Manuel d`administration de SafeGuard Enterprise
Contents
1. Pour permettre l utilisation d une cl diff rente cl par d faut lors de l enregistrement des fichiers modifi s Il s agit du param tre par d faut apr s l installation HKEY_LOCAL_ MACHINE SYSTEM CurrentCont rolSet Cont rol UTIMACO SGLCENC ActivateEncryptionTunneling dword 00000000 T Remarque les changements de ce param tre seront appliqu s suite au red marrage de l ordinateur d extr mit Chiffrement de lecteur BitLocker Le Chiffrement de lecteur BitLocker est une fonction de chiffrement de disque complet avec authentification de pr initialisation incluse dans les syst mes d exploitation Microsoft Windows Elle est con ue pour prot ger les donn es en permettant le chiffrement des volumes d initialisation et de donn es SafeGuard Enterprise g re le chiffrement BitLocker sur un ordinateur Le chiffrement BitLocker peut tre activ et la gestion des lecteurs d j chiffr s par BitLocker peut tre prise en charge Pendant l installation sur l ordinateur d extr mit et pendant le premier red marrage SafeGuard Enterprise d termine si le mat riel satisfait aux conditions requises pour BitLocker avec le Challenge R ponse SafeGuard S il ne satisfait pas aux conditions la gestion de SafeGuard Enterprise BitLocker s effectue sans Challenge R ponse Dans ce cas la cl de r cup ration BitLocker peut tre r cup r e l aide de SafeGuard Management Center2. 306 Manuel d administration Identifiant de Affichage l erreur 4026531842 Erreur d analyse XML 4026531843 Erreur Document Object Model XML 4026531844 Aucune balise lt DATAROOT gt trouv e 4026531845 Balise XML introuvable 4026531847 Erreur printtree 35 2 Codes d erreur BitLocker Les erreurs BitLocker sont signal es par les v nements SafeGuard suivants M 2072 chec de l initialisation du noyau Code interne lt code d erreur gt M 3506 chec et cl ture du chiffrement initial du secteur pour le lecteur lt lettre du lecteur gt Raison lt code d erreur gt Le tableau suivant est une liste des codes d erreur pour BitLocker Code d erreur Code d erreur Description Hex D c 0x00000000 0 15999 Veuillez consulter les Codes d erreurs syst me de Microsoft 0x000032C8 Ox00BEB001 12496897 Chiffrement impossible en raison d une erreur pendant l initialisation du noyau 0x00BEB002 12496898 Le gestionnaire de d marrage ne doit pas se trouver sur le volume du syst me chiffrer Ox00BEB003 12496899 Version de Windows non prise en charge sur le disque dur La version minimum est Windows Vista 0x00BEB004 12496900 La m thode d authentification configur n est pas prise en charge 0x00BEB005 12496901 La bo te de dialogue du code PIN ne s est pas termin e correctement 0x00BEB006 12496902 La bo te de dialogue de chemin d acc s ne s est pas termin e
3. Administration Administration Utilisateur modifi Utilisateur supprim Administration Administration chec de l application de l utilisateur Impossible de supprimer l utilisateur Administration Machine appliqu e Administration Machine supprim e Administration chec de l application de la machine Administration Impossible de supprimer la machine Manuel d administration Cat gorie Administration Administration Administration Administration Identifiant s i 2539 2543 2546 2547 Description OU appliqu OU supprim chec de l application de l OU chec de l importation de l OU Administration 2550 chec de suppression de l OU Administration 2553 Groupe appliqu Administration 2555 Groupe modifi Administration Administration Administration Administration Administration Administration 2556 2557 2560 2562 2563 2564 Groupe renomm Groupe supprim chec de l application du groupe Impossible de modifier le groupe Impossible de renommer le groupe Impossible de supprimer le groupe Administration 2573 Membres ajout s au groupe Administration Administration Administration Administration Administration Administration 2575 2576 2578 2580 2583 2591 Membres supprim s du groupe Impossible d ajouter les membres au groupe Impossible de supprimer les membr
4. 278 QE CRE SAS S lectionnez Packages du client administr Cliquez sur Ajouter un package de configuration Donnez un nom au package de configuration Attribuez un serveur SafeGuard Enterprise principal le serveur secondaire n est pas n cessaire S lectionnez SSL comme Chiffrement du transport pour la connexion entre l ordinateur d extr mit et le serveur SafeGuard Enterprise Sophos en tant que Chiffrement de transport n est pas pris en charge pour Mac 7 Indiquez un chemin de sortie pour le package de configuration ZIP 8 Cliquez sur Cr er un package de configuration La connexion au serveur pour le mode Chiffrement du transport SSL est valid En cas d chec de la connexion un message d avertissement s affiche Le package de configuration ZIP a t cr dans le r pertoire sp cifi Vous devez maintenant distribuer ce package sur vos Macs et le d ployer sur ceux ci Manuel d administration 33 SafeGuard Enterprise et disques durs compatibles Opal 33 1 chiffrement automatique Les disques durs chiffrement automatique offrent un chiffrement de type mat riel des donn es lorsqu ils sont crits sur le disque dur Le Trusted Computing Group TCG a publi la norme Opal ind pendante des fournisseurs pour les disques durs chiffrement automatique Diff rents fournisseurs de mat riels proposent des disques durs compatibles Opal SafeGuard Enterprise prend en charge la norme Opal et perm
5. Avec le chiffrement permanent les copies des fichiers chiffr s seront chiffr es m me lorsqu elles sont enregistr es dans un emplacement non couvert par une r gle de chiffrement Vous pouvez configurer le chiffrement permanent dans des strat gies du type Param tres g n raux Le param tre de strat gie Activer le chiffrement permanent est activ par d faut 185 SafeGuard Enterprise 21 8 21 9 186 Remarque E Sides fichiers sont copi s ou d plac s sur un p riph rique ignor ou dans un dossier auquel s applique une strat gie avec un Mode de chiffrement Ignorer le param tre Activer le chiffrement permanent n a aucun effet E Les op rations de copie sont d tect es d apr s les noms de fichiers Lorsqu un utilisateur enregistre un fichier chiffr avec Enregistrer sous sous un nom de fichier diff rent dans un emplacement non couvert par une r gle de chiffrement le fichier sera en texte brut Suivi de fichiers sur supports amovibles Vous pouvez r aliser un suivi des fichiers accessibles sur les supports amovibles l aide de la fonction Rapports du SafeGuard Management Center L acc s aux fichiers peut faire l objet d un suivi quelle que soit la strat gie de chiffrement applicable aux fichiers pr sents sur les supports amovibles Dans une strat gie de type Journalisation vous pouvez d finir ce qui suit E Un v nement consigner dans le journal lorsqu un fichier ou un r pertoire est cr
6. M Le certificat d entreprise enregistr dans la base de donn es SafeGuard Manuel d administration 9 4 1 9 4 2 9 5 E Le certificat du responsable principal de la s curit MSO se trouvant dans le magasin de certificats de l ordinateur sur lequel le SafeGuard Management Center est install Vous pouvez exporter ces deux certificats sous la forme de fichiers p12 des fins de sauvegarde Pour restaurer les installations vous pouvez importer le certificat d entreprise et du responsable de la s curit correspondant sous la forme de fichiers p12 et les utiliser lorsque vous param trez une nouvelle base de donn es Ceci pour viter de restaurer l int gralit de la base de donn es Remarque nous vous conseillons de r aliser cette t che imm diatement apr s la configuration initiale du SafeGuard Management Center Exportation des certificats d entreprise Remarque seuls les responsables principaux de la s curit sont autoris s exporter les certificats d entreprise des fins de sauvegarde 1 Dans la barre de menus du SafeGuard Management Center s lectionnez Outils gt Options 2 Cliquez sur l onglet Certificats puis sur Exporter dans la section Certificat d entreprise 3 Vous tes invit saisir un mot de passe pour s curiser le fichier export Saisissez un mot de passe confirmez le puis cliquez sur OK 4 Saisissez un nom et un emplacement de stockage pour le fichier puis cliquez sur
7. Remarque pour Windows 8 et Windows 8 1 seul le Chiffrement de lecteur BitLocker peut tre utilis pour le chiffrement int gral du disque Authentification avec le Chiffrement de lecteur BitLocker Le Chiffrement de lecteur BitLocker propose un large ventail d options d authentification Les utilisateurs BitLocker peuvent s authentifier avec un TPM module de plate forme s curis e ou une carte m moire USB ou une combinaison des deux Le responsable de la s curit peut d finir les diff rents modes de connexion dans une strat gie dans SafeGuard Management Center et la distribuer aux ordinateurs d extr mit BitLocker Les modes de connexion suivants sont propos s aux utilisateurs SafeGuard Enterprise BitLocker E TPM Manuel d administration 18 2 1 1 18 2 1 2 18 2 2 E TPM PIN E TPM carte m moire USB E Carte m moire USB sans TPM Remarque si vous voulez utiliser l un des modes de connexion TPM PIN TPM Carte m moire USB ou Carte m moire USB veuillez activer la Strat gie de groupe Authentification suppl mentaire requise au d marrage soit dans Active Directory soit localement sur les ordinateurs La Strat gie de groupe est automatiquement activ e lors de l installation sur l ordinateur d extr mit Assurez vous que les param tres ne sont pas remplac s par diff rents Strat gies de groupe Pour v rifier les param tres ouvrez l diteur d objets de strat gie de groupe D marre
8. E Responsable support Les responsables support ont le droit d effectuer des actions de r cup ration Ils peuvent galement afficher la plupart des zones de fonctions du SafeGuard Management Center E Responsable audit Pour contr le SafeGuard Enterprise les responsables audit peuvent afficher la plupart des zones de fonctions du SafeGuard Management Center E Responsable r cup ration Les responsables r cup ration ont le droit de r parer la base de donn es SafeGuard Enterprise Manuel d administration 8 1 3 R les personnalis s En tant que responsable de la s curit poss dant les droits n cessaires vous pouvez d finir de nouveaux r les partir d une liste d actions de droits puis les attribuer un responsable de la s curit existant ou nouveau De m me qu avec les r les pr d finis vous pouvez activer l authentification responsable suppl mentaire pour une fonction du r le tout moment Lors de l attribution d un nouveau r le notez les informations suivantes relatives l authentification suppl mentaire Remarque si un utilisateur a deux r les avec les m mes droits et si l authentification suppl mentaire est attribu e l un des r les elle s applique automatiquement l autre galement Un responsable de la s curit avec les droits n cessaires peut ajouter des droits un r le personnalis ou en supprimer Contrairement aux r les pr d finis les r les personnalis s pe
9. En tant que responsable de la s curit vous pouvez d finir de mani re centralis e les questions auxquelles r pondre et les distribuer sur l ordinateur d extr mit dans la strat gie Toutefois Manuel d administration Param tre de strat gie Explication vous pouvez galement accorder aux utilisateurs le droit de d finir des questions personnalis es Pour autoriser les utilisateurs d finir leurs propres questions s lectionnez Oui Challenge R ponse C R Activer la r cup ration de la D termine si un utilisateur est autoris g n rer un challenge connexion via C R dans l authentification au d marrage SafeGuard afin de pouvoir acc der de nouveau son ordinateur avec une proc dure Challenge R ponse Oui L utilisateur est autoris g n rer un challenge Dans ce cas l utilisateur peut de nouveau acc der son ordinateur avec une proc dure C R en cas d urgence Non L utilisateur n est pas autoris g n rer un challenge Dans ce cas l utilisateur ne peut pas ex cuter une proc dure C R pour acc der de nouveau son ordinateur en cas d urgence Autoriser la connexion Permet l utilisateur de se connecter automatiquement Windows Windows automatique apr s s tre authentifi avec la proc dure Challenge R ponse Oui l utilisateur est automatiquement connect Windows Non l cran de connexion Windows appara t Exemple un utilisateur a oubli son
10. Heure de la derni re ex cution Affiche quand la derni re ex cution de la t che aura lieu date et heure Si elle n a pas encore t ex cut e cette colonne affiche Aucune R sultat de la derni re ex cution Affiche le r sultat de la derni re t che ex cut e E Succ s Le script de la t che a t ex cut avec succ s chec L ex cution de la t che a chou Un num ro d erreur appara t s il est disponible En cours d ex cution Le script est en cours d ex cution Droits insuffisants La t che a chou cause de droits insuffisants pour l ex cution de scripts Interrompu L ex cution de la t che a t abandonn e car la dur e d ex cution a d pass 24 heures Contr le perdu Le contr le de l ex cution du script de la t che a t perdu par exemple parce que le service du planificateur SGN a t arr t Le script est corrompu 269 SafeGuard Enterprise Colonne Description Le script ex cuter est corrompu Le script a t supprim entre temps Alors que la t che tait plac e dans la file d attente pour ex cution le script correspondant a t supprim de la base de donn es SafeGuard Enterprise Erreurs runtime Une erreur runtime a t d tect e lors du traitement du service du planificateur Sous les colonnes les boutons suivants apparaissent Bouton Description Cliquez sur ce bouton pour cr er une nouvelle
11. Taille de fichier maximale 50 Ko Format pris en charge Unicode D finition des codes PIN interdits Dans la liste les codes PIN non autoris s sont s par s par un espace ou un saut de ligne Caract re g n rique Le caract re g n rique peut repr senter tout caract re et tout nombre de caract res dans un code PIN Par exemple 123 signifie que toute s quence de caract res contenant 123 sera interdite comme code PIN Remarque W Silaliste ne contient qu un seul caract re g n rique l utilisateur ne sera plus en mesure de se connecter au syst me apr s un changement obligatoire de mot de passe M Les utilisateurs ne doivent pas tre autoris s acc der ce fichier E L option Utiliser la liste des codes PIN interdits doit tre activ e MODIFICATIONS Modification du code PIN apr s un min de jours D termine la p riode pendant laquelle un code PIN ne peut pas tre modifi Ce param tre emp che l utilisateur de changer trop souvent de code PIN au cours d une p riode donn e Exemple L utilisateur Bertrand d finit un nouveau code PIN par exemple 13jk56 L intervalle minimum de changement pour cet utilisateur ou pour le groupe auquel il appartient est d fini cinq jours Apr s deux jours seulement l utilisateur d cide de changer le code PIN par 13jk56 Le changement de code PIN est refus car Monsieur Bertrand ne peut d finir un nouveau code PIN qu apr
12. la prochaine utilisation de l ordinateur Ce dernier est ainsi totalement prot g Remarque il est important que le fichier de mise en veille prolong e soit sur le volume chiffr G n ralement il se trouve sur C Vous pouvez configurer les param tres d alimentation appropri s de mani re centralis e l aide d Objets de strat gie de groupe ou localement via la bo te de dialogue Options d alimentation du Panneau de configuration de l ordinateur D finissez l action du bouton Veille sur Mettre en veille prolong e ou Arr ter Mettez en place d une strat gie de mot de passe forte Mettez en place une strat gie de mot de passe forte et imposez des changements de mot de passe intervalles r guliers surtout pour la connexion l ordinateur d extr mit Les mots de passe ne doivent tre partag s avec quiconque ni crits Formez vos utilisateurs pour choisir des mots de passe forts Un mot de passe fort suit les r gles suivantes E Il est assez long pour tre s r il est conseill d utiliser au moins 10 caract res m Ilcontient un m lange de lettres majuscules et minuscules ainsi que des caract res sp ciaux ou des symboles Manuel d administration E Il ne contient pas de mot ou de nom fr quemment utilis m Ilest difficile deviner mais simple se rappeler et saisir correctement Ne d sactivez pas l authentification au d marrage SafeGuard L authentification au d marrage SafeGuar
13. puce g n r es Dans la barre d outils du SafeGuard Management Center cliquez sur Fffacer la cl Saisissez le code PIN du responsable de la s curit qui a t attribu au token et confirmez en cliquant sur OK Toutes les donn es g r es par SafeGuard Enterprise sont supprim es Les certificats restent sur le token Le code PIN de l utilisateur est r initialis 1234 les tokens effac s sont ainsi automatiquement supprim es de la liste des tokens g n r s Lecture des informations de token carte puce En tant que responsable de la s curit vous pouvez lire les donn es sur le token l aide du code PIN utilisateur Condition pr alable Le token doit tre connect Le responsable de la s curit doit conna tre le code PIN Ou il doit tre initialis Retrouvez plus d informations la section Initialisation du code PIN utilisateur la page 211 Vous avez besoin des droits en Lecture seule ou d Acc s complet pour l utilisateur correspondant Dans SafeGuard Management Center cliquez sur Tokens gauche de la zone de navigation s lectionnez le token appropri sous Connecteurs de tokens et s lectionnez l onglet Codes d acc s amp certificats Cliquez sur l ic ne Obtenir les codes d acc s utilisateur et saisissez le code PIN utilisateur du token Les donn es du token s affichent Manuel d administration 25 veil par appel r seau s curis WOL 25 1 Dans SafeGuar
14. sur un p riph rique amovible E Un v nement consigner dans le journal lorsqu un fichier ou un r pertoire est renomm sur un p riph rique amovible M Un v nement consigner dans le journal lorsqu un fichier ou un r pertoire est supprim d un p riph rique amovible Retrouvez plus d informations la section Rapport d acc s aux fichiers pour les supports amovibles la page 259 SafeGuard Data Exchange et File Share Le module File Share de SafeGuard Enterprise permet un chiffrement bas sur fichier sur les emplacements r seau surtout pour les groupes de travail et les partages r seau Si SafeGuard Data Exchange et File Share sont install s sur un ordinateur d extr mit il peut arriver qu une strat gie de chiffrement SafeGuard Data Exchange soit d finie pour un lecteur pr sent sur l ordinateur et que les strat gies File Encryption soient d finies pour des dossiers pr sents sur le m me lecteur Si c est le cas la strat gie de chiffrement SafeGuard Data Exchange remplace les strat gies File Encryption Les nouveaux fichiers sont chiffr s en fonction de la strat gie de chiffrement de SafeGuard Data Exchange Retrouvez plus d informations sur File Share la section Utilisation de File Encryption avec File Share la page 165 Manuel d administration 22 22 1 22 2 Cloud Storage Le module Cloud Storage de SafeGuard Enterprise offre le chiffrement de fichiers des donn es stock es da
15. La modification de l algorithme pour les certificats autosign s s effectue de la mani re suivante m Modification de l algorithme m Cr ation d un ordre de modification du certificat CCO Certificate Change Order E Cr ation d un package de configuration contenant le CCO 61 SafeGuard Enterprise 62 9 4 E Red marrage des serveurs base de donn es SafeGuard Enterprise E Distribution et d ploiement des packages de configuration sur les ordinateurs d extr mit Pour modifier l algorithme pour les certificats autosign s 1 Dans la barre de menus du SafeGuard Management Center s lectionnez Outils gt Options 2 Dansl onglet G n ral sous Certificats s lectionnez l algorithme n cessaire dans Algorithme de hachage pour les certificats g n r s et cliquez sur OK 3 Dans l onglet Certificats sous Demander cliquez sur Mettre jour Dans la bo te de dialogue Mettre jour le certificat d entreprise saisissez un nom de CCO et indiquez un chemin de sauvegarde Saisissez un mot de passe pour le fichier P12 et retapez le En option saisissez un commentaire et cliquez sur Cr er 4 Lorsque vous y tes invit veuillez confirmer que vous tes bien conscient que cette modification ne peut pas tre annul e et que tous les packages de configuration cr s apr s la mise jour de ce certificat d entreprise ont besoin que ce CCO soit inclus pour tre exploit s sur les ordinateurs d extr mit d j in
16. M la strat gie avec ce param tre a une priorit sup rieure M le param tre de strat gie n a pas encore t d fini non configur Remarque les strat gies se chevauchant attribu es un groupe peuvent aboutir un calcul incorrect des priorit s Assurez vous d utiliser des param tres de strat gie disjonctifs Exception relative la protection du p riph rique Les strat gies de protection des p riph riques sont fusionn es uniquement si elles ont t d finies pour la m me cible volume d initialisation par exemple Les param tres sont ajout s si elles d signent des cibles diff rentes Combinaison de strat gies dans des groupes Condition pr alable les strat gies individuelles de diff rents types doivent tre tout d abord cr es 1 Dans la zone de navigation cliquez sur Strat gies 2 Dans la fen tre de navigation cliquez avec le bouton droit de la souris sur Groupes de strat gies et s lectionnez Nouveau 3 Cliquez sur Nouveau groupe de strat gies Une bo te de dialogue pour nommer le groupe de strat gies s affiche 4 Entrez le nom et ventuellement la description du groupe de strat gies Cliquez sur OK 5 Le nouveau groupe de strat gies s affiche dans la fen tre de navigation sous Groupes de strat gies 73 SafeGuard Enterprise 11 3 2 11 4 74 6 9 S lectionnez le groupe de strat gies La zone d action indique tous les l ments requis pour regrou
17. Param tre non valide ou erron d fini D passement de la taille de la m moire tampon de donn es Un module DLL n a pas pu tre charg Une fonction ou un processus a t annul Aucun acc s autoris Aucun noyau syst me n est install Impossible de lancer un programme 295 SafeGuard Enterprise Identifiant de Affichage l erreur 30053 Une ressource est temporairement indisponible Cet tat est temporaire Des tentatives d acc s ult rieures peuvent fonctionner normalement 296 Manuel d administration Identifiant de Affichage l erreur 30060 Type de carte incorrect La fonctionnalit demand e n est pas prise en charge l heure actuelle par ce SE dans cette situation etc Pilote non valide Ce logiciel ne peut pas utiliser le microprogramme du mat riel connect Impossible d ouvrir le fichier Fichier introuvable La carte n est pas ins r e Argument non valide Le s maphore est en cours d utilisation Le s maphore est temporairement en cours d utilisation chec g n ral Actuellement vous ne disposez pas des droits permettant d effectuer l op ration demand e G n ralement un mot de passe doit tre fourni au pr alable 30072 Actuellement le service n est pas disponible 30073 Un l ment par exemple une cl portant un nom sp cifique est introuvable 30074 Le mot de passe fourni est incorrect
18. galement limiter les cl s qu un utilisateur est autoris utiliser Les options suivantes sont disponibles E Toute cl du jeu de cl s utilisateur Toutes les cl s du jeu de cl s d un utilisateur sont affich es et celui ci peut s lectionner l une d entre elles Remarque cette option doit tre s lectionn e si vous d finissez une strat gie de chiffrement bas sur fichier pour un ordinateur d extr mit non administr prot g par SafeGuard Enterprise autonome Toute cl du jeu de cl s utilisateur sauf la cl utilisateur Toutes les cl s sauf celles du jeu de cl s d un utilisateur sont affich es et celui ci peut s lectionner l une d entre elles Toute cl de groupe du jeu de cl s utilisateur Toutes les cl s de groupe du jeu de cl s d un utilisateur sont affich es et celui ci peut s lectionner l une d entre elles Cl machine d finie La cl de la machine est utilis e l utilisateur ne peut PAS s lectionner de cl Remarque cette option doit tre s lectionn e si vous d finissez une strat gie de chiffrement bas sur volume pour un ordinateur d extr mit non administr prot g par SafeGuard Enterprise mode autonome Si vous s lectionnez n anmoins Toute cl du jeu de cl s utilisateur et si l utilisateur s lectionne une cl cr e localement pour le chiffrement bas sur volume l acc s ce volume sera refus Toute cl du jeu de cl s utilisateur sauf les cl s cr
19. loign e de l objet cible plus cette strat gie a d effet sur tous les objets conteneurs de niveau inf rieur Cela signifie qu un conteneur de niveau sup rieur soumis Ne pas remplacer remplace les param tres de strat gie d un conteneur de niveau inf rieur Il est donc par exemple possible de d finir une strat gie de domaine dont les param tres ne peuvent pas tre remplac s m me si Bloquer l h ritage de strat gie a t d fini pour une OU Remarque si une strat gie ayant une priorit inf rieure mais ayant t d sign e Ne pas remplacer est attribu e au m me niveau qu une strat gie d un niveau sup rieur cette strat gie sera prioritaire en d pit de son niveau inf rieur 11 9 12 Param tres dans les strat gies 11 9 12 1 Param tres de relecture de la machine 80 Vous pouvez trouver ce param tre sous l ments de strat gie gt strat gie du type Param tres g n raux gt Chargement de param tres gt Mode de r cursivit des strat gies Si vous s lectionnez Param tres machine de relecture dans le champ Mode de r cursivit des strat gies d une strat gie du type Param tres g n raux et que la strat gie provient d un ordinateur Param tres machine de relecture n affecte pas les strat gies utilisateur cette strat gie est relue la fin de l analyse Ceci remplace ensuite les param tres de l utilisateur et les param tres de la machine s appliquent Tous les param tres de la machine h
20. ou mis niveau votre licence vous pouvez importer le fichier de licence dans la base de donn es SafeGuard Enterprise Ce nouveau fichier import remplace le fichier de licence non valide D s que vous redistribuez des licences ou que vous importez un fichier de licence valide la restriction fonctionnelle est annul e et le syst me fonctionne nouveau normalement 19 SafeGuard Enterprise 20 6 Utilisation de plusieurs configurations de base de 6 1 donn es SafeGuard Management Center permet d utiliser plusieurs configurations de base de donn es mode Multi Tenancy ou plusieurs titulaires Pour utiliser cette fonction vous devez l activer pendant l installation Retrouvez plus d informations dans le Guide d installation de SafeGuard Enterprise Le mode Multi Tenancy vous permet de configurer diff rentes configurations de base de donn es SafeGuard Enterprise et de les g rer pour une instance du SafeGuard Management Center Ceci est tout particuli rement utile si vous souhaitez disposer de configurations diff rentes pour des domaines des unit s organisationnelles ou des lieux diff rents Condition pr alable la fonction de configuration Multi Tenancy doit avoir t install e via une installation de type Compl te La configuration initiale du SafeGuard Management Center doit avoir t r alis e Pour simplifier la configuration vous pouvez M cr er plusieurs configurations de base de donn es E
21. une base de donn es mode Single Tenancy ou plusieurs bases de donn es mode Multi Tenancy Remarque deux responsables de la s curit ne doivent pas utiliser le m me compte Windows sur le m me ordinateur Dans le cas contraire il est impossible de distinguer correctement leurs droits d acc s Avertissement l expiration du certificat d entreprise la connexion SafeGuard Management Center commence par afficher un avertissement six mois avant l expiration du certificat d entreprise et vous invite le renouveler et le d ployer sur les ordinateurs d extr mit Sans certificat d entreprise valide un ordinateur d extr mit ne peut pas se connecter au serveur Vous pouvez renouveler le certificat d entreprise n importe quand M me si le certificat d entreprise a d j expir Un certificat d entreprise expir sera aussi indiqu par une bo te de message Retrouvez plus d informations sur le renouvellement d un certificat d entreprise la section Renouvellement du certificat d entreprise la page 67 Connexion en mode Single Tenancy 1 D marrez SafeGuard Management Center partir du dossier des produits du menu D marrer Une bo te de dialogue de connexion appara t 2 Connectez vous en tant que responsable principal de la s curit MSO et saisissez le mot de passe du magasin de certificats sp cifi pendant la configuration initiale Cliquez sur OK SafeGuard Management Center est ouvert Remar
22. Pour se connecter l authentification au d marrage SafeGuard avec Local Self Help l utilisateur doit r pondre correctement toutes les questions affich es dans l authentification au d marrage En tant que responsable de la s curit avec les droits n cessaires vous pouvez enregistrer et modifier les questions Local Self Help dans SafeGuard Management Center 219 SafeGuard Enterprise 26 1 3 26 1 4 220 D finition du nombre de questions en attente de r ponse Vous pouvez d finir le nombre de questions auxquelles il faut r pondre lors de la configuration de Local Self Help et dans l authentification au d marrage SafeGuard 1 Dans la Zone de navigation Strat gies s lectionnez Questions Local Self Help 2 Dans la zone d action sous Param tres Local Self Help vous pouvez indiquer deux valeurs diff rentes pour le nombre de questions Local Self Help a Dans le champ Nombre minimum de questions r ponses indiquez le nombre de questions auxquelles l utilisateur doit r pondre dans l assistant Local Self Help pour activer Local Self Help sur l ordinateur d extr mit Pour que Local Self Help soit actif le nombre de questions sp cifi es dans ce champ doit tre disponible avec les r ponses sur l ordinateur d extr mit b Dans le champ Nombre de questions pr sent es dans la POA indiquez le nombre de questions auxquelles l utilisateur doit r pondre l authentification au d marrage SafeGua
23. Settings Temporary Internet Files 171 SafeGuard Enterprise 20 2 172 Espace r serv au chemin Syst me R sultats dans la valeur suivante sur d exploitation l ordinateur d extr mit Tous Windows CAE Te RQ lt Windows gt Windows R pertoire Windows ou SYSROOT Ceci correspond aux variables d environnement Ywindir ou SYSTEMROOT Chemin type C Windows lt Amovibles gt Mac OS X Dirige vers les dossiers racine de tous les supports amovibles Mac OS X lt Racine gt MacOS X Le dossier racine Mac OS X Remarque Veuillez toujours utiliser les barres obliques inverses pour s parer les chemins m me lorsque vous cr er des r gles File Encryption pour Mac OS X De cette mani re les r gles peuvent tre appliqu es sur les deux syst mes d exploitation Windows et Mac OS X Remarque Sur le client Mac OS X les barres obliques inverses vont automatiquement tre transform es en barres obliques afin de correspondre aux conditions requises du syst me d exploitation Mac OS X Toutes erreurs dans les espaces r serv s sont consign es dans le journal Les r gles de chiffrement File Encryption erron es sont consign es dans le journal puis ignor es sur l ordinateur d extr mit Exemple d une conversion de chemin Le chemin Windows suivant lt Profil utilisateur gt Dropbox personnel est converti sur le Mac en Utilisateurs lt Nom d utilisateur gt Dropbox personnel Configuration des
24. Smart Security Interface Gemalto Access Client Gemalto Classic Client Gemalto NET Card Solution informatique GmbH IT Solution trustWare CSP Nexus Personal Sertifitseerimiskeskus AS RSA Authentication Client 2 x RSA Smart Card Middleware 3 x Estonian ID Card Siemens T Systems CardOS API NetKey 3 0 Unizeto Licences proCertum Sachez que l utilisation des middlewares respectifs pour le syst me d exploitation standard requiert un accord de licence avec le fabricant correspondant Retrouvez plus d informations sur les licences dans l article http www sophos com fr fr support knowledgebase 116585 aspx Pour les licences Siemens contactez Atos IT Solutions and Services GmbH Otto Hahn Ring 6 81739 Muenchen Allemagne Le middleware est d fini dans une strat gie SafeGuard Enterprise de type Param tres de machine sp cifiques sous Param tres PKCS 11 personnalis s dans le champ Module PKCS 11 pour Windows ou Module PKCS 11 pour l authentification au d marrage Le package de configuration correspondant doit galement tre install sur l ordinateur sur lequel fonctionne SafeGuard Management Center 201 SafeGuard Enterprise 24 3 Configuration de l utilisation d un token 202 Proc dez aux tapes suivantes si vous voulez fournir des tokens aux utilisateurs suivants des fins d authentification Utilisateurs d ordinateurs d extr mit administr s Responsables de la s
25. Sous Informations communes indiquez les l ments suivants a Saisissez un Nom complet pour le groupe de travail b Vous pouvez ventuellement ajouter une description c Le type d objet est affich dans le champ tat de connexion dans ce cas Groupe de travail d Pour emp cher l h ritage de strat gie vous pouvez s lectionner Bloquer l h ritage de strat gie e Cliquez sur OK Le groupe de travail est cr Le r pertoire Enregistr automatiquement par d faut est cr automatiquement sous le conteneur du groupe de travail Il ne peut tre ni renomm ni supprim Suppression de groupes de travail Pour supprimer des groupes de travail vous avez besoin des droits d Acc s complet pour le groupe de travail concern Les membres appartenant au groupe de travail sont galement supprim s Ils sont r enregistr s automatiquement lors de la prochaine connexion Pour supprimer un groupe de travail vous avez besoin des droits d Acc s complet pour tous les objets concern s 1 Dans SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation de gauche cliquez avec le bouton droit de la souris sur le groupe de travail que vous voulez supprimer et s lectionnez Supprimer 3 Pour confirmer cliquez sur Oui Le groupe de travail est supprim Ses membres ventuels sont galement supprim s Remarque si vous n avez pas les droits d Acc s complet pour tous les me
26. Supports amovibles Lecteurs optiques Mod les de p riph riques de stockage P riph riques de stockage distincts Stockage dans le Cloud Une strat gie distincte doit tre cr e pour chaque cible Vous pouvez ult rieurement combiner les strat gies individuelles dans un groupe de strat gies nomm Chiffrement par exemple 6 Cliquez sur OK La nouvelle strat gie s affiche dans la fen tre de navigation sous l ments de strat gie Dans la zone d action tous les param tres du type de strat gie s lectionn s affichent et peuvent tre chang s 71 SafeGuard Enterprise 11 2 dition des param tres de strat gie 72 Lors de la s lection d une strat gie dans la fen tre de navigation vous pouvez diter les param tres de la strat gie dans la zone d action Remarque Une ic ne rouge en regard d un param tre non configur indique qu une valeur doit tre d finie pour ce param tre de strat gie Pour enregistrer la strat gie G non configur s lectionnez d abord un param tre autre que non configur Restauration des valeurs par d faut de param tres de strat gie Dans la barre d outils les ic nes suivantes servent la configuration des param tres de strat gie Param tre de strat gie Affiche les valeurs par d faut des param tres de strat gie qui n ont pas t configur s param tre non configur Les valeurs par d faut pour les param tres des strat gies sont affich
27. appara t Les fichiers d j pr sents dans les emplacements couverts par la strat gie de chiffrement ne sont pas chiffr s automatiquement Les utilisateurs doivent proc der au chiffrement initial dans l Assistant de chiffrement de fichiers SafeGuard sur l ordinateur d extr mit Retrouvez plus d informations dans le Manuel d utilisation de SafeGuard Enterprise Remarque SafeGuard File Share n est pas compatible avec le chiffrement EFS int gr et la compression de fichiers de Windows Si EFS est activ il est prioritaire sur toute r gle de chiffrement de fichiers applicable et les fichiers cr s dans le dossier en question ne peuvent pas tre chiffr s par File Encryption Si la compression est activ e File Encryption a une priorit plus haute et les fichiers sont chiffr s mais pas compress s Pour chiffrer les fichiers avec File Encryption veuillez d abord supprimer le chiffrement EFS ou la compression des donn es L op ration peut tre effectu e manuellement ou en ex cutant l assistant de chiffrement initial de SafeGuard Enterprise Remarque Retrouvez plus de renseignements sur l utilisation d ordinateurs d extr mit Mac et de SafeGuard File Encryption pour Mac dans les documents ci dessous m Guide de d marrage rapide de SafeGuard File Encryption pour Mac 165 SafeGuard Enterprise 20 1 166 Ce document s adresse aux utilisateurs d ordinateurs Mac nm Manuel d administration de SafeGuard Fi
28. aucun p riph rique du chiffrement si une autre strat gie est appliqu e qui sp cifie le chiffrement bas sur volume Remarque concernant les p riph riques SafeStick de BlockMaster des conditions requises particuli res s appliquent Ces p riph riques ont des identifications diff rentes pour les administrateurs et les utilisateurs sans droits administrateur Pour une gestion coh rente dans SafeGuard Enterprise vous devez ajouter les deux identifications aux listes blanches SafeGuard 133 SafeGuard Enterprise 17 8 1 134 Port Auditor d tecte les deux identifications si un p riph rique SafeStick a t ouvert au moins une fois sur l ordinateur contr l par SafeGuard Port Auditor Cr ation de listes blanches pour les strat gies de protection des p riph riques pour le chiffrement bas sur fichier Dans la zone de navigation Strat gies s lectionnez Liste blanche Dans le menu contextuel Liste blanche cliquez sur Nouveau gt Liste blanche S lectionnez le type de liste blanche E Pour cr er une liste blanche pour des mod les de p riph riques sp cifiques s lectionnez Mod les de p riph riques de stockage E Pour cr er une liste blanche pour des p riph riques sp cifiques en fonction du num ro de s rie s lectionnez P riph riques de stockage distincts Sous Source de liste blanche sp cifiez comment vous voulez cr er la liste blanche M Pour saisir manuellement les p
29. correctement 0x00BEB007 12496903 Erreur de communication entre processus dans la bo te de dialogue du code PIN ou de chemin d acc s 0x00BEB008 12496904 Exception non prise en charge dans la bo te de dialogue du code PIN ou de chemin d acc s La bo te de dialogue s est affich e 307 SafeGuard Enterprise 308 mais l utilisateur s est d connect ou l a termin e l aide du Gestionnaire des t ches Ox00BEB009 12496905 L algorithme de chiffrement d fini dans la strat gie ne correspond pas celui du lecteur chiffr Par d faut s il n a pas t modifi un volume BitLocker natif utilise AES 128 tandis que les strat gies SGN d finissent AES 256 Ox00BEB102 12497154 La version UFFI n a pas pu tre valid e et BitLocker va donc tre ex cut en mode h rit Ox00BEB202 12497410 Le package de configuration client n a pas encore t install Ox00BEB203 12497411 La version UEFI n est pas prise en charge et BitLocker va donc tre ex cut en mode h rit La configuration minimum requise est 2 3 1 0x80280006 2144862202 Module de plate forme s curis e inactif 0x80280007 2144862201 Module de plate forme s curis e d sactiv 0x80280014 2144862188 Le module de plate forme s curis e a d j un propri taire 0x80310037 2144272329 Le param tre de strat gie de groupe qui exige la compatibilit FIPS emp che la g
30. curit est n cessaire pour une authentification suppl mentaire La fonction de responsable de la v rification ne peut pas tre supprim e car un second responsable de la v rification est n cessaire pour une authentification suppl mentaire La fonction de responsable r cup ration ne peut pas tre supprim e car un second responsable r cup ration est n cessaire pour une authentification suppl mentaire La fonction de responsable r cup ration ne peut pas tre supprim e car un second responsable r cup ration est n cessaire pour une authentification suppl mentaire Aucun responsable suppl mentaire ayant la fonction requise n est disponible pour une authentification suppl mentaire 805306402 Journal des v nements 805306403 L int grit du journal des v nements central a t v rifi e 805306404 805306405 805306406 Int grit rompue Un ou plusieurs v nements ont t supprim s du d but de la cha ne Int grit rompue Un ou plusieurs v nements ont t supprim s de la cha ne Le message indiquant la d tection du point de rupture de la cha ne a t mis en surbrillance Int grit rompue Un ou plusieurs v nements ont t supprim s de la fin de la cha ne 805306407 Impossible d exporter les v nements dans le fichier Raison 805306408 805306409 805306410 L affichage actuel comprend des donn es non enregistr es Voulez vous enreg
31. dans le r pertoire sp cifi Vous devez maintenant distribuer ce package aux ordinateurs d extr mit et le d ployer sur ceux ci Cr ation d un package de configuration pour les ordinateurs non administr s Qu ee Oh Dans le menu Outils du SafeGuard Management Center cliquez sur Outil de package de configuration S lectionnez Packages du client autonome Cliquez sur Ajouter un package de configuration Donnez un nom au package de configuration Indiquez un Groupe de strat gies pr alablement cr dans SafeGuard Management Center et que vous souhaitez appliquer aux ordinateurs d extr mit Sous Emplacement de la sauvegarde de la cl indiquez ou s lectionnez un chemin r seau partag pour le stockage du fichier de r cup ration de cl Saisissez le chemin de partage sous la forme suivante ordinateur r seau par exemple monentreprise edu Si vous n indiquez pas de chemin ici l utilisateur final sera invit indiquer l emplacement de stockage de ce fichier lors de sa premi re connexion l ordinateur d extr mit suite l installation Le fichier de r cup ration de cl XML est requis pour activer la r cup ration des ordinateurs prot g s par Sophos SafeGuard Il est g n r sur chaque ordinateur prot g par Sophos SafeGuard Remarque assurez vous d enregistrer ce fichier de r cup ration de cl un emplacement de fichier accessible pour le support Les fichiers peuvent galement tre
