Specops Key Recovery

Specops Key Recovery est une solution en libre-service pour déverrouiller les ordinateurs chiffrés ou gérés par Symantec Endpoint Encryption ou Microsoft BitLocker. Un utilisateur qui est bloqué à l'écran d'authentification pré-démarrage peut utiliser Specops Key Recovery pour déverrouiller son ordinateur, sans appeler le service d'assistance. Pour une sécurité accrue, les utilisateurs sont vérifiés avec une authentification multi-facteurs. La solution prend en charge plusieurs facteurs d'authentification, y compris Symantec VIP et Mobile Code (SMS) (en envoyant un code à usage unique à un appareil mobile).

Specops Key Recovery prend actuellement en charge:

Symantec Endpoint Encryption (version 11 et supérieure)
BitLocker géré par Symantec Endpoint Encryption (version 11 et supérieure)
BitLocker

Concepts centraux

Écran d'authentification pré-démarrage

Lorsqu'un utilisateur allume un ordinateur avec un chiffrement de disque complet, l'écran d'authentification pré-démarrage apparaîtra. Windows peut ne pas démarrer tant que l'utilisateur n'a pas correctement confirmé son identité sur cet écran.

Authentification

L'authentification est le processus de vérification de l'identité d'un utilisateur. En général, cela nécessite que l'utilisateur fasse une déclaration sur son identité en entrant son nom d'utilisateur et son mot de passe.

Inscription

Les utilisateurs doivent s'inscrire avec Specops Authentication. Le processus d'inscription variera pour chaque type de service d'identité. Pour s'inscrire à un service d'identité personnel tel que Google, les utilisateurs devront suivre le lien depuis l'application web Specops vers la page web Google, et se connecter avec l'adresse e-mail et le mot de passe associés à leur compte Google.

Authentification multi-facteurs

L'authentification multi-facteurs nécessite plus d'une méthode d'authentification provenant de catégories indépendantes d'identifiants: quelque chose que vous connaissez (c'est-à-dire mot de passe), quelque chose que vous avez (c'est-à-dire appareil mobile), et quelque chose que vous êtes (c'est-à-dire empreinte digitale). Specops uReset va au-delà de l'authentification à deux facteurs en prenant en charge un large éventail de services d'identité qui peuvent être utilisés pour accroître la sécurité et la flexibilité. La solution prend en charge non seulement les authentificateurs courants, tels que les questions et réponses, et les codes de vérification mobile, mais aussi divers services d'identité numérique allant des services d'identité personnelle (par exemple, LinkedIn) aux services d'identité d'entreprise (par exemple, salesforce.com), en plus de méthodes de confiance plus élevées telles que les cartes à puce. Le modèle d'authentification multi-facteurs de Specops est dynamique. Les utilisateurs peuvent choisir les services d'identité qu'ils souhaitent combiner pour l'inscription et l'authentification, tant qu'ils répondent aux exigences de la politique. Les utilisateurs inscrits avec plus de services d'identité que requis pour leur authentification auront le choix de l'authentification. Cela garantit que les utilisateurs finaux auront toujours la capacité de satisfaire à la politique d'authentification, même si un service d'identité est indisponible (par exemple, ne pas avoir leur téléphone mobile à proximité).

Les administrateurs peuvent sélectionner, en fonction du rôle et de la politique de sécurité, quels services d'identité/authentificateurs ils souhaitent étendre aux utilisateurs finaux pour vérifier leur identité lors de la réinitialisation ou du déverrouillage de leurs comptes. Une telle flexibilité peut garantir que les besoins de sécurité et de flexibilité variés sont satisfaits. Par exemple:

Pour les utilisateurs qui ont une autorisation de sécurité de bas niveau, mais un besoin de flexibilité élevé, tels que les étudiants, les administrateurs informatiques peuvent leur permettre de s'authentifier avec quelques services d'identité personnels tels que leur Google ID.
Pour les utilisateurs qui ont une autorisation de sécurité de niveau supérieur, tels que les administrateurs d'aide financière ou les cadres supérieurs, les administrateurs informatiques peuvent attribuer des politiques qui imposent un plus grand nombre, ou une combinaison plus forte de services d'identité. Cette approche offre aux administrateurs la flexibilité dont ils ont besoin pour appliquer des politiques qui se traduisent par une plus grande sécurité et efficacité.

