Déployer l'agent Station

L'agent Station UserLock est conçu pour auditer, contrôler et protéger les postes de travail stations, serveurs et serveurs de terminaux.

Publié le 1 mai 2024
Ressources utiles

L'agent Station audite toute l’activité des sessions interactives sur les machines et les protège en appliquant une stratégie de contrôle d’accès définie par les stratégies d’accès configurées dans UserLock.

Cet agent doit être installé sur les machines à protéger et communique avec les serveurs UserLock pour contrôler toutes les demandes d’ouverture de session interactives.

Installer depuis la console

La méthode la plus simple pour installer l’agent Station de UserLock consiste à utiliser la console UserLock.
Vous trouverez plus d’informations ici : Déploiement depuis la console.

Installer manuellement

Vous pouvez aussi le déployer manuellement en suivant la procédure suivante:

  1. Copier le fichier de l’agent

    L’agent Station s’exécute comme un service Windows sous le compte Local System.

    Copiez le fichier UlAgentExe.exe depuis le dossier d’installation de UserLock sur le serveur principal (chemin par défaut : %ProgramFiles(x86)%\ISDecisions\UserLock)
    vers le dossier système de la machine cible :

    • Système 64 bits : %windir%\SysWOW64\

    • Système 32 bits : %windir%\System32\

  2. Copiez les fichiers du Credential Provider (uniquement à partir de Windows 10 version 1809 et Windows Server 2019) depuis le dossier d’installation de UserLock sur le serveur principal vers le dossier %windir%\System32\ de la machine cible:

    • Système 64 bits :

      • Copiez UlCredProv_x64.dll → renommez en UlCredProv.dll

      • Copiez UlCredProvFilter_x64.dll → renommez en UlCredProvFilter.dll

    • Système 32 bits :

      • Copiez UlCredProv.dll

      • Copiez UlCredProvFilter.dll

  3. Ajouter les noms des serveurs UserLock dans le registre

    • Accédez à la clé suivante :
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

    • Créez les valeurs suivantes:

      Name

      Type

      Value

      UserLockServer

      REG_SZ

      Nom du serveur principal UserLock

      UserLockServerBackup

      REG_SZ

      Nom du serveur de secours UserLock

    • Pour les ordinateurs hors site, vous pouvez également configurer les valeurs suivantes:

      Name

      Type

      Value

      UserLockInternetUrl

      REG_SZ

      Si UserLock Anywhere est activé, entrez ici l’URL de UserLock Anywhere

      SessionsWithout NetworkLogoffAgent Internet

      REG_DWORD

      Si UserLock Anywhere est activé, indique le nombre de minutes d’attente entre chaque demande de synchronisation des sessions.

      UserLockCfg

      REG_DWORD

      Voir les détails dans la section sur le package Windows Installer.

      Example via PowerShell:

      powershell
      $RegKeyPath = 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon'Set-ItemProperty -Path $RegKeyPath -Name 'UserLockServer' -Value 'ULSRVPRI'Set-ItemProperty -Path $RegKeyPath -Name 'UserLockServerBackup' -Value 'ULSRVBAC'Set-ItemProperty -Path $RegKeyPath -Name 'UserLockInternetUrl' -Value 'https://VES1.VDE.INTRA/ulproxy'Set-ItemProperty -Path $RegKeyPath -Name 'UserLockCfg' -Value 768
      Note

      Si ces valeurs sont absentes, l’agent ne pourra pas contacter les serveurs et risque d’échouer au démarrage.

  4. Enregistrer le service Windows

    Exécutez la commande suivante en Administrateur pour enregistrer le service de l’agent :

    ULAgentExe.exe /SERVICE S

  5. Démarrez ensuite le service:

    net start UlAgentService

Aucun redémarrage n’est requis.

Pour les serveurs Windows Core

Dans la version 13, UserLock peut déployer automatiquement un agent dédié à Windows Server Core.
L’installation est transparente pour l’utilisateur, aucune action manuelle n’est nécessaire.

Server Core edition

Description

Windows Server Core 2019 ou supérieur
avec la fonctionnalité App Compatibility Feature on Demand

L’agent standard UserLock est utilisé.
Les utilisateurs peuvent enrôler leur MFA directement.

📘 Voir la documentation Microsoft : Installer la fonctionnalité de compatibilité des applications à la demande sur Server Core

Autres éditions de Server Core

UserLock déploie l’agent spécial Server Core.
L’enrôlement MFA n’est pas disponible, mais les utilisateurs peuvent valider leurs codes MFA.

Désinstaller l'agent

L’agent Station peut être désinstallé depuis la console ou manuellement.

  1. Arrêtez le service et désenregistrez-le (en Administrateur) :

    powershell
    NET STOP UlAgentService
C:\Windows\SysWOW64\ULAgentExe.exe /SERVICE U
C:\Windows\SysWOW64\ULAgentExe.exe /UNREGISTER

    (Remplacez « SysWOW64 » par « System32 » sur un système 32 bits.)

