Specops Key Recovery
Specops Key Recovery est une solution en libre-service pour déverrouiller les ordinateurs chiffrés ou gérés par Symantec Endpoint Encryption ou Microsoft BitLocker. Un utilisateur qui est bloqué à l'écran d'authentification pré-démarrage peut utiliser Specops Key Recovery pour déverrouiller son ordinateur, sans appeler le service d'assistance. Pour plus de sécurité, les utilisateurs sont vérifiés avec une authentification multi-facteurs. La solution prend en charge plusieurs facteurs d'authentification, y compris Symantec VIP et Mobile Code (SMS) (envoi d'un code à usage unique à un appareil mobile).
Specops Key Recovery prend actuellement en charge :
- Symantec Endpoint Encryption (version 11 et supérieure)
- BitLocker géré par Symantec Endpoint Encryption (version 11 et supérieure)
- BitLocker
Concepts centraux
Écran d'authentification pré-démarrage
Lorsqu'un utilisateur allume un ordinateur avec un chiffrement de disque complet, l'écran d'authentification pré-démarrage apparaîtra. Windows peut ne pas démarrer tant que l'utilisateur n'a pas correctement confirmé son identité sur cet écran.
Authentification
L'authentification est le processus de vérification de l'identité d'un utilisateur. En général, cela nécessite que l'utilisateur fasse une déclaration sur son identité en entrant son nom d'utilisateur et son mot de passe.
Inscription
Les utilisateurs doivent s'inscrire avec Specops Authentication. Le processus d'inscription variera pour chaque type de service d'identité. Pour s'inscrire avec un service d'identité personnel tel que Google, les utilisateurs devront suivre le lien depuis l'application web Specops vers la page web de Google, et se connecter avec l'adresse e-mail et le mot de passe associés à leur compte Google.
Authentification multi-facteurs
L'authentification multi-facteurs nécessite plus d'une méthode d'authentification provenant de catégories indépendantes d'identifiants : quelque chose que vous connaissez (c'est-à-dire le mot de passe), quelque chose que vous avez (c'est-à-dire un appareil mobile), et quelque chose que vous êtes (c'est-à-dire une empreinte digitale). Specops uReset va au-delà de l'authentification à deux facteurs en prenant en charge un large éventail de services d'identité qui peuvent être utilisés pour accroître la sécurité et la flexibilité. La solution prend en charge non seulement les authentificateurs courants, tels que les questions et réponses, et les codes de vérification mobile, mais aussi divers services d'identité numérique allant des services d'identité personnelle (par exemple, LinkedIn) aux services d'identité d'entreprise (par exemple, salesforce.com), en plus de méthodes de confiance plus élevées telles que les cartes à puce. Le modèle d'authentification multi-facteurs de Specops est dynamique. Les utilisateurs peuvent choisir les services d'identité qu'ils souhaitent combiner pour l'inscription et l'authentification, tant qu'ils répondent aux exigences de la politique. Les utilisateurs inscrits avec plus de services d'identité que nécessaire pour leur authentification auront le choix de l'authentification. Cela garantit que les utilisateurs finaux auront toujours la possibilité de satisfaire à la politique d'authentification, même si un service d'identité est indisponible (par exemple, ne pas avoir leur téléphone mobile à proximité).
Les administrateurs peuvent sélectionner, en fonction du rôle et de la politique de sécurité, les services d'identité/authentificateurs qu'ils souhaitent étendre aux utilisateurs finaux pour vérifier leur identité lors de la réinitialisation ou du déverrouillage de leurs comptes. Une telle flexibilité peut garantir que les besoins variés en matière de sécurité et de flexibilité sont satisfaits. Par exemple :
- Pour les utilisateurs ayant une autorisation de sécurité de bas niveau, mais un besoin élevé de flexibilité, tels que les étudiants, les administrateurs informatiques peuvent leur permettre de s'authentifier avec quelques services d'identité personnelle tels que leur Google ID.
- Pour les utilisateurs ayant une autorisation de sécurité de niveau supérieur, tels que les administrateurs d'aide financière ou les cadres supérieurs, les administrateurs informatiques peuvent attribuer des politiques qui imposent un nombre plus élevé, ou une combinaison plus forte de services d'identité. Cette approche offre aux administrateurs la flexibilité dont ils ont besoin pour appliquer des politiques qui se traduisent par une plus grande sécurité et efficacité.
