Comment utiliser YubiKey pour les sessions RDP

Si vous possédez déjà des YubiKeys, vous les avez probablement achetées pour un cas d’usage spécifique. Saviez-vous que vous pouvez également utiliser YubiKey pour une authentification multifacteur (MFA) sécurisée sur les connexions Remote Desktop Protocol (RDP) ? Avec UserLock MFA, c’est simple.

Voici comment YubiKey et UserLock MFA fonctionnent ensemble pour déployer la MFA sur les connexions RDP, aussi bien sur des machines intégrées au domaine qu’hors domaine.

Les connexions RDP sont largement utilisées. Malheureusement, elles sont également vulnérables aux attaques. En tant que couche de sécurité supplémentaire, la MFA rend l’exploitation de ces vulnérabilités beaucoup plus difficile pour les pirates. De plus, de nombreuses réglementations et polices d’assurance cyber exigent désormais la MFA sur les connexions RDP.

Nous collaborons avec de nombreuses organisations qui souhaitent utiliser des YubiKeys ou qui en disposent déjà pour des cas spécifiques. Selon le nombre d’utilisateurs, l’investissement dans des YubiKeys peut être conséquent. Pouvoir les utiliser pour sécuriser davantage de types de connexions, comme les connexions Windows et RDP sur des machines hors domaine, aide à mieux rentabiliser cet investissement. Sans parler des avantages liés à l’utilisation d’une méthode MFA hautement sécurisée sur des connexions fréquemment ciblées.

Les travailleurs à distance manipulent des données sensibles dans des situations qui ne sont pas toujours entièrement sécurisées (nous avons tous vu des ordinateurs portables laissés ouverts dans un café). UserLock MFA avec YubiKey sur les connexions RDP offre à la fois une grande simplicité d’utilisation et une sécurité élevée pour votre personnel à distance.

Pourquoi ? Parce qu’un attaquant devrait physiquement se procurer la clé et le mot de passe de l’utilisateur pour contourner la MFA. Est-ce possible ? Oui. Il y a toujours un risque qu’un employé oublie sa clé quelque part ou qu’elle soit volée. Et les mots de passe sont notoirement faciles à pirater. Mais dans les deux cas, soit l’attaquant a beaucoup de chance, soit il doit déployer de gros efforts pour obtenir cette clé.

Pour de nombreuses organisations utilisant déjà des YubiKeys, tout cela rend l’ajout de la MFA avec YubiKey sur les connexions RDP particulièrement intéressant.

Depuis les débuts du travail à distance, l’importance de la MFA pour RDP est une évidence. C’est même une exigence courante dans de nombreuses réglementations, lignes directrices des assurances cyber et bonnes pratiques de sécurité.

YubiKey fonctionne très bien dans de nombreux scénarios d’authentification. Cependant, son utilisation pour RDP Windows depuis des machines hors domaine représente un défi.

Pensez à une organisation hybride avec des employés qui travaillent régulièrement depuis leur domicile ou en déplacement. Au bureau, les accès sont protégés par la MFA via YubiKey. Mais garantir le même niveau de sécurité pour les connexions RDP hors domaine est bien plus complexe. Aujourd’hui, il est difficile d’utiliser les YubiKeys comme méthode MFA pour RDP sur des machines hors domaine.

Et ces scénarios ne sont pas des exceptions. Ils deviennent la norme. Alors que le travail s’étend au-delà des murs de l’entreprise, trouver des moyens d’utiliser les YubiKeys sur plus de cas d’usage, comme les connexions RDP depuis des machines hors domaine, renforce la sécurité tout en optimisant le budget.

Comme mentionné plus haut, implémenter la MFA pour RDP sur des machines hors domaine avec YubiKey n’est pas possible en natif. C’est là que UserLock intervient.

UserLock, qui s’intègre de manière transparente à votre Active Directory, permet d’utiliser vos YubiKeys pour déployer la MFA sur les connexions RDP. Cette solution, conçue pour une mise en œuvre simple, bénéficie autant aux administrateurs qu’aux utilisateurs finaux.

Il y a toutefois une condition : il faut d’abord enregistrer la YubiKey des utilisateurs lors d’une connexion locale. Vous êtes curieux de découvrir la procédure ? Notre guide étape par étape pour l’enrôlement des YubiKeys avec UserLock vous fournit une feuille de route claire.

Il est possible de configurer YubiKey pour Windows et RDP sans UserLock, mais cela reste complexe. Un autre avantage de UserLock : vous n’avez pas à gérer des certificats ni à craindre leur expiration, ce qui pourrait bloquer les utilisateurs.

Pour mettre en place la MFA RDP avec YubiKey via UserLock, il vous faudra d’abord installer des agents sur les postes cibles. Cela garantit une couverture complète des connexions locales, RDP, RD Gateway et VDI.

Planifiez soigneusement votre déploiement, en commençant par les administrateurs IT avant d’étendre progressivement aux autres utilisateurs. UserLock MFA prend en charge diverses méthodes d’authentification telles que les notifications push UserLock, les applications d’authentification tierces, les tokens USB et les tokens programmables, offrant ainsi une couche de sécurité robuste et flexible.

