Déployer l'agent IIS
Découvrez comment installer, configurer et gérer l’agent IIS de UserLock pour protéger les applications web IIS et surveiller les sessions utilisateur.
Ressources utiles
L’agent IIS de UserLock permet de surveiller, contrôler et appliquer les stratégies d’accès des sessions IIS (Internet Information Services).
Il active le suivi des sessions, l’application de l’authentification multifacteur (MFA) et le contrôle du nombre de sessions simultanées pour des applications web telles que Outlook Web Access (OWA), RD Web ou SharePoint.
Ce guide explique comment installer, configurer et maintenir l’agent IIS, ainsi que comment ajuster ses paramètres et connaître ses limitations.
Vous pouvez installer l’agent IIS automatiquement depuis la console UserLock, ou manuellement sur chaque serveur IIS.
💡️ La méthode la plus simple consiste à déployer l’agent IIS directement depuis la console UserLock.
Cela installe automatiquement le module approprié et l’enregistre sur le serveur IIS.
Voir : Installation depuis la console
Si vous ne pouvez pas déployer l’agent IIS depuis la console, vous pouvez l’installer manuellement sur chaque serveur IIS.
Copier et enregistrer le module
Copiez le fichier DLL correspondant depuis le dossier d’installation de UserLock vers n’importe quel répertoire local du serveur IIS (par exemple :
C:\Program Files\UserLock IIS Agent).Ouvrez une invite de commandes avec élévation de privilèges (Exécuter en tant qu’administrateur).
Exécutez la commande correspondant à l’architecture de votre serveur :
Architecture du serveur IIS
Fichier à copier
Commande à exécuter
32 bits
UlHttpModule.dllregsvr32 [Path]\UlHttpModule.dll64 bits
UlHttpModule_x64.dllregsvr32 [Path]\UlHttpModule_x64.dll👉️ Remplacez
[Path]par le chemin réel où vous avez copié le fichier.
Enregistrer les paramètres de communication
Créez la clé de registre suivante pour permettre à l’agent IIS de communiquer avec les serveurs UserLock :
Chemin du registre :
HKEY_LOCAL_MACHINE\SOFTWARE\ISDecisions\UserLock\IISClés:
Nom de la valeur
Type
Description
UserLockServer
REG_SZ
Nom du serveur primaire UserLock
UserLockServerBackup
REG_SZ
Nom du serveur de sauvegarde UserLock
Une fois l’enregistrement terminé, passez à la configuration du module IIS.
Après le déploiement, configurez le module UserLock dans IIS Manager.
Dans IIS Manager, sélectionnez le serveur IIS dans le panneau de gauche.
Ouvrez la section Modules.
Dans le panneau Actions, cliquez sur Configurer les modules natifs….
Cliquez sur Enregistrer, puis sélectionnez le fichier
UlHttpModule.dllcopié.
Par défaut, il se trouve dans
C:\Windows\System32(64 bits) ouC:\Windows\SysWOW64(32 bits).
Cliquez sur OK pour l’ajouter à la liste des modules.
Décochez l’agent IIS de UserLock avant de fermer l’assistant — cela évite de l’activer sur toutes les applications web du serveur.
Dans le panneau de gauche, sélectionnez l’application web à protéger.
Ouvrez la section Modules.
Dans le panneau Actions, cliquez sur Configurer les modules natifs….
Cochez la case UserLock IIS Agent, puis cliquez sur OK.
L’agent IIS est maintenant actif pour cette application spécifique.
La configuration par défaut convient à la majorité des environnements.
Utilisez ces paramètres optionnels uniquement si vous souhaitez affiner le comportement de l’agent IIS après son installation.
Par défaut, UserLock considère qu’une session IIS est fermée après 5 minutes d’inactivité.
Pour modifier cette valeur :
Créez une nouvelle valeur de registre (REG_DWORD) sur le serveur IIS :
HKEY_LOCAL_MACHINE\SOFTWARE\ISDecisions\UserLock\IIS\SessionTimeoutIndiquez la valeur du délai en minutes (par exemple :
10).Redémarrez ou recyclez le pool d’applications IIS.
Note
Un délai trop court peut entraîner un grand nombre d’événements de connexion/déconnexion dans UserLock.
Par défaut, toutes les applications IIS d’un même site sont surveillées. Pour restreindre la surveillance à certains pools d’applications :
Créez la clé suivante (REG_MULTI_SZ) :
HKEY_LOCAL_MACHINE\SOFTWARE\ISDecisions\UserLock\IIS\ProtectedApplicationPoolsListez les noms des pools d’applications à superviser (un par ligne).
Exemple :
MSExchangeOWAAppPoolMSExchangeSyncAppPool
Cette configuration permet de réduire le bruit sur des serveurs comme Exchange, où plusieurs applications web partagent le même site IIS.
Vous pouvez exclure certains comptes intégrés ou de diagnostic (par exemple les comptes HealthMailbox) du suivi.
Créez les valeurs de registre suivantes sous : HKEY_LOCAL_MACHINE\SOFTWARE\ISDecisions\UserLock\IIS
Nom de la valeur | Type | Description |
|---|---|---|
IgnoredUsers | REG_MULTI_SZ | Liste des comptes utilisateur (ex. : |
IgnoredLocalUsers | REG_MULTI_SZ | Liste des utilisateurs locaux à ignorer pour les requêtes locales |
IgnoredUsersPattern | REG_MULTI_SZ | Modèles avec des jokers |
ProtectHealthmailboxSessions | REG_DWORD | Définir à |
Redémarrez les pools d’applications protégés après modification de ces valeurs.
L’agent IIS peut protéger les applications utilisant soit l’authentification Windows, soit l’authentification par formulaires.
Par défaut, l’authentification Windows est activée.
Pour activer le mode d’authentification par formulaires :
Créez la valeur de registre (REG_DWORD) suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\ISDecisions\UserLock\IIS\EnableFormsAuthenticationAttribuez-lui la valeur
1.Redémarrez ou recyclez le pool d’applications IIS.
Depuis la console UserLock, vous pouvez arrêter la gestion de l’agent IIS sur un serveur cible.
Important : cette action ne désinscrit pas le module dans IIS et ne supprime pas les fichiers ou les entrées du registre sur le serveur.
Après cette étape dans la console, vous devez finaliser la suppression sur chaque serveur IIS en suivant la procédure ci-dessous.
Ouvrez IIS Manager.
Pour chaque application web où le module IIS de UserLock est activé :
Sélectionnez l’application.
Ouvrez Modules, puis supprimez l’entrée UserLock IIS Agent.
Au niveau du serveur, ouvrez Modules → Configurer les modules natifs…, sélectionnez UserLock IIS Agent, puis cliquez sur Désenregistrer.
Appliquer les modifications (choisir une option) :
Sans redémarrage : supprimez la clé volatile :
HKEY_LOCAL_MACHINE\SOFTWARE\ISDecisions\UserLock\IIS\VolatileOu redémarrez le serveur pour purger les données volatiles.
Supprimer la clé de configuration persistante :
HKEY_LOCAL_MACHINE\SOFTWARE\ISDecisions\UserLock\IISSupprimer les fichiers DLL :
C:\Windows\System32\UlHttpModule.dll C:\Windows\SysWOW64\UlHttpModule.dll
Note
La suppression de la clé Volatile (ou le redémarrage du serveur) permet à IIS d’arrêter immédiatement de référencer le module.
Vous pouvez ensuite supprimer la configuration persistante et les DLL pour finaliser le nettoyage.
Fermeture du navigateur :
Si un utilisateur ferme son navigateur sans se déconnecter, la session reste ouverte jusqu’à expiration du délai d’inactivité.Contrôle des sessions simultanées :
Si un nombre limité de sessions IIS simultanées est défini, un utilisateur peut être bloqué avant la fin du délai.Cookies :
Les cookies doivent être activés dans le navigateur. Leur suppression à la fermeture permet d’assurer une clôture propre des sessions.Nom des sessions :
UserLock identifie une session par le nom du serveur IIS, l’application web, l’adresse IP du client et le pool d’applications.
Les administrateurs peuvent également fermer les sessions IIS manuellement depuis la page Activité ▸ Sessions actives de la console UserLock.