Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1967 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Changement de mot de passe utilisateurs

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Changement de mot de passe utilisateurs

n°150717
ledge01
Posté le 12-12-2017 à 11:53:15  profilanswer
 

Bonjour,  
bon nombre de nos utilisateurs utilisent des sessions windows génériques sur des postes partagés.  
Nous souhaitons mettre en place un système de traçabilité des connexions internet nominatif afin de se mettre en conformité avec la loi.  
Ce système de traçabilité est configuré et opérationnel à un détail près. En effet, il se base sur l'active directory. Les utilisateurs, lorsqu'ils lancent un navigateur accèdent à une page d'authentification et saisisent les informations de connexion.  
Cependant, si nous mettons dans les propriétés du compte active directory que l'utilisateur doit changer son mot de passe, l'authentification est impossible.  
 
J'avais pensé monter un serveur web IIS, afin que l'utilisateur puisse changer son mot de passe grâce à IISADMPWD mais cette fonctionnalité n'est plus disponible dans les nouvelles versions de IIS.  
 
Quelque connaîtrait-il un moyen de répondre à cette problématique ?  
 
D'avance, merci

mood
Publicité
Posté le 12-12-2017 à 11:53:15  profilanswer
 

n°150720
nebulios
Posté le 12-12-2017 à 13:15:03  profilanswer
 

Pourquoi ne pas tout simplement ouvrir des sessions avec leurs comptes nominatifs ?

n°150725
ledge01
Posté le 12-12-2017 à 14:43:54  profilanswer
 

Ce serait effectivement beaucoup plus simple, mais très difficilement réalisable dans l'organisation actuelle.  
Les postes utilisateurs sont partagés entre plusieurs personnes.  
L'utilisateur vient effectuer les opérations dont il a besoin sur un logiciel, puis quitte le poste.  
Si l'on met en place des des sessions nominatives, les utilisateurs ne fermeront pas la session en quittant le PC donc les logs ne colleront pas à la réalité.  
 
Voilà pourquoi nous avons la nécessité de mettre en place une authentification sur un portail captif avant la sortie sur internet.

n°150727
nebulios
Posté le 12-12-2017 à 15:06:20  profilanswer
 

Mais ce logiciel n'a pas de logs communs ? Ou de centralisation des opérations ? C'est très étrange comme fonctionnement. C'est clairement lui le cœur du problème, et le fait que vous avez construit votre infra autour ce qui n'est pas un design sain.
 
Pour moi il faudrait séparer la partie bureautique de ce logiciel. Les utilisateurs auront leur session propre pour l'accès à la messagerie/Office/Internet, et une session dédiée à ce logiciel.

n°150730
ledge01
Posté le 12-12-2017 à 15:21:02  profilanswer
 

Pour la connexion à ce logiciel, ils utilisent des identifiants personnels (le logiciel n'est pas lié à l'AD).  
 
Tu as totalement raison en pointant le fait que le fonctionnement actuel n'est pas très sain. C'est d'ailleurs à cause de ce design que nous sommes confrontés à ce problème.  
Techniquement, les utilisateurs pourraient disposer d'une session personnelle, le frein est surtout d'ordre culturel.
Imposer un système de sessions personnelles, c'est aller à l'échec pour plusieurs raisons:  
- levée de bouclier des utilisateurs (on perd du temps à se connecter / déconnecter à notre session windows)
- un utilisateur va se connecter à la session windows ne va pas se déconnecter donc les collègues utiliseront sa session; les logs seront inexploitables car faux.
- la direction va aller dans le sens des utilisateurs
 
Nous sommes donc malheureusement obligés de composer avec ces éléments, même si cela nous pose des problèmes d'administration.

n°150731
nebulios
Posté le 12-12-2017 à 15:35:43  profilanswer
 

Ah mais un frein d'ordre culturel ce n'est pas le pire des problèmes  :whistle:  
 
Déjà, combien de personnes travaillent sur ce logiciel ? Tout le monde ? Seulement une partie ? Auquel cas tu peux commencer par les seconds comme pilote.
 
-> On perd du temps à se déco/reco -> Quelques secondes/minutes par jour, c'est quantifiable et franchement négligeable.
 
-> Un autre utilisateur va se connecter -> A interdire via une charte informatique, et à empêcher via une simple GPO d'écran de veille
 
-> La direction va aller dans le sens des utilisateurs. La direction veut-elle se mettre hors-la-loi ? C'est déjà le cas à présent, ce sera encore pire avec la RGPD qui sera active début 2018. En cas d'audit de la CNIL vous pouvez vous manger une mise en demeure (et des procès de la part des salariés). Sensibilise là à ce propos et elle changera d'avis très vite (et cela te permettra de te couvrir).

n°150733
skoizer
tripoux et tête de veau
Posté le 12-12-2017 à 15:43:06  profilanswer
 

nebulios nous avons la même problématique sur des equipements en libre service. On fait comme on peut.
 
