Présentation

Specops Key Recovery est une solution en libre-service permettant de déverrouiller les ordinateurs chiffrés ou gérés par Symantec Endpoint Encryption ou Microsoft BitLocker. Si un utilisateur est verrouillé sur l’écran préalable au démarrage, il peut utiliser Specops Key Recovery pour déverrouiller l’ordinateur, sans avoir besoin d’appeler le service d’assistance. Pour plus de sécurité, les utilisateurs sont vérifiés à l’aide d’une authentification multifacteur. La solution prend en charge un certain nombre de facteurs d’authentification, notamment Symantec VIP et Mobile Code (SMS) (envoi d’un code à usage unique vers un appareil mobile).

Specops Key Recovery prend actuellement en charge :

  • Symantec Endpoint Encryption (version 11 et supérieures)
  • BitLocker géré par Symantec Endpoint Encryption activé (version 11 et supérieures)
  • BitLocker

Concepts fondamentaux

Écran d’authentification préalable au démarrage

Lorsqu’un utilisateur allume un ordinateur avec chiffrement intégral du disque, l’écran d’authentification préalable au démarrage apparaît. Windows peut ne pas démarrer tant que l’utilisateur n’a pas correctement confirmé son identité sur cet écran.

Stratégie

Une stratégie contient les règles requises pour l’inscription et l’authentification multifacteur lors de l’utilisation de Specops Key Recovery. Une stratégie contrôle les services d’identité qui peuvent être utilisés et combien doivent être utilisés pour vérifier l’identité des utilisateurs finaux. L’administrateur système est chargé de configurer les règles dans les stratégies.

Authentification multifacteur

L’authentification multifacteur nécessite plus d’une méthode d’authentification de catégories d’informations d’identification indépendantes : quelque chose que vous connaissez (c’est-à-dire un mot de passe), quelque chose que vous possédez (c’est-à-dire un appareil mobile) et quelque chose que vous êtes (c’est-à-dire une empreinte digitale).

Le modèle d’authentification multifacteur Specops est dynamique. Les utilisateurs peuvent choisir les services d’identité qu’ils souhaitent combiner pour l’inscription et l’authentification, à condition qu’ils répondent aux exigences de la politique.

Services d’identité

Les services d’identité permettent aux utilisateurs de s’identifier en toute sécurité lors de la connexion. Les services d’identité sont divisés en plusieurs catégories, notamment : nom d’utilisateur et mot de passe Active Directory, réseaux sociaux (Facebook, LinkedIn, Tumblr), et niveau de confiance supérieur (Google Authenticator, Microsoft Authenticator, Duo Security).

Les services d’identité suivants peuvent être utilisés pour authentifier les utilisateurs dans Specops Key Recovery :

