Rohos Credential Provider

Credential Provider dans Rohos Logon Key

Cet article a la tache de vous expliquer le fonctionnement du nouveau Credential Provider pour Windows Vista, disponible via le programme Rohos Logon Key. A l’aide de cet élément, Rohos Logon Key rend très simple l’ajout d’une clé USB en permettant de la considérer comme une nouvelle méthode d’authentification matérielle.

 

Sommaire:

  • Les services de Rohos Credencial Provider
  • L’option “Autoriser l’ouverture sous Windows uniquement avec une clé USB”
  • Prise en charge du Mode Sans Échec
  • Login de Secours en cas de perte de la Clé USB
  • Le remplacement de mot de passe
  • Accéder au Bureau à Distance de Windows Vista avec une Clé USB
  • Ouvrir une session sur un ordinateur Windows Vista connecté à une Active Directory
  • Contrôle des Comptes Utilisateurs (UAC)
  • Dépannage
  • Liens

Le monde de haute technologie est en évolution perpétuelle, et Rohos Logon Key a le but d’avancer avec elle. Donc la nouvelle version, Rohos Logon Key 2.4, offre désormais une prise en charge complète du nouveau système d’exploitation de Microsoft: Windows Vista.
Ce nouveau composant, Rohos Credential Provider, est élaboré spécialement pour Windows Vista. Il est utilisé en combinaison avec la fenêtre d’authentification du Système d’exploitation. Par le biais de cet élément, Rohos Logon Key rend très simple l’ajout d’une clé USB en lui donnant la possibilité d’être évaluée comme une nouvelle méthode d’authentification matérielle.
De cette façon le programme solutionne parfaitement le souci lié aux “mots de passe faibles” en permettant le passage à une authentification sécurisée à deux niveaux axée sur une clé USB matérielle.
Rohos Credential Provider peut fonctionner sur des PCs individuels (non connectés à un réseau) tout comme sur des ordinateurs connectés à une Windows Active Directory.

Les services de Rohos Credential Provider

Credential Provider est un composant spécifique pour Windows Vista, lequel nous démontre une nouvelle variante d’authentification de l’utilisateur. Les utilisateurs aperçoivent ce composant sous la forme d’une icône représentant l’utilisateur sur la fenêtre d’ouverture de session de Windows.

Rohos Credential Provider apparaît sur la fenêtre d’ouverture de session sous la forme d’une icône signifiant une clé USB. Branchez une clé USB configurée, et le composant y lira la liste des profils d’ouverture de session (user credentials) en recherchant un profil autorisé sur le système. Si nécessaire, il demandera également la saisie d’un code PIN pour l’utilisation de la clé USB (deuxième niveau d’authentification).
Ces profils sont ensuite transmis au système de sécurité local pour l’authentification.


Rohos Credential Provider


Rohos Credential Provider sera  enregistré de façon automatique dans le système après son installation (sur les ordinateurs fonctionnant sous Windows Vista).

Rohos Logon Key va s’occuper des différentes méthodes d’authentification pour l’ouverture de session, en fonction de la version de Windows. Vous pouvez indiquer la méthode voulue en allant la sélectionner dans le menu déroulant des Fenêtres de démarrage Windows dans “Configurer les options”. Il est nécessaire de redémarrer l’ordinateur pour que la modification de ce paramètre soit prise en compte.

Remarque: Au cours de l’installation, le programme sélectionne automatiquement un Type d’Authentification approprié.

En paramétrant une Clé de stockage USB pour servir comme une  clé d’accès sous Windows, vous avez la possibilité de comprendre comment fonctionne ce composant. Transformer une clé de stockage USB en clé d’authentification n’est pas compliqué, car cette opération est identique à celle présente dans les versions antérieures de Rohos.

L’ouverture de session est désormais très simple: il suffit de connecter une clé USB configurée pour ouvrir une session sur cet ordinateur, et vous serez automatiquement authentifié sur le système.

Rohos Credential Provider détecte de façon automatique votre périphérique USB et y lit les données du profil d’ouverture de session. Lorsque vous cliquez sur le bouton en signe d’une flèche , le programme commence a examiner tous les périphériques USB connectés à la recherche d’une Clé USB valide.

L’option “Autoriser l’ouverture de Windows uniquement avec une clé USB

Cette option rend l’ouverture de session Windows possible seulement par le biais de l’usage de la clé USB; l’authentification manuelle à l’aide de mots de passes n’est pas réalisable à la fois en local et pour les utilisateurs du Bureau à Distance.

Rohos Logon Key réalise différemment cette option selon le système hôte. Sous Windows Vista Rohos désactive le Credential Provider existant. De cette façon toutes les icônes des utilisateurs disparaissent et seule l’icône verte de Rohos Logon Key reste active.