Des invites MFA personnalisables, des codes de récupération et des options de contournement ajoutent de la souplesse. L’enrôlement des utilisateurs est donc fluide et la gestion quotidienne facile pour l’IT.

À ce jour, UserLock ne permet pas l’enrôlement à distance des utilisateurs avec YubiKeys sur des appareils hors domaine ou BYOD.

Comme toujours, l’équilibre entre sécurité et simplicité d’utilisation est essentiel. La puissance combinée de YubiKey et UserLock apporte des avantages distincts.

Voici les principaux bénéfices :

• Authentification avancée : L’intégration de YubiKey avec UserLock ajoute une couche de sécurité robuste, rendant tout accès non autorisé beaucoup plus difficile.

• Contrôles d’accès contextuels : La capacité de UserLock à définir des restrictions contextuelles change la donne. Les administrateurs peuvent personnaliser l’accès selon différents paramètres, tels que la localisation de l’utilisateur, l’heure de l’accès ou l’appareil utilisé. Ce niveau de granularité permet des politiques d’accès dynamiques mais sécurisées.

• Protection contre les identifiants compromis : Dans les situations où des identifiants pourraient être exposés, la force combinée de YubiKey et UserLock constitue une barrière redoutable, empêchant les acteurs malveillants d’exploiter ces identifiants.

• Connexion efficace : Le design de YubiKey est pensé pour l’utilisateur. Un simple contact suffit pour s’authentifier, éliminant la nécessité de mémoriser des codes complexes ou de recourir à des dispositifs supplémentaires.

• Expérience utilisateur uniforme : Quel que soit leur rôle dans l’organisation, les utilisateurs bénéficient d’une interface fluide et intuitive. Cette cohérence garantit une application uniforme des mesures de sécurité.

• Connexion Internet facultative : L’hébergement sur site de UserLock est un atout majeur lorsqu’il est associé à YubiKey. Les utilisateurs n’ont pas besoin d’une connexion Internet pour compléter la MFA, ce qui fait de UserLock une solution idéale pour assurer la sécurité et la conformité, où que les utilisateurs se connectent.

• Respect des normes réglementaires : La conformité est un enjeu crucial pour de nombreuses organisations. L’association de YubiKey et UserLock facilite l’alignement avec les standards de cybersécurité et simplifie le processus de conformité.

• Audit détaillé : La transparence est essentielle dans le monde des affaires d’aujourd’hui. Les capacités d’audit de UserLock offrent une traçabilité claire des activités des utilisateurs, permettant de réagir rapidement aux anomalies et de garantir la responsabilité.

• Protection contre les violations de données : Les violations peuvent nuire à la réputation d’une organisation et entraîner des sanctions financières importantes. En contrôlant strictement l’accès aux données sensibles, le risque lié aux violations est grandement réduit.

Intégrer YubiKey avec UserLock offre aux organisations un avantage stratégique, en renforçant la sécurité, la simplicité pour les utilisateurs et la conformité réglementaire.

UserLock est conçu pour contrer les menaces potentielles. Les identifier et y répondre est essentiel pour protéger les données et l’intégrité du réseau. Voici un aperçu des défis et de la solution globale proposée :

Les utilisateurs accèdent souvent aux systèmes depuis divers points, parfois répartis sur plusieurs continents. Si cela offre de la flexibilité, cela représente aussi un défi en termes de sécurité. Des identifiants partagés ou une compromission peuvent se manifester par des connexions simultanées depuis des endroits différents.

Le tableau de bord de UserLock permet d’identifier facilement ces comportements à risque, en mettant en évidence les accès internes et externes au réseau local pour une intervention rapide.

Les cybercriminels utilisent souvent des attaques par force brute en multipliant les tentatives de connexion. Par défaut, UserLock signale tout utilisateur ayant plus de cinq échecs de connexion en 30 minutes et peut bloquer l’accès automatiquement.

Et parce qu’une sécurité unique ne convient pas à toutes les organisations, UserLock permet d’adapter ce seuil selon votre profil de risque.

Dans un environnement numérique dynamique, les utilisateurs ont souvent plusieurs sessions ouvertes. Une augmentation inhabituelle ou un type de session inattendu sont des signaux d’alerte.

Le tableau de bord de UserLock affiche le « statut de l’utilisateur » pour alerter dès que le nombre de sessions ou le type de point d’accès dépasse une limite prédéfinie.

Les tentatives d’accès à des comptes verrouillés ou désactivés dans Active Directory sont des signes clairs d’activité suspecte. UserLock les détecte immédiatement, renforçant ainsi la sécurité du réseau.

Les organisations accueillent régulièrement de nouveaux employés, consultants ou anciens collaborateurs. UserLock étiquette un utilisateur comme « nouveau » lors du premier accès ou après une longue inactivité, afin que les administrateurs soient alertés.

La force de YubiKey réside dans ses capacités MFA. Toutefois, une clé peut être égarée ou tomber entre de mauvaises mains. Les utilisateurs doivent être attentifs à la manière dont ils la conservent.

Les administrateurs peuvent organiser des sessions de sensibilisation pour rappeler l’importance de protéger leur YubiKey. En cas de perte, la fonction facultative « Demander de l’aide » de UserLock permet d’alerter les administrateurs afin de réinitialiser la clé MFA ou de désactiver temporairement la MFA.