Active Directory : réinitialisation du mot de passe libre-service avec Specops uReset

I. Présentation

Dans cet article, je vous propose de découvrir une solution de réinitialisation du mot de passe en libre-service pour l'Active Directory nommée Specops uReset.

En entreprise, lorsqu'un utilisateur a oublié son mot de passe, il doit faire appel au service informatique afin d'obtenir de l'aide. Par défaut, ni l'Active Directory ni Windows ne permettent à l'utilisateur de réinitialiser son mot de passe en autonomie à partir de ce que l'on appelle désormais "un portail de réinitialisation libre-service". Lorsque le nombre d'utilisateurs est conséquent, ces petits incidents peuvent ajouter une charge non négligeable au service support. Afin de décharger le service support, mais aussi de rendre les utilisateurs plus autonomes, il existe des solutions adaptées et qui vont permettre la réinitialisation du mot de passe en quelques clics.

Active Directory et réinitialisation libre-service : quelles solutions ?

  • La solution Office 365

Tout d'abord, pour les entreprises qui ont un Active Directory local couplé à Office 365 avec Azure AD Connect, il est possible d'activer la solution de réinitialisation libre-service de Microsoft, ce qui nécessite tout de même une licence spécifique pour chaque compte utilisateur (et donc des frais supplémentaires). Même si ce n'est pas très personnalisable (notamment en comparaison de ce que je vais vous présenter aujourd'hui), cela reste une solution intéressante et parfaitement intégrée à l'environnement Microsoft.

Par contre, le problème c'est que l'utilisateur doit avoir accès à un autre ordinateur (ou au pire à son smartphone) pour réinitialiser son mot de passe à partir du portail Office 365. Vu qu'il n'a pas accès à sa session Windows, car il a oublié son mot de passe, cela complique un peu la tâche.

Vous pouvez découvrir cette solution dans mon tutoriel dédié :

Tutoriel - Office 365 : mettre en place le portail de réinitialisation libre-service

  • La solution Specops uReset

Ensuite, il y a la solution Specops uReset que j'ai eu l'occasion de tester et qui va permettre de réinitialiser le mot de passe de son compte Active Directory soi-même, à partir de la fenêtre de connexion de Windows, simplement en étant connecté à Internet.

Pour les utilisateurs, Specops uReset va apporter deux changements au quotidien puisqu'il va...

  • Permettre aux utilisateurs de réinitialiser leur mot de passe depuis l'interface de connexion de Windows, en totale autonomie
  • Permettre aux utilisateurs de changer leur mot de passe (parce qu'il a expiré, par exemple) depuis leur poste de travail une fois connecté ou avant la connexion à la session

Pour offrir ces fonctions aux utilisateurs sans négliger l'aspect sécurité, l'utilisateur devra s'inscrire (phase d'enrollment) auprès de la solution Specops. Cela va lui permettre de configurer des méthodes d'authentification (code SMS, e-mail, Yubikey, Microsoft Authenticator, Google Authenticator, FreeOTP, authentification biométrique, questions secrètes, etc...) lui permettant de justifier de son identité sans son mot de passe (via un système d'étoiles).

La solution uReset sera aussi utile pour le service support afin d'authentifier les utilisateurs à distance. Par exemple, si un utilisateur vous appelle, car il a un problème sur son ordinateur, vous pouvez déclencher lui demander de s'authentifier en vous communiquant le code qu'il vient de recevoir par SMS. Un excellent moyen de lutter contre l'usurpation d'identité.

Il y a un autre cas de figure que je pourrais citer à titre d'exemple : si l'utilisateur doit changer son mot de passe, car il est arrivé à expiration, mais qu'il est en télétravail et qu'il doit activer son VPN afin de contacter l'Active Directory, cela peut vite devenir un casse-tête. Avec la solution uReset, le changement du mot de passe peut s'effectuer sans devoir activer un VPN, puisque l'on passe par une interface dédiée qui sert de relais entre l'utilisateur et l'Active Directory (un peu à la manière de la solution Microsoft).

Specops uReset est une solution payante avec un licensing par utilisateur, donc le montant de la facture va déprendre du nombre d'utilisateurs à protéger. Néanmoins, en complément de cet article, vous pouvez tester vous-même la solution Specops uReset gratuitement via ce lien : Essai - Specops uReset

Fonctionnement de Specops uReset
Fonctionnement de Specops uReset

La solution Specops uReset s'appuie sur plusieurs éléments :

  • L'annuaire Active Directory (pour gérer le mot de passe de l'utilisateur et stocker des informations)
  • Un serveur Gatekeeper (au moins 1) qui joue le rôle de passerelle entre les services Cloud Specops et l'annuaire Active Directory
  • Les services d'authentification Cloud de Specops
  • Un agent à déployer sur les postes clients afin de permettre la réinitialisation du mot de passe depuis la fenêtre de connexion de Windows

Si vous vous interrogez sur la partie "stockage des informations", j'en parle un peu plus loin dans cet article.