Politique
Une politique contient les règles requises pour l'inscription et l'authentification multi-facteurs. Une politique contrôle quels services d'identité peuvent être utilisés, et combien doivent être utilisés pour vérifier l'identité des utilisateurs finaux. L'administrateur système est responsable de la configuration des règles dans les politiques.
Services d'identité
Les services d'identité sont des méthodes d'authentification qui permettent aux utilisateurs de vérifier leur identité dans le Specops Cloud.
Pour plus d'informations, voir Specops Authentication Services d'identité.
Architecture et conception
Specops Key Recovery est un composant du Specops Cloud. Specops Authentication, un autre composant du Specops Cloud, est utilisé pour s'authentifier à Specops Key Recovery. Les règles d'authentification pour accéder à Specops Key Recovery peuvent être définies sur les pages d'administration dans le Specops Cloud.
Pour lire les informations utilisateur à partir d'Active Directory, le Specops Cloud communique avec le Gatekeeper. Le Gatekeeper est installé sur un serveur de votre domaine. Le Gatekeeper lit les informations utilisateur à partir d'Active Directory, et gère toutes les opérations contre Active Directory, telles que la lecture/écriture des données d'inscription.
Récupération de clé pour Symantec Endpoint Encryption
- L'utilisateur oublie son mot de passe et est bloqué à l'écran d'authentification pré-démarrage. L'écran invite l'utilisateur à visiter Specops Key Recovery sur un appareil mobile.
- Specops Key Recovery (keyrecovery.specopssoft.com) redirige l'utilisateur vers Specops Authentication.
- Specops Authentication demande au Gatekeeper l'objet de stratégie de groupe qui affecte l'utilisateur, et obtient les règles d'authentification pour accorder l'accès à Specops Key Recovery. Les règles d'authentification sont affichées pour l'utilisateur. L'utilisateur s'authentifie avec divers services d'identité pour remplir la politique, après quoi, l'utilisateur est renvoyé à Specops Key Recovery.
- Specops Key Recovery demande au Gatekeeper une liste des appareils de l'utilisateur.
- Le Gatekeeper demande à Symantec Endpoint Encryption les appareils de l'utilisateur, et une liste est renvoyée. Les ordinateurs de l'utilisateur sont affichés sur la page de récupération de clé (keyrecovery.specopssoft.com).
- L'utilisateur sélectionne son ordinateur verrouillé dans la liste de Specops Key Recovery, et le navigateur est redirigé vers la page de récupération.
- L'utilisateur entre un numéro de séquence sur son appareil mobile et appuie sur Continuer. Une paire de clés est générée et la clé publique est envoyée avec le numéro de séquence au Gatekeeper.
- Le Gatekeeper demande à Symantec Endpoint Encryption une clé de récupération, basée sur les informations fournies par l'utilisateur.
- Specops Key Recovery affiche la clé de récupération à l'utilisateur et lui demande de saisir les informations sur son ordinateur verrouillé.
- L'utilisateur entre la clé de récupération sur son ordinateur verrouillé. L'ordinateur est alors déverrouillé.
Récupération de clé pour BitLocker
- L'utilisateur oublie son mot de passe et se rend sur Specops Key Recovery sur un appareil mobile.
- Specops Key Recovery redirige vers login.specopssoft.com.
- Specops Authentication demande au Gatekeeper l'objet de stratégie de groupe (GPO) qui affecte l'utilisateur, et obtient les règles d'authentification pour accorder l'accès à Specops Key Recovery. Les règles d'authentification sont affichées pour l'utilisateur et l'utilisateur s'authentifie avec divers services d'identité, après quoi, il est renvoyé à Specops Key Recovery.
- Specops Key Recovery demande à l'utilisateur de fournir les 8 premiers caractères de l'ID de clé de récupération, visible sur son ordinateur. L'utilisateur entre l'ID de clé de récupération et appuie sur Continuer. Une clé publique est générée et est envoyée avec l'ID de clé de récupération au Gatekeeper.
- Le Gatekeeper interroge Active Directory pour trouver le mot de passe de récupération pour l'ordinateur de l'utilisateur. Le mot de passe de récupération est chiffré sur le Gatekeeper, puis déchiffré et affiché sur l'appareil mobile de l'utilisateur.
- L'utilisateur entre le mot de passe de récupération sur son ordinateur verrouillé. L'ordinateur est alors déverrouillé.