Ledge01 :
si tu as de l'argent et du temps.
Tu peux mettre en place des badges pour chaque utilisateur relié a un instentanement  quand l'utilisateur met sa carte.
Les applications étant lancé sur des serveurs distant.
exemple regarde les solutions applidis.
 


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°150735
HPIR40
Posté le 12-12-2017 à 15:53:32  profilanswer
 

Deux solutions:
 
1/ la session a ouvrir/fermer et les users vont sur le net et font ce qu'ils veulent, tout est enregistré et c'est ok avec la loi
 
2/ L'utilisateur vient effectuer les opérations dont il a besoin sur un logiciel, puis quitte le poste, donc à ce moment là une session générique, tout est bloqué et donc l'utilisateur ne peut aller que sur l'interface web en question et ne peut pas aller ailleurs.  
Si cette interface web est locale ou lan, pas de soucis, si elle est externe et donc sort de l'entreprise, la ce n'est plus OK avec la loi et il faut utliser la gestion des sessions.

n°150737
nebulios
Posté le 12-12-2017 à 16:07:43  profilanswer
 

skoizer a écrit :

nebulios nous avons la même problématique sur des equipements en libre service. On fait comme on peut.


C'est pour ça qu'il faut segmenter la problématique. Tout le monde ne travaille pas sur des équipements en libre-service, alors commençons par sécuriser ces utilisateurs-ci.

n°150739
Je@nb
Modérateur
Kindly give dime
Posté le 12-12-2017 à 17:23:32  profilanswer
 

Dans les magasins and co ce genre de système est très commun

mood
Publicité
Posté le 12-12-2017 à 17:23:32  profilanswer
 

n°150751
ledge01
Posté le 13-12-2017 à 09:50:11  profilanswer
 

Merci pour vos réponses.  
 nebulios: A mon sens, le culturel est beaucoup plus problématique !  
Tous les utilisateurs n'utilisent pas de postes partagés. Pour ceux ayant des sessions nominatives la mise en place sera plus simple.
 
skoizer: nous n'avons pas de système de badge actuellement. Lorsque ça arrivera, il faudra que j'étudie cette solution car ça pourrait être un confort pour les utilisateurs.  
 
Un système de changement de mot de passe depuis un serveur web aurait été l'idéal compte tenu de l'organisation actuelle, mais je n'en ai pas encore trouvé.  
 
 

n°150844
Micko77666
Posté le 17-12-2017 à 01:02:02  profilanswer
 

Oui en logistique il peut y avoir 5 ou 6 personnes différentes qui utilisent le même ordi. Effectivement les forcer à se déconnecter à chaque fois c'est impensable très honnêtement.
 
Après il faut bloquer la navigation web sur ces profils commun déjà.

n°150856
matsu92
Be Water My Friend
Posté le 18-12-2017 à 16:01:25  profilanswer
 

Je pense que pour être en conformité, tu devras en effet imposer un log in et log on à chaque personne qui se connectera sur le poste.
Et les sensibilisés au mieux que tu peux (toi ou via leur responsable) des bonnes pratiques d'internet.
Le but étant de limiter les connexions plus ou moins anonymes des comptes génériques. On sait bien que dans la réalité, untel va utiliser la session d'untel... mais t'auras quand mm une meilleure traçabilité.
 
Si tu ne penses pas que c'est possible, la mise en place d'un proxy avec une authentification AD? Je sais que dans mon ancienne boite, malheureusement on n'avait qu'une solution ... l'utilisation d'un compte Ad générique pour le poste de travail mais par contre ils utilisaient leur propre identifiants AD pour le proxy.
Donc à chaque ouverture du browser, il était demandé une authentification.
Après je ne sais pas si tu as une option de log out automatique du browser après une inactivité.. mais c'est une piste.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Changement de mot de passe utilisateurs

 

Sujets relatifs
Changement de serveur MS SQLWs2008 R2 ne démarre plus suite changement hardware
[VMWare VSphere] gestion des utilisateurs[AD Windows 2012] mot de passe secondaire
Portail web pour mot de passe LDAPChangement total infra / externalisation
Création d'un espace de stockage par utilisateursChangement D'heure ESXI 6.0
Stratégie de mot de passe[Résolu]Problème de thème pour tous les utilisateurs
Plus de sujets relatifs à : Changement de mot de passe utilisateurs


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR