Specops Secure Access

Specops Secure Access ajoute une authentification multi-facteurs (MFA) aux connexions Windows pour les comptes utilisateurs et les ordinateurs, offrant une protection supplémentaire dans les scénarios où un seul mot de passe n'est pas suffisamment sécurisé.

Avec le client Specops installé et configuré pour Secure Access, les utilisateurs doivent vérifier leur identité avec un second facteur après avoir entré leur nom d'utilisateur et mot de passe Windows sur l'écran de connexion. Il en va de même lors de la connexion à un ordinateur Windows via Remote Desktop, bien que dans ce cas, la vérification se fasse en dehors de l'écran de connexion.

Le système est conçu pour minimiser l'impact sur les utilisateurs tout en fournissant une couche de sécurité supplémentaire, offrant aux utilisateurs la flexibilité de choisir quel facteur supplémentaire utiliser.

Concepts centraux

Les concepts suivants sont pertinents pour les différents scénarios de Specops Secure Access.

Authentification

Une fois que les utilisateurs se sont inscrits aux services d'identité requis, ils seront invités à s'authentifier via Secure Access chaque fois qu'ils se connectent à Windows. S'authentifier via Secure Access signifie utiliser un facteur supplémentaire (service d'identité) en plus du nom d'utilisateur et du mot de passe Windows habituels. Cela peut également être un code hors ligne (décrit dans Secure Access pour les clients Windows).

Le flux d'authentification est simplifié et présentera à l'utilisateur le même facteur qu'il a utilisé la dernière fois qu'il s'est authentifié. Selon le service d'identité, le processus peut être aussi simple que d'appuyer sur un bouton dans une application mobile, ou d'appuyer sur le bouton d'un appareil YubiKey. L'administrateur système configure les règles d'authentification, y compris la fréquence à laquelle les utilisateurs doivent utiliser Secure Access. Le système pourrait, par exemple, être configuré pour ne nécessiter le facteur supplémentaire qu'une fois par jour. Dans ce scénario, les utilisateurs contourneraient Secure Access — en utilisant uniquement le mot de passe Windows — jusqu'à ce que le temps configuré soit écoulé.

Specops Authentication

Secure Access fait partie du cadre Specops Authentication et nécessite que votre organisation dispose d'un compte Specops Authentication et que le composant sur site, Specops Authentication Gatekeeper, soit installé et configuré. Pour plus d'informations, voir Aperçu de l'installation de Gatekeeper.

Services d'identité

Les facteurs d'authentification supplémentaires dans Specops Authentication sont appelés services d'identité. Quelques exemples de services d'identité sont le message texte, YubiKey et Specops:ID.

La plupart des services d'identité nécessitent que les utilisateurs aient un téléphone mobile, par exemple, pour recevoir un message texte ou utiliser la biométrie dans une application pour vérifier leur identité. L'administrateur système configure quels services d'identité sont disponibles pour les utilisateurs dans la politique Secure Access dans Specops Authentication.

Inscription

Pour utiliser un service d'identité, les utilisateurs doivent d'abord s'inscrire via Specops Authentication. Dans le scénario Secure Access pour les clients Windows, les utilisateurs seront invités à s'inscrire directement depuis l'écran de connexion Windows.

Specops:ID

Specops:ID est une application mobile spécialement conçue pour optimiser le flux d'authentification et servir de service d'identité recommandé pour Secure Access.

Lors de la connexion, les utilisateurs reçoivent une notification sur leur téléphone mobile. En appuyant sur la notification, l'application mobile Specops:ID est lancée et l'utilisateur peut accepter ou rejeter la demande d'authentification. Un administrateur configure si une authentification biométrique, empreinte digitale ou Face ID, est requise lors de l'acceptation de la demande. Dans l'application mobile, les utilisateurs peuvent également voir des informations sur leur compte de travail, y compris le statut de verrouillage du compte et la date à laquelle leur mot de passe a été modifié pour la dernière fois.