II. L'installation de Specops uReset

Je ne vais pas m'attarder sur l'intégralité du processus d'installation afin de me concentrer plutôt sur les fonctionnalités et la valeur ajoutée de la solution uReset. Toutefois, je vais vous décrire comment se déroule l'installation du logiciel.

À partir de son compte et du portail Specops Authentication (un point d'entrée unique pour les solutions d'authentification Specops), il faut ajouter un nouveau serveur Gatekeeper qu'il faudra activer grâce au code fourni sur le portail (afin de rattacher le Gatekeeper à votre compte Cloud).

L'installation s'effectue en quelques étapes et certaines de ces étapes nécessitent notre intervention. Par exemple, il faut :

  • Sélectionner les unités d'organisation qui contiennent les utilisateurs qui doivent pouvoir utiliser les services Specops Authentication.
  • Indiquer quel compte doit-être utilisé pour exécuter le service du Gatekeeper (il est possible d'utiliser un gMSA)
  • Etc...
Installation du rôle Gatekeeper pour uReset
Installation du rôle Gatekeeper pour uReset

La solution Specops uReset peut autoriser ou non les administrateurs du domaine à s'inscrire sur la solution d'authentification Specops. Normalement, ce n'est pas nécessaire, car le compte utilisé tous les jours par les admins ne doit pas être celui membre du groupe "Admins du domaine" pour des raisons de sécurité, et afin de respecter les bonnes pratiques. Malgré tout, cette possibilité est offerte via l'option "Allow domain admins to enroll".

Lors de l'installation du Gatekeeper, plusieurs groupes de sécurité seront créés dans l'Active Directory :

  • Specops Authentication Administrators : administrateur de l'intégralité de la solution
  • Specops Authentication User Administrators : administrateur de la section "utilisateurs" de la solution
  • Specops Authentication Gatekeeper : contient le gMSA associé au service Gatekeeper

En complément, deux GPO vont être nécessaires au sein de l'annuaire Active Directory. Il y a une GPO qui sert à configurer le client Specops sur les postes clients (voire même à le déployer, car il est au format MSI), et une GPO qui sert à faire le lien entre les utilisateurs de l'AD et les politiques déployées depuis la console Cloud de Specops (un groupe de sécurité nommé "Specops-uReset-Users" est défini au niveau du filtrage de sécurité de la GPO).

Au final, pour déployer la solution Specops uReset sur une infrastructure, il faut compter environ 1 h 30 pour une installation de base. Tout en sachant que les frais d'installation et de mise en service sont inclus dans la licence vendue par Specops Software.

III. Gérer les règles d'authentification de uReset

La GPO "Specops-uReset-Users-Policy" de mon Active Directory est visible depuis l'interface en ligne Specops. En accédant à la section "uReset", on peut modifier les règles d'authentification associées à cette politique.

Pour l'authentification, uReset fonctionne avec un système d'étoile où chaque service d'authentification a un nombre d'étoiles qui lui est attribué. Plus on attribue un nombre d'étoiles élevé à un service, plus on estime que l'authentification via ce service est fiable/forte. Ainsi, on obtient une liste de services d'authentification, avec chacun un nombre d'étoiles. Ensuite, on détermine un nombre d'étoiles global à atteindre, par exemple 3.

Note : le nombre d'étoiles pour chaque service est personnalisable. Par exemple, vous pouvez attribuer une étoile au code mobile et deux étoiles à l'authentification via Microsoft Authenticator, ou l'inverse. On peut se servir du nombre d'étoiles pour encourager les utilisateurs à utiliser un moyen d'authentification plutôt qu'un autre.

Vous pouvez sélectionner les services d'identité (moyens d'authentification) que vous souhaitez autoriser ou non. Par exemple : code unique par SMS, par e-mail, questions secrètes, Google Authenticator, Microsoft Authenticator, empreinte biométrique via Specops Fingerprint, etc...

Lorsque l'utilisateur aura besoin de s'inscrire auprès de la solution Specops ou de s'authentifier (par exemple parce qu'il a perdu son mot de passe), il devra utiliser différents services d'authentification pour accumuler des étoiles et atteindre l'objectif.

Par exemple : pour l'authentification, on imagine que l'on fixe le niveau à 3 étoiles. Lorsqu'un utilisateur cherchera à s'authentifier, il devra atteindre 3 étoiles, alors pour cela il pourra recevoir un code sur mobile afin d'obtenir une étoile, puis obtenir un code à usage unique via Microsoft Authenticator pour obtenir deux étoiles supplémentaires. Cela lui permettra d'avoir trois étoiles et donc de s'authentifier.

