EasyCrypt


Cette documentation s'adresse exclusivement aux clients utilisant la version On Premise d'Product name - ev itsm.png. En version SaaS, faîtes une demande de changement auprès du support d'Logo - EasyVista.png pour activer le cryptage des mots de passe Employés ou pour forcer leur réinitialisation.

EasyCrypt est une interface graphique qui permet d'effectuer soit un cryptage par clé (mode standard), soit un hachage (mode SHA256) de tout mot de passe à partir d'une chaîne de caractères. Via un algorithme, celle-ci est rendue inintelligible et quasiment inviolable par toute personne non autorisée qui arriverait à accéder aux fichiers/tables où ils sont stockés.

  • Le cryptage peut être effectué sur une chaîne de caractères, ou en masse, sur un ensemble de mots de passe stockés dans un fichier CSV. 
  • Dans Product name - ev itsm.png, tous les mots de passe d'administration et tous les mots de passe Employés peuvent être cryptés -  Open url.png  voir  Description des types de mot de passe
  • Product name - ev itsm.png repère si un cryptage est actif ou non au moment de l'utilisation du mot de passe.

Remarques

  • Utilisez EasyCrypt pour les mots de passe Employés lorsque l'authentification des utilisateurs n'est pas déportée via un annuaire d'entreprise ou lorsque vous créez des intervenants externes qui peuvent accéder à Product name - ev itsm.png sans être référencés dans l'annuaire Product name - ev itsm.png.
  • EasyCrypt propose 2 modes de cryptage :
    • le mode standard, qui repose sur un algorithme interne de cryptage ;
    • le mode SHA256 (Note : À partir du fix Product name - ev itsm.png supérieur à 2015.1), qui est irréversible : le mot de passe est haché avant d'être stocké en base et ne peut plus être décrypté pour revenir à la donnée d'origine. Il s'agit d'une sécurité supplémentaire par rapport au mode standard.
  • Sur toutes les interfaces utilisateur :
    • la saisie des mots de passe s'effectue toujours en clair ;
    • le cryptage est effectué automatiquement, de façon transparente, avant que le mot de passe soit stocké en base.
  • Cryptage d'un fichier :
    • Le fichier doit être au format CSV et contenir 2 colonnes : identifiants des employés ; mots de passe non cryptés.
    • Le fichier CSV résultat est créé dans le même répertoire que le fichier initial, avec le suffixe _crypted. Les mots de passe non cryptés sont remplacés par les mots de passe cryptés.

Attention

  • Pour les mots de passe d'administration et de connexion aux bases de données externes, utilisez uniquement le mode standard de cryptage : le serveur s'attendant toujours à recevoir un mot de passe en clair, ce mode permet de le décrypter au moment de la connexion à une base de données.
  • Utilisez le mode SHA256 exclusivement pour les mots de passe Employés : à la connexion d'Product name - ev itsm.png, le mot de passe saisi par l'utilisateur est haché et est comparé au mot de passe haché stocké en base ; l'accès est autorisé lorsque les 2 données correspondent.
  • Vous pouvez utiliser les 2 modes pour crypter les mots de passe Employés.

Description de l'écran

Note : Seul le mode Standard est décrit ci-dessous.

Accès : C:\easyvista\tools\servers\MSSQL\EasyCrypt.exe
         EasyCrypt.png

bloc Manual :

  • String : Chaîne de caractères en clair, correspondant au mot de passe à crypter. Cliquez sur [ CRYPT ] pour lancer l'algorithme de cryptage.
  • Crypted : Mot de passe crypté.

bloc Automatic :

  • File : Répertoire et Nom du fichier CSV contenant les mots de passe à crypter. Cliquez sur [ LOAD FILE ] pour le télécharger puis sur [ CRYPT FILE ] pour lancer l'algorithme de cryptage.

     

Cryptage des mots de passe dans Product name - ev itsm - big.pngev Service Manager

Mots de passe sur la partie Administration

Les mots de passe d'administration sont stockés dans les fichiers de configuration des services EasyVista et dans certaines tables des bases EVO_ADMIN et EVO_DATA -  Open url.png  voir  Liste des fichiers/tables

  • La mise en place du cryptage ne nécessite aucun paramétrage : les mots de passe sont cryptés à la demande via EasyCrypt puis stockés manuellement dans les fichiers/tables -  Open url.png  voir  Procédure
  • Certains mots de passe sont déjà cryptés au moment de l'installation d'Product name - ev itsm.png

Mots de passe Employés

Les mots de passe des employés sont stockés dans la table AM_EMPLOYEE de la base EVO_DATA. Ils permettent un accès sécurisé à Product name - ev itsm.png ainsi qu'à toute fonction nécessitant une authentification : Agent support technique, Web services, ...

  • Product name - ev itsm.png sait gérer dans la table AM_EMPLOYEE à la fois des mots de passe non cryptés et des mots de passe cryptés.
  • La mise en place du cryptage peut être décidée à tout moment.
    • À l'installation de la fonctionnalité, tous les mots de passe existants sont considérés comme non cryptés.
    • Une fois la fonctionnalité installée, tous les nouveaux mots de passe sont automatiquement cryptés.

Principe de mise en place du cryptage

  • Un paramétrage dans la table A_COMPANY est prérequis pour l'installation de la fonctionnalité de cryptage.
  • 2 méthodes peuvent ensuite être utilisées pour crypter les mots de passe actuels :
    • Best Practice icon.png soit ils sont réinitialisés et remplacés par un mot de passe générique crypté ; lors de la prochaine authentification dans Product name - ev itsm.png, un forçage de l'expiration des mots de passe va inviter chaque utilisateur à modifier le mot de passe générique qui vient de lui être attribué et à le remplacer par un nouveau - Open url.png  voir Procédure ;
    • soit ils sont conservés et cryptés en masse ; lors de la prochaine authentification dans Product name - ev itsm.png, chaque utilisateur réemploie son mot de passe actuel - Open url.png  voir Procédure.

Note : Vous pouvez appliquer chaque méthode à la totalité des mots de passe actuels ou à une sélection (via des clauses WHERE dans les requêtes SQL) afin d'étaler les mises à jour sur une période donnée - Open url.png  voir Exemple 

Attention

  • Seule la méthode consistant à réinitialiser les mots de passe actuels par un mot de passe générique crypté est prise en charge par le support d'Logo - EasyVista.png.
  • Bien que décrite dans les procédures, la méthode consistant à crypter les mots de passe actuels n'est pas prise en charge par le support Logo - EasyVista.png car elle peut engendrer une perte des mots de passe en cas de mauvaise manipulation. Elle n'est par ailleurs pas recommandée car elle nécessite de passer par un fichier intermédiaire contenant les mots de passe et qui peut être accessible à une personne non autorisée.
  • Effectuez toujours un backup de la base EVO_DATA avant de mettre en place le cryptage des mots de passe Employés.

Procédures

Comment utiliser EasyCrypt

1. Lancez EasyCrypt :

  • allez sur le répertoire C:\easyvista\tools\servers\MSSQL ;
  • lancez le fichier EasyCrypt.exe.

2. Pour crypter une chaîne de caractères :

  • dans la partie Manual > champ String, saisissez la chaîne de caractères en clair ;
  • cliquez sur [ CRYPT ] : le résultat s'affiche dans le champ Crypted.

3. Pour crypter en masse un ensemble de mots de passe contenus dans un fichier :

  • dans la partie Automatic, cliquez sur [ LOAD FILE ] et sélectionnez le fichier CSV ;
             EasyCrypt - CSV File.png
  • cliquez sur [ CRYPT FILE ] : un nouveau fichier est créé dans le même répertoire que le fichier initial, avec le suffixe _crypted, et dans lequel tous les mots de passe initiaux apparaissent cryptés.
             EasyCrypt - CSV File crypted.png 

 

Comment crypter les mots de passe d'administration

1. Lancez EasyCrypt et effectuez le cryptage du mot de passe d'administration :

  • dans la partie Manual > champ String, saisissez la chaîne de caractères en clair ;
  • cliquez sur [ CRYPT ] : le résultat s'affiche dans le champ Crypted.

2. Copiez-collez le contenu du champ Crypted dans le fichier/table souhaité.

 

Comment activer la fonctionnalité de cryptage des mots de passe Employés

Note : <compte EasyVista> identifie le compte sur lequel vous souhaitez crypter les mots de passe.
         Example documentation icon FR.png  EVO_DATA<compte EasyVista> pour le compte 50004 ==> la base impactée est la base de production EVO_DATA50004

1. Lancez SQL Server Management Studio et exécutez la requête suivante pour effectuer le paramétrage du cryptage dans la table A_COMPANY de la base EVO_ADMIN :

UPDATE [EVO_ADMIN].[EZV_ADMIN].[A_COMPANY]
SET    crypt_pass=1
WHERE  company_account=<compte easyvista> 

2. Redémarrez les services EasyVista.

Best Practice icon.png

  • Vous disposez de raccourcis sur le bureau pour redémarrer l’application (start EZV, stop EZV and restart EZV). Utilisez-les de préférence. A défaut, utilisez un gestionnaire de service pour réaliser les séquences décrites ci-dessous.
  • Effectuez les opérations d'arrêt/redémarrage dans l'ordre préconisé ci-dessous.