Scénarios d'authentification Secure Access

Specops Secure Access ajoute une authentification multi-facteurs aux scénarios suivants :

Specops Secure Access pour les clients Windows
Specops Secure Access pour l'accès à distance

Secure Access pour les clients Windows

Le Client Specops est le composant qui s'intègre à l'écran de connexion Windows et doit être installé sur tous les ordinateurs pour prendre en charge le scénario "Secure Access pour les clients Windows". Le client Specops sert plusieurs objectifs au sein du cadre Specops Authentication et se compose de plusieurs sous-composants. Les sous-composants et les fonctionnalités liés à Secure Access sont décrits ci-dessous.

Fournisseur d'informations d'identification Specops est la première couche du composant Client Specops. C'est la partie qui est intégrée dans le processus de connexion Windows. Les fournisseurs d'informations d'identification sont des points d'extensibilité fournis par Microsoft qui permettent aux fournisseurs tiers de s'intégrer au système d'authentification Windows. La présence d'autres fournisseurs d'informations d'identification tiers peut entraîner des conflits. Si de tels conflits se produisent, veuillez contacter le support Specops.

Lors de l'utilisation de Secure Access, le fournisseur d'informations d'identification lancera l'application de bureau Specops Secure Access après que l'utilisateur a présenté des informations d'identification de domaine valides.
Application de bureau Specops Secure Access est une application de bureau Windows qui s'ouvre comme une fenêtre séparée au-dessus de l'écran de connexion après que l'utilisateur a entré son nom d'utilisateur et son mot de passe. Dans l'application de bureau Specops Secure Access, les utilisateurs se verront présenter un ou plusieurs services d'identité à utiliser comme second facteur pour compléter l'authentification. L'application de bureau Specops Secure Access communique avec le web Specops Authentication, qui à son tour communique avec le Gatekeeper sur site pour vérifier l'utilisateur.

Si un utilisateur doit s'inscrire à un service d'identité, l'application de bureau Specops Secure Access lancera le navigateur sécurisé.
Navigateur sécurisé Specops s'appuie sur un runtime de navigateur, utilisant le moteur de navigateur CefSharp. Il est sécurisé dans le sens où il ne permet pas à l'utilisateur de naviguer en dehors des pages d'enregistrement Specops Authentication. Dans Secure Access, le navigateur sécurisé est utilisé lorsqu'un utilisateur doit s'inscrire à un ou plusieurs services d'identité. Cela ne devrait normalement se produire qu'une seule fois pour chaque utilisateur. Si l'organisation utilise déjà Specops Authentication pour réinitialiser les mots de passe, les utilisateurs peuvent déjà être inscrits et prêts à commencer à utiliser Secure Access.
Authentification hors ligne utilisant Specops:ID est une méthode d'authentification de secours qui permet aux utilisateurs de se connecter à Windows même si les services réseau ou cloud ne sont pas disponibles, réduisant ainsi le risque d'être verrouillé. Pour des raisons de sécurité, les utilisateurs doivent toujours fournir un facteur d'authentification supplémentaire lors de la connexion.

Lors de l'utilisation de l'application de bureau Secure Access en combinaison avec l'application mobile Specops:ID, la méthode de secours est appelée Codes hors ligne. Un code hors ligne sera créé et synchronisé pour tout ordinateur où un utilisateur se connecte en utilisant Secure Access. Les codes hors ligne sont disponibles dans l'onglet Codes hors ligne de l'application mobile Specops:ID.

Lorsqu'un utilisateur tente de se connecter à Windows sans accès réseau, l'application de bureau Secure Access lui demandera d'utiliser un code hors ligne. L'utilisateur doit alors ouvrir manuellement l'application mobile Specops:ID, naviguer vers l'onglet Codes hors ligne et localiser le code pour l'ordinateur auquel il se connecte.

Si un utilisateur a plusieurs codes hors ligne provenant de connexions à plusieurs ordinateurs, il peut utiliser la fonction de numérisation QR dans l'application mobile pour scanner le code affiché par l'application de bureau Secure Access. Cela localisera automatiquement le bon code hors ligne et l'affichera. Une fois que l'utilisateur a trouvé le bon code dans l'application mobile, il doit le saisir dans l'application de bureau pour compléter l'authentification.
Authentification hors ligne sans Specops:ID Si l'application mobile Specops:ID n'est pas utilisée, il est possible d'utiliser une carte à puce pour le scénario d'authentification hors ligne. Actuellement, seules les cartes à puce YubiKey sont prises en charge. Pour ce scénario, plusieurs étapes de configuration supplémentaires sont requises, qui sont détaillées dans la section Configurer la carte à puce comme méthode hors ligne plus bas.