Standard

  • Specops Fingerprint : Specops Fingerprint permet aux utilisateurs de s’inscrire et de s’authentifier à l’aide d’appareils dotés de lecteurs d’empreintes digitales, tels que les téléphones intelligents et les tablettes. Les utilisateurs peuvent placer leur doigt sur le lecteur d’empreintes digitales de leur appareil pour s’identifier instantanément. Les utilisateurs peuvent également utiliser Face ID pour s’authentifier, s’ils possèdent un iPhone X ou un modèle ultérieur. Afin d’utiliser ce service d’identité, l’application doit être installée sur l’appareil mobile de l’utilisateur.
  • Specops Authenticator : Les utilisateurs peuvent s’authentifier avec l’application Specops Authenticator. Les utilisateurs scannent un code QR ou saisissent une réponse à une question de sécurité. Specops Authenticator fournit ensuite aux utilisateurs un mot de passe à usage unique à 6 chiffres, qui doit être saisi pour s’authentifier.
  • Mobile Code (SMS) : Les utilisateurs recevront un mot de passe unique à 6 chiffres via un message SMS, qui doit être saisi pour s’authentifier.
  • E-mail : l’adresse e-mail de l’utilisateur est utilisée comme service d’identité en envoyant un code à l’adresse e-mail enregistrée que l’utilisateur doit ensuite saisir dans le champ à l’écran. E-mail L’adresse e-mail ne nécessite pas d’inscription, car elle fait référence à l’adresse e-mail de l’attribut e-mail dans AD (ou tout autre attribut s’il est remplacé). Celle-ci ne peut être utilisée qu’avec des domaines associés à Specops Authentication.
  •  : l’adresse e-mail de l’utilisateur est utilisée comme service d’identité en envoyant un code à l’adresse e-mail enregistrée que l’utilisateur doit ensuite saisir dans le champ à l’écran. doit être enregistrée lors de l’inscription par l’utilisateur et celui-ci peut utiliser l’adresse e-mail de son choix.
  • Emplacements réseau approuvés : Emplacements réseau approuvés est un service d’identité qui permet aux administrateurs de désigner certaines plages d’adresses IP en tant que Emplacements réseau approuvés.
  • Identification du gestionnaire : Lorsqu’un utilisateur s’authentifie à l’aide de Identification du gestionnaire, un e-mail ou un SMS est envoyé à son responsable. Son responsable doit alors approuver la demande d’authentification. Les administrateurs peuvent personnaliser la notification envoyée en ajoutant des informations personnalisées à la notification de la demande. Afin d’utiliser Identification du gestionnaire, chaque utilisateur doit avoir un responsable attribué dans Active Directory, et les comptes de responsable doivent avoir une adresse e-mail/numéro de téléphone portable associé à leur profil afin de recevoir les demandes d’authentification des utilisateurs.
  • Questions secrètes : Les utilisateurs peuvent choisir des questions dans une liste prédéterminée et indiquer les réponses à celles-ci. Ils doivent ensuite répondre à ces questions afin de s’authentifier.

Tiers

  • Duo Security : Avec Duo Security, les utilisateurs peuvent s’authentifier à l’aide de l’application mobile Duo Security.
  • Okta : les utilisateurs peuvent s’inscrire et s’authentifier à l’aide des informations d’identification de leur compte Okta.
  • Symantec VIP : Les utilisateurs peuvent s’authentifier avec l’application mobile Symantec VIP.
  • Google Authenticator : Google Authenticator est une application qui génère des mots de passe à usage unique. Un secret est généré et présenté sous la forme d’un code QR que l’utilisateur scanne. Google Authenticator fournit ensuite aux utilisateurs un mot de passe à usage unique de 6 à 8 chiffres, qui doit être saisi pour s’authentifier.
  • Microsoft Authenticator : Microsoft Authenticator est une application qui génère des mots de passe à usage unique. Un secret est généré et présenté sous la forme d’un code QR que l’utilisateur scanne. Microsoft Authenticator fournit ensuite aux utilisateurs un mot de passe à usage unique de 6 à 8 chiffres, qui doit être saisi pour s’authentifier.
  • EFOS/SITHS (Suède) : EFOS/SITHS est un service d’authentification basé sur une carte à puce, qui permet aux employés (tels que les professionnels de la santé) des autorités, des municipalités et des conseils de comté en Suède de s’identifier électroniquement.
  • Mobile BankID (Suède) : Si les utilisateurs disposent de l’application Mobile BankID, ils peuvent l’utiliser pour vérifier leur identité.

Fédéré

  • Google : les utilisateurs peuvent s’inscrire et s’authentifier à l’aide des informations d’identification de leur compte Google.
  • Facebook : les utilisateurs peuvent s’inscrire et s’authentifier à l’aide des informations d’identification de leur compte Facebook.
  • Microsoft Live : les utilisateurs peuvent s’inscrire et s’authentifier à l’aide des informations d’identification de leur compte Microsoft Live. Les informations d’identification Microsoft Live sont utilisées pour se connecter à Microsoft Cloud, notamment : Outlook, Office Online, OneDrive, Skype, Xbox Live, et Microsoft Store.
  • Tumblr : les utilisateurs peuvent s’inscrire et s’authentifier à l’aide des informations d’identification de leur compte Tumblr.
  • Twitter : les utilisateurs peuvent s’inscrire et s’authentifier à l’aide des informations d’identification de leur compte Twitter.
  • Flickr : les utilisateurs peuvent s’inscrire et s’authentifier à l’aide des informations d’identification de leur compte Flickr.
  • LinkedIn : les utilisateurs peuvent s’inscrire et s’authentifier à l’aide des informations d’identification de leur compte LinkedIn.