32. diaire d un Active Directory E Vous pouvez cr er manuellement votre structure organisationnelle en cr ant des groupes de travail et des domaines ainsi qu une structure pour la gestion des l ments de la strat gie Importation depuis Active Directory Vous pouvez importer une structure organisationnelle existante dans la base de donn es SafeGuard Enterprise par exemple par l interm diaire d un Active Directory Nous vous recommandons de cr er un compte de service Windows d di qui sera utilis pour toutes les t ches d importation et de synchronisation ceci pour garantir une importation correcte et pour emp cher la suppression accidentelle d objets dans la base de donn es SafeGuard Enterprise Retrouvez plus d informations sur l attribution des droits dans l article http www sophos com fr fr support knowledgebase 107979 aspx Importation de la structure organisationnelle Remarque avec le Planificateur de t ches SafeGuard Management vous pouvez cr er des t ches p riodiques pour la synchronisation automatique entre Active Directory et SafeGuard Enterprise Votre produit livr contient cet effet un mod le de script pr d fini Retrouvez plus d informations la section Planification des t ches la page 267 et la section Scripts pr d finis pour les t ches p riodiques la page 273 1 Dans SafeGuard Management Center s lectionnez Outils gt Options 2 S lectionnez l onglet R pertoire et cliquez sur A
33. doit tre activ m Le package de configuration du client SafeGuard Enterprise doit galement tre install sur l ordinateur PC sur lequel SafeGuard Management Center est ex cut m Vous avez besoin des droits d Acc s complet pour l utilisateur correspondant 1 Dans SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Connectez le token l interface USB SafeGuard Enterprise lit le token 3 S lectionnez l utilisateur pour lequel un token doit tre g n r et ouvrez l onglet Donn es de token dans la zone de travail du c t droit 4 Dans l onglet Donn es de token proc dez comme suit a S lectionnez l ID utilisateur et le Domaine de l utilisateur concern et saisissez votre Mot de passe Windows b Cliquez sur G n rer un token La bo te de dialogue G n ration d un token s affiche 5 S lectionnez le connecteur adapt au token dans la liste d roulante Connecteurs disponibles Manuel d administration 24 5 2 6 G n rez un nouveau Code PIN utilisateur et r p tez la saisie 7 Sous PIN SO saisissez le code PUK standard fourni par le fabricant ou le code PIN g n r lorsque le token a t initialis Remarque si vous remplissez uniquement le champ Code PIN utilisateur obligatoire le code PIN de l utilisateur doit correspondre celui qui a t g n r lors de l initialisation du token Il est alors inutile de r p ter le code PIN de l utilisateur ou de saisi
34. e de l utilisateur est sur le token ou sur la carte puce Si n cessaire vous pouvez faire glisser le responsable de la s curit la position requise dans l arborescence Responsables de la s curit Le responsable de la s curit peut se connecter au SafeGuard Management Center avec le nom affich Promotion d un responsable de la s curit au rang de responsable principal de la s curit Condition pr alable pour promouvoir un responsable de la s curit vous devez poss der le droit d affichage et de modification de responsables de la s curit 1 Dans SafeGuard Management Center s lectionnez Responsables de la s curit 2 Dans la fen tre de navigation cliquez avec le bouton droit sur le responsable de la s curit promouvoir et s lectionnez Promouvoir au rang de responsable principal dela s curit 3 Si le responsable promu poss de des enfants vous tes invit s lectionner un nouveau n ud parent pour les enfants Le responsable de la s curit a t promu et appara t sous le n ud Responsables principaux de la s curit En tant que responsable principal de la s curit le responsable promu recevra tous les droits sur l ensemble des objets Par cons quent il perdra tous les droits attribu s ainsi que l acc s au domaine autoris de mani re individuelle dans Utilisateur et ordinateurs R trogradation de responsables principaux de la s curit Condition pr alable Pour r trog
35. es localement Toutes les cl s sauf les cl s g n r es localement partir d un jeu de cl s sont affich es et l utilisateur peut s lectionner l une d entre elles Cl d finie dans la liste 137 SafeGuard Enterprise 138 Param tre de strat gie Explication L administrateur peut s lectionner n importe quelle cl disponible lorsqu il d finit des strat gies dans le Management Center La cl doit tre s lectionn e sous Cl d finie pour le chiffrement Si l option Cl machine d finie est utilis e Si SafeGuard Data Exchange est uniquement install sur l ordinateur d extr mit pas d authentification au d marrage SafeGuard ni de chiffrement bas sur volume une strat gie d finissant la Cl machine d finie comme tant la cl utiliser pour le chiffrement bas sur fichier ne s appliquera pas sur cet ordinateur La cl machine d finie n est pas disponible sur un ordinateur de ce type Les donn es ne peuvent pas tre chiffr es Strat gies pour l ordinateur d extr mit non administr prot g par SafeGuard Enterprise autonome Remarque notez que seule l option Toute cl du jeu de cl s utilisateur peut tre utilis e lors de la cr ation de strat gies pour des ordinateurs d extr mit non administr s La cr ation de cl s locales doit en outre tre autoris e pour ce type d ordinateur d extr mit Si la fonction de phrase secr te des supports est activ e po
36. es aux ordinateurs d extr mit dans les strat gies Elles doivent tre attribu es dans le premier package de configuration SafeGuard Enterprise cr pour la configuration des ordinateurs d extr mit Retrouvez plus d informations la section Listes de comptes de service pour la connexion Windows la page 99 E Utilisateurs de l authentification au d marrage pour connexion l authentification au d marrage SafeGuard Les utilisateurs de l authentification au d marrage sont des comptes locaux pr d finis qui permettent aux utilisateurs de se connecter connexion l authentification au d marrage SafeGuard aux ordinateurs d extr mit une fois l authentification au d marrage SafeGuard activ e pour effectuer des t ches administratives Les comptes sont d finis dans la zone Utilisateurs et ordinateurs du SafeGuard Management Center identifiant utilisateur et mot de passe et attribu s aux ordinateurs d extr mit au moyen de groupes d authentification au d marrage inclus dans les packages de configuration Retrouvez plus d informations la section Utilisateurs de l authentification au d marrage pour connexion l authentification au d marrage SafeGuard la page 104 Manuel d administration 15 Listes de comptes de service pour la connexion Windows Remarque les comptes de service sont uniquement pris en charge sur les ordinateurs d extr mit Windows prot g s par SafeGuard Enterprise avec l authentifi
37. es centrale sont journalis s dans le tableau EVENT de la base de donn es de SafeGuard Enterprise Une protection d int grit sp cifique peut tre appliqu e ce tableau Les v nements peuvent tre journalis s sous forme de liste connect e dans le tableau EVENT En raison de la connexion chaque entr e de la liste d pend de l entr e pr c dente Si une entr e est supprim e de la liste ceci appara t clairement et peut tre v rifi l aide d une v rification de l int grit Pour optimiser les performances la connexion des v nements dans le tableau EVENT est d sactiv e par d faut Vous pouvez activer la connexion des v nements journalis s pour v rifier l int grit Retrouvez plus d informations la section V rification de l int grit des v nements journalis s la page 261 Remarque la protection d int grit ne s applique pas au tableau EVENT lorsque la connexion des v nements journalis s est d sactiv e Remarque un trop grand nombre d v nements peut entra ner des probl mes de performances Retrouvez plus d informations sur la mani re d viter ces probl mes de performances lors du nettoyage des v nements la section Nettoyage d v nement planifi par script la page 263 Activation de la connexion des v nements journalis s 1 Arr tez le service Web SGNSRV sur le serveur Web 2 Supprimez tous les v nements de la base de donn es et cr ez une sauvegarde lors de
38. gr e OS X qui prot ge un volume tout entier et qui peut tre g r e par SafeGuard Enterprise Gestion du chiffrement int gral du disque FileVault 2 avec SafeGuard Enterprise SafeGuard Enterprise vous permet de g rer le chiffrement int gral du disque File Vault 2 partir de SafeGuard Management Center pareillement un client SafeGuard Enterprise natif L installation du client SafeGuard Enterprise ne contient pas le composant de gestion de File Vault 2 Il doit tre install s par ment Retrouvez plus de renseignements dans votre documentation de Sophos SafeGuard Disk Encryption pour Mac La gestion centralis e et totalement transparente de FileVault 2 par SafeGuard Enterprise permet ainsi de l utiliser dans des environnements informatiques h t rog nes Les strat gies de s curit de diff rentes plates formes peuvent tre d ploy es de mani re centralis e Gestion des ordinateurs d extr mit FileVault 2 avec SafeGuard Management Center Dans SafeGuard Management Center les ordinateurs d extr mit FileVault 2 peuvent tre g r s exactement comme tout ordinateur d extr mit natif de SafeGuard Enterprise En tant que responsable de la s curit vous pouvez d finir des strat gies de chiffrement pour les ordinateurs d extr mit FileVault 2 et les distribuer Lorsque l ordinateur d extr mit FileVault 2 est enregistr dans SafeGuard Enterprise les informations concernant l utilisateur l ordinateur le
39. l identification de la machine vous pouvez saisir le texte dans ce champ de saisie Affiche une zone de texte avec un contenu pouvant tre configur qui appara t avant l identification dans l authentification au d marrage SafeGuard Dans certains pays la loi exige l affichage d une zone de texte ayant un certain contenu L utilisateur doit confirmer la zone de texte avant que le syst me ne continue Avant de sp cifier un texte ce dernier doit tre enregistr en tant qu l ment de texte sous Texte d informations dans la zone de navigation Strat gies Le texte afficher en tant que mention l gale Dans ce champ vous pouvez s lectionner un l ment de texte enregistr dans Texte d informations dans la zone de navigation Strat gies Afficher des informations suppl mentaires Affiche une zone de texte avec un contenu pouvant tre configur qui appara t apr s la mention l gale si elle est activ e Vous pouvez d finir si les informations suppl mentaires sont affich es E Jamais E chaque d marrage syst me M chaque connexion Avant de sp cifier un texte ce dernier doit tre enregistr en tant qu l ment de texte sous Texte d informations dans la zone de navigation Strat gies Texte des informations suppl mentaires Afficher pendant s Le texte afficher en tant qu informations suppl mentaires Dans ce champ vous pouvez s lectionner un l ment de texte enr
40. la premi re synchronisation Le param tre par d faut est 0 Remarque assurez vous d avoir les droits d acc s n cessaires pour la synchronisation Active Directory et que les autorisations SQL appropri es sont d finies pour le compte utilis pour ex cuter le Planificateur de t ches SafeGuard Enterprise Retrouvez plus d informations la section Droits d acc s du responsable de la s curit et importation Active Directory la page 27 Retrouvez plus d informations sur la d finition des droits d acc s Active Directory dans l article http www sophos com fr fr support knowledgebase 107979 aspx Retrouvez plus d informations sur la d finition des autorisations SQL dans l article http www sophos com fr fr support knowledgebase 113582 aspx Une fois les droits d finis correctement appliquez les changements et red marre le service Passez sur le serveur h bergeant la page Web SafeGuard Enterprise Ouvrez l interface Services en cliquant sur D marrer gt Ex cuter gt Services msc Cliquez avec le bouton droit de la souris sur Service du planificateur SafeGuard et cliquez sur Toutes les t ches gt Red marrer Manuel d administration 31 5 4 2 Remarque nous vous conseillons de synchroniser l Active Directory intervalles mod r s deux fois par jour maximum afin que les performances du serveur ne soient pas trop diminu es Les nouveaux objets appara tront dans le SafeGuard Management Center sous Autoregist
41. lectionn dans la strat gie s applique Protection des p riph riques Les strat gies du type Protection du p riph rique couvrent les param tres pour le chiffrement des donn es sur diff rents p riph riques de stockage des donn es Le chiffrement peut tre bas sur volume ou sur fichier avec des cl s et des algorithmes diff rents Les strat gies de type Protection du p riph rique incluent galement des param tres pour SafeGuard Data Exchange SafeGuard Cloud Storage et SafeGuard Portable Retrouvez plus d informations sur SafeGuard Data Exchange la section SafeGuard Data Exchange la page 177 Retrouvez plus d informations sur SafeGuard Cloud Storage la section Cloud Storage la page 187 Retrouvez plus d informations sur SafeGuard Data Exchange SafeGuard Cloud Storage et SafeGuard Portable sur l ordinateur d extr mit dans leManuel d utilisation de SafeGuard Enterprise Lors de la cr ation d une strat gie de protection des p riph riques vous devez d abord sp cifier la cible de la protection du p riph rique Les cibles possibles sont les suivantes E Stockage de masse volumes d initialisation autres volumes Supports amovibles Lecteurs optiques Mod les de p riph riques de stockage P riph riques de stockage distincts 135 SafeGuard Enterprise E D finitions Cloud Storage Pour chaque cible cr ez une strat gie distincte Remarque supports amovibles cibles une strat gie qui sp ci
42. les licences appropri es ne sont pas disponibles vous ne pouvez pas cr er de strat gies pour les tokens dans SafeGuard Management Center Licences d valuation et de d monstration Le fichier de licence par d faut licence d valuation ou les fichiers de licence de d monstration individuels peuvent tre utilis s pour l valuation ou le d ploiement initial Ces licences sont uniquement valides pendant une certaine p riode de temps et ont une date d expiration En revanche il n existe aucune restriction fonctionnelle Remarque les licences d valuation et de d monstration ne doivent pas tre utilis es dans un environnement de travail normal Fichiers de licence par d faut Un fichier de licence par d faut est charg automatiquement lors de l installation du SafeGuard Management Center Cette licence d valuation appel e licence d valuation de SafeGuard Enterprise contient cinq licences pour chaque module et est limit e pour une dur e de deux ans compter de la date de publication de la version SafeGuard Enterprise en question Fichier de licence par d faut pour SafeGuard Cloud Storage et pour SafeGuard File Encryption Lorsque SafeGuard Management Center 6 1 est install un fichier de licence par d faut suppl mentaire est charg automatiquement pour SafeGuard Cloud Storage et pour SafeGuard File Encryption Cette licence d valuation contient cinq licences pour chacun des deux modules et elle est valable
43. me lettre de lecteur que le pr c dent SafeGuard Enterprise n enregistre que la cl de r cup ration du nouveau disque Gestion des lecteurs d j chiffr s avec BitLocker Lorsque vous disposez de lecteurs d j chiffr s avec BitLocker sur votre ordinateur ils seront g r s par SafeGuard Enterprise d s que le logiciel sera install Lecteurs d initialisation chiffr s m Selon la prise en charge SafeGuard Enterprise BitLocker utilis e il se peut que vous deviez red marrer l ordinateur Veuillez red marrer l ordinateur aussit t que possible m Une strat gie de chiffrement SafeGuard Enterprise s applique au lecteur chiffr E Le Challenge R ponse SafeGuard Enterprise BitLocker est install la gestion est prise en charge et il est possible d utiliser le Challenge R ponse SafeGuard Enterprise E SafeGuard Enterprise BitLocker est install la gestion est prise en charge et il est possible d utiliser la r cup ration M Aucune strat gie de chiffrement SafeGuard Enterprise ne s applique au lecteur chiffr m Le Challenge R ponse SafeGuard Enterprise BitLocker est install la gestion n est pas prise en charge et il n est pas possible d utiliser le Challenge R ponse SafeGuard Enterprise E SafeGuard Enterprise BitLocker est install il est possible d utiliser la r cup ration Lecteurs de donn es chiffr s E Une strat gie de chiffrement SafeGuard Enterprise s applique au lecteur chiffr la gestion es
44. n ration du mot de passe de r cup ration locale et son criture sur le fichier de sauvegarde de la cl Le chiffrement va tout de m me se poursuivre 0x8031005B 2144272293 La strat gie de groupe pour la m thode d authentification sp cifi e n est pas d finie Veuillez activer la strat gie de groupe Demander une authentification suppl mentaire au d marrage 0x8031005E 0x80280000 Ox803100CF 2144272290 2144862208 2144272177 La strat gie de groupe pour le chiffrement sans module de plate forme s curis e n est pas d finie Veuillez activer la strat gie de groupe Demander une authentification suppl mentaire au d marrage et s lectionner la case Autoriser BitLocker sans un module de plateforme s curis e compatible Veuillez consulter les Codes d erreur COM TPM PLA FVE de Microsoft Manuel d administration 36 Support technique Vous b n ficiez du support technique des produits Sophos de l une des mani res suivantes E Rendez vous sur le forum de la communaut SophosTalk en anglais sur http community sophos com et recherchez d autres utilisateurs rencontrant le m me probl me que le v tre M Rendez vous sur la base de connaissances du support de Sophos l adresse http www sophos com fr fr support aspx M T l chargez la documentation des produits l adresse http www sophos com fr fr support documentation M Envoyez un e mail support
45. ou pour le groupe auquel il appartient est d fini cinq jours Apr s deux jours seulement l utilisateur d cide de changer le mot de passe en 13jk56 Le changement de mot de passe est refus car l utilisateur Bertrand ne peut d finir un nouveau mot de passe qu apr s un d lai de cinq jours Expiration du mot de passe apr s jours Si la p riode de validit maximum est activ e l utilisateur doit d finir un nouveau mot de passe une fois la p riode d finie expir e Avertir d un changement obligatoire avant jours Un message d avertissement s affiche n jours avant l expiration du mot de passe pour rappeler l utilisateur de changer son mot de passe dans n jours L utilisateur peut galement le changer imm diatement G N RAL Masquer les entr es Indique si les entr es sont masqu es lors de la saisie des mots de passe Longueur de l historique de mot de passe D termine quel moment des mots de passe d j utilis s peuvent l tre nouveau Il est judicieux de d finir la longueur d historique conjointement au param tre Expiration du mot de passe apr s jours Exemple La longueur d historique du mot de passe pour l utilisateur Bertrand est d finie 4 et le nombre de jours l issue desquels l utilisateur doit changer son mot de passe est de 30 M Bertrand se connecte actuellement en utilisant le mot de passe Informatique Lorsque la p riode de 30 jour
46. ploy avec la prise en charge BitLocker activ e BitLocker To Go est pris en charge M Lorsque le client de chiffrement des p riph riques de SafeGuard Enterprise a t d ploy sans activer la prise en charge BitLocker ou lorsque le client SafeGuard Data Exchange a t d ploy le chiffrement avec BitLocker To Go n est pas compatible et doit tre dans ce cas d sactiv Par contre le chiffrement des volumes internes et des supports amovibles peut tre correctement configur de mani re centralis e dans les strat gies de s curit SafeGuard Enterprise Les volumes et les supports amovibles qui ont t chiffr s avec BitLocker To Go avant le d ploiement de SafeGuard Enterprise restent lisibles 18 2 5 1 D sactivation du chiffrement BitLocker To Go 1 Dans l diteur de strat gies de groupes Windows s lectionnez Strat gie de domaine par d faut gt Configuration ordinateur gt Strat gies gt Mod les d administration ordinateur local gt Composants Windows gt Chiffrement de lecteur BitLocker gt Lecteurs de donn es amovibles 2 Sous Lecteurs de donn es amovibles s lectionnez la strat gie suivante Contr ler l utilisation de BitLocker sur les lecteurs amovibles D finissez les options comme suit a S lectionnez Activ b Sous Options dess lectionnez Autoriser les utilisateurs prot ger les lecteurs de donn es amovibles avec BitLocker c Sous Options s lectionnez Autoriser les utilisat
47. res Remarque les comptes Microsoft sont toujours consid r s comme des utilisateurs invit s de SafeGuard Enterprise Consignation dans le journal Les inscriptions r ussies ou non des utilisateurs des ordinateurs ou des groupes de travail sont consign es dans le journal Vous pouvez consulter la liste de ces informations dans SafeGuard Management Center sous Rapports dans l observateur d v nements Recherche d utilisateurs d ordinateurs et de groupes dans la base de donn es SafeGuard Enterprise Pour afficher des objets dans la bo te de dialogue Rechercher des utilisateurs ordinateurs et groupes vous avez besoin des droits en Lecture seule ou d Acc s complet pour les objets concern s Remarque lorsque vous recherchez des objets vous obtenez uniquement les r sultats de la recherche sur les zones domaines sur lesquelles vous disposez de droits d acc s en tant que responsable de la s curit Seul un Responsable principal de la s curit peut effectuer une recherche sur la racine 33 SafeGuard Enterprise 34 Dans Utilisateurs et ordinateurs vous pouvez rechercher des objets l aide de diff rents filtres Par exemple vous pouvez facilement identifier les doubles qui peuvent avoir t provoqu s par un processus de synchronisation AD avec le filtre Utilisateurs et ordinateurs dupliqu s Ce filtre affiche tous les ordinateurs portant le m me nom dans un domaine et tous les utilisateurs avec le m me no
48. s dans les packages de configuration sont d finis sur ceux sp cifi s dans SafeGuard Management Center Les mots de passe chang s avec F8 sont remplac s Retrouvez plus d informations sur la mise niveau des ordinateurs d extr mit non administr s dans le Guide de mise niveau de SafeGuard Enterprise Annulation de l attribution d utilisateurs de l authentification au d marrage des ordinateurs d extr mit non administr s Les utilisateurs de l authentification au d marrage peuvent tre supprim s des ordinateurs d extr mit en attribuant un groupe d authentification au d marrage vide 1 Dans SafeGuard Management Center s lectionnez Outil de package de configuration dans le menu Outils 2 S lectionnez un package de configuration existant ou cr ez en un nouveau 3 Sp cifiez un Groupe POA vide cr pr alablement dans la zone Utilisateurs et ordinateurs du SafeGuard Management Center ou s lectionnez le groupe d authentification au d marrage aucune listedisponible par d faut dans l Outil de package de configuration 4 Indiquez un chemin de sortie pour le package de configuration 5 Cliquez sur Cr er un package de configuration 6 D ployez le package de configuration sur les ordinateurs d extr mit L installation du package de configuration entra ne la suppression de tous les utilisateurs de l authentification au d marrage des ordinateurs d extr mit Tous les utilisateurs concern s sont donc suppr
49. s en Unicode UTF 16 uniquement Si vous ne cr ez pas les fichiers texte dans ce format ils seront automatiquement convertis lorsqu ils seront enregistr s Les caract res sp ciaux doivent par cons quent tre utilis s avec prudence dans les textes d informations cr s pour l authentification au d marrage SafeGuard Il est possible que certains de ces caract res n apparaissent pas correctement Pour enregistrer des textes d informations 1 Dans la zone de navigation Strat gies cliquez avec le bouton droit de la souris sur Texte d informations et s lectionnez Nouveau gt Texte 2 Entrez le nom du texte afficher dans le champ Nom de l l ment de texte 3 Cliquez sur pour s lectionner le fichier texte pr alablement cr Un message s affiche si le fichier doit tre converti 4 Cliquez sur OK Le nouvel l ment de texte s affiche en tant que n ud secondaire sous Texte d informations dans la zone de navigation de strat gie Si vous s lectionnez un l ment de texte son contenu s affiche dans la fen tre de droite L l ment de texte peut d sormais tre s lectionn lors de la cr ation de strat gies R p tez la proc dure pour enregistrer d autres l ments de texte Tous les l ments de texte enregistr s s affichent en tant que n uds secondaires Remarque vous pouvez utiliser le bouton Modifier le texte pour ajouter du texte au texte existant Une bo te de dialogue de s lection d un aut
50. s par d faut Cliquez sur l ic ne pour masquer les valeurs par d faut D finit le param tre de strat gie d fini sur non configur D finit tous les param tres de strat gie d une zone sur non configur D finit la valeur par d faut de la strat gie marqu e D finit tous les param tres de strat gie d une zone sur la valeur par d faut Manuel d administration Diff rences entre les strat gies sp cifiques d une machine et les strat gies sp cifiques d un utilisateur Strat gie de couleur bleue La strat gie s applique uniquement aux machines et non aux utilisateurs Strat gie de couleur noire La strat gie s applique aux machines et aux utilisateurs 11 3 Groupes de strat gies 11 3 1 Les strat gies SafeGuard Enterprise peuvent tre combin es dans des groupes de strat gies Un groupe de strat gies peut contenir diff rents types de strat gies Dans SafeGuard Management Center le groupe de strat gies Par d faut disponible est attribu la Racine sous Utilisateurs et ordinateurs Si vous rassemblez des strat gies du m me type dans un groupe les param tres sont fusionn s automatiquement Dans ce cas vous pouvez d finir des priorit s d utilisation des param tres Les param tres d une strat gie ayant une priorit sup rieure remplacent ceux d une strat gie de priorit inf rieure Un param tre de strat gie d fini remplace les param tres des autres strat gies si
51. tres g n raux dans SafeGuard Management Center en utilisant le param tre Personnalisation gt Langue utilis e sur le client E Si la langue du syst me d exploitation est s lectionn e SafeGuard Enterprise utilise le param tre de langue du syst me d exploitation Si la langue du syst me d exploitation n est pas disponible dans SafeGuard Enterprise la langue de SafeGuard Enterprise est d finie par d faut sur l anglais E Sil une des langues disponibles est s lectionn e les fonctions de SafeGuard Enterprise apparaissent dans la langue s lectionn e sur l ordinateur d extr mit 13 SafeGuard Enterprise 14 5 Licences 5 1 Vous avez besoin d une licence valide pour utiliser SafeGuard Enterprise avec le SafeGuard Management Center comme syst me direct Par exemple dans la base de donn es SafeGuard Enterprise une licence valide est une condition pr alable l envoi de strat gies aux ordinateurs d extr mit Les licences de token appropri es sont galement requises pour la gestion des tokens Les fichiers de licence sont disponibles aupr s de votre partenaire des ventes Ces fichiers doivent tre import s dans la base de donn es SafeGuard Enterprise apr s l installation Le fichier de licence inclut entre autres informations E Le nombre de licences achet es par module E Le nom du d tenteur de la licence E Une limite de tol rance sp cifi e pour le d passement du nombre de licences Si le
52. CCO cr dans l outil d administration source Dans le menu Outils cliquez sur Outil de package de configuration et s lectionnez l onglet CCO Cliquez sur Importer 4 Dans la bo te de dialogue Importer un CCO s lectionnez le CCO que vous avez cr dans l outil d administration source et saisissez un nom de CCO et si vous le souhaitez une description Cliquez sur OK 5 Dans l outil d administration cible cr ez un nouveau package de configuration Dans le menu Outils cliquez sur Outil de package de configuration gt Packages du client autonome et ajoutez un nouveau package de configuration S lectionnez le CCO import dans le menu d roulant dans la colonne CCO Sp cifiez un emplacement sous Chemin de sortie du package de configuration Cliquez sur Cr er un package de configuration Le package de configuration est cr dans l emplacement sp cifi 6 Installez ce package de configuration sur tous les ordinateurs d extr mit que vous voulez d placer de l environnement source vers l environnement cible Gestion des ordres de modification du certificat d entreprise Dans le SafeGuard Management Center dans le menu Outils cliquez sur Outil de package de configuration Tous les ordres de modification du certificat d entreprise CCO Company Certificate Change Order apparaissent dans l onglet CCO Des informations d taill es sur le CCO s lectionn apparaissent dans la partie inf rieure de la bo te de dialogue Si
53. Chiffrement Chiffrement Chiffrement Chiffrement Chiffrement Identifiant s i 3521 3522 3524 3525 3526 3540 3541 3542 3543 Description chec et cl ture du d chiffrement F amp F Annulation du d chiffrement F amp F sur le lecteur D marrage du chiffrement F amp F Fin du chiffrement F amp F r ussie chec du chiffrement F amp F D marrage du d chiffrement F amp F Fin du d chiffrement F amp F r ussie chec du d chiffrement F amp F Sauvegarde de la cl d initialisation r ussie Nombre maximum d algorithmes d initialisation d pass Erreurs de lecture sur la KSA D sactivation des volumes en fonction des strat gies d finies Avertissement La sauvegarde du secteur de d marrage NTFS manque sur le volume 1 Chiffrement Contr le d acc s Chiffrement Erreur g n rale de chiffrement Chiffrement Erreur de chiffrement moteur volume manquant Chiffrement Erreur de chiffrement moteur volume hors ligne Chiffrement Chiffrement Erreur de chiffrement moteur volume supprim Frreur de chiffrement moteur volume incorrect Chiffrement Chiffrement Chiffrement Erreur de chiffrement cl de chiffrement manquante Erreur de chiffrement zone de stockage des cl s d origine endommag e Erreur de chiffrement zone de stockage des cl s de sauvegarde endommag e sur le volume Chiffrement Erreur de chiffrement zone ESA d
54. Cliquez avec le bouton droit de la souris sur R les personnalis s et s lectionnez Nouveau gt Nouveau r le personnalis 3 Dans le champ Nouveau r le personnalis saisissez un nom et une description pour le r le 4 Attribuez les actions ce r le S lectionnez les cases en regard de l action requise dans la colonne Activ Les actions sont tri es par zone de fonctions et dispos es de mani re hi rarchique Cette structure permet de visualiser les actions n cessaires l ex cution d autres actions 5 Si n cessaire attribuez une Authentification d un autre responsable Cliquez sur le param tre par d faut Aucune et depuis la liste s lectionnez le r le requis Si un responsable cr e un r le sans poss der de droit de modification de l authentification suppl mentaire les param tres relatifs l authentification suppl mentaire seront pr alablement renseign s en fonction de l authentification suppl mentaire d finie pour les r les du responsable Vous pouvez s lectionner une authentification suppl mentaire si celle ci a t d finie pour plusieurs r les du responsable 6 Cliquez sur OK Le nouveau r le est affich sous R les personnalis s dans la fen tre de navigation Lorsque vous cliquez sur le r le les actions autoris es sont affich es dans la zone d action de droite 8 3 Attribution d un r le un responsable de la s curit Condition pr alable pour attribuer un r le vous dev
55. Enterprise consigne dans le journal tous les p riph riques auxquels il se connecte et vous pouvez afficher une liste des p riph riques connect s et ignor s l aide des cl s de registre Affichage des p riph riques connect s et ignor s pour la configuration de SafeGuard Data Exchange Pour vous aider d finir les p riph riques ignor s vous pouvez utiliser des cl s du registre pour indiquer quels p riph riques sont consid r s pour le chiffrement p riph riques connect s et quels sont ceux qui sont ignor s La liste des p riph riques ignor s indique seulement ceux qui sont v ritablement disponibles sur l ordinateur et qui sont ignor s Si un p riph rique est param tr pour tre ignor dans une strat gie et s il n est pas disponible sur l ordinateur il n appara t pas dans la liste Utilisez les cl s de registre suivantes pour afficher les p riph riques connect s et ignor s E HKIM System CurrentControlSet Cont rol Utimaco SGLCENC Log AttachedDevices E HKIM System CurrentControlSet Control Utimaco SGLCENC Log IgnoredDevices Configuration du chiffrement permanent pour SafeGuard Data Exchange Le contenu des fichiers chiffr s par SafeGuard Data Exchange est d chiffr la vol e si l utilisateur poss de la cl requise Lorsque le contenu est enregistr sous la forme d un nouveau fichier dans un emplacement qui n est pas couvert par une r gle de chiffrement le fichier obtenu ne sera pas chiffr
56. La bo te de dialogue Nouvelle t che appara t 3 Dans le champ Nom saisissez un nom de t che unique Si le nom de t che n est pas unique un avertissement appara t lorsque vous cliquez sur OK pour enregistrer la t che 4 Dans la liste d roulante du champ Serveur SGN s lectionnez le serveur sur lequel la t che doit fonctionner La liste d roulante affiche seulement les serveurs pour lesquels la cr ation de scripts est autoris e Vous autorisez la cr ation de scripts pour une serveur donn lorsque vous l enregistrez dans l Outil de package de configuration dans le SafeGuard Management Center Retrouvez plus d informations sur l enregistrement des serveurs dans le Guide d installation de SafeGuard Enterprise Si vous s lectionnez Aucune la t che n est pas ex cut e 267 SafeGuard Enterprise 9 Cliquez sur le bouton Importer pr s du champ Script La bo te de dialogue S lectionner le fichier script importer appara t Remarque deux scripts pr d finis sont disponibles dans le r pertoire Script Templates de l installation de votre SafeGuard Management Center La bo te de dialogue S lectionner le fichier de script importer appara t Retrouvez plus d informations la section Scripts pr d finis pour les t ches quotidiennes la page 273 Dans le Planificateur de t ches vous pouvez importer exporter et modifier des scripts Retrouvez plus d informations la section Utilisation de scripts
57. Le mot de passe fourni plusieurs fois est incorrect l acc s est par cons quent verrouill Il est g n ralement possible d utiliser un outil d administration appropri pour le d verrouiller L identit ne correspond pas une identit d finie ayant fait l objet d un contr le crois 30077 Plusieurs erreurs se sont produites Utilisez ce code d erreur si c est le seul moyen d obtenir un code d erreur lorsque des erreurs diff rentes se sont produites 30078 Il reste des l ments par cons quent la structure du r pertoire ne peut par exemple pas tre supprim e 30079 Erreur lors du contr le de coh rence L identifiant se trouve sur une liste noire par cons quent l op ration demand e n est pas autoris e 30081 Identificateur non valide Fichier de configuration non valide Secteur introuvable Entr e introuvable 297 SafeGuard Enterprise Identifiant de Affichage l erreur 352321642 Nom de fichier non valide 352321643 Erreur de lecture criture du fichier temporaire 352321644 L acc s aux donn es non chiffr es n est pas autoris 352321645 Zone de stockage des cl s KSA satur e 352321646 Le fichier est d j chiffr avec un autre algorithme 352321647 Le fichier est compress avec NTFS et ne peut pas tre chiffr 352321648 Le fichier est chiffr avec EFS 298 Manuel d administration Identifiant de Affichage l erreur 536870922 L
58. Les cl s ne sont pas stock es sur le disque dur de l ordinateur Le module TPM doit tre accessible par le BIOS au cours du d marrage Lorsque vous d marrez votre ordinateur BitLocker r cup re ces cl s automatiquement partir du TPM Votre responsable de la s curit peut d finir diff rents mode de connexion TPM TPM PIN ou TPM carte m moire USB pour BitLocker Lorsque SafeGuard Enterprise active BitLocker la cl de d marrage de BitLocker est stock e sur le TPM Remarque le TPM doit tre activ et la propri t doit tre d finie avant que SafeGuard Enterprise ne puisse g rer le chiffrement BitLocker Ordinateurs d extr mit sans TPM Si un ordinateur n est pas quip d un module de plate forme s curis e TPM vous pouvez cr er une cl de d marrage BitLocker l aide d un lecteur flash USB pour stocker les cl s de chiffrement et de d chiffrement Veuillez ins rer le lecteur flash chaque fois que vous allumez l ordinateur Lorsque SafeGuard Enterprise active BitLocker vous tes invit proc der l enregistrement de la cl de d marrage BitLocker Une bo te de dialogue affiche les lecteurs cibles dans lesquels vous pouvez stocker la cl de d marrage Remarque pour les volumes d initialisation il est essentiel que vous disposiez de la cl de d marrage lorsque vous allumez votre ordinateur Par cons quent le stockage de la cl de d marrage est limit aux supports amovibles Pour
59. M Vous pouvez d finir plusieurs applications s curis es ignor es dans une strat gie Chaque ligne de la zone de liste de l diteur d finir une application M Les noms des applications doivent se terminer par exe M Les noms des applications doivent tre indiqu s comme des chemins pleinement qualifi s avec informations sur le lecteur r pertoire par exemple c dir example exe La saisie d un nom de fichier seulement par exemple exemple exe n est pas suffisante Pour une meilleure utilisation la vue sur une ligne de la liste des applications n affiche que les noms de fichiers s par s par des points virgules M Les noms d applications peuvent contenir les m mes noms d espaces r serv s pour les dossiers d environnement Windows et variables d environnement que les r gles de chiffrement dans les strat gies File Encryption Retrouvez une description des espaces r serv s disponibles la section Espaces r serv s pour les chemins des r gles File Encryption la page 169 4 Enregistrez vos modifications Remarque les param tres de strat gie Applications fiables et Applications ignor es sont les param tres de la machine La strat gie doit donc tre attribu e aux machines pas aux utilisateurs Sinon les param tres ne deviennent pas actifs Configuration des p riph riques ignor s pour File Encryption Vous pouvez d finir des p riph riques comme ignor s pour les exclure du processus de chiffrement des fi
60. Management Center s lectionnez Utilisateurs et ordinateurs 2 Cliquez avec le bouton droit sur l utilisateur que vous souhaitez promouvoir au rang de responsable de la s curit et s lectionnez Faire de cet utilisateur un responsable de la s curit 3 L tape suivante est diff rente selon qu un certificat utilisateur est disponible ou non pour l utilisateur s lectionn E Siun certificat utilisateur a d j t attribu cet utilisateur la bo te de dialogue S lection d un ou des r les appara t Passez l tape 4 Manuel d administration 8 11 3 8 12 E Siaucun certificat utilisateur est disponible un message appara t vous demandant si une paire de cl s signature automatique doit tre cr e pour cet utilisateur Cliquez sur Oui et saisissez et confirmez un mot de passe dans la bo te de dialogue Mot de passe pour le nouveau certificat Maintenant la bo te de dialogue S lection du ou des r les appara t 4 Dans la bo te de dialogue S lection du ou des r les s lectionnez les r les requis et cliquez sur OK L utilisateur est d sormais promu et appara t dans la zone Responsables de la s curit avec son nom d utilisateur Leurs propri t s peuvent tre affich es en s lectionnant le responsable concern dans la fen tre de navigation La cl priv e de l utilisateur est stock e dans la base de donn es et l option Aucun token est activ e L option Facultatif est activ e si la cl priv
61. NET V2 smart cards E Le chemin d installation par d faut pour Nexus Personal C Program Files Personal bin Licences Sachez que l utilisation des middlewares respectifs pour le syst me d exploitation standard requiert un accord de licence avec le fabricant correspondant Retrouvez plus d informations sur la d finition des autorisations SQL dans l article http www sophos com fr fr support knowledgebase 116585 aspx Pour les licences Siemens contactez Atos IT Solutions and Services GmbH 148 Manuel d administration Param tres de strat gie Explication Otto Hahn Ring 6 D 81739 Muenchen Allemagne Services en attente de Ce param tre permet de r soudre les probl mes de certaines cartes puce Notre support fournira les param tres correspondants requis 17 11 Journalisation pour les ordinateurs d extr mit Windows Les v nements SafeGuard Enterprise ne sont pas dans l Observateur d v nements Windows ou dans la base de donn es SafeGuard Enterprise Pour sp cifier les v nements journaliser et leur destination cr ez une strat gie de type Journalisation et s lectionnez les v nements souhait s en cliquant dessus Vous pouvez s lectionner plusieurs types d v nements de cat gories diff rentes par exemple authentification chiffrement etc Nous vous recommandons de d finir une strat gie pour la journalisation et de d terminer quels sont les v nements n cessai
62. SafeGuard Management Center cliquez sur Strat gies 203 SafeGuard Enterprise 24 5 24 5 1 204 2 Cr ez une nouvelle strat gie du type Param tres de machine sp cifiques ou s lectionnez une strat gie existante de ce type 3 Dans la zone de travail c t droit s lectionnez le middleware appropri sous Param tres de prise en charge du token gt Nom du module Enregistrez les param tres 4 Attribuez la strat gie pr sent SafeGuard Enterprise peut communiquer avec le token G n ration d un token Lorsqu un token est g n r dans SafeGuard Enterprise les donn es qui sont utilis es pour l authentification sont crites sur ce token Ces donn es sont constitu es de codes d acc s et de certificats Dans SafeGuard Enterprise des tokens peuvent tre g n r s pour les r les d utilisateurs suivants E Tokens pour les utilisateurs des ordinateurs d extr mit administr s E Tokens pour les responsables de la s curit L utilisateur et les responsables de la s curit peuvent acc der au token L utilisateur est celui qui doit utiliser le token L utilisateur n a acc s qu aux objets et aux cl s priv s Le responsable de la s curit peut uniquement acc der aux objets publics mais il peut r initialiser le code PIN de l utilisateur G n ration d un token ou d une carte puce pour un utilisateur Conditions pr alables m le token doit tre initialis et le module PKCS 11 appropri