Cette fonction peut être mis en route en cliquant sur “Configurer les options” (dans la fenêtre principale du programme), et en cochant la case ‘Autoriser l’ouverture de Windows uniquement avec une clé USB’.


Remarque: La désactivation du Credential Provider standard affecte également les éléments suivants de Vista:

  • Dans la fenêtre de Contrôle des Comptes Utilisateurs (qui nécessite le mot de passe administrateur) l’icône de l’administrateur ne sera pas accessible. Mais il sera possible d’obtenir le mot de passe depuis la clé USB (voir: Contrôle des Comptes Utilisateurs)

Désormais, à chaque fois que vous arriverez à la fenêtre d’ouverture de session, la fenêtre de démarrage n’affichera que l’icône Rohos. Si la clé USB est perdue ou endommagée, vous n’aurez pas la possibilité d’ouvrir de session qu’à l’aide de la fonction de ‘Login de Secours‘ ou en Mode Sans Echec.

Remarque: Par défaut le Mode Sans Echec est également bloqué par le programme; il vous est alors impossible d’accéder sous Windows en saisissant un mot de passe manuellement.

Prise en charge du Mode Sans Echec

Lorsque Windows est exécuté en Mode Sans Echec, seul le Credential Provider intégré est disponible sur la fenêtre de démarrage. Les autres composants ne fonctionnent pas en Mode Sans Echec. Dans cette fenêtre de démarrage du Mode Sans Echec, Rohos Logon Key indique une icône spéciale de clé USB qui accomplit deux taches:

  1. Autoriser l’usage de la clé USB configurée pour l’ouverture de session
  2. Désactiver la saisie manuelle du mot de passe lorsque l’option “Autoriser l’ouverture de Windows uniquement avec une clé USB” est activée.

Prise en charge du Mode Sans Echec

Login de Secours en cas de perte de la Clé USB

Le “Login de Secours” permet d’accéder sous Windows au cas où la clé USB viendrait à être perdue ou endommagée.

Pour avoir la possibilité d’ utiliser cette fonction, vous devez simplement répondre à quelques questions. Évidemment, vous devriez être le seul à connaître les réponses à ces questions, pour que votre compte ne soit pas accessible à tout le monde.

Vous pouvez configurer cette fonction via la fenêtre principale de Rohos Logon Key (Configurer une clé USB -> Authentification de Secours). Une fenêtre de dialogue va s’afficher en vous demandant de répondre à quelques questions pré-enregistrées (vous avez également la possibilité de définir vos propres questions).

Le Login de Secours lui aussi peut réagir de façon différent en fonction de la version du système hôte. Sous Windows Vista, lorsque vous cliquez sur le lien ‘Login de Secours’ accessible sur la fenêtre d’authentification, une autre fenêtre s’ouvre. Vous pouvez alors sélectionner un nom d’utilisateur, puis répondre aux questions qui y sont indiquées.

Après ça, vous avez la possibilité de:

  • Définir un nouveau mot de passe – si vous voulez avoir un nouveau mot de passe et l’utiliser
  • Laisser le champ vide, pour garder le mot de passe existant.

Après avoir redémarré Windows, la fenêtre de démarrage affichera les icônes des utilisateurs auparavant inactifs (si vous aviez cochée l’option ‘Autoriser l’ouverture de Windows uniquement avec une clé USB’). Vous pourrez alors vous authentifier sous votre compte utilisateur juste en entrant un simple mot de passe.

Le remplacement de mot de passe

Avec Rohos Logon Key 2.4 il est possible de changer votre mot de passe en pressant les touches Ctrl + Alt + Suppr et en sélectionnant l’option “Changer de Mot de passe”. Une fois que le mot de passe est indiqué, il est immédiatement enregistré sur la clé USB.

Si votre ordinateur fait partie d’une Active Directory, la politique de Mise à jour du Mot de Passe sera prise en compte comme il se doit. Sur la fenêtre d’ouverture de session à l’utilisateur sera proposé de remplacer le mot de passe.

Le bouton ‘Autres Credentials’ présent sur la fenêtre de remplacement du mot de passe vous donne la possibilité de changer un mot de passe en utilisant le credentials provider standard. Veuillez noter que ce mot de passe ne sera pas alors sauvegardé sur la clé USB.

Si l’option ‘Autoriser l’ouverture de Windows uniquement avec une clé USB’ est activée, les utilisateurs ne pourrons pas définir un mot de passe en utilisant le credentials provider standard de Windows Vista, car le bouton ‘Autres Credentials’ ne sera pas affiché.