Architecture et conception

Specops Key Recovery est un composant de Specops Cloud. Specops Authentication, un autre composant de Specops Cloud, est utilisé pour s’authentifier sur Specops Key Recovery. Les règles d’authentification pour accéder à Specops Key Recovery peuvent être définies sur les Pages d’administration sur le Specops Cloud.

Afin de lire les informations utilisateur à partir d’Active Directory, le Specops Cloud communique avec le Gatekeeper. Le Gatekeeper est installé sur un serveur de votre domaine. Le Gatekeeper lit les informations utilisateur à partir d’Active Directory et gère toutes les opérations par rapport à Active Directory, telles que la lecture/l’écriture des données d’inscription.

Clé de récupération pour Symantec Endpoint Encryption
Texte de remplacement pour cette image

  1. L’utilisateur oublie son mot de passe et est bloqué sur l’écran d’authentification préalable au démarrage. L’écran invite l’utilisateur à se rendre sur Specops Key Recovery sur un appareil mobile.
  2. Specops Key Recovery (keyrecovery.specopssoft.com) redirige l’utilisateur vers Specops Authentication.
  3. Specops Authentication demande au Gatekeeper l’objet de stratégie de groupe qui affecte l’utilisateur et obtient les règles d’authentification pour accorder l’accès à Specops Key Recovery. Les règles d’authentification sont affichées pour l’utilisateur. L’utilisateur s’authentifie à l’aide de divers services d’identité conformément à la stratégie, après quoi l’utilisateur est renvoyé vers Specops Key Recovery.
  4. Specops Key Recovery demande au Gatekeeper une liste des appareils de l’utilisateur.
  5. Le Gatekeeper demande à Symantec Endpoint Encryption les appareils de l’utilisateur et une liste est renvoyée. Les ordinateurs de l’utilisateur sont affichés sur la page de récupération de clé (keyrecovery.specopssoft.com).
  6. L’utilisateur sélectionne son ordinateur verrouillé dans la liste de Specops Key Recovery, puis le navigateur est redirigé vers la page de récupération.
  7. L’utilisateur saisit un numéro de séquence sur son appareil mobile et appuie sur Continuer. Une paire de clés est générée et la clé publique est envoyée avec le numéro de séquence au Gatekeeper.
  8. Le Gatekeeper demande à Symantec Endpoint Encryption une clé de récupération, basée sur les informations fournies par l’utilisateur.
  9. Specops Key Recovery affiche la clé de récupération à l’utilisateur et lui demande de saisir des informations sur son ordinateur verrouillé.
  10. L’utilisateur saisit la clé de récupération sur son ordinateur verrouillé. L’ordinateur est alors déverrouillé.

Clé de récupération pour BitLocker
Texte de remplacement pour cette image

  1. L’utilisateur oublie son mot de passe et accède à Specops Key Recovery sur un appareil mobile.
  2. Specops Key Recovery redirige vers login.specopssoft.com.
  3. Specops Authentication demande au Gatekeeper l’objet de stratégie de groupe (GPO) qui affecte l’utilisateur et obtient les règles d’authentification pour accorder l’accès à Specops Key Recovery. Les règles d’authentification sont affichées pour l’utilisateur et celui-ci s’authentifie à l’aide de différents services d’identité, après quoi, elles sont renvoyées à Specops Key Recovery.
  4. Specops Key Recovery demande à l’utilisateur de fournir les 8 premiers caractères de l’ID de clé de récupération, affiché sur son ordinateur. L’utilisateur saisit l’ID de clé de récupération et appuie sur Continuer. Une clé publique est générée et envoyée avec l’ID de clé de récupération au Gatekeeper.
  5. Le Gatekeeper interroge Active Directory afin de trouver le mot de passe de récupération pour l’ordinateur de l’utilisateur. Le mot de passe de récupération est chiffré sur le Gatekeeper, puis déchiffré et affiché sur l’appareil mobile de l’utilisateur.
  6. L’utilisateur saisit le mot de passe de récupération sur son ordinateur verrouillé. L’ordinateur est alors déverrouillé.