63. Self Help Une fois la strat gie appliqu e aux ordinateurs d extr mit ce param tre permet l utilisateur d avoir recours Local Self Help pour r cup rer la connexion Pour pouvoir utiliser Local Self Help l utilisateur doit alors activer cette m thode de r cup ration en r pondant un nombre de questions sp cifi parmi les questions re ues ou en cr ant et en r pondant des questions personnalis es en fonction de ses autorisations Manuel d administration 26 1 2 cet effet l Assistant Local Self Help est disponible via une ic ne dans la barre des t ches Windows une fois la strat gie appliqu e et l ordinateur red marr Configuration de Local Self Help Vous pouvez d finir les options suivantes pour Local Self Help dans une strat gie du type Param tres g n raux E Longueur minimum des r ponses D finissez la longueur minimale en caract res des r ponses Le nombre par d faut est 1 E Texte de bienvenue sous Windows Vous pouvez indiquer le texte d informations individuel afficher dans la premi re bo te de dialogue au d marrage de l Assistant Local Self Help sur l ordinateur d extr mit Avant de sp cifier le texte ici il doit tre cr et enregistr m L utilisateur peut d finir des questions personnalis es Les sc narios suivants sont possibles concernant la d finition de questions pour Local Self Help E En tant que responsable de la s curit d finissez les
64. Windows Dans SafeGuard Management Center le responsable de la s curit cr e une strat gie du type Param tres de machine sp cifiques avec les param tres suivants et l attribue aux ordinateurs d extr mit souhait s Param tre de strat gie Valeur Nombre de connexions automatiques 0 pas de WOL Autoriser la connexion Windows pendant le WOL Oui D but de la tranche horaire pour le lancement du WOL 24 sept 2013 12 00 externe Fin de la tranche horaire pour le lancement du WOL 25 sept 2013 06 00 externe Retrouvez plus d informations sur les param tres individuels la section Param tres de machine sp cifiques param tres de base la page 141 tant donn que le nombre de connexions automatiques est d fini sur 5 l ordinateur d extr mit d marre 5 fois sans identification l authentification au d marrage SafeGuard 215 SafeGuard Enterprise 216 Remarque pour le mode veil par appel r seau nous vous conseillons d autoriser trois red marrages de plus que n cessaire pour faire face aux probl mes impr vus Le responsable de la s curit d finit l intervalle sur 12 heures ou midi le jour pr c dant le d ploiement de logiciels Ainsi le script de planification SGMCMDIntn exe d marre l heure et l veil par appel r seau ne se lance qu partir du 25 septembre 3 heures du matin L quipe de d ploiement des logiciels cr e deux commandes pour le script de pro
65. actuel indique qu une modification de certificat d entreprise est n cessaire Les informations sont disponibles sur le CCO requis dans l onglet CCO de l Outil du package de configuration dans le menu Outils Remarque si les certificats d entreprise actuellement actifs dans la base de donn es SafeGuard Enterprise et sur l ordinateur d extr mit ne correspondent pas et si aucun CCO appropri n est inclus le d ploiement du nouveau package de configuration sur l ordinateur d extr mit chouera S lectionnez le mode Chiffrement du transport d finissant comment chiffrer la connexion entre le client SafeGuard Enterprise et le serveur SafeGuard Enterprise chiffrement Sophos ou SSL Le protocole SSL pr sente l avantage d tre standard et de permettre d tablir une connexion plus rapidement qu en utilisant le chiffrement de transport SafeGuard Le chiffrement SSL est s lectionn par d faut Retrouvez plus d informations sur la s curisation des connexions de transport avec SSL dans le Guide d installation de SafeGuard Enterprise Indiquez un chemin de sortie pour le package de configuration MSI Manuel d administration 12 2 10 Cliquez sur Cr er un package de configuration Si vous avez s lectionnez le chiffrement SSL en tant que mode de Chiffrement du transport la connexion au serveur est valid e En cas d chec de la connexion un message d avertissement s affiche Le package de configuration MSI a t cr
66. conteneur 3 Cliquez avec le bouton droit de la souris sur l onglet Cl s et s lectionnez Attribuer une nouvelle cl dans le menu contextuel 4 Dans la bo te de dialogue Attribution d une nouvelle cl a Saisissez un Nom symbolique et une Description pour la cl b Pour masquer la cl dans le jeu de cl s de l utilisateur s lectionnez la case cocher Masquer la cl 5 Cliquez sur OK La cl est attribu e et affich e dans l onglet Cl Masquage des cl s Pour viter que trop de cl s de groupes non utilis es apparaissent dans le jeu de cl s d un utilisateur sur l ordinateur d extr mit vous pouvez sp cifier les cl s masquer Les cl s qui n apparaissent pas dans le jeu de cl s de l utilisateur peuvent quand m me tre utilis es pour acc der aux fichiers chiffr s mais pas pour en chiffrer des nouveaux Pour masquer les cl s 1 Dans le SafeGuard Management Center cliquez sur Cl s et certificats 2 Dans la zone de navigation cliquez sur Cl s et s lectionnez Cl s attribu es La vue Cl s attribu es appara t affichant la colonne Masquer la cl 3 Il existe deux moyens de sp cifier que les cl s doivent tre masqu es E S lectionnez la case cocher dans la colonne Masquer la cl de la cl requise E S lectionnez une ou plusieurs cl s et cliquez avec le bouton droit de la souris pour ouvrir un menu contextuel S lectionnez Masquer la cl l utilisateur Manuel d ad
67. curit de SafeGuard Management Center Initialiser les tokens vides Retrouvez plus d informations la section Initialisation d un token la page 203 Installer le middleware Retrouvez plus d informations la section Installation du middleware la page 203 Activer le middleware Retrouvez plus d informations la section Activation du middleware la page 203 G n rer des tokens pour les utilisateurs et les responsables de la s curit Retrouvez plus d informations la section G n ration d un token la page 204 Configurer le mode de connexion Retrouvez plus d informations la section Configuration du mode de connexion la page 206 Configurer d autres param tres de token comme par exemple les r gles de syntaxe des codes PIN Retrouvez plus d informations la section Gestion des codes PIN la page 211 et la section Gestion des tokens et des cartes puce la page 212 Attribuer des certificats et des cl s aux tokens utilisateurs Retrouvez plus d informations la section Attribution de certificats la page 207 Vous pouvez galement utiliser des tokens dont les donn es proviennent d une application diff rente pour l authentification condition qu ils disposent de suffisamment d espace de stockage pour les certificats et les informations de connexion Pour une administration simplifi e des tokens SafeGuard Enterprise propose les fonctions suivantes Affichage et filtrage
68. d autoriser trois red marrages de plus que n cessaire pour faire face aux probl mes impr vus Connexion Windows autoris e pendant le WOL 142 D termine si la connexion Windows est autoris e pendant l veil par appel r seau par exemple pour une mise jour de logiciel Ce param tre est interpr t par la POA Manuel d administration Param tres de strat gie D but de la plage horaire pour le lancement du WOL externe Fin de la plage horaire pour le lancement du WOL externe Explication La date et l heure peuvent tre s lectionn es ou saisies pour le d but et la fin de l veil par appel r seau WOL Format de date MM JJ AAAA Format d heure HH MM Les combinaisons suivantes de saisie sont possibles m d but et fin de l veil par appel r seau d finis E fin de l veil par appel r seau d finie d but ouvert M aucune entr e aucun intervalle n a t d fini Pour un d ploiement planifi de logiciels le responsable de la s curit doit d finir la plage de l veil par appel r seau de sorte que le script de programmation puisse d marrer suffisamment t t pour que les ordinateurs d extr mit aient le temps de d marrer WOLstart D but WOL le point de d part de l veil par appel r seau dans le script de programmation doit se trouver dans l intervalle d fini dans la strat gie Si aucun intervalle n est d fini l veil par appel r seau n est pas activ localem
69. d initialisation Windows et r parez le syst me Manuel d administration 26 3 6 Configuration de WinPE pour SafeGuard Enterprise Pour acc der aux lecteurs chiffr s avec le BOOTKEY d un ordinateur dans un environnement WinPE SafeGuard Enterprise offre WinPE avec les modules de fonction et les pilotes SafeGuard Enterprise Pour lancer SetupWinPE entrez la commande suivante SetupWinPE pe2 lt fichier d image WinPE gt fichier d image WinPE tant le nom de chemin complet d un fichier d image WinPE SetupWinPE effectue toutes les modifications n cessaires Remarque dans ce type d environnement WinPE seuls les lecteurs chiffr s avec le BOOTKEY sont accessibles Les lecteurs chiffr s avec une cl utilisateur sont inaccessibles car les cl s ne sont pas disponibles dans cet environnement 26 3 7 Asservissement d un disque dur SafeGuard Enterprise permet l asservissement des volumes ou des disques durs chiffr s Il permet l utilisateur final l administrateur Windows et au responsable de la s curit de SafeGuard Enterprise de se connecter ou de supprimer de nouveaux volumes ou disques durs en d pit du chiffrement bas sur secteur La zone de stockage des cl s KSA Key Storage Area d un volume contient toutes les informations n cessaires c est dire E La DEK Data Encryption Key cl de chiffrement des donn es g n r e al atoirement E Un identifiant pour l algorithme de chiffrement utilis pour chiffrer
70. dans le Planificateur de t ches la page 272 S lectionnez le script que vous voulez ex cuter avec la t che et cliquez sur OK Si le script s lectionn est vide le bouton OK dans la bo te de dialogue reste d sactiv e et un avertissement appara t Dans le champ Heure de d but sp cifiez quand la t che doit tre ex cut e sur le serveur s lectionn e L heure de d but affich e est rendue l aide de l heure locale de l ordinateur sur lequel fonctionne le SafeGuard Management Center En interne l heure de d but est stock e en temps universel coordonn UTC Coordinated Universal Time Ceci permet l ex cution de t ches au m me moment m me si les serveurs sont dans diff rents fuseaux horaires Tous les serveurs utilisent l heure courante du serveur de base de donn es pour d terminer quand d marrer les t ches Pour permettre une meilleure surveillance des t ches l heure de r f rence de la base de donn es appara t dans la bo te de dialogue Planificateur de t ches Sous P riodicit sp cifiez quelle fr quence la t che doit tre ex cut e sur le serveur s lectionn E Pour ex cuter la t che une fois s lectionnez Une seule fois et sp cifiez la Date requise M Pour ex cuter la t che tous les jours s lectionnez Quotidien suivi de Chaque jour y compris le samedi et le dimanche ou Chaque jour de la semaine du lundi au vendredi M Pour ex cuter la t che de fa on hebdomadaire s le
71. de journalisation Observateur d v nements Windows Les v nements pour lesquels vous d finissez l Observateur d v nements Windows comme destination dans la strat gie de journalisation sont journalis s dans l Observateur d v nements Windows L Observateur d v nements Windows peut tre utilis e pour afficher et g rer les journaux des v nements li s au syst me la s curit et l application Vous pouvez galement enregistrer ces journaux d v nements Un compte administrateur sur l ordinateur d extr mit concern est requis pour ces proc dures Dans l Observateur d v nements Windows un code d erreur s affiche la place d un texte descriptif de l v nement Remarque une condition pr alable l affichage des v nements SafeGuard Enterprise dans l Observateur d v nements Windows consiste avoir install un package de configuration client sur l ordinateur d extr mit Remarque ce chapitre d crit les processus d affichage de gestion et d analyse des journaux d v nements dans le SafeGuard Management Center Retrouvez plus d informations sur l Observateur d v nements Windows dans votre documentation Microsoft Base de donn es SafeGuard Enterprise Les v nements pour lesquels vous d finissez la base de donn es SafeGuard Enterprise comme destination dans la strat gie de journalisation sont collect s dans un fichier journal local dans le cache local de l ordinateur d extr mit co
72. de chiffrement Vous pouvez configurer le chiffrement permanent dans des strat gies du type Param tres g n raux Le param tre de strat gie Activer le chiffrement permanent est activ par d faut Remarque si des fichiers sont copi s ou d plac s sur un p riph rique ignor ou dans un dossier auquel s applique une strat gie avec un mode de chiffrement Ignorer le param tre Activer le chiffrement permanent n a aucun effet Manuel d administration 20 3 20 3 1 20 4 Utilisation de plusieurs strat gies File Encryption Toutes les r gles de chiffrement File Encryption attribu es par des strat gies et activ es pour les utilisateurs ordinateurs des n uds diff rents dans Utilisateurs et ordinateurs dans SafeGuard Management Center sont cumul es Vous pouvez attribuer une strat gie File Encryption au n ud racine qui inclut des r gles adapt es tous les utilisateurs et des strat gies plus sp cifiques des sous n uds sp cifiques Toutes les r gles de toutes les strat gies attribu es des utilisateurs ordinateurs sont cumul es et appliqu es sur l ordinateur d extr mit Strat gies File Encryption dans le RSOP Si plusieurs strat gies File Encryption s appliquent un utilisateur ordinateur l onglet RSOP Resulting Set of Policies s rie obtenue de strat gies dans Utilisateurs et ordinateurs affiche la somme de toutes les r gles de chiffrement File Encryption de toutes les strat gies File E
73. de cl s des autres utilisateurs ou ordinateurs correspondent de nouveau Exemple Alice poss de sa cl utilisateur personnelle Chaque fois qu elle est connect e son autre ordinateur Portable_Alice elle ne peut pas acc der au volume chiffr avec la cl d initialisation de l ordinateur SGNCLT Le SGMCLT de l ordinateur d extr mit prot g par SafeGuard Enterprise n a que sa propre cl d initialisation BOOT_SGMCLT Le responsable de la s curit attribue la cl d initialisation BOOT_SGNCLT Alice de la fa on suivante 1 Il s lectionne l utilisateur Alice 2 Il clique sur l ic ne Jumelles dans la barre d outils de SafeGuard Enterprise Cela ouvre la bo te de dialogue de recherche qui affiche galement les cl s d initialisation 3 Il s lectionne la cl BOOT _SGMCLT Alice poss de d sormais deux cl s Utilisateur_ Alice et BOOT_SGMCLT Ceci peut tre v rifi dans Cl s et certificats Le BOOT_SGMCLT a t attribu deux fois l ordinateur SGMCIT et l utilisateur Alice Alice peut d sormais acc der au volume chiffr de n importe quel autre ordinateur d extr mit prot g par SafeGuard Enterprise auquel elle peut se connecter Ensuite elle peut facilement utiliser des outils tels que l Explorateur Windows ou regedit exe pour r soudre la cause du probl me d initialisation Si dans le cas le moins favorable le probl me ne peut pas tre r solu elle peut enr
74. de r cup ration puis d marrez l ordinateur d extr mit Le gestionnaire de fichiers int gr s ouvre Les volumes et les lecteurs pr sents s affichent imm diatement i nn en el x Fe Eat nen Favores co ven mas Her Jo 91910 eloo alaala E 2 Tee ve jaana f SE vy Local Disk D Panel Drive E CD_ROM name ooo Sre rpe fome mogiiec HE Control Panel 3j Recycle Bin Normal F Overwrite M Zip Password I Relative Path J Update M Hidden System 19 objectis 0 object s selected D 0 00 KB free 0 00 KG total Quick Launch Text Editor FM Extra Find File Hex Viewer Image Viewer BE kekel d a8 BE Restore KeyRecovery Main Le contenu du lecteur chiffr ne s affiche pas dans le gestionnaire de fichiers Ni le syst me de fichiers ni la capacit et l espace utilis libre ne figurent dans les propri t s du lecteur chiffr 2 Au bas du gestionnaire de fichiers dans la section Lancement rapide cliquez sur l ic ne KeyRecovery pour ouvrir l outil de r cup ration de cl KeyRecovery L outil de r cup ration de cl KeyRecovery affiche l identifiant de cl des lecteurs chiffr s SafeGuard k r Sdlaction de is langue 3 Recherchez l identifiant de cl des lecteurs auxquels vous souhaitez acc der Vous devrez fournir cet identifiant de cl ult rieurement Importez ensuite le client virtuel dans
75. des caract res sp ciaux par exemple etc Toutefois lorsque vous g n rez un nouveau code PIN n utilisez pas de caract re avec la combinaison ALT lt caract re gt car ce mode de saisie n est pas disponible dans l authentification au d marrage SafeGuard Remarque d finissez des r gles de code PIN dans SafeGuard Management Center ou dans Active Directory mais pas dans les deux Param tre de strat gie Explication PIN Longueur minimum du code Sp cifie le nombre de caract res que doit contenir un code PIN PIN lorsque l utilisateur en change La valeur requise peut tre saisie directement ou augment e r duite l aide des boutons en forme de fl che Longueur max du code PIN Sp cifie le nombre maximum de caract res que peut contenir un code PIN lorsque l utilisateur en change La valeur requise peut tre saisie directement ou augment e r duite l aide des boutons en forme de fl che Nombre min de lettres Ces param tres sp cifient qu un code PIN ne doit pas contenir seulement des lettres des nombres ou des caract res sp ciaux mais une combinaison de ces 2 au moins par exemple 15fleur etc Nombre min de caract res Ces param tres ne sont pratiques que si vous avez d fini une sp ciaux longueur minimum de code PIN sup rieure 2 Nombre min de chiffres Respecter la casse Ce param tre ne s applique qu avec Utiliser la liste des codes PIN interdits et Utilisation interdite
76. dialogue M Langue de la disposition du clavier SafeGuard Logon O SOPHOS Nom d utilisateur lohn Domaine my_company rl OK R cup ration Arr ter Options gt gt Vous pouvez modifier l apparence de la bo te de dialogue de l authentification au d marrage SafeGuard selon vos pr f rences l aide des param tres de strat gie du SafeGuard Management Center Image d arri re plan et de connexion Par d faut les images d arri re plan et de connexion qui s affichent dans l authentification au d marrage SafeGuard sont con ues selon SafeGuard Vous pouvez changer ces images pour afficher par exemple un logo d entreprise Les images d arri re plan et de connexion sont d finies dans une strat gie du type Param tres g n raux Utilis es dans SafeGuard Enterprise les images d arri re plan et de connexion doivent respecter certaines conditions Image d arri re plan Taille de fichier maximale pour toutes les images d arri re plan 500 Ko SafeGuard Enterprise prend en charge deux variantes d images d arri re plan E 1024x768 mode VESA Couleurs aucune restriction Strat gie du type Param tres g n raux option Image d arri re plan dans l authentification au d marrage basse r solution E 640 x 480 mode VGA Manuel d administration 13 3 1 1 13 3 2 Couleurs 16 Strat gie du type Param tres g n raux option Image d arri re plan dans l authentificatio
77. du bureau Mes documents quivalent CSIDL_MYDOCUMENTS Chemin type C Documents and Settings Nom d utilisateur Mes Documents lt T l chargements gt Le dossier dans lequel les t l chargements sont stock s par d faut Le chemin habituel Windows est C Utilisateurs nom d utilisateur T l chargements 169 SafeGuard Enterprise 170 Espace r serv au chemin Syst me d exploitation Tous Windows et Mac OS X lt Musique gt Tous lt Images gt lt Public gt R sultats dans la valeur suivante sur l ordinateur d extr mit R pertoire du syst me de fichiers qui sert de d p t de donn es pour les fichiers musique Chemin type C Documents and Settings Utilisateur Mes Documents Ma Musique R pertoire du syst me de fichiers qui sert de d p t de donn es pour les fichiers image Chemin type C Documents and Settings nom d utilisateur Mes Documents Mes Images R pertoire du syst me de fichiers qui sert de d p t commun pour les fichiers document de tous les utilisateurs Chemin type C Utilisateurs nom d utilisateur lt Profil utilisateur gt Dossier du profil de l utilisateur Chemin type C Utilisateurs nom d utilisateur Remarque le chiffrement int gral du profil utilisateur l aide de cet espace r serv peut entra ner l instabilit du bureau Windows sur l ordinateur d extr mit lt Vid os gt R pertoire du syst me de fichiers qui sert de d p
78. du support d fini sur Volume ou sur Aucun chiffrement Tous les autres param tres de strat gie sont ignor s E Volume active FileVault 2 sur l ordinateur d extr mit m Aucun chiffrement permet l utilisateur de d chiffrer le Mac 163 SafeGuard Enterprise 19 Protection de la configuration SafeGuard Le module Protection de la configuration de SafeGuard n est plus disponible dans SafeGuard Enterprise 6 1 La strat gie correspondante est toujours disponible dans la version 6 1 de SafeGuard Management Center afin de prendre en charge les clients SafeGuard Enterprise 6 qui ont install la Protection de la configuration et qui veulent l administrer avec la version 6 1 du Management Center Retrouvez plus d informations sur la Protection de la configuration de SafeGuard dans l Aide de l administrateur de SafeGuard Enterprise 6 http www sophos com fr fr medialibrary PDFs documentation sgn_60_h_eng admin_help pdf 164 Manuel d administration 20 Utilisation de File Encryption avec File Share Le module File Share de SafeGuard Enterprise offre un chiffrement de fichiers sur les lecteurs locaux et les emplacements r seau surtout pour les groupes de travail et les partages r seau Dans SafeGuard Management Center vous d finissez les r gles du chiffrement bas sur fichier dans les strat gies File Encryption Dans ces r gles File Encryption vous indiquez les dossiers qui doivent tre g r s par File Encryption l
79. e conserve les lt n gt derniers v nements dans le tableau EVENT et d place les autres v nements dans le tableau EVENT_ BACKUP Le nombre d v nements conserv s dans le tableau EVENT est d fini par un param tre Pour ex cuter la proc dure stock e lancez la commande suivante dans SQL Server Management Studio Nouvelle requ te exec spShrinkEventTable 1000 Cet exemple de commande d place tous les v nements sauf les 1000 derniers 263 SafeGuard Enterprise 30 13 2 Cr ation d une t che planifi e d ex cution de la proc dure enregistr e Pour nettoyer automatiquement le tableau EVENT intervalles r guliers vous pouvez cr er une t che dans le serveur SQL La t che peut tre cr e avec le script ScheduledShrinkEventTable_install sql ou l aide de SQL Enterprise Manager Remarque la t che planifi e ne s applique pas aux bases de donn es SQL Express L agent SQL Server doit tre en cours d ex cution pour que la t che planifi e soit ex cut e SQL Server Express ne comportant aucun agent SQL Server cette t che ne s applique pas ces installations M Le script doit tre ex cut dans msdb Si vous avez donn un autre nom que SafeGuard votre base de donn es SafeGuard Enterprise modifiez le nom en cons quence Default Database name SafeGuard change if required SELECT SafeGuardDataBase SafeGuard E Vous pouvez galement pr ciser le nombre d v nements conserver da
80. entr e requise dans la zone d action et cliquez sur Exporter le client virtuel dans la barre d outils 5 S lectionnez l emplacement de stockage du fichier recoverytoken tok et cliquez sur OK Un message indiquant que l op ration a r ussi appara t 6 Distribuez ce fichier de client virtuel recoverytoken tok aux utilisateurs de SafeGuard Enterprise concern s Conservez ce fichier en lieu s r sur une carte m moire par exemple Dans le cadre d une proc dure Challenge R ponse ce fichier doit se trouver dans le m me dossier que l outil de r cup ration Cr ation et exportation de fichiers de cl s pour la r cup ration des clients virtuels Lorsque plusieurs cl s sont requises pour pouvoir de nouveau acc der des volumes chiffr s lors de la r cup ration d un client virtuel le responsable de la s curit peut les combiner dans un fichier export Ce fichier de cl est chiffr l aide d un mot de passe al atoire qui est stock dans la base de donn es Ce mot de passe est propre chaque fichier de cl cr Le fichier de cl chiffr doit tre transmis l utilisateur et l utilisateur doit l avoir au d marrage d une session Challenge R ponse avec un outil de r cup ration Dans la session Challenge R ponse le mot de passe du fichier de cl est transmis avec le code de r ponse Le fichier de cl peut alors tre d chiffr avec le mot de passe et tous les volumes chiffr s avec les cl s disponibles
81. es y compris les fichiers d initialisation les fichiers d change les fichiers inactifs d hibernation les fichiers temporaires les informations de r pertoire etc sans que l utilisateur ait modifier ses habitudes de travail ou tenir compte de probl mes de s curit Bas sur fichier chiffrement transparent bas sur fichier Chiffrement Smart Media Garantit que toutes les donn es sont chiffr es l exception du support d initialisation et des informations de r pertoire avec l avantage que m me les supports optiques tels que les CD DVD peuvent tre chiffr s et que les donn es peuvent tre chang es avec des ordinateurs externes sur lesquels SafeGuard Enterprise n est pas install si les strat gies l autorisent Remarque pour les strat gies avec listes blanches seuls Aucun chiffrement ou Bas sur fichier peuvent tre s lectionn s PARAM TRES G N RAUX 136 Manuel d administration Param tre de strat gie Algorithme utiliser pour le chiffrement Explication D finit l algorithme de chiffrement Liste des algorithmes utilisables avec les normes respectives AES256 32 octets 256 bits AES128 16 octets 128 bits Cl utiliser pour le chiffrement D finit la cl utilis e pour le chiffrement Vous pouvez d finir des cl s sp cifiques cl machine ou une cl d finie par ex ou vous pouvez autoriser l utilisateur s lectionner une cl Vous pouvez
82. est impos avant la tentative de connexion suivante Le d lai augmente chaque chec de tentative de connexion Les tentatives rat es de connexion sont consign es dans le journal 4 4 Interface utilisateur du SafeGuard Management Center Fen tre de navigation Barre d outils pour s lectionner des op rations F SeleGuard Manayement Carter MSO actif SNSRVSaleGuand lolx Ewa bote Arow agind gims ote Am D i T 4 CRIE sa oem rire actf A llU rs IE B crga stoma QE Srit gee Prentas Licences praag ers METI Desciiton Zone Action Fuerer naps HY estate Zone de navigation Responsables dela skurte 5 rapports TITI Boutons pour toutes les op rations d administration 11 SafeGuard Enterprise 12 Zone de navigation La zone de navigation contient des boutons pour toutes les op rations d administration E Utilisateurs et ordinateurs Pour importer des groupes et des utilisateurs partir d un annuaire actif partir du domaine ou d un ordinateur individuel E Strat gies Pour cr er des strat gies E Cl s et certificats Pour g rer les cl s et les certificats m Tokens Pour g rer les tokens et les cartes puce E Responsables de la s curit Pour cr er des responsables de la s curit ou des r les et d finir les op rations qui n cessitent une autorisation suppl mentaire m Rapports Pour cr e
83. est utilis e vous n avez pas cr er de r gles sp ciales pour les copies hors ligne locales des dossiers Les nouveaux fichiers dans la copie locale du dossier qui a t rendue disponible pour une utilisation hors ligne sont chiffr s d apr s la r gle pour l emplacement r seau d origine Remarque retrouvez plus d informations sur l appellation des fichiers et des chemins sur http msdn microsoft com fr fr library aa365247 aspx 20 1 2 Espaces r serv s des chemins dans les r gles File Encryption Les espaces r serv s suivants peuvent tre utilis s lors de la sp cification des chemins dans les r gles de chiffrement des strat gies File Encryption Vous pouvez s lectionner ces espaces r serv s en cliquant sur le bouton d roulante du champ Chemin Espace r serv au chemin Syst me R sultats dans la valeur suivante sur d exploitation l ordinateur d extr mit Tous Windows et Mac OS X lt nom_ variable environnement gt Tous Valeur de la variable d environnement Exemple lt NOMUTILISATEUR gt Remarque si des variables d environnement contiennent plusieurs emplacements par exemple la variable PATH les chemins ne seront pas divis s en plusieurs r gles Ceci entra ne une erreur et la r gle de chiffrement est non valide lt Poste de travail gt Windows Dossier virtuel repr sentant le bureau Microsoft Windows lt Documents gt Tous Il s agit du dossier virtuel repr sentant l l ment
84. et Utilisation interdite du nom d utilisateur comme mot de passe Exemple 1 vous avez saisi tableau dans la liste des mots de passe interdits Si l option Respecter la casse est d finie sur Oui les variantes suppl mentaires du mot de passe telles que TABLEAU TablEAU ne seront pas accept es et la connexion sera refus e Manuel d administration Param tre de strat gie Explication Exemple 2 EMaier est saisi comme nom d utilisateur Si l option Respecter la casse est d finie sur Oui et si l option Utilisation interdite du nom d utilisateur en tant que mot de passe est d finie sur Non l utilisateur EMaier ne peut utiliser aucune variante de ce nom d utilisateur par exemple emaier ou eMaiER comme mot de passe Interdire la succession de touches horizontales 123 et aze sont des exemples de s quences de touches cons cutives Un maximum de deux caract res adjacents du clavier est autoris Les s quences de touches cons cutives ne concernent que la zone du clavier alphanum rique Interdire la succession de touches verticales Concerne les touches dispos es cons cutivement en colonne sur le clavier par exemple wqal xsz2 ou 3edc mais pas wse4 xdr5 ou cft6 Un maximum de deux symboles adjacents d une m me colonne clavier est autoris Si vous n autorisez pas les colonnes du clavier ces combinaisons sont rejet es comme mot de passe Les s quences de touches cons cutives
85. et saisissez le code PIN du token 6 Cliquez sur OK Le certificat est attribu un l utilisateur Un seul certificat peut tre affect par utilisateur Modification du certificat de l utilisateur Vous pouvez modifier ou renouveler les certificats requis pour la connexion en attribuant un nouveau certificat dans SafeGuard Management Center Le certificat est attribu sous la forme d un certificat de veille en compagnie de celui existant En se connectant avec le nouveau certificat l utilisateur change le certificat sur l ordinateur d extr mit Remarque si les utilisateurs ont perdu leurs tokens ou si ceux ci ont t compromis Ne les changez pas en attribuant de nouveaux certificats comme cela est d crit ici Sinon vous pourriez rencontrer des probl mes Par exemple l ancien certificat de token peut tre encore valide pour la connexion Windows Tant que l ancien certificat est encore valide la connexion Windows est toujours possible et l ordinateur peut tre d verrouill Au lieu de cela bloquez le token pour emp cher la connexion Les certificats de veille peuvent tre utilis s dans les cas suivants m Modification des certificats g n r s par token cryptographique m Passage de certificats g n r s automatiquement des certificats g n r s par token E Passage d une authentification par nom utilisateur mot de passe une authentification par token cryptographique Kerberos Conditions pr alab
86. fichier de configuration export SGNConfig Si cette configuration existe d j vous tes invit confirmer le remplacement de la configuration existante Le fichier de configuration de base de donn es est enregistr l emplacement de stockage sp cifi 21 SafeGuard Enterprise 22 6 4 6 5 6 6 Importation d une configuration partir d un fichier Pour utiliser ou modifier une configuration de base de donn es vous pouvez importer une configuration cr e pr c demment dans SafeGuard Management Center Pour ce faire vous pouvez proc der de deux fa ons M via le SafeGuard Management Center Multi Tenancy E en cliquant deux fois sur le fichier de configuration Single et Multi Tenancy Importation d une configuration avec SafeGuard Management Center 1 D marrez SafeGuard Management Center La bo te de dialogue S lection d une configuration s affiche 2 Cliquez sur Importer recherchez le fichier de configuration souhait puis cliquez sur Ouvrir 3 Entrez le mot de passe du fichier de configuration d fini lors de l exportation puis cliquez sur OK La configuration s lectionn e s affiche 4 Pour activer la configuration cliquez sur OK 5 Pour vous authentifier dans le SafeGuard Management Center vous tes invit s lectionner le nom du responsable de la s curit de cette configuration et saisir son mot de passe de magasin de certificats Cliquez sur OK Safe
87. fournis au support l aide de diff rents m canismes Ce fichier est chiffr par le certificat d entreprise Il peut donc tre enregistr sur un support externe ou sur le r seau pour tre fourni au support technique des fins de r cup ration Il peut galement tre envoy par e mail Sous Groupe d authentification au d marrage vous pouvez s lectionner le groupe d utilisateurs de l authentification au d marrage attribuer l ordinateur d extr mit Les utilisateurs de l authentification au d marrage peuvent acc der l ordinateur d extr mit pour des t ches administratives apr s activation de l authentification au d marrage SafeGuard Pour attribuer des utilisateurs de l authentification au d marrage le groupe d authentification au d marrage doit avoir t pr alablement cr dans la zone Utilisateurs et ordinateurs du SafeGuard Management Center 8 Indiquez un chemin de sortie pour le package de configuration MSI 9 Cliquez sur Cr er un package de configuration Le package de configuration MSI a t cr dans le r pertoire sp cifi Vous devez maintenant distribuer ce package aux ordinateurs d extr mit et le d ployer sur ceux ci 85 SafeGuard Enterprise 12 3 Cr ation d un package de configuration pour les Macs 86 Un package de configuration pour un Mac contient les informations sur le serveur et le certificat d entreprise Le Mac utilise ces informations pour signaler les info
88. journalis s sont affich s par d faut les 100 derniers v nements Vous pouvez galement cr er des filtres personnalis s l aide de l diteur de filtres Vous pouvez afficher l diteur de filtres dans le menu contextuel des colonnes d un rapport Dans la fen tre G n rateur de filtres vous pouvez d finir des filtres et les appliquer la colonne concern e 30 6 Rapport d acc s aux fichiers pour les supports amovibles Pour SafeGuard Data Exchange vous pouvez avoir un suivi des fichiers acc d s sur les supports amovibles Quelle que soit la strat gie de chiffrement s appliquant aux fichiers stock s sur les supports amovibles les v nements peuvent tre consign s pour ce qui suit m Un fichier ou r pertoire est cr sur un p riph rique amovible Un fichier ou r pertoire est renomm sur un p riph rique amovible m Un fichier ou r pertoire est supprim d un p riph rique amovible Les v nements de suivi d acc s aux fichiers peuvent tre visualis s dans l Observateur d v nements Windows ou dans l Observateur de suivi des fichiers de SafeGuard Enterprise en fonction de la destination que vous sp cifiez lorsque vous d finissez la strat gie de journalisation 30 6 1 Configuration du suivi d acc s aux fichiers pour les supports amovibles 1 Dans le SafeGuard Management Center s lectionnez Strat gies 2 Cr ez une nouvelle strat gie Journalisation ou s lectionnez une strat gie ex
89. l authentification au d marrage et confirmez le Remarque pour renforcer la s curit le mot de passe doit respecter des exigences de complexit minimales savoir une longueur minimale de 8 caract res un m lange de caract res num riques et alphanum riques etc Si le mot de passe que vous avez entr est trop court un message d avertissement s affiche 7 Cliquez sur OK Le nouvel utilisateur POA est cr et appara t sous Utilisateurs POA dans la zone de navigation Utilisateurs et ordinateurs Modification du mot de passe d un utilisateur de l authentification au d marrage Pour modifier les utilisateurs de l authentification au d marrage vous avez besoin des droits d Acc s complet pour le n ud POA sous Utilisateurs et ordinateurs 1 Dans la zone de navigation du SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation Utilisateurs et ordinateurs sous POA Utilisateurs POA s lectionnez l utilisateur de l authentification au d marrage appropri 3 Dans le menu contextuel de cet utilisateur de l authentification au d marrage s lectionnez Propri t s La bo te de dialogue Propri t s de l utilisateur de l authentification au d marrage s affiche 4 Dans l onglet G n ral sous Mot de passe utilisateur saisissez le nouveau mot de passe et confirmez le 5 Cliquez sur OK Le nouveau mot de passe est appliqu l utilisateur de l authentification a
90. la suppression Retrouvez plus d informations la section Suppression de tous les v nements ou d une s lection d v nements la page 262 Remarque si vous ne supprimez pas tous les anciens v nements de la base de donn es la connexion ne fonctionnera pas correctement car elle n tait pas activ e pour les anciens v nements restants 3 D finissez la cl de registre suivante sur 0 ou supprimez la HKEY_LOCAL MACHINE SOFTWARE Utimaco SafeGuard Enterprise DWORD DisableLogEventCha ining 0 4 Red marrez le service Web La connexion des v nements journalis s est activ e Remarque pour d sactiver de nouveau la connexion des v nements d finissez la cl de registre sur 1 V rification de l int grit des v nements journalis s Condition pr alable Pour v rifier l int grit des v nements journalis s la concat nation des v nements dans le tableau EVENT doit tre activ e 1 Dans le SafeGuard Management Center cliquez sur Rapports 261 SafeGuard Enterprise 30 10 30 11 30 12 262 2 Dans la barre de menus du SafeGuard Management Center s lectionnez Actions gt V rifier l int grit Un message affiche des informations sur l int grit des v nements journalis s Remarque si la connexion des v nements est d sactiv e une erreur est renvoy e Suppression de tous les v nements ou d une s lection d v nements 1 Dans le SafeGuard Manag
91. le CCO a t cr pour mettre jour le certificat d entreprise le Certificat d entreprise d origine doit tre renouvel Si le CCO a t cr pour d placer les ordinateurs d extr mit vous devez d placer le certificat d entreprise de l environnement des ordinateurs d extr mit d placer dans un nouvel environnement 69 SafeGuard Enterprise 10 3 1 10 3 2 70 Le Certificat d entreprise de destination est le nouveau certificat d entreprise dans le cas o le CCO a t cr pour mettre jour le certificat d entreprise ou le certificat d entreprise de l environnement dans lequel les syst mes d extr mit doivent tre d plac s Au dessous des d tails du certificat on peut voir pour quelles t ches le CCO s lectionn peut tre utilis Remarque pour pouvoir g rer les CCO vous devez disposer du droit de G rer les CCO Importation Lors de la cr ation de packages de configuration avant de pouvoir s lectionner un CCO ayant t cr par un autre outil d administration afin de modifier le certificat d entreprise vous devez importer ce CCO Si vous cliquez sur Importer une bo te de dialogue s ouvre dans laquelle vous pouvez s lectionner et nommer le CCO Le nom que vous saisissez ici appara t sur l onglet CCO de l Outil de package de configuration Exportation l aide de la fonctionnalit Exporter les CCO stock s dans la base de donn es peuvent tre export s et sont alor
92. le destinataire Le destinataire peut d chiffrer et chiffrer de nouveau les fichiers chiffr s en utilisant SafeGuard Portable et le mot de passe correspondant Le destinataire peut chiffrer de nouveau les fichiers avec SafeGuard Portable ou utiliser la cl d origine pour le chiffrement Il n est pas n cessaire que SafeGuard Portable soit install ou copi sur l ordinateur du destinataire il peut tre utilis directement partir du support amovible ou du dossier de synchronisation du stockage dans le Cloud Cl de chiffrement initial par d faut Ce champ propose une bo te de dialogue de s lection d une cl utilis e pour le chiffrement initial bas sur fichier Si vous s lectionnez une cl ici l utilisateur ne peut pas s lectionner de cl au d marrage du chiffrement initial Le chiffrement initial d marre sans interaction de l utilisateur La cl s lectionn e est toujours utilis e pour le chiffrement initial Exemple Manuel d administration Param tre de strat gie Explication Condition pr alable une cl par d faut a t d finie pour le chiffrement initial Le chiffrement initial d marre automatiquement lorsque l utilisateur connecte un p riph rique USB l ordinateur La cl d finie est utilis e L utilisateur ne doit pas intervenir Si l utilisateur souhaite chiffrer de nouveau les fichiers ou enregistrer de nouveaux fichiers sur le p riph rique USB il peut s lectionn
93. le volume E La liste des GUID pour les KEK Key Encryption Keys cl s de chiffrement des cl s qui peuvent chiffrer et d chiffrer la DEK E Le volume lui m me contient sa taille Un volume chiffr avec SafeGuard Enterprise est accessible partir de tous les ordinateurs d extr mit prot g s par SafeGuard Enterprise pourvu que l utilisateur ou l ordinateur poss de une KEK de la KSA du volume sur son jeu de cl s Les utilisateurs ou les ordinateurs doivent pouvoir d chiffrer la DEK chiffr e par la KEK Un grand nombre d utilisateurs et d ordinateurs peuvent acc der un volume ayant t chiffr avec une KEK distribuable tel qu une OU un groupe ou une cl de domaine car de nombreux utilisateurs ordinateurs d un domaine ont cette cl dans leurs jeux de cl s Toutefois un volume qui n est chiffr qu avec la cl d initialisation individuelle Boot_nommachine de l ordinateur prot g par SafeGuard Enterprise n est accessible que par cet ordinateur d extr mit particulier Si un volume ne s initialise pas sur son ordinateur d origine il peut tre asservi sur un autre ordinateur d extr mit prot g par SafeGuard Enterprise Toutefois la cl d initialisation correcte n est pas accessible Elle doit tre rendue accessible 243 SafeGuard Enterprise 26 3 7 1 244 Chaque fois que l utilisateur tente d acc der au volume depuis un autre ordinateur il peut le faire car les KEK de la KSA et le jeu
94. lecteur ne peut actuellement pas tre chiffr avec BitLocker car les pr parations d usage n ont pas encore t effectu es Ceci s applique uniquement aux ordinateurs d extr mit administr s En effet les ordinateurs d extr mit non administr s ne sont pas en mesure de cr er des rapports sur les donn es d inventaire Retrouvez plus d informations sur les conditions pr alables requises pour g rer et chiffrer les lecteurs BitLocker la section Conditions pr alables la gestion de BitLocker sur les ordinateurs d extr mit la page 155 L tat de chiffrement d un ordinateur d extr mit non administr peut tre v rifi l aide de l outil de ligne de commande SGNState Retrouvez plus d informations dans le Guide des outils de SafeGuard Enterprise Pour les lecteurs chiffr s ce champ indique l algorithme utilis pour le chiffrement L onglet Utilisateurs indique les donn es d inventaire et d tat des utilisateurs sur l ordinateur Colonne Nom d utilisateur Explication Indique le nom de l utilisateur Nom distinctif Utilisateur propri taire Indique le nom DNS de l utilisateur par exemple CN Administrateurs CN Utilisateurs DC domaine DC monentreprise DC net Indique si l utilisateur est d fini comme tant le propri taire de l ordinateur Utilisateur verrouill Indique si l utilisateur est verrouill Utilisateur Windows de SGN Indique si l utilisateur est un
95. les infobulles Afficher les ic nes en chevauchement dans l Explorateur Clavier virtuel en POA D finit si des symboles de cl Windows s affichent pour indiquer l tat de chiffrement des volumes p riph riques dossiers et fichiers D finit si un clavier virtuel peut tre affich sur demande dans la bo te de dialogue de l authentification au d marrage SafeGuard pour la saisie du mot de passe OPTIONS D INSTALLATION D sinstallation autoris e D termine si la d sinstallation de SafeGuard Enterprise est autoris e sur les ordinateurs client Lorsque l option D sinstallation autoris e est d finie sur Non SafeGuard Enterprise ne peut pas tre d sinstall m me par un utilisateur avec les droits administrateur lorsque ce param tre est actif au sein d une strat gie Activer la protection antialt ration Sophos 146 Active d sactive la protection antialt ration Sophos Si vous avez autoris la d sinstallation de SafeGuard Enterprise dans le param tre de strat gie D sinstallation autoris e vous pouvez d finir ce param tre de strat gie sur Oui pour garantir que les tentatives de d sinstallation sont v rifi es par la protection antialt ration Sophos pour emp cher la suppression accidentelle du logiciel Manuel d administration Param tres de strat gie Explication Si la protection antialt ration Sophos n autorise pas la d sinstallation les tentatives de d sinsta
96. les ordinateurs d extr mit Les tentatives de d sinstallation sont annul es et les tentatives non autoris es sont journalis es Si vous utilisez une version de d monstration assurez vous que vous param trez D sinstallation autoris e sur Oui avant que la version de d monstration n expire Appliquez la protection antialt ration Sophos sur les ordinateurs d extr mit utilisant Sophos Endpoint Security and Control Manuel d administration 3 propos de SafeGuard Management Center SafeGuard Management Center est l instrument central qui permet d administrer les ordinateurs chiffr s avec SafeGuard Enterprise Gr ce au SafeGuard Management Center vous pouvez mettre en place une strat gie de s curit dans toute l entreprise et l appliquer aux ordinateurs d extr mit SafeGuard Management Center vous permet de E Cr er ou importer la structure organisationnelle E Cr er des responsables de la s curit E D finir des strat gies M Exporter et importer des configurations E Surveiller les ordinateurs via les fonctionnalit s de journalisation tendues M R cup rer des mots de passe et l acc s aux ordinateurs chiffr s Gr ce au SafeGuard Management Center vous disposer du support mutualis Multi Tenancy pour l administration de plusieurs domaines et bases de donn es Vous pouvez administrer plusieurs bases de donn es SafeGuard Enterprise et g rer diff rentes configurations Seuls les utilisateurs d
97. les volumes de donn es vous pouvez stocker la cl de d marrage BitLocker sur un volume d initialisation d j chiffr Si le volume est chiffr il appara t sous Lecteurs cibles corrects et peut tre s lectionn Cl s de r cup ration BitLocker Pour la r cup ration BitLocker SafeGuard Enterprise propose une proc dure Challenge R ponse pour l change d informations confidentielles ainsi que la possibilit 159 SafeGuard Enterprise 18 2 4 5 160 d obtenir la cl de r cup ration partir du support Retrouvez plus d informations aux sections R ponse pour les clients SafeGuard Enterprise chiffr s par BitLocker ordinateurs d extr mit UEFI la page 229 et Cl de r cup ration pour les clients SafeGuard Enterprise chiffr s par BitLocker ordinateurs d extr mit BIOS la page 229 Pour permettre la r cup ration par Challenge R ponse ou l obtention de la cl de r cup ration le support technique doit avoir les donn es n cessaires disposition Ces donn es n cessaires la r cup ration sont enregistr es dans des fichiers de r cup ration de cl sp cifiques Remarque si la gestion de SafeGuard BitLocker sans Challenge R ponse en mode autonome est utilis e la cl de r cup ration ne change pas suite la proc dure de r cup ration Remarque si un disque dur chiffr BitLocker sur un ordinateur est remplac par un nouveau disque dur chiffr BitLocker et que celui ci prend la m
98. mani re transparente Dans le cadre d une administration centralis e vous d finissez la gestion des donn es de supports amovibles En tant que responsable de la s curit vous d finissez les param tres sp cifiques dans une strat gie du type Protection des p riph riques avec Supports amovibles comme Cible de protection de p riph rique Le chiffrement bas sur fichier doit tre utilis pour SafeGuard Data Exchange Cl s de groupe Pour changer des donn es chiffr es entre utilisateurs des cl s de groupe SafeGuard Enterprise doivent tre utilis es Si la cl de groupe se trouve dans les jeux de cl s des utilisateurs ces derniers peuvent acc der en toute transparence aux supports amovibles connect s leurs ordinateurs Sur les ordinateurs sur lesquels SafeGuard Enterprise n est pas install il est impossible d acc der aux donn es chiffr es de supports amovibles l exception de la cl de domaine groupe d finie de mani re centralis e qui peut tre utilis e avec la phrase secr te des supports Remarque safeguard Portable peut tre utilis pour utiliser partager des donn es chiffr es de supports amovibles sur avec des ordinateurs utilisateurs ne disposant pas de SafeGuard Enterprise SafeGuard Portable n cessite l utilisation de cl s locales ou d une phrase secr te des supports Cl s locales SafeGuard Data Exchange prend en charge le chiffrement l aide de cl s locales Des cl s locale
99. masse Cloud Storage cible DropBox et Data Exchange cible p riph riques de stockage de masse sont disponibles Les options dans ces strat gies par d faut sont d finies sur les valeurs ad quates Vous pouvez modifier les param tres par d faut en fonction de vos exigences particuli res Les strat gies par d faut sont nomm es lt type de strat gie gt Par d faut Remarque les noms de ces strat gies par d faut d pendent du param tre de langue d finit au cours de l installation Si vous modifiez la langue du SafeGuard Management Center par la suite les noms de la strat gie par d faut demeurent dans le param tre de langue au cours de l installation 17 1 Param tres g n raux 112 Param tre de strat gie Explication CHARGEMENT DE PARAM TRES Mode de r cursivit des Param tres de relecture de la machine strat gies PRET NES 8 Si Param tres de relecture de la machine est s lectionn pour une strat gie dans le champ Mode de r cursivit des strat gies et si la strat gie provient d une machine le param tre Param tres de relecture de la machine d une strat gie utilisateur n entra ne aucun effet cette strat gie est mise en uvre une nouvelle fois la fin Ceci remplace ensuite les param tres de l utilisateur et les param tres de la machine s appliquent Ignorer l utilisateur Si vous s lectionnez Ignorer l utilisateur pour une strat gie strat gie de machine dans le cha
100. mode de connexion et l tat du chiffrement apparaissent Les v nements sont galement consign s dans le journal pour les clients FileVault 2 Manuel d administration 18 3 3 La gestion des clients FileVault 2 dans SafeGuard Enterprise est transparente ce qui signifie que les fonctions de gestion fonctionnent en g n ral de fa on identique pour les clients FileVault 2 et SafeGuard Enterprise natifs Vous pouvez retrouver plus d informations sur le type d un ordinateur dans l Inventaire d un conteneur dans Utilisateurs et ordinateurs La colonne Type de chiffrement vous indique si l ordinateur correspondant est un client FileVault2 Strat gies de chiffrement pour le chiffrement int gral du disque FileVault 2 Le responsable de la s curit peut cr er une strat gie de chiffrement dans SafeGuard Management Center et la distribuer aux ordinateurs d extr mit FileVault 2 sur lesquels elle sera appliqu e Les ordinateurs d extr mit FileVault 2 tant administr s de mani re transparente dans SafeGuard Management Center le responsable de la s curit n a pas besoin de proc der un param trage sp cifique de FileVault 2 pour le chiffrement SafeGuard Enterprise connait l tat du client et s lectionne en cons quence le chiffrement File Vault 2 Un ordinateur d extr mit FileVault 2 traite uniquement les strat gies de type Protection des p riph riques avec des Volumes d initialisation cibles et le Mode de chiffrement
101. mot de passe Apr s la proc dure Challenge R ponse SafeGuard Enterprise connecte l utilisateur l ordinateur sans mot de passe SafeGuard Enterprise Dans ce cas la connexion automatique Windows est d sactiv e et l cran de connexion Windows s affiche L utilisateur ne peut pas se connecter car il ne conna t pas le mot de passe SafeGuard Enterprise mot de passe Windows Le param tre Oui autorise la connexion automatique l utilisateur n est pas bloqu au niveau de l cran de connexion Windows Texte d informations Affiche un texte d informations lorsqu une proc dure Challenge R ponse est lanc e dans l authentification au d marrage SafeGuard Par exemple Veuillez contacter le bureau de support en appelant le 03 20 90 27 29 Avant d ins rer un texte ici vous devez le cr er sous forme de fichier texte dans la zone de navigation de strat gie sous Texte d informations IMAGES Condition pr alable Les nouvelles images doivent tre enregistr es dans la zone de navigation des strat gies du SafeGuard Management Center sous Images Les images ne sont disponibles qu une fois enregistr es Formats pris en charge BMP PNG JPEG 115 SafeGuard Enterprise Param tre de strat gie Image d arri re plan dans l authentification au d marrage Image d arri re plan dans l authentification au d marrage basse r solution Explication Remplace l arri re plan SafeGuard Enterprise ble
102. origine endommag e sur le volume Contr le d acc s Le port a t approuv Contr le d acc s Le p riph rique a t approuv Contr le d acc s Le p riph rique de stockage a t approuv Contr le d acc s Le r seau local sans fil a t approuv 291 SafeGuard Enterprise Cat gorie Identifiant Description s i Contr le d acc s 4404 Le port a t retir avec succ s Contr le d acc s 4405 Le p riph rique a t retir avec succ s Contr le d acc s Le p riph rique de stockage a t retir avec succ s Contr le d acc s 4407 Le r seau local sans fil a t d connect avec succ s Contr le d acc s 4408 Port restreint Contr le d acc s 4409 P riph rique restreint Contr le d acc s 4410 P riph rique de stockage restreint Contr le d acc s 4411 R seau local sans fil restreint Contr le d acc s 4412 Port bloqu Contr le d acc s 4414 P riph rique de stockage bloqu Contr le d acc s 4415 R seau local sans fil bloqu 292 Manuel d administration 35 Codes d erreur 35 1 Codes SGMERR du journal des v nements de Windows Le message suivant s affichera dans le journal des v nements de Windows Autorisation pour l administration de SafeGuard Enterprise refus e pour l utilisateur Raison SGMERR 536870951 Consultez le tableau ci dessous pour conna tre la d finition du num ro 536870951 Le
103. partagent la m me cl 179 SafeGuard Enterprise Si les strat gies de l entreprise stipulent galement que tous les fichiers des supports amovibles doivent toujours tre chiffr s ajoutez les param tres suivants Chiffrement initial de tous les fichiers Oui V rifie que les fichiers des supports amovibles sont chiffr s lors de la premi re connexion du support au syst me L utilisateur peut annuler le chiffrement initial Non L utilisateur ne peut pas annuler le chiffrement initial pour le diff rer par exemple L utilisateur n est pas autoris acc der aux fichiers non chiffr s Non Si des fichiers au format brut sont d tect s sur le support amovible leur acc s est refus L utilisateur peut d chiffrer des fichiers Non L utilisateur n est pas autoris d chiffrer des fichiers de supports amovibles Copier portable SG sur la cible Non SafeGuard Portable n est pas n cessaire tant que les donn es de supports amovibles sont partag es dans un groupe de travail SafeGuard Portable permet galement d autoriser le d chiffrement de fichiers sur des ordinateurs sur lesquels SafeGuard Enterprise n est pas install Les utilisateurs peuvent partager des donn es en changeant simplement leurs p riph riques Lorsqu ils connectent les p riph riques leurs ordinateurs ils acc dent en toute transparence aux fichiers chiffr s Remarque cette tude de cas est possible gr ce la fonction de ch
104. partager un p riph rique chiffr avec Joe tiers externe qui ne dispose pas de SafeGuard Data Exchange et qui doit donc utiliser SafeGuard Portable Si on suppose que Bob ne souhaite pas que Joe acc de tous les fichiers chiffr s du support amovible il peut cr er une cl locale et chiffrer les fichiers avec cette cl Joe peut alors utiliser SafeGuard Portable et ouvrir les fichiers chiffr s l aide de la phrase secr te de la cl locale et Bob peut toujours utiliser la phrase secr te des supports pour acc der aux fichiers chiffr s du support amovible Comportement sur l ordinateur E Bob connecte pour la premi re fois le p riph rique amovible La cl de chiffrement de support unique chaque p riph rique est cr e automatiquement E Bob est invit saisir la phrase secr te des supports pour l utiliser hors ligne M La cl de chiffrement de support est utilis e pour le chiffrement de donn es sans aucune intervention de l utilisateur mais E Bob peut maintenant cr er ou s lectionner une cl locale par exemple JoeCl pour chiffrer des fichiers sp cifiques changer avec Joe E Bob et Alice du m me groupe ou domaine acc dent de mani re transparente car ils partagent la m me cl de groupe domaine Manuel d administration Si Bob souhaite acc der des fichiers chiffr s d un p riph rique amovible sur un ordinateur sur lequel SafeGuard Data Exchange n est pas install il peut utilis
105. pour les objets enregistr s automatiquement Pour chaque objet enregistr automatiquement un certificat est g n r en fonction des besoins par le serveur Un utilisateur local obtient deux cl s M la cl du conteneur Auto registered M la cl priv e g n r e en fonction des besoins par le serveur Les utilisateurs locaux n obtiennent aucune autre cl pour leur conteneur attribu ni de cl racine Les groupes de travail n obtiennent pas de cl Strat gies pour les objets enregistr s automatiquement Pour les objets enregistr s automatiquement les strat gies peuvent tre cr es sans aucune restriction Les utilisateurs locaux sont ajout s au groupe Utilisateurs authentifi s Les ordinateurs sont ajout s au groupe Ordinateurs authentifi s Les strat gies activ es pour ces groupes s appliquent en cons quence Cr ation de groupes de travail Les responsables de la s curit disposant des droits requis peuvent cr er un conteneur sous le r pertoire racine qui repr sente un groupe de travail Windows Les groupes de travail n ont pas de cl Ils ne peuvent pas tre renomm s 1 Dans le SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs Manuel d administration 7 2 6 7 2 7 2 Dans la fen tre de navigation de gauche cliquez avec le bouton droit de la souris sur Racine Filtre actif et s lectionnez Nouveau gt Cr er un nouveau groupe de travail enregistrement auto 3
106. responsable de la s curit 1 2 Dans SafeGuard Management Center s lectionnez Responsables de la s curit Dans la fen tre de navigation sous R les personnalis s cliquez avec le bouton droit sur le r le supprimer et s lectionnez Supprimer En fonction des propri t s du r le un message d avertissement sp cifique s affichera Remarque lorsque vous supprimez un r le tous les responsables de la s curit auxquels ce r le est attribu perdent ce dernier Si le r le est le seul attribu un responsable de la s curit ce dernier ne peut plus se connecter au SafeGuard Management Center sauf s il se voit attribuer un nouveau r le par un responsable de la s curit sup rieur Si le r le est utilis des fins d authentification suppl mentaire le MSO devra effectuer une authentification suppl mentaire Pour supprimer le r le cliquez sur Oui dans le message d avertissement Cliquez sur l ic ne Enregistrer de la barre d outils pour enregistrer vos modifications dans la base de donn es Le r le est supprim de la fen tre de navigation et de la base de donn es Cr ation d un responsable principal de la s curit Condition pr alable pour cr er un responsable principal de la s curit vous devez poss der le droit d affichage et de cr ation de responsables de la s curit Remarque un moyen rapide de cr er de nouveaux responsables principaux de la s curit est de promouvoir un respon
107. rit couleur bleue du texte Le droit d acc s a t h rit d un n ud parent E Remplac couleur marron du texte Le droit d acc s a t h rit d un n ud parent mais a chang au n ud s lectionn par attribution directe E Directement affect couleur noire du texte Le droit d acc s a t attribu directement au n ud s lectionn Pour les droits h rit s vous pouvez afficher une infobulle dans la colonne tat indiquant l origine du droit correspondant Promotion des responsables de la s curit Proc dez comme suit E levez un utilisateur au grade de responsable de la s curit dans la zone Utilisateurs et ordinateurs 49 SafeGuard Enterprise 8 11 1 E levez un responsable de la s curit au grade de responsable principal de la s curit dans la zone Responsables de la s curit Conditions pr alables la promotion d un utilisateur Un responsable de la s curit avec les droits n cessaires peut promouvoir des utilisateurs au rang de responsables de la s curit et leur attribuer des r les Les responsables de la s curit ainsi cr s peuvent se connecter au SafeGuard Management Center avec leurs codes d acc s Windows ou leur code PIN de token carte puce Ils peuvent travailler et tre g r s comme tout autre responsable de la s curit Les conditions pr alables suivantes doivent tre remplies M Les utilisateurs promouvoir doivent avoir t import
108. s lectionner des configurations de base de donn es cr es pr c demment E supprimer des configurations de base de donn es de la liste E importer une configuration de base de donn es cr e pr c demment partir d un fichier E exporter une configuration de base de donn es r utiliser ult rieurement Cr ation de configurations de base de donn es suppl mentaires Pour cr er une configuration de base de donn es suppl mentaire SafeGuard Enterprise la suite de la configuration initiale 1 D marrez le SafeGuard Management Center La bo te de dialogue S lection d une configuration s affiche 2 Cliquez sur Nouveau L assistant de configuration de SafeGuard Management Center d marre automatiquement L assistant vous guide tout au long des tapes n cessaires de cr ation d une nouvelle configuration de base de donn es 3 Sp cifiez les param tres selon vos besoins La nouvelle configuration de base de donn es est cr e 4 Pour vous authentifier dans le SafeGuard Management Center vous tes invit s lectionner le nom du responsable de la s curit de cette configuration et saisir son mot de passe de magasin de certificats Cliquez sur OK Manuel d administration SafeGuard Management Center est ouvert et reli la nouvelle configuration de base de donn es Au prochain lancement du SafeGuard Management Center la nouvelle configuration de base de donn es peut tre s lectionn e d
109. section Espaces r serv s pour les chemins des r gles File Encryption la page 169 Remarque les noms des variables d environnement ne sont pas v rifi s par SafeGuard Management Center Ils doivent seulement tre pr sents sur l ordinateur d extr mit Le champ Chemin indique toujours un dossier Vous ne pouvez pas sp cifier de fichier unique ou utiliser de caract res joker pour les noms de dossiers de fichiers ou pour les extensions de fichiers R gles absolues et relatives Vous pouvez d finir des r gles absolues et relatives Une r gle absolue d finit exactement un dossier sp cifique par exemple C encrypt Une r gle relative n inclut pas d informations sur le serveur partage UNC d informations sur la lettre du lecteur ou sur le dossier parent encrypt_ sub est un exemple de chemin utilis dans une r gle relative Dans ce cas tous les fichiers pr sents sur tous les lecteurs y compris les emplacements r seau qui r sident dans un dossier encrypt_sub ou l un de ses sous dossiers sont couverts par la r gle Noms de dossiers longs et notation 8 3 Saisissez toujours les noms de dossiers longs pour les r gles File Encryption car les noms 8 3 pour les noms de dossiers longs peuvent varier d un ordinateur un autre Les r gles des noms 8 3 sont d tect es automatiquement par l ordinateur d extr mit prot g par SafeGuard Enterprise lorsque les strat gies correspondantes sont appliqu es Que les applicati
110. sont de nouveau accessibles Pour exporter les fichiers de cl s vous avez besoin des droits d Acc s complet pour les objets auxquels les cl s correspondantes sont attribu es 1 Dans le SafeGuard Management Center cliquez sur Cl s et certificats 2 Dans la fen tre de navigation de gauche cliquez sur Clients virtuels puis sur Fichiers de cl s export s 3 Dans la barre d outils cliquez sur Exporter des cl s dans un fichier de cl 65 SafeGuard Enterprise 9 5 4 9 5 5 9 5 6 9 5 7 66 4 Dans Exporter des cl s dans un fichier de cl entrez les informations suivantes a R pertoire Cliquez sur pour s lectionner l emplacement du fichier de cl b Nom du fichier Le fichier de cl est chiffr l aide d un mot de passe al atoire qui s affiche dans Nom du fichier Vous ne pouvez pas modifier ce nom c Cliquez sur Ajouter une cl ou sur Supprimer une cl pour ajouter ou supprimer des cl s Une fen tre contextuelle s affiche pour rechercher et s lectionner les cl s requises Cliquez sur OK pour confirmer la s lection d Cliquez sur OK pour confirmer toutes les saisies 5 Distribuez le fichier de cl dans l environnement respectif des ordinateurs d extr mit Il doit tre disponible avant que le code de r ponse ne soit saisi sur l ordinateur d extr mit Affichage et filtrage des vues Client virtuel Pour trouver plus facilement le client virtuel ou les cl s demand s lor
111. strat gie Le clavier virtuel accepte diff rentes dispositions et il est possible de changer la disposition l aide des m mes options que pour la disposition du clavier de l authentification au d marrage SafeGuard Modification de la disposition du clavier La disposition du clavier pour l authentification au d marrage SafeGuard clavier virtuel inclus peut tre modifi e r trospectivement 1 S lectionnez D marrer gt Panneau de configuration gt Options r gionales et linguistiques gt Options avanc es 2 Dans l onglet Options r gionales s lectionnez la langue souhait e 3 Dans l onglet Options avanc es s lectionnez Appliquer tous les param tres au compte d utilisateur actuel et au profil utilisateur par d faut sous Param tres par d faut du compte d utilisateur 4 Cliquez sur OK L authentification au d marrage SafeGuard garde en m moire la disposition du clavier utilis e au cours de la derni re connexion et l active automatiquement la connexion suivante Cette op ration n cessite que vous red marriez l ordinateur d extr mit deux fois Si la disposition du clavier m moris e est d sactiv e dans les Options r gionales et linguistiques elle est tout de m me utilis e jusqu ce que l utilisateur en s lectionne une autre Remarque vous devez modifier la langue de la disposition du clavier pour les programmes autres que Unicode Si la langue souhait e n est pas disponible sur l ordina
112. suite au SafeGuard Management Center Cependant leur jeu de cl s ne sera pas disponible apr s la premi re connexion la synchronisation n tant pas d clench e par la premi re connexion Apr s une deuxi me connexion le jeu de cl s sera disponible et les utilisateurs pourront acc der leur ordinateur selon les strat gies appliqu es S ils n ont jamais r ussi se connecter un ordinateur d extr mit il est possible de les ajouter comme indiqu ci dessus Blocage de l utilisateur Si vous s lectionnez la case dans la colonne Bloquer l utilisateur l utilisateur n est pas autoris se connecter l ordinateur concern Si l utilisateur se connecte lorsque la strat gie contenant ce param tre est activ e sur l ordinateur il est d connect Groupes Dans SafeGuard Management Center des groupes d ordinateurs peuvent tre attribu s un utilisateur compte et ou peuvent tre attribu s un ordinateur Pour cr er un groupe Dans Utilisateurs et ordinateurs cliquez avec le bouton droit de la souris sur le n ud de l objet appropri sur lequel vous voulez cr er le groupe et s lectionnez Nouveau Cr er un groupe Dans Cr er un groupe dans Nom complet entrez le nom du groupe et ventuellement une description Cliquez sur OK Exemple Compte de service Il est par exemple possible d utiliser un seul compte de service pour entretenir un grand nombre d ordinateurs cette fin les ordinateurs concern
113. sur chaque machine E La strat gie appliqu e E Le dernier contact du serveur E L tat de chiffrement de tous les supports E L tat et le type de l authentification au d marrage E Les modules SafeGuard Enterprise install s M L tat de l veil par appel r seau s curis WOL E Les donn es utilisateur Ordinateurs d extr mit Mac dans l inventaire L Inventaire permet d obtenir des donn es d tat pour les Macs administr s dans SafeGuard Management Center Retrouvez plus d informations la section Donn es d inventaire et d tat des Mac la page 277 29 2 Affichage des donn es d inventaire 1 Dans la zone de navigation du SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation cliquez sur le conteneur concern domaine groupe de travail ou ordinateur gauche 3 Dans la zone d action acc dez l onglet Inventaire droite 4 Dans la zone Filtre s lectionnez le filtre appliquer l cran d inventaire Retrouvez plus d informations la section Filtrage des donn es d inventaire la page 248 Remarque si vous s lectionnez un ordinateur particulier les donn es d inventaire sont re ues d s que vous acc dez l onglet Inventaire La zone Filtre n est pas disponible ici 5 Dans la zone Filtre cliquez sur la loupe 247 SafeGuard Enterprise Les donn es d inventaire et d tat s affichent sous forme de tableau r capitu
114. tntry added manuallw y EHA Auto registered E amp WG_User 1 entry created on logon Les objets restent dans le dossier Auto registered Ils peuvent tre g r s correctement l aide de SafeGuard Management Center en appliquant des strat gies sur le dossier Auto registered Base de donn es de SafeGuard Enterprise et Active Directory non synchronis s Un utilisateur fait d j partie de l Active Directory AD de l entreprise La base de donn es de SafeGuard Enterprise et l AD ne sont cependant pas synchronis s L utilisateur Utilisateur 1 se connecte SafeGuard Enterprise et il appara t automatiquement dans la zone Utilisateurs et ordinateurs de SafeGuard Management Center sous le domaine fourni avec la connexion Domaine 1 Domain 1 HA Auto registered han User 1 L utilisateur fait d sormais partie du dossier Auto registered L objet peut tre g r correctement l aide de SafeGuard Management Center en appliquant des strat gies sur le dossier Auto registered la prochaine synchronisation entre l AD et la base de donn es SafeGuard Enterprise Utilisateur 1 sera automatiquement d plac dans son unit organisationnelle Utilisateurs 29 SafeGuard Enterprise 7 2 3 7 2 4 7 2 5 30 Comain 1 Auto registered Pour activer les strat gies pour l Utilisateur 1 celles ci doivent d sormais tre attribu es l unit organisationnelle Utilisateurs Cl s et certificats
115. une connexion au serveur La taille du fichier journal a donc tendance augmenter jusqu ce qu une connexion ait t tablie Pour limiter la taille de chaque fichier journal il est possible de sp cifier un nombre maximal d entr es du journal dans la strat gie Lorsque le nombre d entr es pr d fini a t atteint le syst me de journalisation place le fichier journal dans la file d attente de transport du serveur SGN et d marre un nouveau fichier journal 113 SafeGuard Enterprise 114 Param tre de strat gie PERSONNALISATION Explication Langue utilis e sur le client Langue dans laquelle les param tres de SafeGuard Enterprise sont affich s sur l ordinateur d extr mit Vous pouvez s lectionner une langue prise en charge ou le param tre de langue du syst me d exploitation de l ordinateur d extr mit R CUP RATION DE LA CONNEXION Activer la r cup ration de connexion apr s la corruption du cache local Windows Le cache local Windows repr sente le point de d part et de fin de l change de donn es entre l ordinateur d extr mit et le serveur Il stocke la totalit des cl s strat gies certificats utilisateur et fichiers d audit Les donn es stock es dans le cache local sont sign es et ne peuvent pas tre modifi es manuellement La r cup ration de connexion apr s corruption du cache local est d sactiv e par d faut En d autres termes le cache local Windows s
116. une liste de comptes de service cliquez dessus dans la fen tre de navigation de la strat gie La liste de comptes de service s ouvre dans la zone d action et vous pouvez alors ajouter supprimer ou modifier les noms d utilisateur dans la liste E Pour supprimer une liste de comptes de service s lectionnez la dans la fen tre de navigation de strat gie ouvrez le menu contextuel puis s lectionnez Supprimer Attribution d une liste de comptes de service dans une strat gie 1 Cr ez une nouvelle strat gie du type Authentification ou s lectionnez en une existante 2 Sous Options de connexion s lectionnez la liste de comptes de service requise dans la liste d roulante Liste de comptes de service Remarque Le param tre par d faut est Aucune liste c est dire qu aucune liste de comptes de service ne s applique Les op rateurs en charge du d ploiement se connectant l ordinateur apr s l installation de SafeGuard Enterprise ne sont pas trait s comme des utilisateurs invit s Ils peuvent activer l authentification au d marrage SafeGuard et tre ajout s l ordinateur d extr mit Pour annuler l attribution d une liste de comptes de service s lectionnez l option Aucune liste 3 Enregistrez vos modifications en cliquant sur l ic ne Enregistrer de la barre d outils Vous pouvez pr sent transf rer la strat gie sur les ordinateurs d extr mit concern s et y mettre disposition les comptes de service dispon
117. utilisateur Windows de SGN Un utilisateur Windows de SGN n est pas ajout l authentification au d marrage SafeGuard En revanche il dispose d un jeu de cl s pour acc der aux fichiers chiffr s comme le ferait un utilisateur Sophos SGN Vous pouvez activer l enregistrement des utilisateurs Windows de SGN sur les ordinateurs d extr mit gr ce des strat gies de type Param tres de machine sp cifiques 251 SafeGuard Enterprise 29 9 29 10 29 11 29 11 1 252 Onglet Fonctions L onglet Fonctions propose une pr sentation de tous les modules SafeGuard Enterprise install s sur l ordinateur Colonne Explication Nom du module Indique le nom du module SafeGuard Enterprise install Indique la version logicielle du module SafeGuard Enterprise install Onglet Certificat d entreprise L onglet Certificat d entreprise affiche les propri t s du certificat d entreprise actuellement utilis et indique si un certificat plus r cent est disponible Colonne Explication Affiche le nom distinctif du sujet du certificat d entreprise Affiche le num ro de s rie du certificat d entreprise Affiche le nom distinctif de l metteur du certificat d entreprise Valide compter du Affiche la date et l heure du d but de la validit du certificat d entreprise Valide jusqu au Affiche la date et l heure de l expiration du certificat d entreprise Un certificat d entreprise plus Indique si un certifica
118. utilisateur doive s lectionner une cl du jeu de cl s au pr alable Permet l utilisateur d annuler le chiffrement initial L utilisateur n est pas autoris acc der aux fichiers non chiffr s D finit si un utilisateur peut acc der aux donn es non chiffr es d un volume L utilisateur peut d chiffrer des fichiers Permet un utilisateur de d chiffrer des fichiers individuels ou des r pertoires entiers avec l extension de l Explorateur Windows lt clic droit gt L utilisateur peut d finir une phrase secr te des supports pour les p riph riques Permet l utilisateur de d finir une phrase secr te des supports sur son ordinateur La phrase secr te des supports permet d acc der facilement via SafeGuard Portable toutes les cl s locales utilis es sur des ordinateurs sur lesquels SafeGuard Data Exchange n est pas install Supports amovibles et Cloud Storage seulement Copier SG Portable sur la cible Si cette option est s lectionn e SafeGuard Portable est copi sur tous les supports amovibles connect s l ordinateur d extr mit et dans tous les dossiers de synchronisation d finis par une d finition Cloud Storage pour SafeGuard Cloud Storage d s l criture de contenu sur le support ou le dossier chiffr SafeGuard Portable permet l change des donn es chiffr es avec les supports amovibles ou le stockage dans le Cloud sans que SafeGuard Enterprise ne soit install sur
119. utilisateur est connect automatiquement 2 Le client est enregistr automatiquement sur le serveur SafeGuard Enterprise 3 La cl machine est envoy e au serveur SafeGuard Enterprise et stock e dans la base de donn es SafeGuard Enterprise 4 Les strat gies de la machine sont envoy es l ordinateur d extr mit Connexion Windows La bo te de dialogue de connexion de Windows s affiche L utilisateur se connecte Que se passe t il 1 L identifiant utilisateur et un hachage des codes d acc s de l utilisateur sont envoy s au serveur 2 Les strat gies certificats et cl s utilisateur sont cr s et envoy s l ordinateur d extr mit 3 L authentification au d marrage SafeGuard est activ e Connexion l authentification au d marrage SafeGuard Lorsque le client red marre l authentification au d marrage SafeGuard appara t Que se passe t il 1 L utilisateur a les certificats et les cl s disposition et il peut se connecter lors de l authentification au d marrage SafeGuard 2 Toutes les donn es sont chiffr es et s curis es avec la cl publique RSA de l utilisateur 3 Tous les autres utilisateurs qui souhaitent se connecter doivent au pr alable tre import s dans l authentification au d marrage SafeGuard Retard de connexion Sur un ordinateur prot g par SafeGuard Enterprise un d lai de connexion s applique si un utilisateur fournit des codes d acc s incorrects pendant l authe
120. valeur 3 est utilis e car la valeur 1 minute est un param tre machine ayant t d fini dans une strat gie pour les utilisateurs Strat gies de chiffrement contradictoires Deux strat gies P1 et P2 sont cr es Le chiffrement bas sur fichier de l unit E a t d fini pour P1 et le chiffrement bas sur volume de l unit E a t d fini pour P2 P1 se voit attribuer T OU FBE User et P2 l OU VBE User Cas 1 un utilisateur de l OU FBE User se connecte le premier au client W7 100 ordinateur du conteneur Le chiffrement de l unit E est bas sur le fichier Si un utilisateur de l OU VBE User se connecte ensuite au client W7 100 le chiffrement de l unit E est bas sur le volume Si les deux utilisateurs ont la m me cl tous deux peuvent acc der aux unit s ou aux fichiers Cas 2 un utilisateur de l OU VBE User se connecte le premier l ordinateur XP 100 ordinateur du conteneur Le lecteur est chiffr bas sur volume Si maintenant un utilisateur de l OU FBE User se connecte et a la m me cl que les utilisateurs de l OU VBE User l unit E sera chiffr bas sur fichier dans la chiffrement bas sur volume le chiffrement bas sur volume est conserv Toutefois si l utilisateur de l OU FBE User n a pas la m me cl il ne peut pas acc der l unit E Priorit s au sein d une attribution Au sein d une attribution la strat gie ayant la plus haute priorit 1 se range au dessus d une
121. vous ne l avez pas d j fait Retrouvez plus d informations sur les middlewares pris en charge la section Middlewares pris en charge la page 200 Red marrez les ordinateurs sur lesquels vous avez install le nouveau middleware Remarque si vous installez le middleware Gemalto NET Card ou Nexus Personal vous allez galement devoir ajouter leur chemin d installation la variable d environnement PATH des Propri t s syst me de votre ordinateur E Le chemin d installation par d faut pour Gemalto NET Card C Program Files Gemalto PKCS11 for NET V2 smart cards M Le chemin d installation par d faut pour Nexus Personal C Program Files Personal bin Activation du middleware Veuillez attribuer le middleware appropri sous la forme du module PKCS 11 en d finissant une strat gie dans SafeGuard Management Center Vous devez le faire la fois sur l ordinateur sur lequel SafeGuard Management Center est ex cut et sur l ordinateur d extr mit C est la condition n cessaire pour que SafeGuard Enterprise communique avec le token Vous pouvez d finir le param tre du module PKCS 11 en utilisant une strat gie de la fa on suivante Condition pr alable le middleware est install sur l ordinateur concern et le token a t initialis Le package de configuration du client SafeGuard Enterprise doit galement tre install sur l ordinateur PC sur lequel SafeGuard Management Center est ex cut 1 Dans
122. 06423 La machine laquelle le certificat doit tre attribu est introuvable dans la base de donn es 805306424 La machine laquelle le certificat doit tre attribu n a pas pu tre identifi e de fa on unique 805306425 Les certificats import s ne peuvent pas tre tendus par SGN 805306426 Donn es de certificat incoh rentes 805306427 L extension du certificat n a pas t approuv e par un responsable de la s curit 805306428 Erreur de suppression du token 805306429 Le certificat ne peut pas tre supprim par le token car il a t autoris par l utilisateur pr sent 805306430 Un acc s syst me du m me nom existe d j S lectionnez un autre nom _ _ _ t 805306431 Aucun r le n est affect au responsable de la s curit La connexion est impossible 805306432 La licence a t viol e 805306433 Aucune licence trouv e 805306435 Chemin du fichier journal manquant ou incorrect 2415919104 Aucune strat gie trouv e 2415919105 Aucun fichier de configuration n est disponible 2415919106 Aucune connexion au serveur 2415919107 Aucune donn e suppl mentaire 305 SafeGuard Enterprise Identifiant de Affichage l erreur 3758096398 La p riode de validit maximum du mot de passe est expir e 3758096399 Les informations concernant un changement de mot de passe imminent doivent tre affich es Aucune plate forme trouv e
123. 1 24 7 2 208 E En important des certificats d un fichier Remarque les certificats de l AC ne peuvent pas provenir d un token et tre stock s dans la base de donn es ou dans le magasin de certificats Si vous utilisez des certificats de l AC ces derniers doivent tre disponibles sous forme de fichiers et pas seulement sur un token Ceci s applique galement aux CRL liste de r vocation des certificats De surcro t les certificats de l AC doivent correspondre la liste de r vocation de certificats pour que les utilisateurs puissent se connecter aux ordinateurs concern s V rifiez que l AC et que la liste de r vocation de certificats correspondante sont correctes SafeGuard Enterprise n effectue pas cette v rification SafeGuard Enterprise ne peut ensuite communiquer avec les certificats ayant expir que si les cl s nouvelles et anciennes sont pr sentes sur la m me carte G n ration de certificats partir de tokens Pour g n rer des certificats partir de tokens vous avez besoin des droits d Acc s complet pour l utilisateur concern Vous pouvez g n rer de nouveaux certificats directement partir du token si par exemple aucune structure de certificat n est pr sente Remarque si seule la partie priv e du certificat est crite sur le token l utilisateur peut seulement acc der sa cl priv e avec ce token La cl priv e ne se trouve alors que sur le token En cas de perte du token la cl priv
124. 128 E AES 256 E AES 128 avec diffuseur E AES 256 avec diffuseur Le diffuseur est sp cifique BitLocker et ne peut pas tre utilis en mode de chiffrement de volumes de SafeGuard Enterprise Microsoft d conseille l utilisation de cet algorithme avec ce diffuseur Les lecteurs d j chiffr s utilisant un algorithme avec un diffuseur peuvent tre g r s par Sophos SafeGuard Pour les lecteurs devant tre chiffr s il n est pas possible de s lectionner les algorithmes avec diffuseur AES 128 avec diffuseur et AES 256 avec diffuseur ne sont pas disponibles dans Windows 8 Strat gies de chiffrement pour le Chiffrement de lecteur BitLocker Le responsable de la s curit peut cr er une strat gie de chiffrement initial dans le SafeGuard Management Center et la distribuer aux ordinateurs d extr mit BitLocker lors de l ex cution Elle d clenche le chiffrement BitLocker des lecteurs indiqu s dans la strat gie Les clients BitLocker tant administr s de mani re transparente dans le SafeGuard Management Center le responsable de la s curit ne doit proc der aucun param trage BitLocker sp cifique pour le chiffrement SafeGuard Enterprise connait le statut du client et s lectionne en cons quence le chiffrement BitLocker Lorsqu un client BitLocker est install avec SafeGuard Enterprise et que le chiffrement de volumes est activ les volumes sont chiffr s par BitLocker Drive Encryption Un ordinateur d extr mit Bi
125. 2 C est l origine d une strat gie qui permet de d terminer s il s agit d une strat gie d utilisateur ou d une strat gie de machine Un objet de l utilisateur appelle une strat gie d utilisateur et un ordinateur appelle une strat gie d ordinateur La m me strat gie peut tre une strat gie de machine ou d utilisateur selon le point de vue E Strat gie d utilisateur Toute strat gie fournie par l utilisateur pour l analyse Si une strat gie est mise en uvre via un seul utilisateur les param tres associ s la machine de cette strat gie ne sont pas appliqu s en d autres termes les param tres associ s l ordinateur ne s appliquent pas Les valeurs par d faut s appliquent E Strat gie d ordinateur Toute strat gie fournie par la machine pour l analyse Si une strat gie est mise en uvre via un seul ordinateur les param tres sp cifiques l utilisateur pour cette strat gie sont galement appliqu s La strat gie de l ordinateur repr sente par cons quent une strat gie pour tous les utilisateurs Manuel d administration 12 Utilisation des packages de configuration Dans SafeGuard Management Center vous pouvez cr er les types de packages de configuration suivants E Package de configuration pour ordinateurs d extr mit administr s Les ordinateurs d extr mit connect s au serveur SafeGuard Enterprise re oivent leurs strat gies par le biais de ce serveur Pour garantir un bon foncti
126. 227 Cloud Stora g ss ernieren Eae nes E aE EEE NASTE AoE EA E NON EEE a SNEER ETS 187 23 Attribution utilisateur rdinateUt sr rrii ne ne nn tn taR si Esko nia kasoro 193 24 Tokens et cates APUCE rni ar a RE RRE E EA NRE R RRAN A ERR 198 25 veil par appel r seau s curis NO nn den ae Ant AE An A dE AR A ee 215 26 Options d r cup ration sieste ne ee nn ete nat le teste 217 27 28 29 30 31 32 33 34 35 36 37 Restauration d une installation SafeGuard Management Center en cas de corruption 245 Restauration d une configuration de base de donn es corrompue 246 Donn esid inyentaire etd tats RE A a eia site ea eaii 247 RAPPOTTS sent EEEE EATE S nn ERE VE EE AERE E EEE 254 Planification d s CHER nd Rime re mines 267 Gestion des ordinateurs d extr mit Mac dans SafeGuard Management Center 277 SafeGuard Enterprise et disques durs compatibles Opal chiffrement automatique 279 v nements disponibles pour les rapports releases 282 Codes SRE HR SR A ee AR PR A ee An en ns nn es 293 SUPPOTCL CRMIQUES SN nie en seen id nie nee pe sister Se tasse sense nes 309 Mentions l gales e ns en tt dite ide en net nn tt it et ER 310 SafeGuard Enterprise 1 propos de SafeGuard Enterprise 6 1 SafeGuard Enterprise assure une protection puissante des donn es travers le chiffrement et une authentification suppl mentaire la connexion Cette version de SafeGuard Enterprise pre
127. 231 D termine si les utilisateurs peuvent d marrer l ordinateur partir du disque dur et ou d un autre support OUI les utilisateurs peuvent initialiser partir du disque dur uniquement L authentification au d marrage SafeGuard n offre pas la possibilit de d marrer l ordinateur avec une disquette ou d autres supports externes NON les utilisateurs peuvent d marrer l ordinateur partir du disque dur d une disquette ou d un support externe USB CD etc OPTIONS DE CONNEXION Mode de connexion D termine comment les utilisateurs doivent s authentifier l authentification au d marrage SafeGuard E Dutilisateur Mot de passe les utilisateurs doivent se connecter avec leurs noms d utilisateur et leurs mots de passe Token L utilisateur peut uniquement se connecter l authentification au d marrage SafeGuard l aide d un token ou d une carte puce Ce processus offre un niveau de s curit plus lev L utilisateur doit ins rer sa cl lors de la connexion L identit de l utilisateur est v rifi e par la possession de la cl et la pr sentation du code PIN Apr s la saisie d un code PIN correct SafeGuard Enterprise lit automatiquement les donn es pour la connexion de l utilisateur Remarque lorsque ce processus de connexion a t s lectionn les utilisateurs ne peuvent se connecter qu en utilisant une cl pr alablement g n r e Vous pouvez combiner les param tres Identifian
128. 50 Ko 129 SafeGuard Enterprise 130 Param tre de strat gie Explication Format pris en charge Unicode D finition de mots de passe interdits Dans la liste les mots de passe non autoris s sont s par s par un saut de ligne Caract re g n rique Le caract re g n rique peut repr senter tout caract re et tout nombre de caract res dans un mot de passe Par exemple 123 signifie que toute s quence de caract res contenant 123 sera interdite comme mot de passe Remarque M Sila liste ne contient qu un seul caract re g n rique l utilisateur ne sera plus en mesure de se connecter au syst me apr s un changement obligatoire de mot de passe Les utilisateurs ne doivent pas tre autoris s acc der ce fichier L option Utiliser la liste des mots de passe interdits doit tre activ e Synchronisation du mot de passe de l utilisateur avec les autres clients SGN Ce champ d termine la proc dure de synchronisation des mots de passe lorsque des utilisateurs utilisant plusieurs ordinateurs d extr mit utilisateur SafeGuard Enterprise et d finis comme les utilisateurs de ces ordinateurs changent leurs mots de passe Les options suivantes sont disponibles M Lent attendre que l utilisateur se connecte Si un utilisateur change son mot de passe sur un ordinateur d extr mit SafeGuard Enterprise et s il tente de se connecter un autre ordinateur sur lequel il est galement enr
129. Carte m moire USB veuillez galement activer Autoriser BitLocker sans un module de plateforme s curis e compatible dans la Strat gie de groupe Mode de connexion de secours En cas d chec de connexion SafeGuard Enterprise permet la BitLocker connexion avec une cl USB comme m canisme de secours ou g n re un message d erreur Remarque si vous s lectionnez Carte m moire USB comme mode de connexion cette option n est pas propos e CHECS DE CONNEXION Nbre maximum d checs de D termine le nombre de tentatives de connexion d un utilisateur connexion avec un nom d utilisateur ou un mot de passe non valide Par exemple apr s trois tentatives successives de saisie d un nom d utilisateur ou d un mot de passe incorrect une quatri me tentative verrouille l ordinateur Messages d chec de connexion D finit le niveau de d tail des messages d chec de connexion dins ROA E Standard affiche une br ve description D taill affiche des informations plus d taill es OPTIONS DE CARTE PUCE 122 Manuel d administration Param tre de strat gie Explication Action si l tat de connexion la D finit le comportement apr s suppression du token de carte puce est perdu l ordinateur Les actions possibles sont les suivantes E Verrouiller l ordinateur M Pr senter la bo te de dialogue PIN Aucune action Autoriser le d blocage de la carte D termine si le t
130. Center avec le nom affich Cr ation d un responsable de la s curit Condition pr alable pour cr er un responsable de la s curit vous devez poss der le droit d affichage et de cr ation de responsables de la s curit 1 Dans SafeGuard Management Center s lectionnez Responsables de la s curit Manuel d administration 2 Dans la fen tre de navigation cliquez avec le bouton droit de la souris sur le n ud du responsable de la s curit o vous souhaitez placer le nouveau responsable de la s curit puis s lectionnez Nouveau gt Nouveau responsable de la s curit 45 SafeGuard Enterprise 46 3 Proc dez de la fa on suivante dans la bo te de dialogue Nouveau responsable de la s curit Champ case cocher Description Le responsable de la s curit peut tre d sactiv jusqu nouvel avis Le responsable de la s curit est dans le syst me mais ne peut pas encore se connecter au SafeGuard Management Center Il peut seulement le faire et effectuer ses t ches d administration lorsqu un autre responsable l active Saisissez le nom du responsable de s curit tel qu il est fourni dans les certificats cr s par SafeGuard Enterprise sous la forme cn Le responsable de la s curit est galement affich sous ce nom dans la fen tre de navigation du SafeGuard Management Center Ce nom doit tre unique Valeur maximale 256 caract res Description T l phone port
131. D Cat gorie etc Pour indiquer qu un v nement doit tre journalis dans la base de donn es SafeGuard Enterprise s lectionnez l v nement en cliquant sur la colonne contenant l ic ne de base de donn es Consigner les v nements dans une base de donn es Pour les v nements journaliser dans l Observateur d v nements Windows cliquez dans la colonne contenant l ic ne du journal des v nements Consigner dans le journal des v nements Cliquez plusieurs fois pour dess lectionner l v nement ou le rendre nul Si vous ne d finissez pas de param tre pour un v nement la valeur par d faut correspondante s applique Pour tous les v nements s lectionn s une coche verte s affiche dans la colonne correspondante Enregistrez vos param tres Apr s avoir attribu la strat gie les v nements s lectionn s sont journalis s dans la destination en sortie correspondante Remarque retrouvez une liste de tous les v nements pouvant tre journalis s la section v nements disponibles pour les rapports la page 282 Visualisation des v nements journalis s En tant que responsable de la s curit disposant des droits n cessaires vous pouvez visualiser les v nements journalis s dans la base de donn es centrale de l Observateur d v nements du SafeGuard Management Center 257 SafeGuard Enterprise Pour r cup rer les entr es journalis es dans la base de donn es centrale 1
132. Dans Type de r cup ration s lectionnez Client virtuel 3 Saisissez le nom du client virtuel que l utilisateur vous a indiqu Pour ce faire vous pouvez proc der de plusieurs fa ons M Saisissez directement le nom unique E S lectionnez un nom en cliquant sur dans la section Client virtuel de la bo te de dialogue Type de r cup ration Cliquez ensuite sur Rechercher maintenant La liste des clients virtuels s affiche S lectionnez le client virtuel requis puis cliquez sur OK Le nom du client virtuel s affiche alors sur la page Type de r cup ration sous Client virtuel Cliquez sur Suivant pour confirmer le nom du fichier du client virtuel Manuel d administration Ensuite s lectionnez l action de r cup ration requise 26 2 6 6 S lection de l action de r cup ration requise 1 Sur la page Client virtuel Action requise s lectionnez l une des options suivantes M S lectionnez Cl requise pour r cup rer une cl unique pour acc der un volume chiffr sur l ordinateur Cette option est disponible pour les ordinateurs d extr mit non administr s et administr s E S lectionnez Mot de passe du fichier de cl demand pour r cup rer plusieurs cl s et acc der aux volumes chiffr s sur l ordinateur Les cl s sont stock es dans un fichier chiffr par un mot de passe al atoire enregistr dans la base de donn es Ce mot de passe est propre chaque fichier de cl cr Le mot de pass
133. Dans la zone de navigation du SafeGuard Management Center cliquez sur Rapports 2 Dans la zone de navigation Rapports s lectionnez Observateur d v nements 3 Dans la zone d action Observateur d v nements droite cliquez sur l ic ne de la loupe Tous les v nements journalis s dans la base de donn es centrale apparaissent dans l Observateur d v nements Les colonnes indiquent les informations suivantes relatives aux v nements journalis s Colonne Description Identifiant Affiche un num ro identifiant l v nement v nement Affiche un texte d v nement description de l v nement Cat gorie Classification de l v nement selon la source Chiffrement Authentification Syst me par exemple Application Affiche la zone logicielle d o l v nement provient SGMAuth SGBaseENc SGMAS par exemple Ordinateur Affiche le nom de l ordinateur sur lequel l v nement journalis s est produit Domaine de l ordinateur Affiche le domaine de l ordinateur sur lequel l v nement journalis s est produit Utilisateur Affiche l utilisateur connect lorsque l v nement s est produit Domaine utilisateur Affiche le domaine de l utilisateur connect lorsque l v nement s est produit Heure de connexion Affiche la date et l heure syst me auxquelles l v nement a t journalis sur l ordinateur d extr mit Cliquez sur les en t tes de colonnes pour trier
134. Definitions Une CSD sera export e sous la forme d un fichier XML E Pour exporter une CSD cliquez sur Exporter une d finition de Cloud Storage dans le menu contextuel de la d finition Cloud Storage d sir e dans la zone Strat gie E Pour importer une CSD cliquez sur Importer une d finition de Cloud Storage dans le menu contextuel du n ud de la d finition Cloud Storage dans la zone Strat gie Les deux commandes sont galement disponibles dans le menu Actions du SafeGuard Management Center 191 SafeGuard Enterprise 22 3 Cr ation d une strat gie de protection des p riph riques avec 192 une d finition Cloud Storage Des d finitions Cloud Storage doivent avoir t cr es auparavant Les d finitions Cloud Storage pr d finies de diff rents fournisseurs de stockage dans le Cloud sont disponibles Par exemple Dropbox ou Egnyte Vous d finissez les param tres pour chiffrer les donn es de stockage dans le Cloud dans une strat gie du type Protection des p riph riques 1 Dans la zone de navigation Strat gies cr ez une nouvelle strat gie du type Protection des p riph riques 2 S lectionnez une d finition Cloud Storage comme cible 3 Cliquez sur OK La nouvelle strat gie s affiche dans la fen tre de navigation sous l ments de strat gie Dans la zone d action tous les param tres de la strat gie Protection du p riph rique s affichent et peuvent tre chang s 4 Pour le Mode de
135. File Encryption la page 169 Remarque le chiffrement int gral du profil utilisateur l aide de l espace r serv lt Profil utilisateur gt peut entra ner une instabilit du bureau Windows sur l ordinateur d extr mit E Cliquez sur le bouton Parcourir pour naviguer dans le syst me de fichiers et s lectionnez le dossier requis M Sinon entrez simplement un nom de chemin Remarque retrouvez plus d informations sur les chemins de configuration dans les r gles File Encryption la section Informations suppl mentaires sur la configuration des chemins dans les r gles File Encryption la page 168 3 Dans la colonne tendue s lectionnez E Seulement ce dossier pour appliquer la r gle seulement au dossier indiqu par la colonne Chemin ou E Inclure les sous dossiers pour appliquer aussi la r gle tous ses sous dossiers Manuel d administration 4 Dans la colonne Mode d finissez comment File Encryption doit g rer le dossier indiqu dans la colonne Chemin E S lectionnez Chiffrer pour chiffrer de nouveaux fichiers dans le dossier Le contenu des fichiers chiffr s existants est d chiffr de mani re transparente lorsqu un utilisateur y acc de avec la cl requise Si l utilisateur n a pas la cl requise l acc s est refus E Si vous s lectionnez Exclure les nouveaux fichiers du dossier ne sont pas chiffr s Vous pouvez utiliser cette option pour exclure un sous dossier du chiffrement si le dossier p
136. Guard autonomes SafeGuard Enterprise propose aussi une proc dure Challenge R ponse pour les ordinateurs d extr mit non administr s clients Sophos SafeGuard autonomes lorsque l utilisateur a oubli son mot de passe ou s il l a saisi de mani re incorrecte un trop grand nombre de fois 237 SafeGuard Enterprise 26 2 7 1 238 Les ordinateurs non administr s ne disposent d aucune connexion m me temporaire au serveur SafeGuard Enterprise Ils fonctionnent en mode autonome Dans ce cas les informations de r cup ration n cessaires la proc dure Challenge R ponse sont bas es sur le fichier de r cup ration de cl Sur chaque ordinateur d extr mit non administr ce fichier de r cup ration de cl est g n r lors du d ploiement du logiciel de chiffrement SafeGuard Enterprise Le fichier de r cup ration de cl doit tre accessible pour le support technique Sophos SafeGuard par exemple sur un chemin r seau partag Afin de faciliter la recherche et le regroupement des fichiers de r cup ration ils portent le nom de l ordinateur nomordinateur GUID xml dans leurs noms de fichier Vous pouvez ainsi effectuer des recherches de caract res g n riques avec des ast risques par exemple GUID xml Remarque lorsqu un ordinateur est renomm le cache local de l ordinateur n applique pas le changement de nom Le cache local stocke toutes les cl s et strat gies ainsi que les certificats utilisa
137. Guard Management Center s lectionnez Outil de package de configuration dans le menu Outils 2 S lectionnez un package de configuration existant ou cr ez en un nouveau 3 Indiquez un Groupe d authentification au d marrage cr auparavant dans la zone Utilisateurs et ordinateurs du SafeGuard Management Center qui sera appliqu aux ordinateurs d extr mit Un groupe aucune liste est disponible pour la s lection par d faut Ce groupe peut tre utilis pour supprimer une attribution de groupe d authentification au d marrage sur les ordinateurs d extr mit Manuel d administration 16 7 3 16 7 4 4 Indiquez un chemin de sortie pour le package de configuration 5 Cliquez sur Cr er un package de configuration 6 D ployez le package de configuration sur les ordinateurs d extr mit L installation du package de configuration entra ne l ajout des utilisateurs inclus dans le groupe l authentification au d marrage SafeGuard sur les ordinateurs d extr mit Les utilisateurs de l authentification au d marrage sont disponibles pour la connexion l authentification au d marrage Remarque lorsque vous mettez niveau des ordinateurs d extr mit non administr s pour qu ils soient administr s les utilisateurs de l authentification au d marrage restent actifs s ils ont aussi t attribu s dans SafeGuard Management Center Les mots de passe d finis dans les groupes d authentification au d marrage d ploy
138. Guard Management Center est ouvert et reli la configuration de base de donn es import e Importation d une configuration en cliquant deux fois sur le fichier de configuration Single et Multi Tenancy Remarque cette t che est disponible en mode Single Tenancy et Multi Tenancy Vous pouvez galement exporter une configuration et la distribuer vers plusieurs responsables de la s curit Les responsables de la s curit cliquent deux fois alors sur le fichier de configuration pour ouvrir une instance du SafeGuard Management Center totalement configur e Ceci est utile lorsque vous utilisez l authentification SQL pour la base de donn es et souhaitez viter que chaque administrateur connaisse le mot de passe SQL Dans ce cas vous ne le saisissez ensuite qu une seule fois vous cr ez un fichier de configuration et vous le distribuez vers les ordinateurs des responsables de la s curit concern s Condition pr alable la configuration initiale du SafeGuard Management Center doit avoir t effectu e Retrouvez plus d informations dans le Guide d installation de SafeGuard Enterprise 1 D marrez SafeGuard Management Center Manuel d administration 6 7 6 8 S lectionnez Options dans le menu Outils et s lectionnez l onglet Base de donn es Saisissez et confirmez les codes d acc s de la connexion au serveur de base de donn es SQL Cliquez sur Exporter la configuration pour exporter cette configuration vers un fich
139. Guard Portable L utilisateur ne saisit qu une seule phrase secr te et peut acc der tous les fichiers chiffr s dans SafeGuard Portable quelle que soit la cl locale utilis e pour le chiffrement Sur chaque ordinateur d extr mit et pour chaque p riph rique une cl de chiffrement de support unique pour le chiffrement de donn es est cr e automatiquement Cette cl est prot g e par la phrase secr te des supports et une cl de domaine groupe d finie de mani re centralis e Sur un ordinateur sur lequel SafeGuard Data Exchange est install il n est donc pas n cessaire de saisir la phrase secr te des supports pour acc der aux fichiers chiffr s contenus sur le support amovible L acc s est accord automatiquement si la cl appropri e se trouve dans le jeu de cl s de l utilisateur La cl de domaine groupe utiliser doit tre sp cifi e sous Cl d finie pour le chiffrement La fonction de phrase secr te des supports est disponible lorsque l option L utilisateur peut d finir une phrase secr te des supports pour les p riph riques est activ e dans une strat gie de type Protection des p riph riques Lorsque ce param tre est activ sur l ordinateur l utilisateur est invit automatiquement saisir une phrase secr te des supports lorsqu il connecte des supports amovibles pour la premi re fois La phrase secr te des supports est valide sur chaque ordinateur auquel l utilisateur peut se connecter L utilisa
140. Impossible de modifier le groupe de strat gies Administration La strat gie suivante a t ajout e au groupe de strat gies Administration La strat gie suivante a t supprim e du groupe de strat gies Administration 2668 Impossible d ajouter la strat gie au groupe de strat gies Administration 2670 Impossible de supprimer la strat gie du groupe de strat gies Administration 2678 v nement enregistr export Administration 2679 chec d exportation des v nements enregistr s Administration 2680 v nements enregistr s supprim s Administration 2681 Impossible de supprimer les v nements enregistr s Administration Le responsable de la s curit autorise le renouvellement du certificat Administration Le responsable de la s curit refuse le renouvellement du certificat Administration Impossible de modifier les param tres de renouvellement du certificat Administration 2688 Impossible de modifier le certificat du responsable Administration 2692 Cr ation de groupes de travail Administration 2693 Cr ation de groupes de travail impossible Administration 2694 Suppression de groupes de travail Administration 2695 Suppression de groupes de travail impossible 287 SafeGuard Enterprise 288 Cat gorie Administration Administration Administration Identifiant s i 2696 2697 2698 Description Cr ation d utilisateurs Cr ation d utilisateurs impossible Cr
141. La bo te de dialogue Application de la licence appara t avec le contenu du fichier de licence Cliquez sur Appliquer la licence Le fichier de licence est import dans la base de donn es SafeGuard Enterprise Apr s avoir import le fichier de licence les licences de module achet es sont indiqu es par le type de licence standard Tous les modules pour lesquels aucune licence n a t achet e et pour lequel la licence d valuation fichier de licence par d faut ou des licences de d monstration individuelles sont utilis es sont marqu s avec le type de licence d monstration 17 SafeGuard Enterprise 5 6 5 6 1 5 6 2 18 Remarque lorsqu un nouveau fichier de licence est import seuls les modules inclus dans ce fichier de licence sont affect s Toute autre information de licence de module est conserv e telle que r cup r e depuis la base de donn es Ces fonctionnalit s d importation simplifient l valuation des modules suppl mentaires apr s que vous en avez achet un ou plusieurs modules Licence d pass e Une valeur de tol rance a t d finie dans votre fichier de licence quant au d passement du nombre de licences achet es et la p riode de validit de la licence Si le nombre de licences disponibles par module ou la p riode de validit est d pass un message d avertissement s affiche Ceci n affecte pas l utilisation du syst me et aucune restriction n affecte ses fonctionnalit s Vo
142. La valeur requise peut tre saisie directement ou augment e r duite l aide des touches fl ch es Longueur max de la phrase secr te D finit le nombre maximum de caract res de la phrase secr te La valeur requise peut tre saisie directement ou augment e r duite l aide des touches fl ch es Nombre min de lettres Nombre min de chiffres Nombre min de caract res sp ciaux Ce param tre sp cifie qu une phrase secr te ne peut pas contenir seulement des lettres des nombres ou des symboles mais doit comporter une combinaison de ces 2 au moins par exemple 15 fleur etc Ce param tre n est pratique que si vous avez d fini une longueur minimum de phrase secr te sup rieure 2 Respecter la casse Ce param tre est effectif lorsque l option Utilisation interdite du nom d utilisateur en tant que phrase secr te est active Exemple EMaier est saisi comme nom d utilisateur Si l option Respecter la casse est d finie sur OUI et si Utilisation interdite du nom d utilisateur en tant que phrase secr te est d finie sur NON l utilisateur EMaier ne peut utiliser aucune variante de ce nom d utilisateur par exemple emaier ou eMaiER comme phrase secr te Interdire la succession de touches horizontales Les s quences de touches cons cutives sont par exemple 123 ou aze Un maximum de deux caract res adjacents du clavier est autoris Les s quences de touches cons cutives ne concernent q
143. Locker peut tre r cup r e l aide de SafeGuard Policy Editor Gestion du Chiffrement de lecteur BitLocker avec SafeGuard Enterprise SafeGuard Enterprise vous permet de g rer le Chiffrement de lecteur BitLocker partir de SafeGuard Management Center pareillement un client SafeGuard Enterprise natif En tant que responsable de la s curit vous pouvez d finir des strat gies de chiffrement et d authentification pour les ordinateurs d extr mit BitLocker et les distribuer Manuel d administration 18 2 4 18 2 4 1 Lors de l installation du client SafeGuard Enterprise la fonction BitLocker doit tre explicitement s lectionn e pour activer la gestion de BitLocker Lorsque l ordinateur d extr mit BitLocker est enregistr dans SafeGuard Enterprise les informations concernant l utilisateur l ordinateur le mode de connexion et l tat du chiffrement apparaissent Les v nements sont galement consign s dans le journal pour les clients BitLocker La gestion des clients BitLocker dans SafeGuard Enterprise est transparente ce qui signifie que les fonctions de gestion fonctionnent en g n ral de fa on identique pour les clients BitLocker et SafeGuard Enterprise natifs Vous pouvez retrouver plus d informations sur le type d un ordinateur dans l Inventaire d un conteneur dans Utilisateurs et ordinateurs La colonne Type de chiffrement vous indique si l ordinateur correspondant est un client BitLocker La gestion cen
144. N utilis pour la connexion Indiquez un code PIN par d faut pour autoriser la connexion automatique avec token automatique de l utilisateur l authentification au d marrage q q 8 SafeGuard l aide d un token ou d une carte puce L utilisateur doit ins rer le token lors de la connexion et il est ensuite 119 SafeGuard Enterprise Param tre de strat gie Explication connect par le biais de l authentification au d marrage SafeGuard Windows d marre Il n est pas n cessaire de suivre les r gles relatives au code PIN Remarque E Cette option n est disponible que si vous s lectionnez Token comme Mode de connexion E Si cette option est s lectionn e Connexion automatique vers Windows doit tre d fini sur D sactiver la connexion automatique vers Windows Afficher les checs de connexion pour cet utilisateur Affiche param tre Oui apr s la connexion l authentification au d marrage SafeGuard et Windows une bo te de dialogue indiquant des informations relatives au dernier chec de connexion nom d utilisateur date heure Afficher la derni re connexion utilisateur Affiche param tre Oui apr s la connexion partir de l authentification au d marrage SafeGuard et Windows une bo te de dialogue s affiche contenant des informations concernant M la derni re connexion nom d utilisateur date heure M les derniers codes d acc s de l utilisateur connect D sa
145. OK Le certificat d entreprise est export sous la forme d un fichier p12 l emplacement d sign et peut tre utilis des fins de r cup ration Exportation du certificat du responsable principal de la s curit Pour sauvegarder le certificat du responsable principal de la s curit connect au SafeGuard Management Center 1 Dans la barre de menus du SafeGuard Management Center s lectionnez Outils gt Options 2 S lectionnez l onglet Certificats et cliquez sur Exporter dans la section Certificat de lt administrateur gt 3 Vous tes invit saisir un mot de passe pour s curiser le fichier export Saisissez un mot de passe confirmez le puis cliquez sur OK 4 Saisissez un nom et un emplacement de stockage pour le fichier exporter et cliquez sur OK Le certificat du responsable principal de la s curit actuellement connect est export sous la forme d un fichier p12 l emplacement d fini et peut tre utilis des fins de r cup ration Clients virtuels Remarque les clients virtuels peuvent uniquement tre utilis s pour le Chiffrement int gral du disque SafeGuard avec authentification au d marrage SafeGuard Les clients virtuels sont des fichiers de cl s sp cifiques pouvant tre utilis s pour la r cup ration lors d une proc dure Challenge R ponse lorsque les informations requises sur l utilisateur ne 63 SafeGuard Enterprise 9 5 1 9 5 2 64 sont pas disponibl
146. PIN interdits sont s par s par un saut de ligne Pour enregistrer les fichiers texte 1 Dans la Zone de navigation de strat gie cliquez avec le bouton droit de la souris sur Texte d informations et s lectionnez Nouveau gt Texte 2 Entrez le nom du texte afficher dans le champ Nom de l l ment de texte 123 SafeGuard Enterprise 3 Cliquez sur pour s lectionner le fichier texte pr alablement cr Un message s affiche si le fichier doit tre converti 4 Cliquez sur OK Le nouvel l ment de texte s affiche en tant que n ud secondaire sous Texte d informations dans la zone de navigation de strat gie Si vous s lectionnez un l ment de texte son contenu s affiche dans la fen tre de droite L l ment de texte peut d sormais tre s lectionn lors de la cr ation de strat gies R p tez la proc dure pour enregistrer d autres l ments de texte Tous les l ments de texte enregistr s s affichent en tant que n uds secondaires Remarque gr ce au bouton Modifier le texte vous pouvez ajouter du texte au texte existant Une bo te de dialogue de s lection d un autre fichier texte s affiche lorsque vous cliquez sur ce bouton Le texte contenu dans ce fichier est ajout la fin du texte existant 17 4 R gles de syntaxe des codes PIN Dans les strat gies du type Code PIN vous d finissez les param tres des codes PIN du token Les codes PIN peuvent comporter des nombres des lettres et
147. SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs Manuel d administration 7 2 10 7 2 11 7 2 11 1 7 2 11 2 7 3 2 Dans la fen tre de navigation de gauche cliquez avec le bouton droit sur le domaine supprimer puis s lectionnez Supprimer 3 Cliquez sur Oui Le domaine est supprim Ses membres ventuels sont galement supprim s Remarque si vous avez moins que les droits d Acc s complet pour tous les membres du domaine la suppression du domaine choue et un message d erreur appara t Suppression des ordinateurs enregistr s automatiquement Lorsqu un ordinateur enregistr automatiquement est supprim tous les utilisateurs locaux de cet ordinateur le sont galement Ils sont r enregistr s automatiquement lors de leur prochaine connexion cet ordinateur Filtre pour les objets locaux Utilisateurs et ordinateurs Dans Utilisateurs et ordinateurs vous pouvez filtrer la vue dans la zone de navigation gauche en fonction des utilisateurs locaux ou rechercher des utilisateurs locaux donn s 1 Dans SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la partie inf rieure gauche de la fen tre de navigation cliquez sur Filtrer 3 S lectionnez Utilisateur local en tant que Type Si vous recherchez un utilisateur particulier saisissez son nom 4 Cliquez sur l ic ne de la loupe La vue Utilisateurs et ordinateurs est filtr e en fonction des crit
148. Utilisateurs et ordinateurs vous avez besoin des droits d Acc s complet pour tous les objets auxquels les strat gies sont attribu es Si vous n avez pas les droits d Acc s complet pour tous les objets les param tres ne sont pas modifiables Si vous essayez de modifier ces champs une message d information appara t Les utilisateurs authentifi s et les ordinateurs authentifi s sont affich s dans la zone d activation La strat gie s applique tous les groupes au sein de l OU et ou du domaine 75 SafeGuard Enterprise 11 6 1 Activation des strat gies pour des groupes individuels 11 7 76 Les strat gies sont toujours attribu es un OU un domaine ou un groupe de travail Elles s appliquent par d faut tous les groupes de ces objets conteneurs les utilisateurs authentifi s et les ordinateurs authentifi s sont affich s dans la zone d activation Toutefois vous pouvez galement d finir des strat gies et les activer pour un ou plusieurs groupes Ces strat gies s appliquent ensuite exclusivement ces groupes Remarque pour activer les strat gies de groupes individuels vous avez besoin des droits d Acc s complet pour le groupe concern 1 Attribuez la strat gie l OU contenant le groupe 2 Les utilisateurs authentifi s et les ordinateurs authentifi s sont affich s dans la zone d activation 3 Faites glisser ces deux groupes de la zone d activation jusqu la liste des Groupes dispo
149. Vous ne pouvez pas utiliser conjointement les proc dures de connexion par token et par empreinte digitale sur le m me ordinateur Options de connexion l aide d un D termine le type de token ou de carte puce utiliser sur token l ordinateur d extr mit E Non cryptographique Identification l authentification au d marrage SafeGuard et Windows bas e sur les codes d acc s utilisateur Kerberos Authentification bas e sur les certificats l authentification au d marrage SafeGuard et Windows Pour les ordinateurs d extr mit administr s le responsable de la s curit met un certificat dans une infrastructure de cl publique PKI et la stocke sur le token Ce certificat est import sous forme de certificat utilisateur dans la base de donn es SafeGuard Enterprise Si un certificat g n r automatiquement existe d j dans une base de donn es il est remplac par le certificat import Les tokens cryptographiques ne peuvent pas tre utilis s pour les ordinateurs d extr mit non administr s Remarque en cas de probl mes de connexion avec un token Kerberos il n est pas possible d utiliser la proc dure Challenge R ponse ou Local Self Help pour la r cup ration de la connexion Seule la proc dure Challenge R ponse utilisant les clients virtuels est prise en charge Elle permet aux utilisateurs de r cup rer l acc s aux volumes chiffr s sur leurs ordinateurs d extr mit Code PI
150. a pas de limite au nombre d v nements conserver dans le tableau EVENT keepBackup Avec ce param tre sp cifiez si les v nements supprim s doivent tre sauvegard s dans le tableau EVENT Le nombre par d faut est 0 Si ce param tre est d fini sur 0 les v nements ne sont pas sauvegard s D finissez ce param tre sur 1 pour cr er une sauvegarde des v nements supprim s Remarque si vous utilisez le script pour d placer des v nements du tableau EVENT dans le tableau de journalisation de sauvegarde la connexion des v nements ne s applique plus Pour activer la connexion aux v nements tout en utilisant la proc dure enregistr e pour le nettoyage des v nements est inutile Retrouvez plus d informations la section Connexion des v nements journalis s la page 261 275 SafeGuard Enterprise 31 6 31 7 276 Restrictions concernant les serveurs enregistr s Lorsque vous enregistrez des serveurs dans l Outil de package de configuration du SafeGuard Management Center vous pouvez enregistrer plus d un mod le de serveur avec le m me certificat de machine Mais vous pouvez seulement installer un mod le la fois sur la machine r elle Si la case cocher Scripts autoris s est s lectionn e pour les deux serveurs le Planificateur de t ches affiche les deux serveurs pour s lection dans la liste d roulante Serveur SGN des bo tes de dialogue Nouvelle t che et Propri t s de lt
151. a connexion peut s effectuer de la fa on suivante Aucun token Le responsable de la s curit ne peut pas se connecter avec un token Il doit se connecter en saisissant les informations de connexion nom d utilisateur mot de passe Facultatif La connexion peut s effectuer avec un token ou en saisissant les informations de connexion Le responsable de la s curit a le choix Obligatoire un token doit tre utilis pour la connexion Pour ce faire la cl priv e appartenant au certificat du responsable de la s curit doit se trouver sur le token 43 SafeGuard Enterprise 44 8 9 Champ case Description cocher Certificat Un responsable de la s curit a toujours besoin d un certificat pour se connecter au SafeGuard Management Center Le certificat peut tre cr par SafeGuard Enterprise lui m me ou un certificat existant peut tre utilis Si la connexion avec un token est essentielle le certificat doit tre ajout au token du responsable de la s curit Cr er Le certificat et le fichier de cl sont cr s et enregistr s dans un emplacement choisi Saisissez et confirmez un mot de passe pour le fichier P12 Le fichier p12 doit tre la disposition du responsable de la s curit lorsqu il se connecte Le certificat cr est attribu automatiquement au responsable de la s curit et affich dans Certificat Si des r gles de mot de passe de SafeGuard Enterprise sont utilis es celles ci
152. able Facultatif Valeur maximale 256 caract res Facultatif Valeur maximale 128 caract res Facultatif Valeur maximale 256 caract res Validit Connexion au token S lectionnez les dates de d but et de fin d autorisation de connexion du responsable de la s curit au SafeGuard Management Center La connexion peut s effectuer de la fa on suivante Aucun token Le responsable de la s curit ne peut pas se connecter avec un token Il doit se connecter en saisissant ses informations de connexion nom d utilisateur mot de passe Facultatif La connexion peut s effectuer avec un token ou en saisissant les informations de connexion Le responsable de la s curit a le choix Obligatoire un token doit tre utilis pour la connexion Pour ce faire la cl priv e appartenant au certificat du responsable de la s curit doit se trouver sur le token Manuel d administration Champ case cocher Description Certificat Un responsable de la s curit a toujours besoin d un certificat pour se connecter au SafeGuard Management Center Le certificat peut tre cr par SafeGuard Enterprise lui m me ou un certificat existant peut tre utilis Si la connexion avec un token est essentielle le certificat doit tre ajout au token du responsable de la s curit Cr er Le certificat et le fichier de cl sont cr s et enregistr s dans un emplacement choisi Entrez et confirmez un mot de pa
153. able tre autoris cr er des cl s locales param tre par d faut dans SafeGuard Enterprise Configuration des applications fiables et ignor es pour SafeGuard Data Exchange Vous pouvez d finir des applications comme fiables pour leur accorder l acc s aux fichiers chiffr s C est par exemple n cessaire pour activer le logiciel antivirus afin de contr ler les fichiers chiffr s Vous pouvez d finir des applications comme ignor s pour les exempter du chiffrement d chiffrement transparent des fichiers Par exemple si vous d finissez un programme de sauvegarde comme une application ignor e les donn es chiffr es sauvegard es par le programme restent chiffr es Remarque les processus enfants ne seront pas fiables ignor s 1 Dans la zone de navigation Strat gies cr ez une nouvelle strat gie du type Param tres g n raux ou s lectionnez en une 2 Sous Chiffrement de fichiers cliquez sur le bouton d roulant du champ Applications fiables ou Application ignor es 3 Dans la zone de liste de l diteur saisissez les applications d finir comme fiables ignor es M Vous pouvez d finir plusieurs applications fiables ignor es dans une strat gie Chaque ligne de la zone de liste de l diteur d finir une application M Les noms des applications doivent se terminer par exe M Les noms des applications doivent tre sp cifi s comme des chemins pleinement qualifi s avec informations sur le lecteur r perto
154. achines disponibles est filtr en fonction de vos droits d acc s Dans l affichage de la grille AUM qui montre les utilisateurs attribu s aux ordinateurs et vice versa les objets pour lesquels vous n avez pas les droits d acc s requis apparaissent pour information mais l attribution ne peut pas tre modifi e Lorsque vous attribuez un utilisateur un ordinateur vous pouvez aussi sp cifier qui peut autoriser d autres utilisateurs se connecter cet ordinateur 193 SafeGuard Enterprise 194 Sous Type SafeGuard Management Center indique la m thode selon laquelle l utilisateur a t ajout la base de donn es SafeGuard Enterprise Adopt signifie que l utilisateur a t ajout l AUM sur un ordinateur d extr mit Remarque si personne n est attribu dans SafeGuard Management Center et si aucun utilisateur n est sp cifi comme propri taire le premier utilisateur se connecter l ordinateur apr s l installation de SafeGuard Enterprise est saisi en tant que propri taire Cet utilisateur peut ensuite autoriser d autres utilisateurs se connecter cet ordinateur Retrouvez plus d informations la section Enregistrement d utilisateurs SafeGuard Enterprise suppl mentaires la page 89 Si des utilisateurs sont attribu s cet ordinateur dans SafeGuard Management Center une date ult rieure ils peuvent ensuite se connecter lors de l authentification au d marrage SafeGuard N anmoins ces utilis
155. administr s par Windows et pas aux volumes Mac OS X Affichage des p riph riques ignor s et connect s pour la configuration File Encryption Pour vous aider d finir les p riph riques ignor s vous pouvez utiliser des cl s du registre pour indiquer quels p riph riques sont consid r s pour le chiffrement p riph riques connect s et quels sont ceux qui sont ignor s La liste des p riph riques ignor s indique seulement ceux qui sont v ritablement disponibles sur l ordinateur et qui sont ignor s Si un p riph rique est param tr pour tre ignor dans une strat gie et s il n est pas disponible sur l ordinateur il n appara t pas dans la liste Utilisez les cl s de registre suivantes pour afficher les p riph riques connect s et ignor s E HKIM System CurrentControlSet Control Utimaco SGLCENC Log AttachedDevices E HKIM System CurrentControlSet Control Utimaco SGLCENC Log IgnoredDevices Configuration du chiffrement permanent pour File Encryption Le contenu des fichiers chiffr s par File Encryption est d chiffr instantan ment si l utilisateur poss de la cl requise Lorsque le contenu est enregistr sous la forme d un nouveau fichier dans un emplacement qui n est pas couvert par une r gle de chiffrement le fichier obtenu ne sera pas chiffr Avec le chiffrement permanent les copies des fichiers chiffr s seront chiffr es m me lorsqu elles sont enregistr es dans un emplacement non couvert par une r gle
156. afeGuard Management Center sous l ments de strat gie E Type Param tres de machine sp cifiques E Champ Autoriser l enregistrement de nouveaux utilisateurs SGN pour Param tre par d faut Propri taire Le propri taire d un ordinateur d extr mit est sp cifi dans SafeGuard Management Center sous Utilisateurs et ordinateurs E S lectionnez lt nom de l ordinateur d extr mit gt E Onglet Utilisateurs Remarque safeguard Enterprise propose des utilisateurs de l authentification au d marrage comptes locaux pr d finis qui permettent aux utilisateurs de se connecter connexion l authentification au d marrage SafeGuard des ordinateurs d extr mit une fois l authentification au d marrage SafeGuard activ e pour effectuer des t ches administratives Les comptes sont d finis dans la zone Utilisateurs et ordinateurs du SafeGuard Management Center identifiant utilisateur et mot de passe et attribu s aux ordinateurs d extr mit dans les groupes d authentification au d marrage Retrouvez plus d informations la section Utilisateurs de l authentification au d marrage pour connexion l authentification au d marrage SafeGuard la page 104 89 SafeGuard Enterprise 13 3 13 3 1 90 Configuration de l authentification au d marrage SafeGuard La bo te de dialogue de l authentification au d marrage SafeGuard comporte les composants suivants E Image de connexion E Texte des bo tes de
157. aint de connexion de connexion de disponible par l utilisateur changer son mot l utilisateur et l utilisateur de passe affichage de Windows l option du mot de passe Oui Oui Non disponible Non disponible Non disponible 26 2 3 Lancement de l assistant de r cup ration Pour pouvoir effectuer une proc dure de r cup ration assurez vous de disposer des droits et des autorisations requis 1 Connectez vous au SafeGuard Management Center 2 Cliquez sur Outils gt R cup ration dans la barre de menus L Assistant de r cup ration d marre Vous pouvez s lectionner le type de r cup ration que vous souhaitez utiliser 26 2 4 Types de r cup ration S lectionnez le type de r cup ration que vous souhaitez utiliser Les types de r cup ration suivants sont fournis E Clients SafeGuard Enterprise administr s Proc dure Challenge R ponse pour ordinateurs d extr mit administr s de fa on centralis e par SafeGuard Management Center Ils sont r pertori s dans la zone Utilisateurs et ordinateurs du SafeGuard Management Center E Clients virtuels En cas de situation de r cup ration complexe par exemple lorsque l authentification au d marrage SafeGuard est corrompue l acc s aux donn es chiffr es peut tre facilement r cup r gr ce la proc dure Challenge R ponse Dans ce cas des fichiers sp cifiques appel s clients virtuels sont utilis s Ce type est disponible pour les ordinateurs admi
158. al Le secteur d initialisation original est celui qui est ex cut apr s le d chiffrement de la DEK Data Encryption Key cl de chiffrement de donn es et apr s que l algorithme et la cl ont t charg s dans le pilote du filtre BE Si ce secteur d initialisation est d fectueux Windows n a pas acc s au volume Normalement le message d erreur habituel Le disque n est pas format Voulez vous le formater maintenant Oui Non est affich SafeGuard Enterprise charge n anmoins la DEK pour ce volume L outil utilis pour r parer le secteur d initialisation doit tre compatible avec le filtre de volume sup rieur de SafeGuard Enterprise Probl mes d initialisation Windows Sa conception cryptographique de la cl sp cifique du volume secteur d initialisation zone de stockage des cl s KSA conf re SafeGuard Enterprise une tr s grande souplesse Vous pouvez sauver un syst me endommag en initialisant un support de restauration partir de la fonction d authentification au d marrage SafeGuard Windows PE avec le sous syst me de chiffrement de SafeGuard Enterprise install Ces supports ont un acc s de chiffrement d chiffrement transparent aux volumes chiffr s avec SafeGuard Enterprise Il est possible de rem dier ici la cause du syst me qui ne peut tre initialis Sous syst me de chiffrement Les sous syst mes de chiffrement sont par exemple BEFLT sys effectuez la proc dure d crite dans Probl mes
159. al Self Help r duit le nombre d appels de r cup ration de connexion et ainsi les t ches de routine des membres du support en leur permettant de se concentrer sur des demandes plus complexes Retrouvez plus d informations la section R cup ration avec Local Self Help la page 218 E R cup ration avec Challenge R ponse Le m canisme Challenge R ponse est un syst me de r cup ration de connexion s curis et fiable qui vient en aide aux utilisateurs qui ne peuvent pas se connecter leur ordinateur ou acc der aux donn es chiffr es Lors de la proc dure Challenge R ponse l utilisateur communique le code de challenge g n r sur l ordinateur d extr mit au responsable du support qui g n rera son tour un code de r ponse Ce code autorisera l utilisateur ex cuter une action sp cifique sur l ordinateur d extr mit Gr ce la r cup ration par Challenge R ponse SafeGuard Enterprise propose plusieurs flux de travail pour les sc narios de r cup ration types n cessitant l aide du support Retrouvez plus d informations la section R cup ration avec Challenge R ponse la page 223 E R cup ration du syst me pour le chiffrement int gral du disque SafeGuard SafeGuard Enterprise offre diff rentes m thodes et outils de r cup ration suite des probl mes de composants syst me essentiels et de composants SafeGuard Enterprise par exemple m MBR Master Boot Record corrompu m Probl mes de n
160. amp Script Cliquez sur OK Si le script a d j t import vous tes invit confirmer que vous voulez remplacer l ancien script Si la taille du fichier importer d passe 10 Mo un message d erreur appara t et le processus d importation est rejet Le script est enregistr dans la base de donn es 31 5 2 Modification de scripts 272 1 Dans la barre de menus du SafeGuard Management Center s lectionnez Outils gt Planificateur de t ches La bo te de dialogue Planificateur de t ches appara t montrant un aper u des t ches planifi es Manuel d administration 31 5 3 31 5 4 6 S lectionnez la t che requise et cliquez sur le bouton Propri t s La bo te de dialogue Propri t s de lt nom t che gt appara t avec les propri t s de la t che Cliquez sur le bouton d roulant Modifier pr s du champ Script La liste d roulante montre tous les diteurs disponibles pour la modification du script S lectionnez l diteur que vous souhaitez utiliser Le script s ouvre dans l diteur s lectionn Effectuez vos changements et enregistrez les L diteur est ferm et la bo te de dialogue Propri t s de lt nom de t che gt r appara t Cliquez sur OK Le script chang est enregistr dans la base de donn es Exportation de scripts Dans la barre de menus du SafeGuard Management Center s lectionnez Outils gt Planificateur de t ches La bo te de dialo
161. ans la liste 6 2 Association une configuration de base de donn es existante 6 3 Pour travailler avec une configuration de base de donn es SafeGuard Enterprise 1 D marrez le SafeGuard Management Center La bo te de dialogue S lection d une configuration s affiche 2 S lectionnez la configuration de base de donn es souhait e dans la liste d roulante et cliquez sur OK La configuration de base de donn es s lectionn e est reli e au SafeGuard Management Center et devient active 3 Pour vous authentifier dans le SafeGuard Management Center vous tes invit s lectionner le nom du responsable de la s curit de cette configuration et saisir son mot de passe de magasin de certificats Cliquez sur OK Le SafeGuard Management Center d marre et se connecte la configuration de base de donn es s lectionn e Exportation d une configuration dans un fichier Pour enregistrer ou r utiliser une configuration de base de donn es vous pouvez l exporter dans un fichier 1 D marrez le SafeGuard Management Center La bo te de dialogue S lection d une configuration s affiche 2 S lectionnez la configuration de base de donn es respective dans la liste et cliquez sur Exporter 3 Pour s curiser le fichier de configuration vous tes invit saisir et confirmer un mot de passe qui chiffre le fichier de configuration Cliquez sur OK 4 Sp cifiez un nom et un emplacement de stockage pour le
162. ans la zone d action acc dez l onglet Licences droite L tat de la licence appara t L cran est divis en trois zones La zone sup rieure indique le nom du client pour lequel la licence a t g n r e ainsi que la date de g n ration La zone centrale propose des d tails sur la licence Les colonnes individuelles contiennent les informations suivantes Colonne Explication tat ic ne Une ic ne indique le statut de la licence validit message d avertissement message d erreur du module concern Fonction Indique le module install Licences achet es Indique le nombre de licences achet es pour le module install Licences utilis es Indique le nombre de licences utilis es pour le module install Expire Indique la date d expiration de la licence Type Indique le type de licence d monstration ou standard Limite de tol rance Indique la limite de tol rance sp cifi e pour le d passement du nombre de licences achet es Si vous affichez l onglet Licences d un domaine OU l aper u indique le statut en fonction de l ordinateur de la branche concern e Des d tails sur les modules de token sous licence sont propos s sous cette pr sentation 2 Dans la partie inf rieure un message avec une couleur d arri re plan sp cifique l tat vert valide jaune avertissement rouge erreur et une ic ne indiquent le statut global de la licence quel que soit le domaine o
163. ans le SafeGuard Management Center la connexion SafeGuard Management Center commence afficher un avertissement six mois avant l expiration du certificat d entreprise Sans certificat d entreprise valide un ordinateur d extr mit ne peut pas se connecter au serveur Le renouvellement du certificat d entreprise comprend trois tapes La cr ation d un ordre de modification du certificat CCO Certificate Change Order La cr ation d un package de configuration contenant le CCO Le red marrage des serveurs et la distribution et le d ploiement des packages de configuration sur les syst mes d extr mit Pour renouveler un certificat d entreprise 1 2 Dans la barre de menus du SafeGuard Management Center s lectionnez Outils gt Options S lectionnez l onglet Certificats et cliquez sur Mettre jour dans la section Demander 3 Dans la bo te de dialogue Mettre jour le certificat d entreprise saisissez un nom de CCO et indiquez un chemin de sauvegarde Saisissez un mot de passe pour le fichier P12 et retapez le En option saisissez un commentaire et cliquez sur Cr er 67 SafeGuard Enterprise 10 2 68 4 Lorsque vous y tes invit veuillez confirmer que vous tes bien conscient que cette modification ne peut pas tre annul e et que tous les packages de configuration cr s apr s la mise jour de ce certificat d entreprise ont besoin que ce CCO soit inclus pour tre exploit s sur les ordinat
164. ans le SafeGuard Management Center cliquez sur Rapports 2 Dans la barre de menus du SafeGuard Management Center s lectionnez Actions gt Ouvrir le fichier de sauvegarde La fen tre Ouvrir une sauvegarde d v nement appara t 3 S lectionnez le fichier de sauvegarde ouvrir et cliquez sur Ouvrir Le fichier de sauvegarde et les v nements apparaissent dans la Visionneuse des v nements du SafeGuard Management Center Pour revenir une vue standard de la Visionneuse des v nements cliquez de nouveau sur l ic ne Ouvrir le fichier de sauvegarde dans la barre d outils Manuel d administration 30 13 Nettoyage d v nement planifi par script 30 13 1 Remarque le SafeGuard Management Center propose le Planificateur de t ches pour cr er et planifier des t ches p riodiques bas es sur des scripts Les t ches sont automatiquement ex cut es par un service sur le serveur SafeGuard Enterprise pour ex cuter les scripts sp cifi es Quatre scripts SQL sont disponibles dans le r pertoire tools du produit SafeGuard Enterprise livr pour le nettoyage automatique et efficace du tableau EVENT E spShrinkEventTable_ install sql E ScheduledShrinkEventTable install sql E spShrinkEventTable uninstall sql E ScheduledShrinkEventTable uninstall sql Les deux scripts spShrinkEventTable uninstall sqlet ScheduledShrinkEventTable uninstall sql permettent d installer une proc dure enregistr e ainsi qu une t che planifi
165. ant de r cup ration affiche la cl de r cup ration 48 chiffres correspondante Fournissez cette cl l utilisateur L utilisateur peut la saisir afin de r cup rer le volume chiffr BitLocker sur l ordinateur d extr mit Cl de r cup ration pour les clients SafeGuard Enterprise chiffr s par FileVault 2 ordinateurs d extr mit Mac S il s agit de Macs chiffr s FileVault 2 un volume qui n est plus accessible peut tre r cup r 1 Sur la page Type de r cup ration s lectionnez Client SafeGuard Enterprise administr Sous Domaine s lectionnez le domaine requis dans la liste 3 Sous Ordinateur saisissez ou s lectionnez le nom d ordinateur requis Pour ce faire vous pouvez proc der de plusieurs fa ons M Pour s lectionner un nom cliquez sur Cliquez ensuite sur Rechercher maintenant Une liste des ordinateurs s affiche S lectionnez l ordinateur requis puis cliquez sur OK Le nom de l ordinateur s affiche dans la fen tre Type de r cup ration sous Domaine M Entrez le nom court de l ordinateur directement dans le champ Lorsque vous cliquez sur Suivant ce nom est recherch dans la base de donn es S il est trouv le nom d ordinateur unique s affiche E Saisissez directement le nom de l ordinateur au format de nom unique par exemple CN Postel OU D veloppement OU Si ge DC Utimaco DC uae 4 Cliquez sur Suivant 5 L assistant de r cup ration affiche la cl de r
166. ant sur le bouton pr s du champ Fichier de r cup ration de cl Pour faciliter l identification des fichiers de r cup ration leur nom est identique celui de l ordinateur nomordinateur GUID xml 4 Saisissez le code de challenge que l utilisateur vous a transmis et cliquez sur Suivant Ce code est v rifi Si le code de challenge a t saisi correctement l action de r cup ration demand e par l ordinateur ainsi que les actions de r cup ration possibles s affichent Si le code a t saisi de fa on incorrecte le terme Challenge non valide appara t au dessous du bloc contenant l erreur 5 S lectionnez l action que l utilisateur doit entreprendre puis cliquez sur Suivant 6 Un code de r ponse est g n r Communiquez le l utilisateur Une aide l pellation est fournie Vous pouvez galement copier le code de r ponse dans le Presse papiers L utilisateur peut saisir le code de r ponse ex cuter l action requise puis reprendre son travail R cup ration du syst me pour le chiffrement int gral du disque SafeGuard SafeGuard Enterprise chiffre les fichiers et les lecteurs de fa on transparente Les lecteurs d initialisation peuvent galement tre chiffr s et les fonctions de d chiffrement telles que le code les algorithmes de chiffrement et la cl de chiffrement doivent tre disponibles tr s t t au cours de la phase d initialisation C est la raison pour laquelle les informations chiffr e
167. ante de l ic ne Exporter le document 4 Dans la liste s lectionnez le type de fichier requis 5 Indiquez les options d exportation n cessaires et cliquez sur OK Le rapport d inventaire est export dans un fichier du type sp cifi 253 SafeGuard Enterprise 254 30 Rapports La possibilit de signaler des incidents li s la s curit est une condition pr alable une analyse d taill e du syst me Les v nements journalis s facilitent le suivi exact des processus sur une station de travail donn e ou dans un r seau En journalisant les v nements vous pouvez par exemple v rifier les atteintes la s curit commises par de tiers A l aide des fonctionnalit s de journalisation les administrateurs et responsables de la s curit peuvent aussi d tecter les erreurs dans l affectation de droits utilisateur et les corriger SafeGuard Enterprise journalise toutes les activit s et informations de l tat de l ordinateur d extr mit ainsi que les actions de l administrateur et les v nements li s la s curit puis les enregistre de mani re centralis e Les fonctionnalit s de journalisation enregistrent les v nements d clench s par les produits SafeGuard install s Le type de journaux est d fini dans les strat gies du type Journalisation C est aussi o vous sp cifiez le r sultat et l emplacement de sauvegarde des v nements journalis s le journal des v nements Windows de l ordina
168. ar SafeGuard Enterprise E Utilisateur Windows lt nom domaine utilisateur gt connect lt horodatage gt sur le poste lt nom domaine poste de travail gt avec un compte de service SGN E Nouvelle liste de comptes de service lt nom gt import e E Liste de comptes de service lt nom gt supprim e 103 SafeGuard Enterprise 16 Utilisateurs de l authentification au d marrage pour 16 1 104 connexion l authentification au d marrage SafeGuard Remarque les utilisateurs de l authentification au d marrage sont uniquement pris en charge sur les ordinateurs d extr mit Windows prot g s par SafeGuard Enterprise avec l authentification au d marrage SafeGuard Une fois SafeGuard Enterprise install et l authentification au d marrage SafeGuard activ e vous devez pouvoir acc der aux ordinateurs d extr mit pour ex cuter des t ches administratives Gr ce aux utilisateurs de l authentification au d marrage les utilisateurs notamment des membres de l quipe informatique peuvent se connecter aux ordinateurs d extr mit l authentification au d marrage SafeGuard pour ex cuter des t ches administratives sans avoir lancer de proc dure Challenge R ponse Il n y a pas de connexion automatique Windows Les utilisateurs se connectant avec leurs comptes utilisateur d authentification au d marrage doivent se connecter Windows avec leurs comptes Windows existants Vous pouvez cr er des utilisateurs d
169. arent est d j couvert par une r gle avec l option Chiffrer E Si vous s lectionnez Ignorer les fichiers du dossier ne sont pas g r s du tout par File Encryption Les nouveaux fichiers sont enregistr s en texte simple Si un utilisateur acc de d j aux fichiers chiffr s dans ce dossier le contenu chiffr appara t que l utilisateur ait la cl requise ou pas 5 Dans la colonne Cl s lectionnez la cl utiliser pour le mode Chiffrer Vous pouvez utiliser des cl s cr es et appliqu es dans Utilisateurs et ordinateurs M Cliquez sur le bouton Parcourir pour ouvrir la bo te de dialogue Rechercher des cl s Cliquez sur Rechercher maintenant pour afficher une liste de toutes les cl s disponibles et s lectionnez la cl requise Remarque les cl s machine ne sont pas montr es dans la liste Elles ne peuvent pas tre utilis es par File Encryption car elles sont uniquement disponibles sur une seule machine et ne peuvent donc pas tre utilis es pour permettre des groupes d utilisateurs d acc der aux m mes donn es E Clique sur le bouton Cl personnelle avec l ic ne de la cl pour ins rer l espace r serv Cl personnelle dans la colonne Cl Sur l ordinateur d extr mit cet espace r serv sera r solu sur la cl personnelle active de l utilisateur SafeGuard Enterprise connect Si les utilisateurs correspondants n ont pas encore de cl s personnelles actives elles sont cr es automatiquement Vous
170. ateur doit la confirmer Vous pouvez attribuer une authentification suppl mentaire indiff remment des r les pr d finis ou personnalis s D s que deux responsables minimum ont le m me r le le r le personnalis peut galement tre s lectionn Le r le consistant effectuer l autorisation suppl mentaire doit tre pr alablement attribu un utilisateur De plus la base de donn es SafeGuard Enterprise doit compter au moins deux responsables de la s curit Lorsqu une action requiert une authentification suppl mentaire celle ci est n cessaire m me si l utilisateur d tient un autre r le ne n cessitant pas d authentification suppl mentaire pour la m me action Si un responsable cr e un r le alors qu il ne poss de pas le droit de modification de l authentification suppl mentaire les param tres relatifs une authentification suppl mentaire du nouveau r le seront pr renseign s afin de correspondre ceux d finis pour le responsable de la cr ation de ce r le 37 SafeGuard Enterprise 38 8 2 Cr ation d un r le Condition pr alable pour cr er un r le vous devez poss der le droit d affichage et de cr ation de r les de responsable de la s curit Pour attribuer une authentification suppl mentaire vous devez poss der le droit de modification des param tres d authentification suppl mentaire 1 Dans SafeGuard Management Center s lectionnez Responsables de la s curit 2
171. ateurs doivent tre des utilisateurs complets avec un certificat et une cl existants Le propri taire de l ordinateur n a pas besoin d attribuer des droits d acc s dans ce cas Les param tres suivants permettent de sp cifier qui est autoris ajouter des utilisateurs l AUM M Peut devenir propri taire si ce param tre est s lectionn l utilisateur peut tre enregistr comme le propri taire d un ordinateur M Utilisateur propri taire ce param tre signifie que l utilisateur est saisi dans l AUM en tant que propri taire Un seul utilisateur par ordinateur peut tre saisi dans l AUM en tant que propri taire Le param tre de strat gie Autoriser l enregistrement de nouveaux utilisateurs SGN pour des Param tres machine sp cifiques d termine qui est autoris ajouter d autres utilisateurs l AUM Le param tre Activer l enregistrement des utilisateurs Windows de SGN dans les strat gies Param tres machine sp cifiques d termine quels utilisateurs Windows de SGN peuvent tre enregistr s sur l ordinateur d extr mit et ajout s l AUM M Autoriser l enregistrement de nouveaux utilisateurs SGN pour Personne M me l utilisateur saisi comme propri taire ne peut pas ajouter d autres utilisateurs l AUM L option permettant un propri taire d ajouter d autres utilisateurs est d sactiv e Propri taire param tre par d faut Remarque un responsable de la s curit peut toujours ajouter des utili
172. ation Liste de comptes de service supprim e Authentification Ajouter un utilisateur Windows de SGN Authentification Supprimer des utilisateurs Windows de SGN d une machine Authentification Suppression de l utilisateur AUM Authentification Code de renvoi de v rification Computrace Authentification Impossible d ex cuter la v rification Computrace Authentification L initialisation du noyau a t men e bien Authentification chec de l initialisation du noyau Authentification Les cl s machine ont t g n r es avec succ s sur le client Authentification Les cl s machine n ont pas pu tre g n r es avec succ s sur le client Code interne 0x 1 Authentification Authentification Authentification Authentification Authentification L interrogation des propri t s du disque ou l initialisation du disque Opal a chou Code interne 0x 1 L importation de l utilisateur dans le noyau a t men e bien La suppression de l utilisateur du noyau a t men e bien chec de l importation de l utilisateur dans le noyau chec de la suppression de l utilisateur du noyau 283 SafeGuard Enterprise 284 Cat gorie Authentification Authentification Authentification Authentification Authentification Authentification Authentification Authentification Authentification Administration Administratio
173. ation de machines Administration 2699 Cr ation de machines impossible Administration Administration Administration Administration 2700 2701 2702 Violation de la licence Cr ation du fichier de cl Suppression de la cl du fichier de cl Le responsable de la s curit a d sactiv l authentification au d marrage dans la strat gie Administration Sujet de la question LSH cr Administration Sujet de la question LSH modifi Administration Sujet de la question LSH supprim Administration Question modifi e Administration Administration Acc s en lecture seule au conteneur 1 accord pour le responsable de la s curit 2 Acc s complet au conteneur 1 accord pour le responsable de la s curit 2 Administration Administration Acc s complet au conteneur 1 r voqu pour le responsable de la s curit 2 Acc s au conteneur 1 explicitement refus pour le responsable de la s curit 2 Administration Administration Administration Administration Administration 2810 2811 2812 Acc s explicitement refus au conteneur 1 r voqu pour le responsable de la s curit 2 Acc s en lecture seule au conteneur 1 r voqu pour le responsable de la s curit 2 Utilisateur POA 1 cr Utilisateur POA 1 modifi Utilisateur POA 1 supprim Administration 2815 chec de la c
174. aut L utilisateur est autoris Pour le chiffrement bas sur fichier par Cloud Storage vous d finir les cl s par d faut pouvez d cider si l utilisateur est autoris ou non d finir une cl par d faut pour le chiffrement S il est autoris la commande D finir la cl par d faut est ajout e dans le menu contextuel Windows Explorer des dossiers de synchronisation Cloud Storage Les utilisateurs peuvent utiliser la commande pour sp cifier des cl s par d faut distinctes utiliser pour le chiffrement des diff rents dossiers de synchronisation 17 2 Authentification Param tre de strat gie Explication ACC S L utilisateur peut uniquement initialiser partir du disque dur interne Remarque ce param tre est uniquement pris en charge par les ordinateurs d extr mit sur lesquels une version ant rieure la version 6 1 de SafeGuard Enterprise est install e Il tait utilis pour permettre la r cup ration et autoriser l utilisateur d marrer l ordinateur d extr mit partir d un support externe Ce param tre n est plus appliqu sur les ordinateurs d extr mit partir de la version 6 1 Pour le sc nario de r cup ration concern vous pouvez utiliser la r cup ration avec des clients virtuels Retrouvez plus d informations la 117 SafeGuard Enterprise 118 Param tre de strat gie Explication section Challenge R ponse l aide de clients virtuels la page
175. aux utilisateurs de se connecter automatiquement lors de l authentification au d marrage SafeGuard sans intervention de l utilisateur Manuel d administration Lorsqu un token est utilis e lors de la connexion et qu un code PIN par d faut est attribu l ordinateur l utilisateur est connect automatiquement l authentification au d marrage SafeGuard sans qu il ait besoin de saisir un code PIN En tant que responsable de la s curit vous pouvez d finir le code PIN sp cifique dans une strat gie du type Authentification et l attribuer diff rents ordinateurs ou groupes d ordinateurs par exemple tous les ordinateurs d un m me lieu Pour activer la connexion automatique avec un code PIN de token par d faut proc dez comme suit 1 Dans SafeGuard Management Center cliquez sur Strat gies 2 S lectionnez une strat gie du type Authentification 3 Sous Options de connexion dans Mode de connexion s lectionnez Token 4 Dans Code PIN utilis pour la connexion automatique avec token sp cifiez le code PIN par d faut utiliser pour la connexion automatique Dans ce cas il n est pas n cessaire de suivre les r gles relatives au code PIN Remarque ce param tre n est disponible que si vous s lectionnez Carte puce comme Mode de connexion possible 5 Dans Connexion automatique vers Windows d finissez D sactiver la connexion automatique vers Windows Si vous ne s lectionnez pas cette option lorsqu u
176. avigation cliquez sur le responsable de la s curit dont vous souhaitez modifier le certificat Le certificat actuellement attribu appara t dans la zone d action de droite dans le champ Certificats 3 Dans la zone d action cliquez sur la liste d roulante Certificats et s lectionnez un certificat diff rent 4 Pour enregistrer les modifications apport es la base de donn es cliquez sur l ic ne Enregistrer de la barre d outils Organisation des responsables de la s curit dans l arborescence Vous pouvez organiser les responsables de la s curit de mani re hi rarchique dans la fen tre de navigation Responsables de la s curit et ce afin de repr senter la structure organisationnelle de votre soci t L arborescence peut tre organis e pour l ensemble des responsables de la s curit l exception des responsables principaux de la s curit Les responsables principaux de la s curit sont affich s dans une liste un niveau sous le n ud Responsable principal de la s curit MSO Le n ud des responsables de la s curit comporte une arborescence dans laquelle chaque n ud repr sente un responsable de la s curit Toutefois cette hi rarchie ne tient pas compte des droits et des r les Condition pr alable pour d placer un responsable de la s curit dans l arborescence vous devez poss der le droit d affichage et de modification de responsables de la s curit 1 Dans SafeGuard Management C
177. bjet conteneur dans lequel il se trouve l appartenance d un utilisateur de groupe plac dans un autre objet conteneur n est pas suffisante L objet conteneur n a pas h rit de cette strat gie 77 SafeGuard Enterprise 11 9 5 11 9 6 78 Attribution indirecte des strat gies L utilisateur ordinateur re oit une strat gie que l objet conteneur dans lequel il se trouve actuellement l appartenance en tant qu utilisateur d un groupe situ dans un autre objet conteneur n est pas suffisante a h rit d un objet conteneur de niveau sup rieur Activation d sactivation de strat gies Pour qu une strat gie soit effective pour un ordinateur utilisateur elle doit tre activ e au niveau du groupe les strat gies peuvent uniquement tre activ es au niveau du groupe Que ce groupe se trouve ou non dans le m me objet conteneur n a pas d importance Le seul point important est que l utilisateur ou l ordinateur ait t attribu directement ou indirectement par h ritage la strat gie Si un ordinateur ou un utilisateur se trouve en dehors d une OU ou d une ligne d h ritage et fait partie d un groupe qui se trouve lui m me dans cette OU cette activation ne s applique pas cet utilisateur ordinateur En effet il n existe pas d attribution valide pour cet utilisateur ou cet ordinateur directement ou indirectement Le groupe tait en effet activ mais une activation peut seulement s appliquer aux utilisateurs e
178. ble de la s curit ex cutez l une des actions suivantes E Si le fichier de certificat sauvegard se trouve sur l ordinateur il s affiche Saisissez le mot de passe que vous utilisez pour vous authentifier dans le SafeGuard Management Center E Sile fichier de certificat sauvegard est introuvable sur l ordinateur cliquez sur Importer Recherchez le fichier de certificat sauvegard et cliquez sur Ouvrir Saisissez le mot de passe du fichier de certificat s lectionn Cliquez sur Oui Saisissez et confirmez le mot de passe d authentification dans le SafeGuard Management Center 5 Cliquez sur Suivant puis sur Terminer pour achever la configuration du SafeGuard Management Center L installation corrompue du SafeGuard Management Center est restaur e 245 SafeGuard Enterprise 246 28 Restauration d une configuration de base de donn es corrompue La configuration corrompue d une base de donn es peut tre restaur e en r installant le SafeGuard Management Center pour cr er une nouvelle instance de la base de donn es d apr s les fichiers de certificat sauvegard s Vous garantissez ainsi que tous les ordinateurs d extr mit SafeGuard Enterprise existants acceptent les strat gies de la nouvelle installation m Les certificats d entreprise et du responsable principal de la s curit pour la configuration de la base de donn es correspondante doivent avoir t export s sous la forme de fichiers p12 ainsi qu t
179. cation au d marrage SafeGuard Exemple de sc nario type pour la plupart des mises en uvre une quipe de d ploiement installe de nouveaux ordinateurs dans un environnement sur lequel SafeGuard Enterprise est install Pour des raisons d installation ou de v rification les op rateurs en charge du d ploiement peuvent se connecter leur ordinateur respectif avant que l utilisateur final ne re oive sa nouvelle machine et n active l authentification au d marrage SafeGuard Le sc nario peut ainsi tre le suivant 1 SafeGuard Enterprise est install sur un ordinateur d extr mit 2 Apr s le red marrage de l ordinateur d extr mit l op rateur en charge du d ploiement se connecte 3 L op rateur en charge du d ploiement est ajout l authentification au d marrage SafeGuard qui s active L op rateur en charge du d ploiement devient le propri taire de l ordinateur d extr mit la r ception de son ordinateur l utilisateur final ne pourra pas se connecter l authentification au d marrage SafeGuard L utilisateur doit ex cuter une proc dure Challenge R ponse Pour viter que les op rations d administration sur un ordinateur prot g par SafeGuard Enterprise n activent l authentification au d marrage SafeGuard et n entra nent l ajout d op rateurs en charge du d ploiement comme autant d utilisateurs et de propri taires de la machine SafeGuard Enterprise vous permet de cr er des listes de comptes d
180. chage de l attribution du r le 1 Dans lt Nom du r le gt Propri t s dans l onglet Attribution cliquez deux fois sur un responsable de la s curit La bo te de dialogue Propri t s se ferme et les donn es g n rales et les r les du responsable de la s curit s affichent 8 5 Modification d un r le 8 5 1 40 Vous pouvez effectuer les tapes suivantes E Modifier l authentification suppl mentaire uniquement Modifier toutes les propri t s du r le L ic ne en regard des r les affiche l action disponible Description Le r le peut tre modifi ajouter supprimer des actions L authentification suppl mentaire peut tre modifi e Les deux types de modification sont disponibles Remarque vous ne pouvez pas modifier les r les pr d finis et les actions qui leur sont attribu es Si une authentification suppl mentaire est activ e celle ci peut tre modifi e pour tous les r les m me les r les pr d finis Modification de l authentification suppl mentaire uniquement Condition pr alable pour attribuer une authentification suppl mentaire vous devez poss der le droit d affichage des r les du responsable de la s curit et de modification des param tres d authentification suppl mentaire 1 Dans SafeGuard Management Center s lectionnez Responsables de la s curit Manuel d administration 8 5 2 8 6 2 Dans la fen tre de navigation sous R les perso
181. cher cette bo te de dialogue pour que leurs choix soient conserv s pour le p riph rique correspondant Dans ce cas la bo te de dialogue ne r appara tra pas pour le p riph rique correspondant Si l utilisateur s lectionne Non dans la bo te de dialogue sur l ordinateur d extr mit aucun chiffrement initial ou transparent n a lieu 17 10 Param tres de machine sp cifiques param tres de base Param tres de strat gie Explication AUTHENTIFICATION AU D MARRAGE POA 141 SafeGuard Enterprise Param tres de strat gie Activer l authentification au d marrage Explication D finit si l authentification au d marrage SafeGuard est activ e ou d sactiv e Remarque pour des raisons de s curit nous vous conseillons fortement de conserver l authentification au d marrage SafeGuard activ e La d sactivation de l authentification au d marrage SafeGuard r duit la s curit du syst me de connexion Windows et accro t le risque d acc s non autoris s aux donn es chiffr es Refuser l acc s en cas d absence de connexion au serveur jours 0 pas de v rification Refuse la connexion l authentification au d marrage SafeGuard si l ordinateur d extr mit n a pas t connect au serveur pendant une p riode sup rieure la p riode d finie VEIL PAR APPEL R SEAU S CURIS WOL Gr ce aux param tres d veil par appel r seau s curis WOL vous pouvez pr parer les
182. chiers Vous pouvez seulement exclure des p riph riques entiers 1 Dans la zone de navigation Strat gies cr ez une nouvelle strat gie du type Param tres g n raux ou s lectionnez en une 173 SafeGuard Enterprise 20 2 2 1 20 2 3 174 2 Sous Chiffrement de fichiers cliquez sur le bouton d roulant du champ P riph riques ignor s 3 Dans la zone de liste de l diteur a S lectionnez R seau pour ne pas chiffrer les donn es du tout sur le r seau b Saisissez les noms de p riph riques requis pour exclure des p riph riques donn s du chiffrement Ceci peut tre utile lorsque vous avez besoin d exclure des syst mes des fournisseurs tiers Remarque vous pouvez afficher les noms des p riph riques en cours d utilisation dans le syst me l aide d outils tiers par exemple Device Tree d OSR SafeGuard Enterprise consigne dans le journal tous les p riph riques auxquels il se connecte et vous pouvez afficher une liste des p riph riques connect s et ignor s l aide des cl s de registre Retrouvez plus d informations la section Affichage des p riph riques ignor s et connect s pour la configuration File Encryption la page 174 Vous pouvez exclure des lecteurs de disque r seau individuels du chiffrement en cr ant une r gle File Encryption dans une strat gie File Encryption et en param trant le Mode de chiffrement sur Ignorer Vous pouvez uniquement appliquer ce param tre aux lecteurs
183. chiffrement du support s lectionnez Bas sur fichier Le chiffrement bas sur volume n est pas pris en charge 5 Sous Algorithme utiliser pour le chiffrement s lectionnez l algorithme utiliser pour le chiffrement des donn es dans les dossiers de synchronisation d finis dans la CSD 6 Les param tres Cl utiliser pour le chiffrement et Cl d finie pour le chiffrement servent d finir la cl ou les cl s qui seront utilis es pour le chiffrement Retrouvez plus d informations la section Protection des p riph riques la page 135 7 Si vous activez le param tre Copier SG Portable sur la cible SafeGuard Portable est copi dans chaque dossier de synchronisation chaque fois que du contenu est crit SafeGuard Portable est une application qui peut tre utilis e pour lire les fichiers chiffr s sur les ordinateurs Windows sur lesquels SafeGuard Enterprise n est pas install Remarque pour partager les donn es chiffr es stock es dans le Cloud avec les utilisateurs qui n ont pas SafeGuard Enterprise les utilisateurs doivent tre autoris s cr er des cl s locales Retrouvez plus d informations la section Cl s locales la page 177 8 Le param tre Dossier en texte brut vous permet de d finir un dossier qui sera exclu du chiffrement Les donn es stock es dans les sous dossiers du dossier en texte brut d fini seront aussi exclues du chiffrement SafeGuard Cloud Storage cr e automatiquement des doss
184. clavier d origine Pour la R publique Dominicaine il s agit de l Espagnol E Lorsque le nom d utilisateur et le mot de passe comportent des caract res non reconnus par la disposition du clavier choisie ou par celle de secours l utilisateur ne peut pas se connecter l authentification au d marrage SafeGuard Remarque toutes les dispositions du clavier non prises en charge utilisent la disposition de clavier am ricaine par d faut Cela signifie galement que les seuls caract res reconnus et pouvant tre saisis au clavier sont ceux pris en charge dans la disposition du clavier am ricain De la sorte les utilisateurs peuvent uniquement se connecter lors de l authentification au d marrage SafeGuard si leur nom d utilisateur et leur mot de passe sont compos s de caract res pris en charge dans la disposition du clavier de la langue correspondante 93 SafeGuard Enterprise 13 3 4 1 94 Clavier virtuel SafeGuard Enterprise propose aux utilisateurs un clavier virtuel qu ils peuvent afficher masquer l authentification au d marrage SafeGuard et qui leur permet d utiliser les touches tactiles pour saisir des codes d acc s En tant que responsable de la s curit vous pouvez activer d sactiver l affichage du clavier virtuel l aide d une strat gie du type Param tres de machine sp cifiques avec l option Clavier virtuel en POA La prise en charge du clavier virtuel doit tre activ e d sactiv e par un param tre de
185. ctionnez Hebdomadaire et sp cifiez le jour requis de la semaine E Pour ex cuter la t che de fa on mensuelle s lectionnez Mensuel et sp cifiez le jour requis du mois dans une plage de 1 31 Pour ex cuter la t che la fin de chaque mois s lectionnez Dernier dans la liste d roulante Apr s avoir rempli tous les champs obligatoires le bouton OK devient disponible Cliquez sur OK La t che est enregistr e dans la base de donn es et appara t dans l aper u du Planificateur de t ches Elle est ex cut e sur le serveur s lectionn en fonction de la planification sp cifi e 268 Manuel d administration 31 2 Affichage de l aper u du Planificateur de t ches Apr s avoir cr des t ches ex cuter sur un serveur SafeGuard Enterprise elles apparaissent dans la bo te de dialogue Planificateur de t ches que vous ouvrez en s lectionnant Outils gt Planificateur de t ches Cette bo te de dialogue affiche pour chaque t che les colonnes suivantes Colonne Nom de la t che Description Affiche le nom unique de la t che Serveur SGN Indique sur quel serveur la t che est ex cut e Planification Afficher le programme sp cifi pour la t che avec la r currence et l heure Heure de la prochaine ex cution Affiche quand la prochaine ex cution de la t che aura lieu date et heure S il n existe plus d heures d ex cution de cette t che cette colonne affiche Aucune
186. ctiver la d connexion forc e dans le verrouillage du poste de travail Remarque ce param tre ne s applique que sous Windows XP Windows XP n est plus pris en charge partir de SafeGuard Enterprise 6 1 Ce param tre de strat gie est toujours disponible dans SafeGuard Management Center afin de prendre en charge les clients SafeGuard Enterprise 6 administr s par la version 6 1 du Management Center Si l utilisateur souhaite quitter l ordinateur d extr mit pendant une courte dur e il peut cliquer sur Verrouiller le poste de travail pour emp cher d autres utilisateurs de l utiliser et le d verrouiller avec le mot de passe utilisateur Non l utilisateur qui a verrouill l ordinateur ainsi qu un administrateur peuvent le d verrouiller Si un administrateur d verrouille l ordinateur l utilisateur connect est automatiquement d connect Oui change ce comportement Dans ce cas seul l utilisateur peut d verrouiller l ordinateur L administrateur ne pourra pas le d verrouiller et l utilisateur ne sera pas d connect automatiquement Activer la pr s lection utilisateur domaine 120 Oui l authentification au d marrage SafeGuard enregistre le nom et le domaine du dernier utilisateur connect Il n est donc Manuel d administration Param tre de strat gie Explication pas n cessaire que les utilisateurs saisissent leur nom d utilisateur chaque fois qu ils se connectent Non l authentificat
187. cup ration 24 chiffres correspondante 6 Fournissez cette cl l utilisateur L utilisateur peut la saisir afin de r cup rer le volume chiffr File Vault 2 sur l ordinateur d extr mit Manuel d administration 26 2 6 Challenge R ponse l aide de clients virtuels 26 2 6 1 Gr ce la r cup ration des clients virtuels SafeGuard Enterprise permet de r cup rer des volumes chiffr s m me dans des situations d urgence complexes par exemple lorsque l authentification au d marrage SafeGuard est corrompue Elle s applique aussi bien aux ordinateurs d extr mit administr s qu aux ordinateurs administr s non administr s Remarque la r cup ration des clients virtuels doit uniquement tre utilis e pour r soudre des situations d urgence complexes Si par exemple une seule cl manque pour la r cup ration d un volume la meilleure solution consiste affecter tout simplement la cl manquante au jeu de cl s de l utilisateur appropri Flux de travail de r cup ration l aide de clients virtuels Pour acc der l ordinateur d extr mit chiffr la proc dure ci dessous s applique 1 Demandez au support technique de vous fournir le disque de r cup ration SafeGuard Enterprise Le support peut t l charger le disque de r cup ration Windows PE avec les derniers pilotes du filtre SafeGuard Enterprise sur le site du support Sophos Retrouvez plus d informations sur http www sophos com fr fr su
188. d Portable et la phrase secr te des fichiers auxquels ils doivent acc der doivent leur tre fournis Si diff rentes cl s locales sont utilis es pour chiffrer des fichiers de supports amovibles vous pouvez galement restreindre l acc s aux fichiers Par exemple vous chiffrez les fichiers contenus sur une carte m moire USB l aide d une cl avec la phrase secr te ma_cl locale et chiffrez un fichier nomm PourMonPartenaire doc l aide de la phrase secr te partenaire_cl locale Si vous donnez la carte USB un partenaire et fournissez la phrase secr tepartenaire_cl locale ce dernier il n aura acc s qu au fichier PourMonPartenaire doc Remarque par d faut SafeGuard Portable est copi automatiquement sur les supports amovibles connect s au syst me d s l criture de contenu sur les supports couverts par une r gle de chiffrement Si vous ne souhaitez pas que SafeGuard Portable soit copi sur les supports amovibles d sactivez l option Copier SG Portable sur la cible dans une strat gie du type Chiffrement de p riph rique Phrase secr te des supports SafeGuard Data Exchange vous permet de sp cifier qu une seule phrase secr te des supports pour tous les supports amovibles sauf les supports optiques doit tre cr e sur les ordinateurs d extr mit La phrase secr te des supports permet d acc der la cl de domaine groupe d finie de mani re centralis e et toutes les cl s locales utilis es dans Safe
189. d Enterprise 26 2 2 224 E SafeGuard Management Center o en tant que responsable du support poss dant les droits correspondants vous cr ez un code de r ponse qui autorisera l utilisateur effectuer l action requise sur l ordinateur Remarque pour une proc dure Challenge R ponse vous avez besoin des droits d Acc s complet pour les ordinateurs utilisateurs concern s 1 Sur l ordinateur d extr mit l utilisateur demande le code de challenge En fonction du type de r cup ration cette op ration s effectue soit dans l authentification au d marrage SafeGuard soit dans l outil de r cup ration de cl KeyRecovery Un code de challenge sous la forme d une cha ne de caract res ASCII est g n r puis affich 2 L utilisateur contacte le support technique et leur fournit l identification n cessaire et le code de challenge 3 Le support lance l assistant de r cup ration dans SafeGuard Management Center 4 Le support s lectionne le type de r cup ration appropri confirme les informations d identification et le code de challenge puis s lectionne l action de r cup ration souhait e Un code de r ponse sous la forme d une cha ne de caract res ASCII est g n r et s affiche 5 Le support transmet le code de r ponse l utilisateur par exemple par t l phone ou SMS 6 L utilisateur saisit le code de r ponse En fonction du type de r cup ration cette op ration s effectue soit dans l authe
190. d Management Center vous pouvez d finir des param tres de strat gie pour l veil par appel r seau s curis WOL afin de pr parer les ordinateurs d extr mit des d ploiements logiciels Si une strat gie correspondante s applique aux ordinateurs d extr mit les param tres n cessaires par exemple la d sactivation de l authentification au d marrage SafeGuard et un intervalle d veil par appel r seau sont transf r s directement sur les ordinateurs d extr mit lorsque les param tres sont analys s L quipe de d ploiement peut concevoir un script de programmation en utilisant les commandes fournies pour garantir la protection maximale de l ordinateur d extr mit malgr la d sactivation de l authentification au d marrage SafeGuard Remarque la d sactivation de l authentification au d marrage SafeGuard m me pour un nombre limit de processus d initialisation r duit le niveau de s curit de votre syst me D finissez les param tres de l veil par appel r seau WOL dans une strat gie du type Param tres de machine sp cifiques Exemple d veil par appel r seau s curis L quipe de d ploiement des logiciels informe le responsable de la s curit SafeGuard Enterprise d un d ploiement de logiciels pr vu pour le 25 septembre 2013 entre 03 00 et 06 00 heures du matin Deux r initialisations sont requises L agent local en charge du d ploiement des logiciels doit tre en mesure de se connecter
191. d action de droite 4 V rifiez que l AC et la liste de r vocation de certificats sont correctes Les certificats de l AC doivent correspondre la liste de r vocation de certificats pour que les utilisateurs puissent se connecter aux ordinateurs concern s SafeGuard Enterprise n effectue pas cette v rification Modification de l algorithme pour les certificats autosign s Conditions pr alables tous les composants SafeGuard Enterprise doivent tre la version 6 1 Par d faut les certificats g n r s par SafeGuard Enterprise entreprise machine responsable de la s curit et utilisateur sont sign s par l algorithme SHA 256 la premi re installation pour une s curit optimale Lors de la mise niveau partir de SafeGuard Enterprise 6 ou d une version ant rieure l algorithme SHA 1 est automatiquement utilis pour les certificats autosign s Vous pouvez le modifier manuellement sur SHA 256 pour une s curit optimale suite la mise niveau Remarque modifiez uniquement l algorithme sur SHA 256 si tous les composants et ordinateurs d extr mit SafeGuard Enterprise ont t mis niveau la version en cours SHA 256 n est pas pris en charge dans les environnements mixtes Par exemple les ordinateurs d extr mit SafeGuard Enterprise 6 sont administr s par SafeGuard Management Center 6 1 Si vous avez un environnement mixte vous devez effectuer cette t che et ne pas modifier l algorithme sur SHA 256
192. d extr mit Manuel d administration 15 6 Connexion un ordinateur d extr mit l aide d un compte de service Lors de la premi re connexion Windows apr s le red marrage de l ordinateur un utilisateur figurant sur une liste de comptes de service se connecte l ordinateur en tant qu utilisateur invit SafeGuard Enterprise Cette premi re connexion Windows l ordinateur d extr mit ne d clenche pas de proc dure d authentification au d marrage SafeGuard de m me qu elle n ajoute pas l utilisateur l ordinateur L infobulle de l ic ne de la barre d tat syst me SafeGuard Enterprise Synchronisation utilisateur initiale termin e n appara t pas Affichage de l tat du compte de service sur l ordinateur d extr mit L tat de connexion de l utilisateur invit est galement disponible via l ic ne de la barre d tat syst me Retrouvez plus d informations dans le Manuel d utilisation de SafeGuard Enterprise au chapitre Ic ne de la barre d tat syst me et infobulle description du champ sur l tat de l utilisateur SGN 15 7 Journalisation des v nements Les actions accomplies concernant les listes de comptes de service sont signal es par les v nements du journal suivants SafeGuard Management Center M Liste de comptes de service lt nom gt cr e M Liste de comptes de service lt nom gt modifi e E Liste de comptes de service lt nom gt supprim e Ordinateurs d extr mit prot g s p
193. d extr mit qui sont d placer Le Management Center Policy Editor cible est celui vers lequel les ordinateurs d extr mit seront d plac s Pour remplacer le certificat d entreprise 1 Dans l outil de gestion cible exportez le certificat d entreprise Dans le menu Outils cliquez sur Options S lectionnez l onglet Certificats et cliquez sur le bouton Exporter sous Certificat d entreprise Saisissez et confirmez un mot de passe pour la sauvegarde du certificat lorsque vous y tes invit et s lectionnez un r pertoire de destination et un nom de fichier galement lorsque vous y tes invit Le certificat d entreprise est export fichier cer 2 Dans l outil d administration d origine allez dans le menu Outils et cliquez sur Options S lectionnez l onglet Certificats et cliquez sur Cr er dans la section Demander Dans la bo te de dialogue Cr er un CCO recherchez le certificat d entreprise cible que vous avez export dans l outil d administration cible tape 1 Assurez vous qu il s agit du certificat d sir Cliquez sur Cr er et s lectionnez un r pertoire de destination et un nom de fichier pour le fichier cco Confirmez que vous voulez placer un Ordre de modification du certificat d entreprise Sachez qu un CCO n est pas reli des ordinateurs d extr mit sp cifiques l aide d un CCO tout client de l environnement source peut tre d plac 3 Dans l outil d administration cible veuillez importer le
194. d fournit une protection de connexion suppl mentaire sur l ordinateur d extr mit Gr ce au chiffrement complet du disque SafeGuard elle est install e et activ e par d faut Pour une protection compl te ne la d sactivez pas Prot gez vous contre l injection de code L injection de code par exemple travers une attaque par chargement pr alable de fichiers DLL est possible lorsqu un attaquant parvient placer du code malveillant comme des ex cutables dans des r pertoires qui peuvent faire l objet de recherches pour trouver du code l gitime par le logiciel de chiffrement Sophos SafeGuard Pour carter ce type de menace m Installez le middleware charg par le logiciel de chiffrement par exemple un middleware de token dans des r pertoires inaccessibles aux attaquants externes Il s agit g n ralement de tous des sous dossiers des r pertoires Windows et Program Files m La variable d environnement PATH ne doit pas contenir de composants qui pointent vers des dossiers accessibles aux attaquants externes voir ci dessus m Les utilisateurs standard ne doivent pas avoir de droits d administration Bon usage en mati re de chiffrement E Assurez vous qu une lettre a t attribu e tous les lecteurs Seuls les lecteurs auxquels une lettre a t attribu e sont pris en compte pour le chiffrement d chiffrement du disque Les lecteurs sans lettre sont susceptibles d entra ner des fuites de donn es confidentielles en
195. date et l heure de leur cr ation E En cas de perte d un token le responsable de la s curit peut l identifier et le bloquer Ces mesures vitent toute utilisation frauduleuse de donn es E Toutefois le responsable de la s curit peut utiliser la proc dure Challenge R ponse pour autoriser temporairement la connexion sans token par exemple si un utilisateur a oubli son code PIN Remarque cette option de r cup ration n est pas prise en charge par la connexion par token cryptographique Kerberos 24 1 Types de token 198 Le terme token se rapporte toutes les technologies utilis es et ne d pend pas d une forme particuli re de p riph rique Il englobe tous les p riph riques pouvant stocker et transf rer des donn es des fins d identification et d authentification cartes puce ou tokens USB Manuel d administration 24 1 1 24 2 SafeGuard Enterprise prend en charge les types suivants de tokens cartes puce pour l authentification m Non cryptographique L authentification au d marrage SafeGuard et Windows est bas e sur les codes d acc s de l utilisateur ID utilisateur mot de passe stock s sur le token E Cryptographique Kerberos L authentification au d marrage SafeGuard et Windows est bas e sur les certificats stock s sur le token Remarque les tokens cryptographiques ne peuvent pas tre utilis s pour les ordinateurs d extr mit non administr s Tokens cryptographiqu
196. de question modifi est enregistr Il est transf r avec la strat gie du type Param tres g n raux activant Local Self Help sur les ordinateurs d extr mit Suppression de sujets de question Pour supprimer l int gralit d un sujet de question cliquez avec le bouton droit de la souris sur le sujet concern Questions Local Self Help dans la zone de navigation Strat gies puis s lectionnez Supprimer Remarque si vous supprimez un sujet de question alors que des utilisateurs ont d j r pondu certaines questions pour activer Local Self Help sur leurs ordinateurs leurs r ponses ne sont plus valides car les questions n existent plus Enregistrement de textes de bienvenue Vous pouvez enregistrer un texte de bienvenue afficher dans la premi re bo te de dialogue de l Assistant Local Self Help Les fichiers texte contenant les informations requises doivent tre cr s avant d tre enregistr s dans SafeGuard Management Center La taille maximale des fichiers de textes d informations est de 50 Ko SafeGuard Enterprise utilise les textes cod s en Unicode UTF 16 uniquement Si vous ne cr ez pas les fichiers texte dans ce format ils seront automatiquement convertis lorsqu ils seront enregistr s 1 Dans la zone de navigation Strat gies cliquez avec le bouton droit de la souris sur Texte d informations et s lectionnez Nouveau gt Texte 2 Saisissez le nom du texte afficher dans le champ Nom de l l ment de tex
197. des informations du token Initialisation modification r initialisation et blocage des codes PIN Lecture et suppression des donn es du token Blocage des tokens Remarque pour g n rer et g rer des tokens ou modifier des donn es sur les tokens g n r s vous avez besoin des droits d Acc s complet pour les utilisateurs concern s La vue Tokens g n r s n affiche que les tokens des utilisateurs pour qui vous avez des droits en Lecture seule ou d Acc s complet Manuel d administration 24 4 Pr paration l utilisation d un token 24 4 1 24 4 2 24 4 3 Pour pr parer la prise en charge d un token ou d une carte puce dans SafeGuard Enterprise veuillez E Initialiser les tokens vides E Installer le middleware E Activer le middleware initialisation d un token Avant qu un token vide non format puisse tre g n r il doit tre pr par pour l utilisation c est dire initialis conform ment aux instructions fournies par son fabricant Lorsqu il est initialis des informations de base par exemple le code PIN standard sont crites dessus Cette op ration s effectue avec le logiciel d initialisation du fabricant de tokens Retrouvez plus d informations chez le fabricant de tokens concern Installation du middleware Veuillez installer le middleware qui convient la fois sur l ordinateur sur lequel SafeGuard Management Center est install et sur l ordinateur d extr mit appropri si
198. dinateur unique s affiche E Saisissez directement le nom de l ordinateur au format de nom unique par exemple CN Postel OU D veloppement OU Si ge DC Utimaco DC uae 4 Cliquez sur Suivant 5 S lectionnez le domaine de l utilisateur 6 Saisissez le nom de l utilisateur requis Pour ce faire vous pouvez proc der de plusieurs fa ons E Pour s lectionner le nom utilisateur cliquez sur dans la section Informations utilisateur de la page R cup ration de connexion Cliquez ensuite sur Rechercher maintenant La liste des utilisateurs s affiche S lectionnez le nom requis puis cliquez sur OK Le nom utilisateur appara t sur la page Type de r cup ration M Saisissez directement le nom de l utilisateur Assurez vous de l orthographier correctement Cliquez sur Suivant Une fen tre appara t o vous pouvez saisir le code de challenge Saisissez le code de challenge que l utilisateur vous a transmis et cliquez sur Suivant Ce code est v rifi Si le code a t saisi de fa on incorrecte le terme Challenge non valide appara t au dessous du bloc contenant l erreur Si le code de challenge a t saisi correctement l action de r cup ration demand e par le client SafeGuard Enterprise ainsi que les actions de r cup ration possibles sur ce client s affichent Les actions possibles pour la r ponse d pendent des actions demand es c t client lors de l appel du challenge Par exemple si l action token cry
199. dministr s ne sont pas en mesure de cr er des rapports sur les donn es d inventaire Retrouvez plus d informations la section Onglet Lecteurs la page 250 L tat du syst me d un ordinateur d extr mit non administr peut tre v rifi l aide de l outil de ligne de commande SGNState Retrouvez plus d informations dans le Guide des outils de SafeGuard Enterprise Challenge R ponse SafeGuard pour BitLocker L utilisation du Challenge R ponse SafeGuard Enterprise pour BitLocker n cessite de satisfaire aux conditions ci dessous m Windows 64 bits m Version UFFI 2 3 1 ou plus r cente m Certificat UEFI de Microsoft activ ou D marrage s curis d sactiv m Entr es de d marrage NVRAM accessibles partir de Windows m Windows install en mode GPT m Le mat riel ne doit pas tre r pertori dans le fichier POACFG xml Sophos fournit un fichier POACFG xml par d faut int gr dans le programme d installation Nous vous conseillons de t l charger le fichier le plus r cent et de le mettre disposition du programme d installation Pendant l installation sur l ordinateur d extr mit et pendant le premier red marrage SafeGuard Enterprise d termine si le mat riel satisfait aux conditions requises pour BitLocker avec le Challenge R ponse SafeGuard S il ne satisfait pas aux conditions la gestion de SafeGuard Enterprise BitLocker s effectue sans Challenge R ponse Dans ce cas la cl de r cup ration Bit
200. doivent tre d sactiv es dans Active Directory Remarque longueur max du chemin d enregistrement et du nom de fichier 260 caract res Lors de la cr ation d un responsable de la s curit la partie publique du certificat suffit Lors de la connexion au SafeGuard Management Center cependant la partie priv e du certificat le fichier de cl est galement requise Si elle n est pas disponible dans la base de donn es elle doit l tre pour le responsable de la s curit sur une carte m moire par exemple et peut tre stock e dans le magasin de certificats pendant la connexion Certificat Importation Un certificat existant est utilis et attribu au responsable de la s curit lors de l importation Si l importation s effectue partir d un fichier de cl p12 le mot de passe du certificat doit tre connu Si un conteneur de certificats PKCS 12 est s lectionn tous les certificats sont charg s dans la liste de certificats attribuables L attribution du certificat s effectue apr s l importation en le s lectionnant dans la liste d roulante 4 Pour confirmer cliquez sur OK Le nouveau responsable principal de la s curit appara t dans la fen tre de navigation sous le n ud Responsables principaux de la s curit Leurs propri t s peuvent tre affich es en s lectionnant le responsable de la s curit concern dans la fen tre de navigation Le MSO peut se connecter au SafeGuard Management
201. dows PE dans l ordinateur 3 D marrez l ordinateur partir du disque de r cup ration et effectuez une proc dure Challenge R ponse avec un client virtuel Retrouvez plus d informations la section Challenge R ponse l aide de clients virtuels la page 231 L acc s aux donn es stock es sur cette partition est r cup r Remarque en fonction du BIOS en cours d utilisation il est possible que l initialisation depuis le disque ne fonctionne pas MBR corrompu Pour r soudre les probl mes d enregistrement d amor age ma tre MBR Master Boot Record corrompu SafeGuard Enterprise propose l utilitaire BE_Restore exe Retrouvez une description d taill e de la fa on de restaurer un MBR corrompu au moyen de cet utilitaire dans le Guide des outils de SafeGuard Enterprise Code Un disque dur dont le code d initialisation du noyau est endommag reste accessible car les cl s sont stock es s par ment du noyau dans la zone de stockage des cl s KSA En s parant le noyau et les cl s ce type de lecteur peut tre d chiffr lorsqu il est connect un autre ordinateur Pour ce faire l utilisateur qui se connecte l autre ordinateur a besoin d une cl de la KSA pour la partition qui ne peut tre initialis e dans son jeu de cl s Dans le pire des cas la partition est seulement chiffr e avec le Boot_Key de l autre ordinateur Dans une telle situation le responsable principal de la s curit ou le responsabl
202. du nom d utilisateur comme code PIN Exemple 1 vous avez saisi tableau dans la liste des codes PIN interdits Si l option Respecter la casse est d finie sur OUI les 124 Manuel d administration Param tre de strat gie Explication variantes suppl mentaires du code PIN telles que TABLEAU TablEAU ne seront pas accept es et la connexion sera refus e Exemple 2 EMaier est saisi comme nom d utilisateur Si l option Respecter la casse est d finie sur Oui et si l option Utilisation interdite du nom d utilisateur en tant que code PIN est d finie sur Non l utilisateur EMaier ne peut utiliser aucune variante de ce nom d utilisateur par exemple emaier ou eMaiER comme code PIN Interdire la succession de touches horizontales 123 et aze sont des exemples de s quences de touches cons cutives Un maximum de deux caract res adjacents du clavier est autoris Les s quences de touches cons cutives ne concernent que la zone du clavier alphanum rique Interdire la succession de touches verticales Concerne les touches dispos es cons cutivement en colonne sur le clavier par exemple wqal xsz2 ou 3edc mais pas wse4 xdr5 ou cft6 Un maximum de deux symboles adjacents d une m me colonne clavier est autoris Si vous n autorisez pas les colonnes du clavier ces combinaisons sont rejet es comme codes PIN Les s quences de touches cons cutives ne concernent que la zone du clavier a
203. e Les utilisateurs locaux qui se connectent SafeGuard Enterprise avec un mot de passe vide restent des invit s et ne sont pas enregistr s dans la base de donn es Si l ouverture de session automatique Windows est activ e pour ces utilisateurs la connexion est refus e Pour se connecter SafeGuard Enterprise un nouveau mot de passe doit tre cr et l ouverture de session automatique Windows doit tre d sactiv e dans le registre de l ordinateur d extr mit Remarque les comptes Microsoft sont toujours consid r s comme des utilisateurs invit s de SafeGuard Enterprise Exemples d enregistrement automatique Vous trouverez ci apr s deux exemples de comportement d objets enregistr s automatiquement Utilisateurs ordinateurs ne faisant pas partie d un Active Directory Dans une entreprise tous les objets utilisateur ou ordinateur ne font pas n cessairement partie d un Active Directory AD les utilisateurs locaux par exemple Une entreprise peut disposer d un ou de plusieurs groupes de travail un AD n est donc pas n cessaire Manuel d administration Cette entreprise souhaite d ployer SafeGuard Enterprise puis ajouter des strat gies ses objets utilisateur ordinateur La structure organisationnelle de l entreprise doit donc tre cr e manuellement dans le SafeGuard Management Center comme suit ER Root Filter is active TE Authenticated Computers E Authenticated Users SE Auto registered 4e Workgroup 1
204. e active start _ time indiqu e ci dessus fonctionne sous SQL Server 2005 La syntaxe correcte pour SQL Server 2000 est active start _ time 1 00 00 Remarque outre les valeurs d exemple indiqu es ci dessus vous pouvez d finir diff rentes options de planification avec sp_add jobschedule Par exemple la t che peut tre ex cut e toutes les deux minutes ou une fois par semaine seulement Pour plus d informations consultez la documentation de Microsoft Transact SQL Nettoyage des proc dures enregistr es des t ches et des tableaux Le script spShrinkEventTable_uninstall sql permet de supprimer la proc dure enregistr e et le tableau EVENT BACKUP Le script ScheduledShrinkEventTable uninstall sql permet d annuler l enregistrement de la t che planifi e Remarque lorsque vous ex cutez spShrinkEventTable_ uninstall sql letableau EVENT _BACKUP est supprim ainsi que toutes les donn es qu il contient Mod les de messages de rapport Les v nements ne sont pas journalis s avec leurs textes d v nement complet dans la base de donn es SafeGuard Enterprise Seuls l identifiant et les valeurs de param tre correspondantes sont inscrits dans le tableau de la base de donn es Lors de la r cup ration des v nements journalis s dans la Visionneuse des v nements du SafeGuard Management Center les valeurs de param tre et les mod les de texte contenus dans le fichier dll sont convertis en un texte d v nement complet dan
205. e connectent Windows Les utilisateurs Windows de SGN peuvent tre supprim s automatiquement de l AUM sur les ordinateurs d extr mit administr s et manuellement sur les ordinateurs d extr mit non administr s Retrouvez plus d informations la section Param tres de machine sp cifiques param tres de base la page 141 Exemple L exemple suivant montre comment attribuer des droits de connexion dans le SafeGuard Management Center trois utilisateurs seulement Utilisateur_a Utilisateur_b Utilisateur_c pour Ordinateur_ABC Premi rement indiquez la r ponse dont vous avez besoin dans SafeGuard Management Center SafeGuard Enterprise est install sur tous les ordinateurs d extr mit au cours de la nuit Le matin les utilisateurs doivent pouvoir se connecter leur ordinateur avec leurs codes d acc s 1 Dans SafeGuard Management Center attribuez Utilisateur_a Utilisateur_b et Utilisateur_c Ordinateur_ABC Utilisateurs amp ordinateurs gt S lectionnez Ordinateur_ABC Attribuez l utilisateur par Glisser d poser Vous avez ainsi sp cifi une AUM 2 Dans une strat gie de type Param tres de machine sp cifiques d finissez Autoriser l enregistrement de nouveaux utilisateurs SGN pour sur Personne Puisque l Utilisateur_a l Utilisateur_b et l Utilisateur_c ne sont pas autoris s ajouter de nouveaux utilisateurs il n est pas n cessaire de sp cifier un utilisateur comme propri taire 3 Attribuez
206. e de dialogue Attribution d une nouvelle cl affiche des cases cocher diff rentes S lectionnez la case cocher affich e pour d finir la cl nouvellement cr e comme une cl personnelle E Cl personnelle cette case cocher appara t pour les utilisateurs qui n ont pas encore de cl personnelle active E Remplacer la cl personnelle active cette case cocher appara t pour les utilisateurs qui ont d j une cl personnelle active 6 Cliquez sur OK La cl personnelle est cr e pour l utilisateur s lectionn Dans l ongletCl la cl appara t comme la Cl personnelle active pour l utilisateur Pour un utilisateur qui avait d j une cl personnelle active la cl existante est r trograd e et l utilisateur en re oit une nouvelle La cl personnelle r trograd e reste dans le jeu de cl s de l utilisateur La cl personnelle active ne peut pas tre attribu e d autres utilisateurs Cr ation de cl s personnelles pour plusieurs utilisateurs Pour cr er des cl s personnelles vous avez besoin des droits Cr er des cl s et Attribuer des cl s En plus vous avez besoin des droits d Acc s complet pour les objets en question Pour remplacer des cl s personnelles actives existantes vous avez besoin du droit G rer les cl s personnelles 1 Dans SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la zone de navigation cliquez avec le bouton droit de la souris sur le n
207. e de donn es SafeGuard Enterprise Vous pouvez afficher les donn es de la zone Token dans l onglet Informations sur le token Configuration du mode de connexion Il existe deux m thodes de connexion l aide d un token Il est possible de combiner les deux m thodes de connexion E Connexion avec identifiant utilisateur mot de passe E Connexion avec token Lorsque vous vous connectez avec un token ou une carte puce vous pouvez s lectionner la m thode non cryptographique ou la m thode Kerberos cryptographique En tant que responsable de la s curit vous sp cifiez le mode de connexion utiliser dans une strat gie du type Authentification Si vous s lectionnez l option de connexion par token Kerberos M Vous allez devoir mettre un certificat dans une infrastructure de cl publique PKI et la stocker sur le token Ce certificat est import sous forme de certificat utilisateur dans la base de donn es SafeGuard Enterprise Si un certificat g n r automatiquement existe d j dans une base de donn es il est remplac par le certificat import 24 6 1 Activation de la connexion automatique l authentification au 206 d marrage SafeGuard avec des codes PIN de token par d faut Un code PIN de token par d faut distribu par la strat gie permet la connexion automatique de l utilisateur l authentification au d marrage SafeGuard Ceci permet d viter la g n ration de chaque token s par ment et permet
208. e de r ponse dans le Presse papiers L utilisateur peut saisir le code de r ponse et acc der de nouveau l ordinateur d extr mit Cl de r cup ration pour les clients SafeGuard Enterprise chiffr s par BitLocker ordinateurs d extr mit BIOS S il s agit d ordinateurs BIOS chiffr s BitLocker un volume qui n est plus accessible peut tre r cup r 1 Sur la page Type de r cup ration s lectionnez Client SafeGuard Enterprise administr 2 Sous Domaine s lectionnez le domaine requis dans la liste 229 SafeGuard Enterprise 26 2 5 5 230 ST ON Jr RE Sous Ordinateur saisissez ou s lectionnez le nom d ordinateur requis Pour ce faire vous pouvez proc der de plusieurs fa ons E Pour s lectionner un nom cliquez sur Cliquez ensuite sur Rechercher maintenant Une liste des ordinateurs s affiche S lectionnez l ordinateur requis puis cliquez sur OK Le nom de l ordinateur s affiche dans la fen tre Type de r cup ration sous Domaine E Entrez le nom court de l ordinateur directement dans le champ Lorsque vous cliquez sur Suivant ce nom est recherch dans la base de donn es S il est trouv le nom d ordinateur unique s affiche E Saisissez directement le nom de l ordinateur au format de nom unique par exemple CN Postel OU D veloppement OU Si ge DC Utimaco DC uae Cliquez sur Suivant S lectionnez le volume auquel acc der dans la liste et cliquez sur Suivant L assist
209. e devient inaccessible Condition pr alable le token a t g n r 1 Dans SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Connectez le token dans l interface USB SafeGuard Enterprise lit le token 3 Cochez l utilisateur pour lequel un certificat doit tre g n r et ouvrez l onglet Certificat dans la zone de travail du c t droit 4 Cliquez sur G n rer et attribuer un certificat par token Notez que la longueur de la cl doit correspondre la taille du token 5 S lectionnez le connecteur et saisissez le code PIN du token 6 Cliquez sur Cr er Le token g n re le certificat et l attribue l utilisateur Attribution de certificats de token un utilisateur Conditions pr alables E le token a t g n r m Vous avez besoin des droits d Acc s complet pour l utilisateur correspondant Pour attribuer un certificat disponible sur un token un utilisateur 1 Dans SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs Manuel d administration 24 7 3 2 Connectez le token dans l interface USB SafeGuard Enterprise lit le token 3 S lectionnez l utilisateur qui vous voulez attribuer un certificat et ouvrez l onglet Certificat dans la zone de travail droite 4 Cliquez sur l ic ne Attribuer un certificat partir d un token de la barre d outils du SafeGuard Management Center 5 S lectionnez le certificat concern dans la liste
210. e figurant dans le code de r ponse est transf r sur l ordinateur cible Cette option est uniquement disponible pour les ordinateurs d extr mit administr s 2 Cliquez sur Suivant 26 2 6 7 S lection de la cl requise cl unique Condition pr alable S lectionnez au pr alable le client virtuel requis dans l assistant de r cup ration du SafeGuard Management Center et l action de r cup ration Cl requise 1 Dans l Assistant de r cup ration sur la page Client virtuel s lectionnez si l action est demand e par un ordinateur d extr mit administr ou non administr E Pour les ordinateurs d extr mit administr s s lectionnez Cl de r cup ration du client SafeGuard Enterprise administr Cliquez sur Dans Rechercher des cl s vous pouvez afficher les cl s en fonction de leur ID ou de leur nom symbolique Cliquez sur Rechercher maintenant s lectionnez la cl et cliquez sur OK Remarque une r ponse ne peut tre initi e que pour des cl s attribu es Si une cl est inactive c est dire qu elle n est pas attribu e au moins un utilisateur une r ponse pour client virtuel est impossible Dans ce cas la cl inactive peut tre attribu e un autre utilisateur et une r ponse pour cette cl peut tre de nouveau g n r e E Pour les ordinateurs d extr mit administr s s lectionnez Cl de r cup ration du client Sophos SafeGuard autonome Cliquez sur pr s de cette option
211. e l authentification au d marrage les regrouper dans des groupes de l authentification au d marrage et attribuer ces groupes des ordinateurs d extr mit Les utilisateurs inclus dans le groupe de l authentification au d marrage sont ajout s l authentification au d marrage SafeGuard et peuvent se connecter l aide de leur nom d utilisateur et de leur mot de passe pr d finis Remarque pour g rer les utilisateurs et les groupes de l authentification au d marrage vous avez besoin des droits d Acc s complet pour le n ud POA sous Utilisateurs et ordinateurs Cr ation d utilisateurs POA Pour cr er des utilisateurs POA vous avez besoin des droits d Acc s complet pour le n ud POA sous Utilisateurs et ordinateurs 1 Dans la zone de navigation du SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation Utilisateurs et ordinateurs sous POA s lectionnez Utilisateurs POA 3 Dans le menu contextuel des Utilisateurs POA cliquez sur Nouveau gt Cr er un utilisateur La bo te de dialogue Cr er un utilisateur s affiche 4 Dans le champ Nom complet saisissez un nom par exemple le nom de connexion du nouvel utilisateur de l authentification au d marrage 5 Vous pouvez galement saisir une description pour le nouvel utilisateur de l authentification au d marrage Manuel d administration 16 2 16 3 6 Saisissez un mot de passe pour le nouvel utilisateur de
212. e mode de chiffrement et la cl utiliser pour le chiffrement Dans les strat gies Param tres g n raux vous pouvez d finir comment des applications et des syst mes de fichiers sp cifiques sont g r s sur les ordinateurs d extr mit dans le contexte de File Encryption Vous pouvez indiquer les applications ignor es et fiables ainsi que les p riph riques ignor s Vous pouvez aussi activer le chiffrement permanent pour File Encryption Pour le chiffrement des cl s personnelles peuvent tre utilis es Une cl personnelle activ e pour un utilisateur particulier s applique uniquement cet utilisateur et ne peut pas tre partag e avec d autres utilisateurs ou attribu e ces derniers Vous pouvez cr er des cl s personnelles dans le SafeGuard Management Center sous Utilisateurs et ordinateurs Apr s attribution d une strat gie File Encryption sur vos ordinateurs d extr mit les fichiers pr sents dans les emplacements couverts par la strat gie sont chiffr s de mani re transparente sans intervention de l utilisateur E Les nouveaux fichiers dans les emplacements correspondants sont chiffr s automatiquement E Siles utilisateurs ont la cl d un fichier chiffr ils peuvent lire et modifier le contenu E S ils n ont pas la cl du fichier chiffr l acc s est refus E Si un utilisateur acc de un fichier chiffr sur un ordinateur d extr mit sur lequel File Encryption n est pas install le contenu chiffr
213. e r cup ration doit attribuer ce Boot_Key l utilisateur Retrouvez plus d informations la section Asservissement d un disque dur la page 243 Volumes SafeGuard Enterprise propose le chiffrement bas sur volume Cela inclut les informations de chiffrement de l enregistrement constitu es du secteur d initialisation de la KSA KSA Key Storage Area principale et de sauvegarde ainsi que du secteur d initialisation original sur chaque lecteur 241 SafeGuard Enterprise 26 3 4 1 26 3 4 2 26 3 5 26 3 5 1 242 Si l une des conditions suivantes s applique le volume n est plus accessible E Les deux zones de stockage des cl s sont endommag es en m me temps E Le MBR d origine est endommag Secteur d initialisation Au cours du processus de chiffrement le secteur d initialisation d un volume est remplac par le secteur d initialisation de SafeGuard Enterprise Le secteur d initialisation de SafeGuard Enterprise contient des informations sur E L emplacement de la KSA principale et de sauvegarde dans les clusters et les secteurs en relation au d but de la partition E Ja taille de la KSA M me si le secteur d initialisation de SafeGuard Enterprise est endommag les volumes chiffr s sont inaccessibles L utilitaire BE_Restore peut restaurer le secteur d initialisation endommag Pour plus d informations reportez vous au Guide d outils de SafeGuard Enterprise Secteur d initialisation origin
214. e service pour les ordinateurs prot g s par SafeGuard Enterprise Les utilisateurs inclus dans ces listes sont trait s comme des utilisateurs invit s SafeGuard Enterprise Avec les comptes de service le sc nario est le suivant 1 SafeGuard Enterprise est install sur un ordinateur d extr mit 2 Apr s le red marrage de l ordinateur un op rateur en charge du d ploiement et figurant sur une liste de comptes de service se connecte connexion Windows 3 D apr s la liste de comptes de service appliqu e l ordinateur l utilisateur est identifi comme un compte de service et trait comme utilisateur invit L op rateur en charge du d ploiement n est pas ajout l authentification au d marrage SafeGuard et l authentification au d marrage n est pas activ e L op rateur en charge du d ploiement ne devient pas le propri taire de l ordinateur d extr mit L utilisateur final peut se connecter et activer l authentification au d marrage SafeGuard Remarque les listes de comptes de service sont attribu es aux ordinateurs d extr mit dans les strat gies Elles doivent tre attribu es dans le premier package de configuration SafeGuard Enterprise cr pour la configuration des ordinateurs d extr mit 99 SafeGuard Enterprise 15 1 15 2 100 Cr ation de listes de comptes de service et ajout d utilisateurs 1 Dans la zone de navigation cliquez sur Strat gies 2 Dans la fen tre de navigati
215. e sur le serveur de la base de donn es La t che planifi e ex cut la proc dure enregistr e des intervalles r guliers d finis La proc dure enregistr e d place des v nements du tableau EVENT dans le tableau de sauvegarde EVENT_BACKUP tout en conservant un nombre pr d fini d v nements r cents dans le tableau EVENT Les deux scripts spShrinkEventTable uninstall sqlet ScheduledShrinkEventTable uninstall sql permettent de d sinstaller la proc dure enregistr e ainsi que la t che planifi e Ces deux scripts suppriment galement le tableau EVENT _ BACKUP Remarque si vous utilisez la proc dure enregistr e pour d placer des v nements du tableau EVENT dans le tableau de sauvegarde la connexion des v nements ne s applique plus L activation de la connexion tout en utilisant par ailleurs la proc dure enregistr e pour le nettoyage des v nements est inutile Retrouvez plus d informations la section Connexion des v nements journalis s la page 261 Cr ation de la proc dure enregistr e Le script spShrinkEventTable_install sql permet de cr er une proc dure enregistr e qui d place des donn es du tableau EVENT dans un tableau de sauvegarde EVENT_BACKUP Le tableau EVENT_ BACKUP est cr automatiquement s il n existe pas La premi re ligne est USE SafeGuard Si vous avez donn un autre nom votre base de donn es SafeGuard Enterprise modifiez le nom en cons quence La proc dure enregistr
216. e uniquement les nouvelles donn es stock es dans le Cloud Si les donn es sont d j stock es dans le Cloud avant l installation de Cloud Storage ces donn es ne seront pas automatiquement chiffr es Si vous voulez chiffrer ces donn es vous devez les supprimer du Cloud puis les saisir de nouveau apr s installation de Cloud Storage Conditions requises pour le logiciel de Cloud Storage Pour activer le chiffrement des donn es stock es dans le Cloud le logiciel fourni par le fournisseur de Stockage dans le Cloud m Doit fonctionner sur l ordinateur sur lequel Cloud Storage est install E Doit avoir une application ou un service syst me stock e dans le syst me de fichiers local et synchroniser les donn es entre le Cloud et le syst me local m Doit stocker les donn es synchronis es dans le syst me de fichiers local Cr ation de d finitions Cloud Storage CSD Dans SafeGuard Management Center les d finitions Cloud Storage pr d finies de diff rents fournisseurs de stockage dans le Cloud sont disponibles Par exemple Dropbox ou Egnyte 187 SafeGuard Enterprise Vous pouvez modifier les chemins d finis dans les d finitions Cloud Storage pr d finies selon vos besoins ou cr er une nouvelle d finition partir des valeurs d une d finition pr d finie Ceci s av re particuli rement utile par exemple si vous souhaitez uniquement chiffrer une partie des donn es de votre stockage dans le Cloud Vous pouve
