrairement aux stratégie de groupe, les règles entrent en vigueur immédiatement après leur application. Nous avons défini des limites de sessions simultanées de postes de travail sur plusieurs utilisateurs et lorsqu'ils ont tenté de se connecter à d'autres ordinateurs et dépassé leurs limites, ils ont reçu un message contextuel les avertissant que cela n'était pas autorisé.
Les utilisateurs ont également reçu des alertes contextuelles à l'instant où d'autres employés ont tenté de se connecter ailleurs avec leurs informations d'identification. L'activité de connexion peut être classée selon sa gravité. Des alertes à haut risque peuvent être déclenchées lorsque tant de connexions ont été refusées par UserLock ou AD sur une certaine période.
Les administrateurs UserLock peuvent interagir avec les sessions sélectionnées en cliquant dessus dans la console, en déconnectant les utilisateurs, en verrouillant les postes de travail et en les réinitialisant. Nous avons particulièrement apprécié la fonctionnalité de blocage, car nous pouvions bloquer instantanément un utilisateur et l'empêcher de se reconnecter à un système pendant que nous examinions leurs activités.
Le contrôle des sessions sans fil / VPN nécessite un peu plus de travail, car les agents NPS et RRAS doivent être déployés sur les serveurs hébergeant ces services. De même, avec les sessions IIS, le filtre ISAPI ou le module HTTP de UserLock doit être installé sur des serveurs Web.
Ce n’était pas un problème pour nos serveurs IIS car ils apparaissaient en tant qu’entités distinctes dans l’écran de distribution de l’agent, permettant ainsi l’installation des modules en un seul clic. Après les avoir activées manuellement localement, nous pouvions surveiller toutes les sessions ISS et gérer les accès.
Consoles Web et rapports
Les règles peuvent avertir les employés si une autre personne utilise leurs informations d'identification
La console UserLock fournit une vue en temps réel de toutes les actions. La page principale affiche des graphiques de l'activité des sessions, des ordinateurs et des agents. Avec IIS fonctionnant sur l'hôte UserLock, nous avons également installé ses composants de console Web et visionné l'activité à distance à partir d'un navigateur.
Certaines tâches de configuration ne peuvent pas être effectuées à partir de l’interface Web, mais nous avons constaté que le niveau de détail de l’activité était supérieur à celui de la console principale. Les versions pour tablette et mobile sont incluses et, depuis notre iPad, nous avons visualisé l’ensemble des activités de session, consulté les statistiques historiques des sessions et appliqué des actions de blocage aux utilisateurs sélectionnés.
Les rapports sont facilement suffisants pour satisfaire à la conformité du RGPD et aux auditeurs externes. À partir de la console principale, vous disposez de fonctionnalités permettant de générer des rapports sur tout type de session pour des périodes, des utilisateurs et des groupes sélectionnés.
Des rapports détaillés sont disponibles pour les activités d'ouverture et de fermeture de session, les ouvertures de session refusées par AD et UserLock, les ouvertures de session ayant échoué et l'historique des sessions simultanées. Ils peuvent être programmés pour s'exécuter à intervalles réguliers ou déclenchés par un événement et exportés vers une gamme de formats tels que PDF, XLS, CSV et HTML.
Conclusion
Outre la console d'administration principale, UserLock fournit une interface Web avec des versions pour tablettes et téléphones portables.
UserLock simplifie l'administration de l'accès à la connexion des utilisateurs AD et accorde une note élevée à ses contrôles de session simultanés granulaires. Contrairement à la stratégie de groupe, les modifications apportées à UserLock sont immédiatement propagées et tous les contrôles de connexions sont accessibles à partir d'une seule interface.
Le déploiement d’agent est simple et grâce à une structure de tarification reposant sur le maximum de sessions utilisateur simultanées, il est abordable pour les PME et les entreprises. Ajoutez à cela les fonctionnalités complètes d'audit et de création de rapports de session et vous avez le partenaire de sécurité d'accès idéal pour les environnements Windows Active Directory.
À propos d'IT Security Guru
IT Security Guru offre un résumé quotidien des meilleures informations de dernière minute sur la sécurité informatique! Plutôt que de devoir parcourir tous les fils de nouvelles pour savoir ce qui se passe, vous pouvez obtenir rapidement tout ce dont vous avez besoin sur ce site!
Il semble que nous mangeons, dormons et respirons sécurité informatique - mais nous essayons avant tout de rendre la sécurité informatique digeste et intéressante - nous espérons que vous trouverez ici des informations utiles. Si ce n'est pas le cas, faites le nous savoir et nous essayerons de l'améliorer pour vous.