Secure Access pour l'accès à distance

Les organisations avec des utilisateurs accédant au réseau à distance via un VPN, ou via une passerelle de bureau à distance (RDGW), peuvent protéger leurs utilisateurs en ajoutant un second facteur pour ces connexions. Dans ce scénario, Specops Secure Access étend une configuration existante du service de stratégie réseau (NPS) de Microsoft.

Remarque

Dans ce scénario, l'application de bureau Secure Access n'est pas utilisée. Cependant, le service d'identité Specops:ID est spécifiquement requis et les utilisateurs doivent avoir l'application mobile Specops:ID installée.

Service de stratégie réseau Microsoft (NPS) : Le scénario nécessite que le service de stratégie réseau Microsoft (NPS) ait été configuré dans le réseau, pour sécuriser les VPN et la passerelle de bureau à distance. Pour des informations sur NPS, veuillez vous référer à la documentation officielle de Microsoft.
Compagnon NPS Specops Secure Access : Pour compléter la configuration "Secure Access pour l'accès à distance", le compagnon NPS Specops Secure Access doit être installé sur tous les serveurs NPS. Ce composant étend la configuration NPS pour communiquer avec les services web Specops Authentication chaque fois qu'un utilisateur tente de s'authentifier via un VPN ou le RDGW. Pour plus d'informations, reportez-vous à Configuration de Secure Access pour l'accès à distance plus bas.

Commencer

Il existe plusieurs zones de configuration différentes pour Secure Access, selon le scénario d'authentification.

Pour commencer avec Secure Access, les préparations suivantes sont nécessaires pour les deux scénarios :

Configurer un compte Specops Authentication.
Installer et configurer le composant sur site, Specops Authentication Gatekeeper.
Assurez-vous que les utilisateurs qui doivent participer sont informés qu'ils doivent installer l'application mobile Specops:ID.

La configuration de la politique d'authentification Secure Access est requise pour les deux scénarios, tandis que les étapes de configuration restantes diffèrent selon le scénario. Toutes les étapes sont décrites dans les sections suivantes.

Configuration de Secure Access pour les clients Windows

Configurer Specops Authentication

Localisez l'URL Web Specops Authentication dans l'outil d'administration Gatekeeper sur site, puis ouvrez les pages d'administration Specops Authentication dans un navigateur web.

Dans la section Secure Access, configurez la politique d'authentification pour les clients Windows.
Dans la section Secure Access, créez une clé API pour les clients Windows, copiez la clé API et conservez-la pour l'instant. Copiez également l'URL de l'API depuis la même page. La clé API et l'URL correspondante sont nécessaires lors de la configuration du client Specops.

Configurer l'application mobile Specops:ID

La configuration de l'application Specops:ID est effectuée depuis les pages d'administration Specops Authentication.

Dans la section Service d'identité, localisez Specops:ID et le paramètre "Exiger la vérification biométrique". Si cette option est activée, les utilisateurs devront utiliser l'empreinte digitale ou Face ID pour pouvoir accepter une demande d'authentification dans l'application mobile Specops:ID.
Le service d'identité Specops:ID inclut également une fonctionnalité pour prévenir la fatigue des notifications. Cette fonctionnalité ne s'applique pas à Secure Access, car les utilisateurs doivent entrer le mot de passe correct avant d'initier le service d'identité Specops:ID.

Si les utilisateurs utilisent Specops:ID pour d'autres scénarios d'authentification, tels que les réinitialisations de mot de passe, l'activation de la fonctionnalité de fatigue des notifications devrait être envisagée. Dans la section pour le service d'identité Specops:ID, un type de défi peut être configuré et défini soit sur code QR, soit sur saisie de numéro. L'activation de l'une de ces options empêche les utilisateurs d'approuver accidentellement une demande d'authentification dans l'application initiée par un tiers.

Pour le type de défi "numéro", l'utilisateur entre le numéro affiché dans l'application de bureau Secure Access dans l'application mobile. Pour le type de défi "code QR", l'utilisateur scanne le code QR affiché dans l'application de bureau.

Déployer le client Specops sur les ordinateurs clients

Déployez le client Specops sur tous les ordinateurs clients qui doivent participer.

Configurer l'ordinateur client

Dans cette étape, vous aurez besoin de la clé API et de l'URL de l'API.

La configuration du client Specops est stockée dans le registre Windows sur tout ordinateur client où il est installé. Il y a quelques paramètres requis qui doivent être appliqués pour pouvoir utiliser Secure Access. Ces paramètres de registre doivent être déployés sur chaque ordinateur où le client Specops est installé. La méthode recommandée pour déployer ces paramètres est d'utiliser la stratégie de groupe et le modèle ADMX inclus dans la configuration du client Specops.

La clé racine pour ces paramètres est :

HKEY_LOCAL_MACHINE\SOFTWARE\Specopssoft\uReset\Client\Mfa

Paramètres obligatoires

Les paramètres suivants sont requis pour activer Secure Access sur les ordinateurs clients.

Paramètre	Description	Par défaut
WinMfa_EnableLocal	Définissez cette valeur sur 1 pour activer Secure Access pour les clients Windows	0
WinMfa_EnableRemote	Définissez cette valeur sur 1 pour activer Secure Access pour les clients Windows pour le scénario de bureau à distance	0
WinMfa_DispatcherApiUrl	L'URL à laquelle Secure Access se connecte initialement, vous pouvez l'obtenir dans les sections des clés API de la section Secure Access sur le web Specops Authentication
WinMfa_ApiKey	L'API que Secure Access utilise pour s'authentifier auprès de Specops Authentication, vous pouvez l'obtenir dans les sections des clés API de la section Secure Access sur le web Specops Authentication

Paramètres optionnels

Voici quelques paramètres supplémentaires que vous pouvez vouloir configurer pour les ordinateurs clients :

Paramètre	Description	Par défaut
WinMfa_TimeBeforeRequireMfa	Par défaut, la MFA Secure Access est requise pour chaque connexion par défaut lorsque Secure Access est activé. Modifiez ce paramètre si vous souhaitez autoriser les utilisateurs à se connecter sans MFA pendant une période de temps spécifiée après une authentification en ligne réussie. Le format est HH:MM:SS et le temps maximum est de 72 heures. Si une valeur invalide est entrée, la MFA sera requise pour chaque connexion.	0
WinMfa_AllowOfflineAuth	Par défaut, l'authentification hors ligne est désactivée, ce qui désactive la connexion si l'ordinateur est hors ligne ou si une panne de service temporaire ou une mauvaise configuration se produit. Activez ce paramètre si vous souhaitez autoriser l'authentification hors ligne lorsque l'API Specops Authentication ne peut pas être atteinte ou qu'il y a d'autres pannes de service.	0
WinMfa_DaysBeforeRequireOnlineAuth	Si l'authentification hors ligne est activée, un utilisateur peut se connecter avec une authentification hors ligne jusqu'au nombre de jours configuré avant d'être obligé de se connecter en ligne pour se connecter. Modifiez ce paramètre si vous avez des exigences différentes pour l'authentification en ligne que le défaut de 30 jours.	30

Journalisation

La journalisation est activée dans :

HKEY_LOCAL_MACHINE\SOFTWARE\Specopssoft\uReset\Client\Mfa\Logging

Paramètre	Description	Par défaut
debug	Définissez cette valeur sur 2 pour activer la journalisation. Les fichiers journaux sont stockés dans C:\Windows\debug\SpecopsWinMfa\ Après chaque tentative de connexion, un catalogue avec un horodatage est créé, incluant les fichiers journaux suivants : WinMfa.Launcher.log et WinMfa.App.log	0

Configurer la carte à puce comme méthode hors ligne

Si Specops:ID n'est pas utilisé, les utilisateurs n'obtiendront pas l'option de code hors ligne automatique pour l'authentification en cas de problèmes réseau. Cette section décrit comment configurer l'option de carte à puce comme alternative.

Remarque

Actuellement, seules les cartes à puce YubiKey sont prises en charge.

Distribuer opensc-pkcs11.dll aux ordinateurs clients

Distribuez le fichier opensc-pkcs11.dll aux ordinateurs clients.

Pour des raisons de licence, le fichier requis opensc-pkcs11.dll n'est pas inclus dans le package d'installation du client Specops Authentication et doit être distribué à tous les ordinateurs clients.

Ce fichier peut être trouvé, par exemple, dans ce package : https://github.com/OpenSC/OpenSC

Téléchargez la version légère de ce package, et distribuez-la à tous les ordinateurs clients, ou extrayez spécifiquement le fichier opensc-pkcs11.dll du package et distribuez uniquement ce fichier.
Après que le fichier a été distribué aux ordinateurs clients, la valeur de registre WinMfa_SmartCardPkcs11LibraryPath doit être définie sur le chemin complet de l'emplacement du fichier, voir la section suivante.

Configurer la carte à puce comme méthode d'authentification hors ligne

Configurez les paramètres suivants pour l'option de carte à puce :

Paramètre	Description	Par défaut
WinMfa_OfflineIdentityService	Pour utiliser l'option de carte à puce comme méthode d'authentification hors ligne, définissez sur Carte à puce	Specops ID
WinMfa_SmartCardDisplayName	Ce paramètre configure comment l'option de carte à puce est affichée aux utilisateurs
WinMfa_SmartCardPkcs11LibraryPath	Ce paramètre est requis si Carte à puce est utilisé comme service d'identité hors ligne. Définissez sur le chemin complet où le fichier opensc-pkcs11.dll est distribué
WinMfa_SmartCardVerifyCertificateExpiration	Définissez sur 0 pour ignorer la validation du certificat	1

Inscrire les utilisateurs avec YubiKey

Pour inscrire une YubiKey avec Specops Authentication, complétez les étapes suivantes :

Installez l'outil Yubico-Piv-Tool.
Insérez une YubiKey dans l'ordinateur.
Sur un ordinateur où l'outil d'administration Gatekeeper a été installé, utilisez le PowerShell New-SAYubiKeySCOfflineEnrollment cmdlet pour créer un certificat sur l'appareil YubiKey et le stocker en toute sécurité dans votre Active Directory. Exemple :

New-SAYubiKeySCOfflineEnrollment -Username user -PinCode 123456 -CertificateSubject /CN=Alvis/OU=scard/OU=corp/

Alternativement, si les utilisateurs utilisent déjà des YubiKeys qui contiennent déjà des certificats, ces certificats peuvent être envoyés à Specops Authentication au lieu de créer un nouveau comme détaillé ci-dessus. Pour ce faire, le certificat doit être extrait de la YubiKey en utilisant le logiciel YubiKey. Dans cet exemple ci-dessous, un tel certificat est supposé être stocké dans la variable $certificate. Utilisez le script PowerShell suivant. Remarque que ce script a les mêmes exigences que le New-SAYubiKeySCOfflineEnrollment décrit ci-dessus.

Set-SASmartcardOfflineEnrollment -Username [userName] -Certificate $certificate

Configuration de Secure Access pour l'accès à distance

Sur chaque serveur NPS où le compagnon NPS est installé, l'URL de l'API et la clé API doivent être configurées. Ces valeurs peuvent être obtenues dans les sections des clés API de Secure Access dans le web Specops Authentication.

Pour configurer le compagnon NPS Specops Secure Access :

Ouvrez les pages d'administration Specops Authentication dans un navigateur web :
- Dans la section Secure Access, configurez la politique d'authentification pour l'accès à distance.
- Dans la section Secure Access, créez une clé API pour l'accès à distance, copiez la clé API et conservez-la pour l'instant. Copiez également l'URL de l'API depuis la même page. La clé API et l'URL correspondante sont nécessaires lors de la configuration du compagnon NPS.
Assurez-vous que NPS est configuré et fonctionne. Consultez la documentation Microsoft pour obtenir des informations.
Installez le compagnon NPS Secure Access sur les serveurs NPS.
Configurez le compagnon NPS en exécutant le script PowerShell Set-SpecopsApiConfiguration.ps1 inclus dans l'installation. Utilisez la clé API et l'URL de l'API de l'étape précédente. Exemple :

.\Set-SpecopsApiConfiguration.ps1 -Url [API-URL] -ApiKey [API-key]