Authentification à deux facteurs pour l’ouverture de session Windows

Double protection contre les violations de la sécurité

Face à l’augmentation quotidienne du nombre de violations de la sécurité, il n’est plus possible de se fier seulement aux noms d'utilisateur et aux mots de passe pour sécuriser les comptes d’utilisateur. Plutôt que de se contenter de rendre les mots de passe plus forts, il est préférable d’opter pour une solution plus viable en ajoutant une couche de sécurité supplémentaire pour filtrer les utilisateurs non autorisés. L’authentification à deux facteurs (TFA) – une méthode par laquelle les utilisateurs sont authentifiés avec quelque chose qu’ils connaissent et quelque chose qu’ils possèdent – le permet.

Ouverture de session Windows avec ADSelfService Plus

Lorsque la fonctionnalité d’Authentification à deux facteurs pour l’ouverture de session Windows de ADSelfService Plus est activée, les utilisateurs doivent s’authentifier eux-mêmes en passant par deux étapes successives pour accéder à leur machine Windows. Le premier niveau d’authentification utilise quelque chose qu’ils connaissent : leurs informations d'identification Windows habituelles. Le second niveau d’authentification – quelque chose qu’ils possèdent – peut utiliser l’une des méthodes suivantes :

  1. Codes de vérification par SMS ou par e-mail.
  2. Duo Security.
  3. RSA SecurID.
  4. Authentification RADIUS.

La fonctionnalité d’Authentification à deux facteurs pour l’ouverture de session Windows garantit l’absence de risque pour les données sensibles, même dans les situations où les mots de passe sont compromis. En effet, même si des utilisateurs non autorisés parviennent à accéder au mot de passe d’un utilisateur, ils devront encore accéder au téléphone ou à l’e-mail de cet utilisateur pour obtenir les codes de vérification. En outre, les codes de vérification par SMS ou par e-mail, tout comme les codes d’authentification de Duo Security et RSA SecurID sont uniques pour chaque utilisateur. Ces codes ne peuvent être utilisés qu’une fois et expirent s’ils ne sont pas utilisés pendant une période donnée.

Lorsque la fonctionnalité d’Authentification à deux facteurs pour l’ouverture de session Windows est activée, une authentification à deux facteurs est ajoutée à toutes les tentatives d’ouverture de session Windows locale et à distance.

ADSelfService Plus prend en charge la fonctionnalité d’Authentification à deux facteurs pour l’ouverture de session Windows sur les systèmes d’exploitation suivants :

  • Windows Vista et versions supérieures.
  • Windows Server 2008 et versions supérieures.

Fonctionnement

  • Lorsqu'un utilisateur configuré essaie de se connecter sur sa machine Windows, il a besoin de ses informations d'identification de domaine Active Directory pour prouver son identité.
  • Ensuite, les utilisateurs doivent s’authentifier eux-mêmes à l’aide du code d’authentification soumis à une contrainte de temps qui leur est envoyé par SMS ou par e-mail, ou par l’entremise d’un fournisseur d’authentification tiers.
  • L’utilisateur a maintenant ouvert correctement une session sur sa machine Windows.

windows-logon-tfa-workflow
Figure 1 : Fonctionnement de l’Authentification à deux facteurs pour l’ouverture de session Windows

Avantages

Avec la fonctionnalité d’Authentification à deux facteurs pour l’ouverture de session Windows, ADSelfService Plus améliore la sécurité de vos comptes d’utilisateur en les protégeant contre de potentielles menaces de sécurité. Comme il est extrêmement improbable que chaque utilisateur dans un domaine ait besoin de l’activation de la fonctionnalité d’Authentification à deux facteurs pour l’ouverture de session Windows, ADSelfService Plus vous permet également de configurer la fonctionnalité d’authentification à deux facteurs en fonction d’un domaine, d’une unité d’organisation ou de l’appartenance à un groupe. 

Voici un GIF qui présente son fonctionnement :

windows-logon-tfa-workflow

Download

Points forts

Exécuteur de stratégie de mot de passe

Assurez-vous que les mots de passe des utilisateurs sont forts pour résister aux différentes menaces de piratage en obligeant les utilisateurs Active Directory à choisir des mots de passe conformes en affichant les exigences de complexité des mots de passe.

Mise à jour en libre-service de l’annuaire et Recherche dans l’annuaire d’entreprise

Portail qui permet aux utilisateurs Active Directory de mettre à jour leurs dernières informations et d’utiliser une fonction de recherche rapide pour rechercher des informations sur leurs homologues en utilisant des clés de recherche de la personne recherchée, comme le numéro du contact.