Politique

Une politique contient les règles requises pour l'inscription et l'authentification multi-facteurs. Une politique contrôle quels services d'identité peuvent être utilisés, et combien doivent être utilisés pour vérifier l'identité des utilisateurs finaux. L'administrateur système est responsable de la configuration des règles dans les politiques.

Services d'identité

Les services d'identité permettent aux utilisateurs de s'identifier en toute sécurité lors de la connexion. Les services d'identité se répartissent en plusieurs catégories, notamment: nom d'utilisateur et mot de passe, social (LinkedIn, Tumblr), et confiance plus élevée (Google Authenticator, Microsoft Authenticator, Duo Security).

Pour utiliser divers services d'identité pour authentifier les utilisateurs, le service d'identité doit être configuré (activé) dans Authentication Web, et l'utilisateur affecté par la politique doit s'inscrire au service d'identité. Une fois qu'un utilisateur est inscrit, il peut utiliser le service d'identité pour s'authentifier. Specops Authentication utilise les données des objets utilisateur dans Active Directory pour lire et écrire les informations utilisées dans le système.

Ci-dessous se trouve une liste de tous les services d'identité standard disponibles dans Specops Authentication.

Standard

Specops Fingerprint: Specops Fingerprint permet aux utilisateurs de s'inscrire et de s'authentifier en utilisant des appareils avec des scanners d'empreintes digitales, tels que les smartphones et les tablettes. Les utilisateurs peuvent appuyer leur doigt sur le scanner d'empreintes digitales de leur appareil pour s'identifier instantanément. Les utilisateurs peuvent également utiliser Face ID pour s'authentifier, s'ils possèdent un iPhone X et supérieur. Pour utiliser ce service d'identité, les utilisateurs doivent avoir l'application installée sur leur appareil mobile.
Specops Authenticator: Les utilisateurs peuvent s'authentifier en utilisant l'application Specops Authenticator. Les utilisateurs scannent un code QR ou entrent une clé secrète. Specops Authenticator fournit ensuite aux utilisateurs un mot de passe à usage unique à six chiffres, qui doit être entré pour s'authentifier avec succès.
Mobile Code (SMS): Les utilisateurs recevront un mot de passe à usage unique à six chiffres via un message SMS, qui doit être entré pour s'authentifier avec succès.
Email: l'email de l'utilisateur est utilisé comme service d'identité en envoyant un code à l'adresse email enregistrée que l'utilisateur doit ensuite saisir dans le champ à l'écran. Email ne nécessite pas d'inscription, car il se réfère à l'adresse email dans l'attribut email dans AD (ou tout autre attribut s'il est remplacé) ; il ne peut être utilisé qu'avec des domaines associés à Specops Authentication.
Email personnel: l'email de l'utilisateur est utilisé comme service d'identité en envoyant un code à l'adresse email enregistrée que l'utilisateur doit ensuite saisir dans le champ à l'écran. Email personnel doit être enregistré lors de l'inscription par l'utilisateur et il peut utiliser n'importe quelle adresse email de son choix.
Emplacements de réseau de confiance: Emplacements de réseau de confiance est un service d'identité qui permet aux administrateurs de désigner certaines plages IP comme Emplacements de réseau de confiance.
Identification du gestionnaire: Lorsqu'un utilisateur s'authentifie en utilisant l'Identification du gestionnaire, un email ou un message SMS est envoyé à son gestionnaire. Son gestionnaire doit alors approuver la demande d'authentification. Les administrateurs peuvent personnaliser la notification qui est envoyée, en ajoutant des informations personnalisées à la notification de demande. Pour utiliser l'Identification du gestionnaire, chaque utilisateur doit avoir un gestionnaire assigné dans Active Directory, et les comptes de gestionnaire doivent avoir une adresse email/numéro de téléphone mobile associé à leur profil pour recevoir les demandes d'authentification des utilisateurs.
Questions secrètes: Les utilisateurs peuvent sélectionner des questions dans une liste prédéterminée et spécifier les réponses à celles-ci. Ils doivent ensuite répondre à ces questions pour s'authentifier avec succès.