    Arrêt des services

  • net stop smoScheduler
  • net stop smoAstService
  • net stop smoPrintServer
  • net stop TSmoMonitoringService
  • net stop EasyVistaKernel
  • net stop EasyVistaServer
  • net stop SMO_Server
  • net stop SMOBroker

    Reprise des services

  • net start SMOBroker
  • net start SMO_Server
  • net start EasyVistaServer
  • net start EasyVistaKernel
  • net start TSmoMonitoringService
  • net start smoPrintServer
  • net start smoAstService
  • net start smoScheduler

 

Best Practice icon.png Comment remplacer les mots de passe actuels des employés par un mot de passe générique crypté

Note : <compte EasyVista> identifie le compte sur lequel vous souhaitez crypter les mots de passe.
         Example documentation icon FR.png  EVO_DATA<compte EasyVista> pour le compte 50004 ==> la base impactée est la base de production EVO_DATA50004

1. Afin de pouvoir revenir aux mots de passe initiaux en cas de problème, effectuez un backup de la base EVO_DATA<compte EasyVista>.

2. Activez la fonctionnalité de cryptage des mots de passe Employés.

3. Réinitialisez les mots de passe actuels et remplacez-les par un mot de passe générique crypté. Note : Si vous souhaitez conserver et crypter les mots de passe actuels :  Open url.png  voir  Procédure

  • lancez EasyCrypt et effectuez le cryptage d'un mot de passe générique :
    • dans la partie Manual > champ String, saisissez la chaîne de caractères en clair ;
    • cliquez sur [ CRYPT ] : le résultat s'affiche dans le champ Crypted.
  • lancez SQL Server Management Studio et remplacez tous les mots de passe actuels (champ PASSWD de la table AM_EMPLOYEE) par le mot de passe générique crypté, en exécutant la requête suivante :
UPDATE [EVO_DATA<compte EasyVista>].[AM_EMPLOYEE]
SET    passwd=<contenu du champ crypted> 

Note : Si vous souhaitez cibler la mise à jour des mots de passe, ajoutez une clause WHERE dans la requête pour ne sélectionner que les employés concernés ; exécutez la requête pour chaque cible  - Open url.png  voir Exemple 

4. Forcez l'expiration des mots de passe de tous les utilisateurs :

Note : Si vous avez ciblé la mise à jour des mots de passe à l'étape précédente, effectuez le forçage de l'expiration manuellement pour ne sélectionner que les employés concernés ; exécutez la requête pour chaque cible  - Open url.png  voir Exemple 

  • allez sur l'écran Administration > Gestion des accès > Employés et lancez l'assistant Définition des règles sur les mots de passe. Attention : Cet assistant s'applique automatiquement à tous les utilisateurs, même si une sélection partielle est effectuée dans la liste.
             Password Policies wizard.png
  • cochez la case Expiration de tous les mots de passe ;
  • renseignez les autres options suivant la politique des mots de passe souhaitée puis cliquez sur [ TERMINER ] : la date de dernière mise à jour du mot de passe (colonne PASSWD_LAST_UPDATE_UT de la table AM_EMPLOYEE) est réinitialisée à blanc.

5. Envoyez un e-mail à tous les employés concernés pour leur communiquer leur nouveau mot de passe.

6. À la prochaine connexion à une application/fonction Product name - ev itsm.png nécessitant une authentification, chaque utilisateur présent dans la table AM-EMPLOYEE est invité à ressaisir un nouveau mot de passe :

  • l'ancien mot de passe est le mot de passe générique envoyé par e-mail ;
  • la date de dernière mise à jour du mot de passe est réactualisée.
             Password - New.png

 

Comment conserver et crypter les mots de passe actuels des employés

Attention : Cette méthode n'est pas prise en charge par le support d'Logo - EasyVista.png car elle peut engendrer une perte de tous les mots de passe en cas de mauvaise manipulation. Elle n'est par ailleurs pas recommandée car elle nécessite de passer par un fichier intermédiaire contenant les mots de passe et qui peut être accessible à une personne non autorisée.