Accéder au Bureau à Distance de Windows Vista avec une Clé USB

La  version récente de Rohos Logon Key (2.4) fait possible l’accès vers un Bureau à Distance Windows Vista par le biais d’une clé USB connectée à votre ordinateur local.

REMARQUE: Pour y parvenir, la clé USB doit être correctement configurée dans l’Utilitaire de Gestion des Clés USB (le champ Domaine doit contenir le nom de Serveur Terminal, ou”\\Nom du Domaine”

  • La clé USB peut être configurée par l’Administrateur du Réseau à l’aide de l’Utilitaire de Gestion des Clés USB qui est fait parti de la Rohos Management Tools du programme
  • Plusieurs profils peuvent être stockés sur une seule clé USB
  • A l’aide d’une clé USB, un utilisateur doit dès le début accéder à son ordinateur local en suite se connecter à une session Bureau à Distance.

Remarque:

  • L’option de Login de Secours ne fonctionne pas avec un Bureau à Distance
  • L’action à effectuer lorsque la clé USB est retirée (comme de Verrouiller la station de travail, Terminer la session, etc.) ne sera pas active sur un Bureau à Distance

Ouvrir une session sur un ordinateur Windows Vista connecté à une Active Directory

L’autorisation par le moyen d’une clé USB peut de même être utilisée sur des ordinateurs connectés à une Active Directory (domaine Windows). Pour cela, il est nécessaire l’installation de la version Serveur de Rohos Logon Key, et la configuration correcte de la clé USB.

Le package MSI peut être installé sur l’ordinateur de l’utilisateur.

Pour s’identifier sur un domaine, le profil d’authentification présent sur la clé USB doit contenir:

  • un Nom d’utilisateur
  • un Mot de Passe
  • un Nom de Domaine (avec le préfixe ‘\\’)

Contrôle des Comptes Utilisateurs (UAC)

Windows Vista a crée une nouvelle fonctionnalité de Contrôle des Comptes Utilisateurs (ou UAC pour User Account Control). Cette fonctionnalité limite automatiquement le niveau de privilège de tous les programmes que l’utilisateur exécute.

Si l’utilisateur lance un programme ou exécute une action qui oblige à disposer de tous les droits et privilèges, une fenêtre de dialogue UAC s’affiche alors pour demander l’autorisation de cette action ou ramender le mot de passe de l’administrateur. L’icône de Rohos Logon Key est présente déjà dans cette fenêtre de dialogue.

Contrôle des Comptes Utilisateurs (UAC)

Le mot de passe administrateur pour l’action requise sera chargé depuis la clé USB.

La clé USB peut être configurée pour deux comptes:

  • Utilisateur Ordinaire – authentification sous un compte utilisateur standard sans privilèges administrateur
  • Administrateur – utilisé par le Contrôle des Comptes Utilisateurs et pour le mot de passe administrateur

L’élévation des droits fonctionne désormais en un seul clic sur le bouton OK, sans avoir à saisir à chaque fois le mot de passe administrateur.

Cette fonction est valable également pour le Bureau à Distance.

Remarque: Dans le cas où l’option “Autoriser l’ouverture de Windows uniquement avec une clé USB” est activée, l’icône de l’administrateur sera absente de la fenêtre en question.

Dépannage
Il est très important que le nom d’utilisateur et le nom de domaine soit écrit sans faute dans le profil d’authentification si l’utilisateur se connecte via un domaine, car cette erreur empêche souvent l’authentification.

Si une telle erreur arrive, la fenêtre de démarrage affichera le nom d’utilisateur et le nom de domaine qui ont causé l’erreur. Les parenthèses contiennent le nom d’utilisateur, suivi du nom de l’ordinateur ou du domaine.

Du reste, l’Administrateur peut vérifier n’importe quelle clé dans l’utilitaire de Gestion des Clés USB, et il peut trouver la solution la plus heureuse pour les problèmes rencontrés.

Un rapport d’activité du Rohos Credential Provider est accessible via le fichier “C:\Program Files\Rohos\credprov2.log”

Pour plus de détails sur la configuration,le fonctionnement et l’utilisation du programme, consultez le Guide Administrateur: http://www.rohos.com/RohosWelcomeUserGuide.pdf

Liens

Guide Administrateur: http://www.rohos.com/RohosWelcomeUserGuide.pdf

Télécharger Rohos Logon Key: http://www.rohos.com/fr/rohos_welcome.exe

Package MSI: http://www.rohos.com/welcome-screen/rohos_welcome.msi

La version serveur peut être obtenue sur demande – écrivez-nous pour en savoir plus.

Clé USB pour accéder au Bureau à Distance