3ème Partie

Remarque

Dans la plupart des cas, l'inscription aux services d'identité tiers doit être gérée individuellement par les utilisateurs.

PingID: Avec PingID, les utilisateurs peuvent s'authentifier en utilisant l'application mobile PingID.
Duo Security: Avec Duo Security, les utilisateurs peuvent s'authentifier en utilisant l'application mobile Duo Security.
Freja: Avec Freja, les utilisateurs peuvent s'authentifier en utilisant l'application mobile Freja.
Okta Les utilisateurs peuvent s'inscrire et s'authentifier en utilisant les identifiants de leur compte Okta. Cela peut être fait via l'application Okta et en envoyant des codes par message texte.
RSA SecurID Les utilisateurs peuvent utiliser leur RSA Authenticator pour s'authentifier.
Symantec VIP: Les utilisateurs peuvent s'authentifier en utilisant l'application mobile Symantec VIP.
Google Authenticator: Google Authenticator est une application qui génère des mots de passe à usage unique. Une clé secrète est générée et présentée sous la forme d'un code QR que l'utilisateur scanne. Google Authenticator fournit ensuite aux utilisateurs un mot de passe à usage unique de six à huit chiffres, qui doit être entré pour s'authentifier avec succès.
Microsoft Authenticator: Microsoft Authenticator est une application qui génère des mots de passe à usage unique. Une clé secrète est générée et présentée sous la forme d'un code QR que l'utilisateur scanne. Microsoft Authenticator fournit ensuite aux utilisateurs un mot de passe à usage unique de six à huit chiffres, qui doit être entré pour s'authentifier avec succès.
SITHS eID (Suède): SITHS eID est un service d'authentification basé sur une carte à puce, qui permet aux employés (tels que les professionnels de la santé) des autorités, municipalités et conseils de comté en Suède de s'identifier électroniquement.
Mobile BankID (Suède): Si les utilisateurs ont l'application Mobile BankID, ils peuvent l'utiliser pour vérifier leur identité.

Remarque

Les utilisateurs devront scanner un code QR dans l'application Mobile BankID pour s'authentifier avec ce service d'identité.
Yubikey: Le Yubikey est un dispositif d'authentification matériel. Les utilisateurs peuvent s'authentifier en générant des mots de passe à usage unique (OTP) avec leur Yubikey (uniquement si le Yubikey prend en charge Yubico OTP comme fonction de sécurité). Pour plus d'informations sur Yubikey, consultez la page Yubikey.
Passkeys: Les utilisateurs peuvent s'authentifier avec des passkeys qu'ils ont déjà configurés sur leur appareil. Les passkeys sont des identifiants numériques (authentificateurs), liés à un compte utilisateur et à un site web ou une application. Quelques exemples de passkeys sont Windows Hello, Yubikey, Bitwarden et toute application d'authentification telle que Google Authenticator.
Entra ID: permet à Specops Authentication de s'intégrer aux bibliothèques d'authentification Microsoft. Microsoft Authenticator peut être utilisé pour s'authentifier avec Specops Authentication sans utiliser de mot de passe.

Fédéré

Google: Les utilisateurs peuvent s'inscrire et s'authentifier en utilisant les identifiants de leur compte Google.
Microsoft Live: Les utilisateurs peuvent s'inscrire et s'authentifier en utilisant les identifiants de leur compte Microsoft Live. Les identifiants Microsoft Live sont utilisés pour se connecter au Microsoft Cloud, y compris: Outlook, Office Online, OneDrive, Skype, Xbox Live, et le Microsoft store.
LinkedIn: Les utilisateurs peuvent s'inscrire et s'authentifier en utilisant leurs identifiants LinkedIn.