Note : <compte EasyVista> identifie le compte sur lequel vous souhaitez crypter les mots de passe.
         Example documentation icon FR.png  EVO_DATA<compte EasyVista> pour le compte 50004 ==> la base impactée est la base de production EVO_DATA50004

1. Afin de pouvoir revenir aux mots de passe initiaux en cas de problème, effectuez un backup de la base EVO_DATA<compte EasyVista>.

2. Activez la fonctionnalité de cryptage des mots de passe Employés.

3. Sauvegardez dans un fichier CSV les mots de passe actuels des employés :

  • lancez SQL Server Management Studio et extrayez les mots de passe en exécutant la requête suivante :
SELECT login,passwd
FROM   [<compte EasyVista>].[am_employee]
WHERE  passwd IS NOT NULL

Note : Si vous souhaitez cibler la mise à jour des mots de passe, ajoutez une clause WHERE dans la requête pour ne sélectionner que les employés concernés ; exécutez la requête pour chaque cible  - Open url.png  voir Exemple 

  • copiez-collez le résultat dans un fichier Excel ;
  • sauvegardez le fichier au format CSV. 

4. Lancez EasyCrypt et effectuez le cryptage en masse de tous les mots de passe du fichier CSV :

  • dans la partie Automatic, cliquez sur [ LOAD FILE ] et sélectionnez le fichier CSV ;
  • cliquez sur [ CRYPT FILE ] : un nouveau fichier est créé dans le même répertoire que le fichier initial, avec le suffixe _crypted.

5. Intégrez les mots de passe cryptés dans Product name - ev itsm.png via un modèle d'intégration : à la prochaine connexion à Product name - ev itsm.png, chaque employé présent dans la table AM_EMPLOYEE peut réemployer son mot de passe actuel.

 

Exemple : Effectuer le cryptage des mots de passe pour une sélection d'employés

Effectuez les étapes 1 à 4 pour chacune des cibles. Dans l'exemple ci-dessous :

  • base de données = base de test 40000
  • 1ère cible = employés dont l'identifiant est 9477 et 9478
  • 2ème cible = employés dont l'identifiant est 9480 et 9481
     

1. Vérifiez les informations actuelles pour chacun des employés.

SELECT employee_id,last_name,passwd,passwd_last_update_ut
FROM   [EVO_DATA40000].[40000].[am_employee]
WHERE  employee_id IN ( 9477, 9478 )

       EasyCrypt - Employees selection Crypt Procedure - before update.png

2. Remplacez le mot de passe actuel par le mot de passe générique crypté pour chacun des employés.

UPDATE [EVO_DATA40000].[40000].[am_employee]
SET    passwd = 'Crypted generic password'
WHERE  employee_id IN ( 9477, 9478 )

3. Réinitialisez la date de dernière modification du mot de passe de chacun des employés : forçage manuel de l'expiration des mots de passe.

UPDATE [EVO_DATA40000].[40000].[am_employee]
SET    passwd_last_update_ut = NULL
WHERE  employee_id IN ( 9477, 9478 )

4. Vérifiez que les mises à jour ont été faites pour chacun des employés.

SELECT employee_id,last_name,passwd,passwd_last_update_ut
FROM   [EVO_DATA40000].[40000].[am_employee]
WHERE  employee_id IN ( 9477, 9478 )

       EasyCrypt - Employees selection Crypt Procedure - after update.png

5. Envoyez un e-mail à chacun des employés pour leur communiquer leur nouveau mot de passe Crypted generic password. À la prochaine connexion à une application/fonction Product name - ev itsm.png nécessitant une authentification, ils sont invités à le modifier.
         Password - New.png

6. Effectuez à nouveau les étapes 1 à 5 pour la 2ème cible, en modifiant à chaque fois la clause WHERE.
       Example documentation icon FR.png  Pour remplacer le mot de passe :

UPDATE [EVO_DATA40000].[40000].[am_employee]
SET    passwd = 'Crypted generic password'
WHERE  employee_id IN ( 9480, 9481 )
Tags:
Modifié par Utilisateur inconnu le 2017/12/19 18:46
Créé par Administrator XWiki le 2015/04/10 11:27

Raccourcis

Recent Updates

Haven't been here in a while? Here's what changed recently:

-   Product name - ev itsm.png
-   Product name - ev sas.png

Interesting Content

How to Automate Integration
Add a Shortcut to an App
History
Quick Dashboard
Full text search - Stop Words

Powered by XWiki ©, EasyVista 2019