L'utilisateur devra prouver son identité et s'authentifier pour réaliser diverses actions :

  • Il a oublié son mot de passe et il souhaite le réinitialiser lui-même
  • Son mot de passe a expiré et il doit le changer

En complément, il devra aussi s'authentifier lors de son enrollment auprès de la solution Specops.

Au-delà du nombre d'étoiles, le comportement de chaque service d'identité peut être adapté dans la configuration de la solution. Par exemple, si l'on configure la méthode "Code mobile", on peut préciser un seuil de blocage pour éviter qu'un brute force soit effectué sur cette méthode. On peut également préciser le nom de l'attribut Active Directory où est renseigné le numéro de téléphone de l'utilisateur, par défaut l'attribut "mobile". L'intérêt c'est que le numéro de téléphone de l'AD local puisse être exploité directement via Specops Authentication, sans que l'utilisateur ait à le préciser.

Dans le même esprit, on peut personnaliser la méthode "questions secrètes". On peut imposer une longueur minimale pour les réponses aux questions secrètes, mais aussi configurer des questions en plusieurs langues.

Specops propose nativement de nombreuses questions diverses et variées, mais vous pouvez ajouter vos propres questions, et supprimez les questions existantes que vous n'aimez pas. Voici un exemple :

Pour filtrer les demandes d'authentification sur le service Specops, il est possible d'appliquer des règles basées sur l'emplacement géographique. Par exemple, vous pouvez bloquer toutes les connexions sur le service Specops Authentication effectuées depuis la Russie et la Chine. Vous pouvez aussi fonctionner à l'inverse afin d'autoriser seulement les demandes effectuées depuis la France. Il y a le même principe basé sur des plages d'adresses IP.

Passons maintenant à la démonstration, dans la peau d'un utilisateur.

IV. L'inscription d'un utilisateur sur uReset

Je vais prendre mon cobaye habituel, l'utilisateur Guy Mauve avec son identifiant "guy.mauve". Pour qu'il puisse bénéficier de la solution uReset, je dois l'ajouter au groupe de sécurité "Specops-uReset-Users" puisque ce groupe est lié à ma GPO, et que cette GPO est liée à ma politique uReset créée en ligne (vous savez, avec les étoiles et les différents services déclarés).

Ensuite, je me connecte sur un poste Windows où le client Specops Authentication est installé. Dès que je me connecte, je vois une notification apparaître en bas à droite avec le message "Inscription au service de réinitialisation du mot de passe".

Je clique sur la notification, le navigateur va s'ouvrir sur une page avec le bouton "S'inscrire". Je dois m'authentifier avec mon compte Active Directory : identifiant "guy.mauve" + le mot de passe. Facile !

Ensuite, en tant qu'utilisateur Guy Mauve, je dois compléter mon inscription à Specops Authentication en atteignant un score de 5 étoiles.

Pour cela, je peux configurer plusieurs services méthodes d'authentification (en fonction de ce que le service informatique a décidé de mettre à ma disposition). La bonne nouvelle, c'est que je ne dois pas tout configurer (même si je pourrais) : je dois à minima atteindre 5 étoiles. 

Je peux configurer le service Microsoft Authenticator (+2 étoiles) puis Specops Fingerprint (+3 étoiles) pour configurer l'authentification biométrique. On peut voir qu'à chaque fois, une procédure est affichée à l'écran pour guider l'utilisateur. J'aurais pu également choisir Specops Authenticator, qui est un équivalent de Microsoft Authenticator.

Petite astuce : vous pouvez utiliser l'application FreeOTP à la place de Microsoft Authenticator ou Google Authenticator, si vous préférez.

Cela va me donner 5 étoiles, ce qui est suffisant.

Petite parenthèse...

Dans le cas où un utilisateur n'a pas de smartphone professionnel et qu'il ne souhaite pas utiliser son smartphone perso à des fins professionnelles (ce qui est un cas courant), il est important de lui proposer des alternatives. Par exemple, avec les fameuses questions secrètes où l'utilisateur devra choisir 3 questions et attribuer ses propres réponses.

La collecte d'étoiles étant terminée, je peux cliquer sur "J'ai terminé" ou collecter encore plus d'étoiles en configurant d'autres méthodes d'authentification.

Mon inscription auprès du service uReset est terminée, je vais pouvoir profiter des avantages de ce service en cas de besoin, notamment pour réinitialiser mon mot de passe moi-même si je l'oublie.

Avant d'aller plus loin, je souhaite aborder la question du stockage des informations d'authentification. Je pense que vous allez vous demander où sont stockées les données lorsqu'un utilisateur inscrit un moyen d'authentification au sein de son compte. Sachez que les données ne sont pas stockées dans le Cloud, mais au sein de l'annuaire Active Directory via un attribut nommé "url" que l'on peut trouver au sein du container "SpecopsAuthentication" de chaque utilisateur. Voici un exemple :

Si l'on récupère la chaîne de caractères de l'une des deux entrées, dont l'une correspond à Microsoft Authenticator et l'autre aux questions secrètes, on peut voir que les informations sont chiffrées.