  2. Une fois terminé, l’agent est complètement désinstallé..

Nettoyage complet des données de l’agent

  1. Ouvrez RegEdit

  2. Accéder à la clé de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

  3. Supprimez:

    • Toutes les valeurs de registres commençant par UserLock.

    • La sous-clé UserLock (c'est-à-dire la clé de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserLock

Package Windows Installer

L’agent Station UserLock peut être déployé via une solution tierce ou à l’aide des stratégies de groupe Microsoft (GPO).
Des packages MSI sont fournis à cet effet:

Target OS

MSI file

Default location

64-bit

UlAgent_x64.msi

%ProgramFiles(x86)%\ISDecisions\UserLock\

32-bit

UlAgent_x86.msi

%ProgramFiles(x86)%\ISDecisions\UserLock\

Exécutez toutes les commandes MSI en Administrateur.

Par défaut, les paramètres de communication ne sont pas configurés.
Vous devez spécifier certaines propriétés MSI, sauf si vous déployez ces paramètres à l’aide du modèle d’administration UserLock via les stratégies de groupe.

Par défaut l'installation ne défini pas les paramètres de communication. Vous devez donc spécifier certaines propriétés MSI lors de l'exécution de la commande d'installation excepté si vous configurez le Modèle d'administration UserLock avec les Stratégies de groupe Microsoft.

  1. Installation silencieuse

    msiexec /i ULAgent_x64.msi /qn USERLOCKSERVER=NomServeurPrincipal USERLOCKSERVERBACKUP=NomServeurSecours

  2. Mise à jour silencieuse (si déjà installé via MSI)

    msiexec /i ULAgent_x64.msi /qn USERLOCKSERVER=NomServeurPrincipal USERLOCKSERVERBACKUP=NomServeurSecours REINSTALL=ALL REINSTALLMODE=vomus

  3. Installation avec options avancées

    Incluez le paramètre USERLOCKCFG pour appliquer des options supplémentaires :

msiexec /i ULAgent_x64.msi /qn USERLOCKSERVER=NomServeurPrincipal USERLOCKSERVERBACKUP=NomServeurSecours USERLOCKCFG=ValeurCfg

Hex

Decimal

Description

0x002

2

Affiche les messages d’erreur aux utilisateurs.

0x010

16

Empêche l’envoi des ouvertures de session refusées par Active Directory.

0x020

32

Envoie un événement "verrouillage de session" au démarrage de l’économiseur d’écran.

0x040

64

Empêche la suppression des sessions fantômes (inactives) sur l’ordinateur local.

0x180

384

Connexions sans réseau :

  • Bits désactivés : autoriser toujours.

  • 0x080 désactivé et 0x100 activé: demander la MFA.

  • Les deux activés : imposer la MFA.

  • 0x080 activé et 0x100 désactivé: refuser toujours.

0x200

512

Applique toutes les restrictions (y compris MFA) lors du déverrouillage ou de la reconnexion

0x0800

2048

Utilise uniquement UserLock Anywhere pour la communication avec les serveurs.

0x1000

4096

Active le Credential Provider UserLock.

Exemple :
Pour activer la MFA lors du déverrouillage/reconnexion, exiger la MFA hors ligne et utiliser le Credential Provider :
USERLOCKCFG=4864 (équivaut à 0x1300).

Un script PowerShell fourni permet d’identifier la configuration correspondant à une valeur donnée de UserLockCfg.

Désinstaller le package MSI silencieusement (sur un système d'exploitation 64 bits) :

powershell
msiexec /x ULAgent_x64.msi /qn

Déploiement via stratégie de groupe (GPO)

Vous pouvez déployer l’agent Station via les stratégies de groupe Microsoft (GPO).
Les packages MSI nécessaires se trouvent dans le dossier d’installation de UserLock.

Vous pouvez également déployer les paramètres de l’agent et les paramètres de communication via les GPO grâce au modèle d’administration fourni avec UserLock.
Ce modèle est compatible avec toutes les méthodes d’installation (console, MSI, manuelle…).

  1. Localisez le fichier de modèle :
    UserLock.adm (chemin par défaut : C:\Program Files (x86)\ISDecisions\UserLock\).

  2. Ajoutez ce modèle à la stratégie de groupe souhaitée pour configurer les paramètres de l’agent Station.

  3. Une fois importé, ouvrez Modèles d’administration et affichez la configuration de l’agent UserLock.

    • Sous Windows Server 2008 et versions ultérieures, utilisez les Modèles d’administration classiques.

    • Vous y retrouverez les mêmes paramètres que dans la console UserLock, ainsi que les paramètres de communication (serveur principal et serveur de secours).

  4. Double-cliquez sur un paramètre pour modifier ses propriétés.

Sur les ordinateurs concernés, les valeurs configurées sont appliquées dans la clé de registre:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ISDecisions\UserLock\Agent

Installer dans un environnement utilisant VDI

Pour installer l'agent Station dans un environnement VDI, veuillez suivre ce guide.