Architecture et Conception

Specops Key Recovery est un composant de Specops Cloud. Specops Authentication, un autre composant de Specops Cloud, est utilisé pour s'authentifier à Specops Key Recovery. Les règles d'authentification pour accéder à Specops Key Recovery peuvent être définies sur les pages Admin dans Specops Cloud.

Pour lire les informations utilisateur à partir d'Active Directory, Specops Cloud communique avec le Gatekeeper. Le Gatekeeper est installé sur un serveur dans votre domaine. Le Gatekeeper lit les informations utilisateur à partir d'Active Directory, et gère toutes les opérations contre Active Directory, telles que la lecture/écriture des données d'inscription.

Récupération de clé pour Symantec Endpoint Encryption

Texte alternatif pour cette image

L'utilisateur oublie son mot de passe et est bloqué à l'écran d'authentification pré-démarrage. L'écran invite l'utilisateur à visiter Specops Key Recovery sur un appareil mobile.
Specops Key Recovery (keyrecovery.specopssoft.com) redirige l'utilisateur vers Specops Authentication.
Specops Authentication demande au Gatekeeper l'objet de stratégie de groupe qui affecte l'utilisateur, et obtient les règles d'authentification pour accorder l'accès à Specops Key Recovery. Les règles d'authentification sont affichées pour l'utilisateur. L'utilisateur s'authentifie avec divers services d'identité pour remplir la politique, après quoi, l'utilisateur est renvoyé à Specops Key Recovery.
Specops Key Recovery demande au Gatekeeper une liste des appareils de l'utilisateur.
Le Gatekeeper demande à Symantec Endpoint Encryption les appareils de l'utilisateur, et une liste est renvoyée. Les ordinateurs de l'utilisateur sont affichés sur la page de récupération de clé (keyrecovery.specopssoft.com).
L'utilisateur sélectionne son ordinateur verrouillé dans la liste de Specops Key Recovery, et le navigateur est redirigé vers la page de récupération.
L'utilisateur entre un numéro de séquence sur son appareil mobile et appuie sur Continuer. Une paire de clés est générée et la clé publique est envoyée avec le numéro de séquence au Gatekeeper.
Le Gatekeeper demande à Symantec Endpoint Encryption une clé de récupération, basée sur les informations fournies par l'utilisateur.
Specops Key Recovery affiche la clé de récupération à l'utilisateur et lui demande de saisir des informations sur son ordinateur verrouillé.
L'utilisateur entre la clé de récupération sur son ordinateur verrouillé. L'ordinateur est alors déverrouillé.

Récupération de clé pour BitLocker

Texte alternatif pour cette image

L'utilisateur oublie son mot de passe et se rend sur Specops Key Recovery sur un appareil mobile.
Specops Key Recovery redirige vers login.specopssoft.com.
Specops Authentication demande au Gatekeeper l'objet de stratégie de groupe (GPO) qui affecte l'utilisateur, et obtient les règles d'authentification pour accorder l'accès à Specops Key Recovery. Les règles d'authentification sont affichées pour l'utilisateur et l'utilisateur s'authentifie avec divers services d'identité, après quoi, il est renvoyé à Specops Key Recovery.
Specops Key Recovery demande à l'utilisateur de fournir les 8 premiers caractères de l'ID de la clé de récupération, visible sur son ordinateur. L'utilisateur entre l'ID de la clé de récupération et appuie sur Continuer. Une clé publique est générée et est envoyée avec l'ID de la clé de récupération au Gatekeeper.
Le Gatekeeper interroge Active Directory pour trouver le mot de passe de récupération pour l'ordinateur de l'utilisateur. Le mot de passe de récupération est chiffré sur le Gatekeeper, puis déchiffré et affiché sur l'appareil mobile de l'utilisateur.
L'utilisateur entre le mot de passe de récupération sur son ordinateur verrouillé. L'ordinateur est alors déverrouillé.