V. Réinitialisation d'un mot de passe via uReset

Quelques jours plus tard, moi, Guy Mauve, je ne parviens plus à me connecter à ma session. Je dois avouer que j'ai oublié mon mot de passe.... L'occasion de tester l'efficacité du nouvel outil mis en place par le service informatique.

Je clique sur le lien "Réinitialiser le mot de passe" situé sur la fenêtre de connexion Windows.

Une application Specops Authentication s'ouvre. Il s'agit en fait d'un navigateur développé par Specops Software (qui n'est pas basé sur Chromium ou autre).

Je dois atteindre le score de 3 étoiles et pour cela, je peux m'appuyer sur les services d'authentification que j'ai configuré sur mon compte, notamment Microsoft Authenticator et les questions secrètes.

Par exemple, je choisis Microsoft Authenticator : dans le même temps, je vais sur mon smartphone pour récupérer le code à usage unique afin de le renseigner sur l'interface Specops Authentication.

Dès que j'ai obtenu suffisamment d'étoiles, je peux définir un nouveau mot de passe en totale autonomie, depuis mon poste Windows.

Comme on peut le voir sur l'image ci-dessous, de nombreuses indications sont fournies notamment pour indiquer les règles à respecter pour ce nouveau mot de passe. Cela reprend les règles définies dans la politique de Specops Password Policy dans le cas où cette autre solution Specops est en place.

Si l'on fonctionne sans Specops Password Policy et uniquement avec la politique native de l'Active Directory, des informations sont remontées également, mais c'est beaucoup moins précis. En fait, c'est logique, car nativement l'Active Directory intègre peu d'options pour personnaliser la politique de mots de passe.

Enfin, dans le cas où l'on a désactivé la politique de mots de passe par défaut de l'Active Directory (ce qui est malheureusement est fréquent), il n'y a aucune indication. C'est normal, car sans politique de mot de passe, il n'y a pas de règle à respecter.

Je définis mon nouveau mot de passe, le message suivant s'affiche :

Je n'ai plus qu'à me connecter à ma session Windows avec mon nouveau mot de passe.

VI. uReset : découverte d'options supplémentaires

Pour finir cet article, je souhaitais vous parler de deux options supplémentaires proposées par uReset.

  • Personnalisation du portail Specops

L'interface Specops Authentication présentée aux utilisateurs est totalement personnalisable, que ce soit le texte, les logos, les couleurs, etc... Afin qu'elle respecte la charge graphique de votre établissement. Cette configuration s'effectue à partir de l'interface d'administration. Voici un aperçu :

  • Gestion des inscriptions

Lorsque l'on déploie une solution comme celle-ci, ce n'est pas la partie technique la plus difficile. En effet, c'est plutôt la gestion des utilisateurs puisqu'il va falloir les convaincre et les inciter à s'enregistrer auprès de la solution Specops Authentication. Même si vous avez fait une bonne communication, il y aura toujours quelques personnes réticentes, mais je ne citerai pas de nom ! 🙂

À partir de l'interface Specops Authentication, vous pouvez générer différents rapports pour voir le pourcentage d'utilisateurs qui ont complété leur inscription. Différentes métriques pertinentes sont disponibles pour vous aider.

Je vous rappelle qu'initialement, lorsqu'un utilisateur se connecte et qu'il n'est pas inscrit, une notification Windows s'affiche en bas à droite pour l'inviter à s'inscrire. Tout le temps qu'il n'est pas inscrit, la notification continuera de s'afficher.

Si malgré cela, l'utilisateur ignore la notification et ne s'inscrit pas, il est possible de passer à la vitesse supérieure. En effet, au lieu d'afficher une notification, vous pouvez ouvrir le navigateur dès qu'il ouvre sa session afin de l'inciter encore un peu plus à s'inscrire.

Dans le cas où cela ne suffit toujours pas, il y a encore une possibilité un peu plus... incitative, je dirais : afficher le navigateur en plein écran à l'ouverture de session, sans qu'il soit possible de le fermer tout le temps que l'inscription n'est pas effectuée. On va dire que c'est la solution de dernier recours, mais c'est intéressant de voir que Specops met à disposition de l'administrateur système et de la DSI plusieurs méthodes pour faciliter le déploiement.

Cette présentation assez complète de Specops uReset touche à sa fin. Si vous avez des questions suite à la lecture de cet article ou après avoir regardé la vidéo, n'hésitez pas à poster un commentaire.

Je vous rappelle que vous pouvez tester la solution Specops uReset gratuitement via ce lien : Essai - Specops uReset

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 4110 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.