217. ecr te des supports unique sur un syst me sur lequel SafeGuard Data Exchange n est pas install Si les strat gies de l entreprise d finissent galement que tous les fichiers des supports amovibles doivent toujours tre chiffr s ajoutez les param tres suivants Chiffrement initial de tous les fichiers Oui V rifie que les fichiers des supports amovibles sont chiffr s lors de la premi re connexion du support au syst me L utilisateur peut annuler le chiffrement initial Non L utilisateur ne peut pas annuler le chiffrement initial pour le diff rer par exemple L utilisateur n est pas autoris acc der aux fichiers non chiffr s Non Si des fichiers au format brut sont d tect s sur le support amovible leur acc s est refus L utilisateur peut d chiffrer des fichiers Non L utilisateur n est pas autoris d chiffrer des fichiers de supports amovibles 181 SafeGuard Enterprise 21 4 3 182 Au bureau Bob et Alice acc dent de mani re transparente aux fichiers chiffr s du support amovible domicile ou sur les ordinateurs tiers ils peuvent utiliser SafeGuard Portable pour ouvrir des fichiers chiffr s Les utilisateurs saisissent seulement la phrase secr te des supports et peuvent acc der tous les fichiers chiffr s Cette m thode simple mais fiable permet de chiffrer des donn es sur tous les supports amovibles Cette configuration vise r duire au maximum l interaction de l utilisa
218. egistr il doit tout d abord se connecter avec son ancien mot de passe l authentification au d marrage La synchronisation du mot de passe n est effectu e qu apr s la connexion avec l ancien mot de passe Rapide attendre la connexion de la machine Si un utilisateur change son mot de passe sur un ordinateur d extr mit SafeGuard Enterprise la synchronisation du mot de passe avec d autres ordinateurs sur lesquels l utilisateur est galement enregistr est effectu e d s que l autre ordinateur a tabli une connexion avec le serveur C est le cas par exemple lorsqu un autre utilisateur galement enregistr en tant qu utilisateur de l ordinateur se connecte simultan ment l ordinateur MODIFICATIONS Modification du mot de passe autoris e apr s un min de jours D termine la p riode pendant laquelle un mot de passe ne peut tre modifi Ce param tre emp che l utilisateur de changer trop souvent de mot de passe au cours d une p riode donn e Manuel d administration Param tre de strat gie Explication Si utilisateur est forc changer son mot de passe par Windows ou s il modifie son mot de passe apr s l affichage du message d avertissement indiquant que le mot de passe expirera dans X jours ce param tre ne sera pas valu Exemple L utilisateur Bertrand d finit un nouveau mot de passe par exemple 13jk56 L intervalle minimum de changement pour cet utilisateur
219. egistr dans Texte d informations dans la zone de navigation Strat gies Dans ce champ vous pouvez d finir la dur e en secondes pendant laquelle les informations suppl mentaires doivent tre affich es Vous pouvez sp cifier le nombre de secondes apr s lesquelles la zone de texte d informations suppl mentaires est ferm e 145 SafeGuard Enterprise Param tres de strat gie Explication automatiquement L utilisateur peut fermer la zone de texte tout moment en cliquant sur OK Activer et afficher l ic ne de la barre d tat syst me L ic ne de la barre d tat syst me de SafeGuard Enterprise permet l utilisateur d acc der rapidement et facilement l ensemble des fonctions de l ordinateur d extr mit En outre des informations concernant l tat de l ordinateur d extr mit nouvelles strat gies re ues etc peuvent tre affich es dans des infobulles Oui l ic ne de la barre d tat syst me est affich e dans la zone d information de barre des t ches et l utilisateur est continuellement inform via l infobulle concernant l tat de l ordinateur d extr mit prot g par SafeGuard Enterprise Non l ic ne de la barre d tat syst me n est pas affich e Aucune information d tat n est affich e par les infobulles Muet l ic ne de la barre d tat syst me est affich e dans la zone d information de barre des t ches mais aucune information d tat n est affich e via
220. egistrer les donn es sur une autre unit reformater le volume et le reconfigurer enti rement Manuel d administration 27 Restauration d une installation SafeGuard Management Center en cas de corruption Si l installation du SafeGuard Management Center est corrompue mais la base de donn es est toujours intacte l installation peut tre restaur e en r installant le SafeGuard Management Center et en utilisant la base de donn es existante ainsi que le certificat sauvegard du responsable de la s curit E Le certificat du responsable principal de la s curit de la configuration de la base de donn es correspondante doit avoir t export sous la forme d un fichier p12 ainsi qu tre disponible et valide m Vous devez galement conna tre les mots de passe de ce fichier p12 ainsi que ceux du magasin de certificats Pour restaurer l installation corrompue du SafeGuard Management Center 1 R installez le package d installation du SafeGuard Management Center Ouvrez le SafeGuard Management Center L assistant de configuration d marre automatiquement 2 Dans Connexion la base de donn es s lectionnez le serveur de base de donn es correspondant et configurez la connexion la base de donn es le cas ch ant Cliquez sur Suivant 3 Dans Param tres de base de donn es cliquez sur S lectionner une base de donn es disponible et s lectionnez dans la liste la base de donn es correspondante 4 Dans Responsa
221. eille l ordinateur d extr mit lors du d chiffrement M Si apr s le chiffrement d un volume une nouvelle strat gie est appliqu e un ordinateur d extr mit qui autorise le d chiffrement les conditions suivantes s appliquent une fois termin le chiffrement bas sur volume l ordinateur d extr mit doit tre red marr au moins une fois avant que le d chiffrement puisse tre lanc 151 SafeGuard Enterprise 18 1 1 1 18 1 1 2 18 1 1 3 152 Chiffrement initial rapide SafeGuard Enterprise propose un chiffrement initial en guise de mode sp cial pour le chiffrement bas sur volume Il r duit le temps n cessaire au chiffrement initial ou au d chiffrement final des volumes sur les ordinateurs d extr mit en acc dant uniquement l espace disque r ellement en cours d utilisation Pour un chiffrement initial rapide les conditions pr alables suivantes s appliquent M Le chiffrement initial rapide fonctionne seulement sur les volumes format s NTFS M Les volumes format s NTFS avec une taille de clusters de 64 Ko ne peuvent pas tre chiffr s avec le mode de chiffrement initial rapide Remarque ce mode conduit un tat moins s curis si un disque a t utilis avant son utilisation courante avec SafeGuard Enterprise Les secteurs non utilis s peuvent tout de m me contenir des donn es Le chiffrement initial rapide est par cons quent d sactiv par d faut Pour activer le chiffremen
222. ement Center cliquez sur Rapports 2 Dans l Observateur d v nements s lectionnez les v nements supprimer 3 Pour supprimer des v nements s lectionn s s lectionnez Actions gt Supprimer des v nements ou cliquez sur l Ic ne de suppression des v nements dans la barre d outils Pour supprimer tous les v nements s lectionnez Actions gt Supprimer tousles v nements ou cliquez sur l Ic ne de suppression de tous les v nements dans la barre d outils 4 Avant de supprimer les v nements s lectionn s le syst me affiche la fen tre Sauvegarder les v nements sous permettant de cr er un fichier de sauvegarde Retrouvez plus d informations la section Cr ation d un fichier de sauvegarde la page 262 Les v nements sont supprim s du journal des v nements Cr ation d un fichier de sauvegarde Lorsque vous supprimez des v nements vous pouvez cr er un fichier de sauvegarde du rapport affich dans la visionneuse des v nements du SafeGuard Management Center 1 Lors de la s lection de Actions gt Supprimer les v nements ou Actions gt Supprimer tous les v nements la fen tre Sauvegarder les v nements sous permettant de cr er un fichier de sauvegarde appara t avant la suppression des v nements 2 Pour cr er un fichier de sauvegarde XML du journal des v nements entrez un nom et un emplacement de fichier puis cliquez sur OK Ouverture d un fichier de sauvegarde 1 D
223. ement suivant http www sophos com fr fr support knowledgebase 65700 aspx Vous pouvez personnaliser ce fichier pour qu il refl te le mat riel d un environnement sp cifique Remarque lorsqu un fichier personnalis est utilis celui ci remplace le fichier int gr au fichier msi Le fichier par d faut s applique uniquement lorsqu aucun fichier de configuration de l authentification au d marrage SafeGuard n est d fini ou trouv Pour installer le fichier de configuration de l authentification au d marrage SafeGuard saisissez la commande suivante MSIEXEC i lt package MSI client gt POACFG lt chemin du fichier de configuration de l authentification au d marrage SafeGuard gt Vous pouvez nous aider am liorer la compatibilit en ex cutant un outil que nous vous fournissons pour recueillir seulement les informations mat rielles correspondantes L outil est tr s simple utiliser Les informations recueillies sont ajout es au fichier de configuration mat rielle Pour plus d informations consultez l article http www sophos com fr fr support knowledgebase 110285 aspx Les raccourcis clavier suivants sont pris en charge dans l authentification au d marrage SafeGuard E Maj F3 prise en charge h rit e USB actif inactif E Maj F4 mode graphique VESA actif inactif E Maj F5 prise en charge USB 1 x et 2 0 actif inactif E Maj F6 contr leur ATA actif inactif E Maj F7 prise en charge USB 2 0 seu
224. ent de texte s affiche en tant que n ud secondaire sous Texte d informations dans la zone de navigation de strat gie Si vous s lectionnez un l ment de texte son contenu s affiche dans la fen tre de droite L l ment de texte peut d sormais tre s lectionn lors de la cr ation de strat gies 127 SafeGuard Enterprise 17 6 128 R p tez la proc dure pour enregistrer d autres l ments de texte Tous les l ments de texte enregistr s s affichent en tant que n uds secondaires Remarque gr ce au bouton Modifier le texte vous pouvez ajouter du texte au texte existant Une bo te de dialogue de s lection d un autre fichier texte s affiche lorsque vous cliquez sur ce bouton Le texte contenu dans ce fichier est ajout la fin du texte existant R gles de syntaxe des mots de passe Les mots de passe peuvent comporter des nombres des lettres et des caract res sp ciaux par exemple etc Toutefois lorsque vous g n rez un nouveau mot de passe n utilisez pas de caract re avec la combinaison ALT lt caract re gt car ce mode de saisie n est pas disponible dans l authentification au d marrage SafeGuard Les r gles relatives aux mots de passe utilis s pour se connecter au syst me sont d finies dans des strat gies du type Mot de passe Remarque retrouvez plus d informations sur l application d une strat gie de mot de passe fort la section Bon usage en mati re de s curit la page 6 ains
225. ent sur l ordinateur d extr mit prot g par SafeGuard Enterprise WOLstop Fin WOL cette commande s effectue quel que soit le point d extr mit d fini pour l veil par appel r seau ATTRIBUTIONS UTILISATEUR MACHINE AUM Interdire la connexion l utilisateur invit SGN D finit si les utilisateurs invit s peuvent se connecter Windows sur l ordinateur d extr mit Remarque les comptes Microsoft sont toujours consid r s comme des utilisateurs invit s de SafeGuard Enterprise Autoriser l enregistrement de nouveaux utilisateurs SGN pour D finit qui peut importer un autre utilisateur SGN dans l authentification au d marrage SafeGuard et ou AUM en d sactivant la connexion automatique vers le syst me d exploitation Remarque pour les ordinateurs d extr mit sur lesquels le module Protection des p riph riques n est pas install le param tre Autoriser l enregistrement de nouveaux utilisateurs SGN pour doit tre d fini sur Tout le monde s il est possible d ajouter plusieurs utilisateurs l Attribution utilisateur machine avec acc s leur trousseau de cl s Autrement les utilisateurs peuvent uniquement tre ajout s dans SafeGuard Management Center Ce param tre est uniquement valu sur les ordinateurs d extr mit administr s Retrouvez plus d informations sur http www sophos com fr fr support knowledgebase 110659 aspx 143 SafeGuard Enterprise Param tres de st
226. enter s lectionnez Responsables de la s curit 2 Dans la fen tre de navigation faites glisser le responsable que vous souhaitez d placer vers le n ud appropri Tous les enfants du responsable s lectionn seront galement d plac s Manuel d administration 8 15 8 16 Basculement rapide de responsables de la s curit titre pratique vous pouvez red marrer rapidement SafeGuard Management Center afin de vous connecter sous le nom d un autre responsable 1 Dans SafeGuard Management Center s lectionnez Fichier gt Changer le responsable SafeGuard Management Center red marre et la bo te de dialogue de connexion s affiche 2 S lectionnez le responsable de la s curit que vous souhaitez connecter au SafeGuard Management Center puis saisissez son mot de passe Si vous travaillez en mode mutualis Multi Tenancy vous serez connect selon la m me configuration de base de donn es SafeGuard Management Center red marre et la vue attribu e au responsable connect s affiche Suppression d un responsable de la s curit Condition pr alable pour supprimer un responsable de la s curit ou un responsable principal de la s curit vous devez poss der le droit d affichage et de suppression de responsables de la s curit 1 Dans SafeGuard Management Center s lectionnez Responsables de la s curit 2 Dans la fen tre de navigation cliquez avec le bouton droit sur le responsable de la s cu
227. er la cl de son choix s il y est autoris et si disponible Si l utilisateur connecte un autre p riph rique USB la cl d finie pour le chiffrement initial est de nouveau utilis e Cette cl est galement utilis e pour tous les processus de chiffrement ult rieurs jusqu ce que l utilisateur s lectionne explicitement une autre cl Remarque cette option est d sactiv e lorsque la fonction de phrase secr te de support est activ e La Cl d finie pour le chiffrement sera utilis e Dossier en texte brut Le dossier sp cifi ici sera cr sur tous les supports amovibles p riph riques de stockage de masse et dans le dossier de synchronisation de stockage dans le Cloud Les fichiers copi s dans ce dossier restent au format brut L utilisateur est autoris Vous pouvez autoriser l utilisateur d cider du chiffrement des d cider de l op ration de fichiers sur les supports amovibles et sur les p riph riques de chiffrement stockage de masse W Si vous d finissez cette option sur Oui les utilisateurs sont invit s d cider si les donn es doivent tre chiffr es Pour les p riph riques de stockage en masse l invite appara t apr s chaque connexion tandis que pour les supports amovibles l invite appara t lorsqu ils sont connect s Si vous d finissez cette option sur Oui se rappeler du param tre utilisateur les utilisateurs peuvent utiliser l option Se rappeler de ce param tre et ne plus affi
228. er la phrase secr te des supports dans SafeGuard Portable Joe peut acc der aux fichiers sp cifiques en saisissant la phrase secr te de la cl JoeCl sans acc der l ensemble des fichiers du support amovible Vous devez d finir les param tres dans une strat gie du type Protection des p riph riques Supports amovibles Mode de chiffrement du support Bas sur fichier Cl utiliser pour le chiffrement Toute cl du jeu de cl s utilisateur Permet l utilisateur de choisir diff rentes cl s pour chiffrer des fichiers de son support amovible Cl d finie pour le chiffrement lt cl de groupe domaine gt par exemple groupe_utilisateurs_Bob_Alice DC L utilisateur peut partager des donn es dans son groupe de travail et permettre un autre utilisateur d acc der de mani re transparente au support amovible lorsqu il le connecte son ordinateur professionnel L utilisateur peut d finir une phrase secr te des supports pour les p riph riques Oui L utilisateur d finit une phrase secr te des supports sur son ordinateur qui s applique tous les supports amovibles Copier portable SG sur la cible Oui SafeGuard Portable permet l utilisateur d acc der tous les fichiers chiffr s du support amovible en saisissant une phrase secr te des supports unique sur un syst me sur lequel SafeGuard Data Exchange n est pas install Si les strat gies de l entreprise d finissent galement que tous l
229. er qu aux donn es pour lesquelles il poss de une cl sp cifique Remarque pour viter que trop de cl s de groupes non utilis es apparaissent dans le jeu de cl s de l utilisateur vous pouvez sp cifier les cl s cacher Retrouvez plus d informations la section Masquage des cl s la page 56 Pour afficher toutes les cl s d un utilisateur cliquez sur Utilisateurs et ordinateurs et s lectionnez l onglet Cl s Pour afficher toutes les cl s cliquez sur Cl s et certificats dans le SafeGuard Management Center et s lectionnez Cl s Vous pouvez g n rer des listes de Cl s attribu es et de Cl s inactives Remarque la liste Certificats attribu s indique seulement les cl s attribu es aux objets pour lesquels vous avez des droits en Lecture seule ou d Acc s complet La vue Cl s indique le Manuel d administration 9 1 nombre de cl s disponibles quels que soient vos droits d acc s La liste Cl s attribu es indique le nombre de cl s visibles en fonction de vos droits d acc s 1 Cliquez sur Utilisateurs et ordinateurs pour ouvrir l affichage 2 Les cl s d un objet s lectionn sont affich es dans la zone action et dans les vues respectives 3 L affichage dans la zone d action d pend des s lections dans la zone de navigation Toutes les cl s attribu es l objet s lectionn sont affich es 4 Sous Cl s disponibles toutes les cl s disponibles s affichent Les cl s d j attribu es l obj
230. era restaur automatiquement partir de sa sauvegarde Aucune proc dure Challenge R ponse n est donc requise pour r parer le cache local Windows Si le cache local Windows doit tre r par explicitement via une proc dure Challenge R ponse d finissez ce champ sur Oui Local Self Help Activer Local Self Help D termine si les utilisateurs sont autoris s se connecter leurs ordinateurs avec Local Self Help en cas d oubli de leur mot de passe Avec Local Self Help l utilisateur peut se connecter en r pondant un nombre sp cifique de questions pr d finies dans l authentification au d marrage SafeGuard Il peut de nouveau acc der son ordinateur m me si aucune connexion t l phonique ou Internet n est disponible Remarque la connexion automatique Windows doit tre activ e pour que l utilisateur puisse utiliser Local Self Help Dans le cas contraire Local Self Help ne fonctionne pas Longueur minimum des r ponses D finit la longueur minimale de caract res pour les r ponses Local Self Help Texte de bienvenue sous Windows Indique le texte personnalis afficher dans la premi re bo te de dialogue au d marrage de l assistant de Local Self Help sur l ordinateur d extr mit Avant de pouvoir sp cifier le texte ici il doit tre cr et enregistr dans la zone de navigation des strat gies sous Texte d informations L utilisateur peut d finir des questions personnalis es
231. ered entre ces intervalles o ils peuvent tre administr s normalement Script pr d fini pour la suppression automatique des journaux d v nements Les v nements journalis s dans la base de donn es SafeGuard Enterprise sont stock s dans le tableau EVENT Retrouvez plus d informations sur la journalisation la section Rapports la page 254 Avec le Planificateur de t ches vous pouvez cr er une t che p riodique pour supprimer automatiquement les journaux d v nements Pour cette t che vous pouvez utiliser le script pr d fini EventLogDeletion vbs Le script supprime les v nements du tableau EVENT Si vous sp cifiez le param tre appropri il d place par ailleurs les v nements dans le tableau de journalisation de sauvegarde EVENT _BACKUP en laissant un nombre pr d fini d v nements r cents dans le tableau EVENT Avant que nous n utilisiez le script dans une t che p riodique vous pouvez modifier les param tres suivants Param tre Description maxDuration Avec ce param tre sp cifiez combien de temps en jours les v nements doivent tre conserv s dans le tableau EVENT Le nombre par d faut est 0 Si ce param tre est d fini sur 0 il n y a pas de d lai pour les v nements conserv s dans le tableau EVENT maxCount Avec ce param tre sp cifiez combien d v nements doivent rester dans le tableau EVENT Le nombre par d faut est 5000 Si ce param tre est d fini sur 0 il n y
232. erne les ordinateurs d extr mit Windows 7 sur lesquels est install le chiffrement int gral du disque SafeGuard Retrouvez plus d informations sur les m thodes de connexion pour les ordinateurs d extr mit Windows 7 et Windows 8 avec le Chiffrement de lecteur BitLocker dans la documentation Microsoft SafeGuard Enterprise identifie l utilisateur avant m me le d marrage du syst me d exploitation Pour ce faire le noyau du syst me de SafeGuard Enterprise d marre en amont Il est prot g contre toute modification puis il est enregistr et masqu sur le disque dur Lorsque l utilisateur est correctement authentifi dans l authentification au d marrage SafeGuard seul le syst me d exploitation effectif Windows est lanc depuis la partition chiffr e L utilisateur est connect automatiquement Windows La proc dure est identique lorsque l ordinateur est sorti du mode veille prolong e SafeGuard Logon O Nom d utilisateur lohn Domaine my_company iz SOPHOS OK R cup ration Arr ter Options gt gt L authentification au d marrage SafeGuard offre E Une interface utilisateur graphique avec prise en charge de la souris et des fen tres pouvant tre d plac es pour plus de facilit et de lisibilit E Une pr sentation graphique qui en suivant les instructions peut tre personnalis e pour les ordinateurs d entreprise image d arri re plan image de connexion messa
233. ers journaux individuels transf rer Ce param tre est facultatif E Strat gie Journalisation Manuel d administration Les v nements journaliser sont sp cifi s dans une strat gie de journalisation Dans cette strat gie un responsable de la s curit avec les droits de strat gie requis d finit quels v nements seront journalis s et dans quelle destination en sortie 30 4 1 D finition du nombre d v nements pour commentaires 30 4 2 30 5 Cliquez sur Rapports dans le SafeGuard Management Center Cr ez une strat gie Param tres g n raux ou s lectionnez une strat gie existante 3 Sous Journalisation dans le champ Commentaires apr s un certain nombre d v nements 4 sp cifiez le nombre maximum d v nements pour un fichier journal Enregistrez vos param tres Apr s l attribution de la strat gie le nombre d v nements sp cifi s applique S lection des v nements 1 Dans SafeGuard Management Center s lectionnez les Strat gies Cr ez une nouvelle strat gie Journalisation ou s lectionnez une strat gie existante Dans la zone d action de droite sous Journalisation tous les v nements pr d finis qui peuvent tre journalis s apparaissent Par d faut les v nements sont regroup s par Niveau par exemple Avertissement ou Erreur Vous avez la possibilit de changer la mani re de les regrouper Cliquez sur les en t tes de colonnes pour trier les v nements par I
234. es Kerberos Avec les tokens cryptographiques l utilisateur est identifi l authentification au d marrage SafeGuard par le certificat stock sur le token Pour se connecter au syst me il suffit l utilisateur de saisir le code PIN du token Remarque les tokens cryptographiques ne peuvent pas tre utilis s pour les ordinateurs d extr mit non administr s Vous devez fournir des tokens aux utilisateurs Retrouvez plus d informations la section Configuration de l utilisation d un token la page 202 Conditions requises de base pour les certificats M Algorithme RSA E Longueur de la cl minimum 1024 M Utilisation de la cl chiffrement de donn es ou chiffrement de cl s Une strat gie peut remplacer cette utilisation M Auto sign Non Une strat gie peut remplacer cette utilisation Remarque en cas de probl mes de connexion avec un token Kerberos il n est pas possible d utiliser la proc dure Challenge R ponse ou Local Self Help pour la r cup ration de la connexion Seule la proc dure Challenge R ponse utilisant les clients virtuels est prise en charge Elle permet aux utilisateurs de r cup rer l acc s aux volumes chiffr s sur leurs ordinateurs d extr mit Composants Pour utiliser les tokens cartes puce avec SafeGuard Enterprise les composants suivants sont requis m Token carte puce m Lecteur de token carte puce m Pilote de token carte puce 199 SafeGuard Enterpr
235. es du groupe Groupe d plac d une OU vers un autre Impossible de passer le groupe d une OU vers un autre Objets ajout s au groupe Administration 2593 Objets supprim s du groupe Administration Administration 2594 Impossible d ajouter les objets au groupe Impossible de supprimer les objets du groupe Administration Cl g n r e Algorithme Administration Cl attribu e Administration Attribution de cl annul e Administration Impossible de g n rer la cl Administration Impossible d attribuer la cl Administration Impossible de supprimer l attribution de la cl 285 SafeGuard Enterprise Cat gorie Administration Administration Administration Identifiant s i 2615 2616 2619 Description Certificat g n r Certificat import Certificat supprim Administration 2621 Certificat attribu l utilisateur Administration Annulation de l attribution de certificat l utilisateur Administration 2623 Impossible de cr er le certificat Administration 2624 Impossible d importer le certificat Administration 2627 Impossible de supprimer le certificat Administration 2628 chec de l extension du certificat Administration 2629 Impossible d attribuer le certificat l utilisateur Administration Impossible de supprimer l attribution du certificat l utilisateur Administration 2631 token connect Adm
236. es et lorsque la proc dure Challenge R ponse n est g n ralement pas prise en charge par exemple lorsque l authentification au d marrage SafeGuard est corrompue Pour activer une proc dure Challenge R ponse dans cette situation de r cup ration complexe des fichiers sp cifiques appel s clients virtuels peuvent tre cr s Ils doivent tre distribu s l utilisateur avant que la session Challenge R ponse ne soit ex cut e l aide de clients virtuels la proc dure Challenge R ponse peut tre lanc e avec un outil de r cup ration de cl sur l ordinateur d extr mit Il suffit ensuite l utilisateur d informer le responsable support de la ou des cl s requises et de saisir le code de r ponse afin de pouvoir acc der nouveau aux volumes chiffr s La r cup ration est possible l aide soit d une seule cl soit d un fichier de cl chiffr contenant plusieurs cl s La zone Cl s et certificats du SafeGuard Management Center vous permet d effectuer les t ches suivantes E Cr er et exporter des clients virtuels E Cr er et exporter des fichiers de cl s chiffr s contenant plusieurs cl s E Afficher et filtrer des clients virtuels et des fichiers de cl s export s E Supprimer des clients virtuels Cr ation de clients virtuels Les fichiers de clients virtuels peuvent tre utilis s par diff rents ordinateurs et pour plusieurs sessions de Challenge R ponse 1 Dans SafeGuard Management Center c
237. es fichiers des supports amovibles doivent toujours tre chiffr s ajoutez les param tres suivants Chiffrement initial de tous les fichiers Oui V rifie que les fichiers des supports amovibles sont chiffr s lors de la premi re connexion du support au syst me L utilisateur peut annuler le chiffrement initial Non L utilisateur ne peut pas annuler le chiffrement initial pour le diff rer par exemple L utilisateur n est pas autoris acc der aux fichiers non chiffr s Non Si des fichiers au format brut sont d tect s sur le support amovible leur acc s est refus L utilisateur peut d chiffrer des fichiers Non L utilisateur n est pas autoris d chiffrer des fichiers de supports amovibles Au bureau Bob et Alice acc dent de mani re transparente aux fichiers chiffr s du support amovible leur domicile ils peuvent utiliser SafeGuard Portable pour ouvrir des fichiers chiffr s en saisissant la phrase secr te des supports Si Bob ou Alice souhaite partager le support 183 SafeGuard Enterprise 21 5 184 amovible sur un ordinateur tiers sur lequel SafeGuard Data Exchange n est pas install ils peuvent utiliser des cl s locales pour s assurer que le tiers externe n acc de qu certains fichiers Cette configuration avanc e implique une interaction plus importante de l utilisateur en l autorisant cr er des cl s locales sur son ordinateur Remarque pour ce faire l utilisateur doit au pr al
238. est cr Les utilisateurs et ou ordinateurs sont automatiquement attribu s ce domaine au cours de l enregistrement automatique Le r pertoire par d faut Enregistr automatiquement est cr automatiquement sous le conteneur du domaine Il ne peut tre ni renomm ni supprim Changement de nom d un domaine Les responsables de la s curit disposant des droits requis peuvent renommer un domaine et d finir des propri t s suppl mentaires Vous avez besoin des droits d Acc s complet pour le domaine correspondant 1 Dans SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation de gauche cliquez avec le bouton droit de la souris sur le domaine renommer puis s lectionnez Propri t s 3 Dans Informations communes sous Nom complet changez le nom du domaine et sa description 4 Vous pouvez changer le nom du contr leur de domaine dans Nom NetBios 5 Vous pouvez galement d finir le mode veil par appel r seau pour le red marrage automatique dans l onglet Param tres de conteneur 6 Pour confirmer cliquez sur OK pr sent les modifications sont enregistr es Suppression d un domaine Les responsables de la s curit dot s des droits requis peuvent supprimer des domaines Pour supprimer un domaine vous avez besoin des droits d Acc s complet pour le domaine concern Remarque les membres appartenant au domaine sont galement supprim s 1 Dans
239. estaurer le contr leur USB Il se peut que le syst me se bloque selon la version du BIOS utilis e Vous pouvez sp cifier les modifications pouvant tre effectu es en utilisant des raccourcis clavier lors de l installation du logiciel de chiffrement SafeGuard Enterprise l aide d un fichier mst Pour ce faire utilisez l appel appropri en combinaison avec msiexec NOVESA D finit si le mode VESA ou VGA est utilis 0 mode VESA standard 1 mode VGA NOLEGACY D finit si le support h rit est activ apr s la connexion dans l authentification au d marrage SafeGuard 0 Support h rit activ 1 Support h rit non activ standard ALTERNATE D finit si les p riph riques USB sont pris en charge par l authentification au d marrage SafeGuard 0 prise en charge USB activ e standard 1 aucune prise en charge USB NOATA D finit si un pilote de p riph rique int13 est utilis 0 pilote de p riph rique ATA standard par d faut 1 pilote de p riph rique int13 ACPITAPIC D finit si la prise en charge ACPI APIC est utilis e 0 aucune prise en charge ACPI APIC par d faut 1 prise en charge ACPI APIC active 96 Manuel d administration 13 5 Authentification au d marrage SafeGuard d sactiv e et Lenovo Rescue and Recovery Si l authentification au d marrage SafeGuard est d sactiv e sur l ordinateur l authentification Rescue and Recovery doit tre activ e pour la protection cont
240. et s lectionn sont gris es S lectionnez Filtre pour basculer entre des cl s d j attribu es un objet actives et des cl s non attribu es un objet inactives Apr s l importation chaque utilisateur re oit un certain nombre de cl s utilisables pour le chiffrement des donn es Cl s pour le chiffrement des donn es Des cl s sont attribu es aux utilisateurs pour le chiffrement de volumes sp cifiques lors de la d finition de strat gies du type Protection des p riph riques Dans une strat gie de type Protection des p riph riques vous pouvez sp cifier le param tre Cl utiliser pour le chiffrement pour chaque support Ici vous pouvez d cider quelles sont les cl s que l utilisateur peut ou doit utiliser pour le chiffrement E Toute cl du jeu de cl s utilisateur Apr s s tre connect s Windows les utilisateurs peuvent s lectionner les cl s qu ils souhaiteraient utiliser pour chiffrer un volume particulier Une bo te de dialogue s affiche pour permettre aux utilisateurs de s lectionner la cl de leur choix E Toute cl du jeu de cl s utilisateur sauf la cl utilisateur Les utilisateurs ne sont pas autoris s utiliser leurs cl s personnelles pour chiffrer des donn es E Toute cl de groupe du jeu de cl s utilisateur Les utilisateurs ne peuvent s lectionner qu une des cl s de groupe pr sentes dans leur jeu de cl s E Cl machine d finie C est la cl unique g n r e
241. et la gestion des ordinateurs d extr mit avec disques durs compatibles Opal chiffrement automatique Retrouvez plus d informations sur http www sophos com fr fr support knowledgebase 113366 aspx Comment SafeGuard Enterprise int gre t il les disques durs compatibles Opal SafeGuard Enterprise permet aux ordinateurs d extr mit de g rer les disques durs compatibles Opal chiffrement automatique depuis SafeGuard Management Center comme tout autre ordinateur d extr mit prot g par SafeGuard Enterprise La gestion centralis e et pleinement transparente des disques durs compatibles Opal par SafeGuard Enterprise permet l utilisation d environnements informatiques h t rog nes En prenant en charge la norme Opal nous offrons la s rie compl te des fonctions SafeGuard Enterprise aux utilisateurs professionnels des disques durs compatibles Opal chiffrement automatique Associ SafeGuard Enterprise les disques durs compatibles Opal offrent des fonctions de s curit renforc es 33 2 Am lioration des disques durs compatibles Opal avec SafeGuard Enterprise En combinaison avec les disques durs compatibles Opal chiffrement automatique SafeGuard Enterprise offre les avantages suivants E Administration centralis e des ordinateurs d extr mit E Authentification au d marrage SafeGuard avec interface graphique utilisateur M Prise en charge multi utilisateurs E Prise en charge de la connexion par token carte p
242. eur import lors de la connexion et marqu comme propri taire Authentification Utilisateur import par un propri taire et marqu comme non propri taire Authentification Utilisateur import par un non propri taire et marqu comme non propri taire Authentification Utilisateur supprim en tant que propri taire Authentification chec de l importation de l utilisateur lors de la connexion Authentification L utilisateur s est d connect 282 Manuel d administration Cat gorie Authentification Authentification Authentification Authentification Identifiant s i 2017 2018 Description L utilisateur a t contraint de se d connecter Action effectu e sur le p riph rique L utilisateur a initi une modification de mot de passe code PIN Modification mot de passe code PIN de l utilisateur apr s la connexion Authentification Qualit du mot de passe code PIN Authentification Authentification Authentification Authentification La modification du mot de passe code PIN n a pas pu tre effectu e LocalCache tait corrompu et a t restaur Configuration non valide de la liste noire des mots de passe Le code de r ponse permettant l utilisateur d afficher le mot de passe a t re u Authentification L utilisateur connect est un compte de service Authentification Liste de comptes de service import e Authentific
243. eurs suspendre et supprimer la protection BitLocker sur les lecteurs de donn es amovibles 3 Cliquez sur OK Le chiffrement BitLocker To Go est d sactiv sur les ordinateurs d extr mit Les utilisateurs ne peuvent plus chiffrer les nouveaux volumes avec BitLocker To Go Les volumes chiffr s avec BitLocker To Go avant le d ploiement du client de chiffrement des p riph riques de SafeGuard Enterprise natif restent lisibles Les param tres du registre obtenus c t client sont comme suit 161 SafeGuard Enterprise 18 2 6 18 3 18 3 1 18 3 2 162 HKEY_LOCAL_MACHINE SOFTWARE Policies Microsoft FVE RDVConfigureBDE dword 00000001 RDVAllowBDE dword 00000000 RDVDisableBDE dword 00000001 Ces cl s de registre sont aussi param tr es lors de l installation du client de chiffrement des p riph riques de SafeGuard Enterprise afin que BitLocker To Go soit aussi d sactiv sur les ordinateurs sans administration de domaine comme les ordinateurs de groupe de travail ou autonomes Journalisation Les v nements signal s par le client BitLocker sont consign s dans le journal de la m me mani re que pour tout autre client SafeGuard Enterprise Il n est pas express ment indiqu que l v nement est li un client BitLocker Les v nements signal s sont identiques pour tout client SafeGuard Enterprise Chiffrement int gral du disque FileVault 2 FileVault 2 est une technologie de chiffrement int
244. eurs d extr mit d j install s 5 Lorsque vous y tes invit veuillez confirmer que la mise jour a r ussi et qu un CCO inclure dans tous les packages de configuration a t cr Cliquez sur OK 6 Dans le menu Outils cliquez sur Outil de package de configuration 7 S lectionnez Packages du client administr 8 Cliquez sur Ajouter un package de configuration et saisissez un nom pour le package de configuration 9 Attribuez un Serveur principal le serveur secondaire n est pas n cessaire 10 S lectionnez le CCO que vous avez cr auparavant pour mettre jour le certificat d entreprise 11 S lectionnez le mode Chiffrement du transport d finissant comment chiffrer la connexion entre le client SafeGuard Enterprise et le serveur SafeGuard Enterprise chiffrement Sophos ou SSL Le protocole SSL pr sente l avantage d tre standard et de permettre d tablir une connexion plus rapidement qu en utilisant le chiffrement de transport SafeGuard Le chiffrement SSL est s lectionn par d faut Retrouvez plus d informations sur la s curisation des connexions de transport avec SSL dans le Guide d installation de SafeGuard Enterprise 12 Indiquez un chemin de sortie pour le package de configuration MST 15 Cliquez sur Cr er un package de configuration Si vous avez s lectionnez le chiffrement SSL en tant que mode de Chiffrement du transport la connexion au serveur est valid e En cas d chec de la con
245. exclusivement pour cet ordinateur par SafeGuard Enterprise lors du premier d marrage L utilisateur n a pas d autre option Une cl machine d finie est g n ralement utilis e par la partition d initialisation et syst me et pour les unit s sur lesquelles se trouve le r pertoire Documents and Settings E Cl d finie dans la liste Cette option permet de d finir une cl particuli re que l utilisateur doit utiliser pour le chiffrement Pour indiquer une cl d utilisateur de cette mani re veuillez d finir une cl sous Cl d finie pour le chiffrement Cette option s affiche une fois que vous s lectionnez Cl d finie sur la liste 55 SafeGuard Enterprise Cliquez sur le bouton situ en regard de Cl d finie pour le chiffrement pour afficher une bo te de dialogue dans laquelle vous pouvez sp cifier une cl Assurez vous que l utilisateur a aussi la cl correspondante Marquez la cl s lectionn e et cliquez sur OK La cl s lectionn e sera utilis e pour le chiffrement sur l ordinateur client 9 1 1 Attribution de cl s dans Utilisateurs et ordinateurs 9 1 2 56 Pour attribuer des cl s aux utilisateurs vous avez besoin des droits d Acc s complet pour l objet concern Pour attribuer une nouvelle cl aux utilisateurs 1 Dans SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la zone de navigation s lectionnez l objet requis par exemple utilisateur groupe ou
246. extr mit les comptes doivent tre r organis s en groupes 1 Dans la zone de navigation du SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la zone de navigation Utilisateurs et ordinateurs sous POA s lectionnez Groupes POA 3 Dans le menu contextuel des Groupes POA cliquez sur Nouveau gt Cr er un groupe La bo te de dialogue Cr er un groupe s affiche 4 Dans le champ Nom complet saisissez le nom du nouveau groupe POA 5 Ajoutez ventuellement une description 6 Cliquez sur OK Le nouveau groupe POA est cr Il appara t sous Groupes POA dans la zone de navigation Utilisateurs et ordinateurs Vous pouvez maintenant ajouter des utilisateurs POA au groupe POA 16 5 Ajout d utilisateurs dans les groupes POA 106 Pour modifier les groupes POA vous avez besoin des droits d Acc s complet pour le noeud POA sous Utilisateurs et ordinateurs 1 Dans la zone de navigation du SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation Utilisateurs et ordinateurs sous POA Groupes POA s lectionnez le groupe POA appropri Dans la zone d action du SafeGuard Management Center sur la droite l onglet Membres s affiche 3 Dans la barre d outils du SafeGuard Management Center cliquez sur l ic ne Ajouter signe vert La bo te de dialogue S lectionner un objet membre s affiche 4 S lectionnez l utilisateur que vous souhaite
247. extr mit ne peuvent pas ajouter de cl s R action aux volumes non chiffr s D finit de quelle mani re SafeGuard Enterprise g re les supports non chiffr s Les options suivantes sont disponibles E Rejeter le support en texte n est pas chiffr E Accepter uniquement les supports vierges et chiffrer E Accepter tous les supports et chiffrer L utilisateur peut d chiffrer le volume Permet l utilisateur de d chiffrer le volume avec une commande du menu contextuel dans l Explorateur Windows Chiffrement initial rapide S lectionnez ce param tre pour activer le mode de chiffrement initial rapide pour le chiffrement bas sur volume Ce mode r duit le temps n cessaire pour le chiffrement initial sur les ordinateurs d extr mit Remarque ce mode peut galement entra ner un tat plus faible de s curit Retrouvez plus d informations la section Chiffrement initial rapide la page 152 139 SafeGuard Enterprise 140 Param tre de strat gie Poursuivre sur les secteurs incorrects Explication Indique si le chiffrement doit se poursuivre ou tre arr t si des secteurs incorrects sont d tect s Le param tre par d faut est Oui PARAMETRES SUR FICHIER Chiffrement initial de tous les fichiers L utilisateur peut annuler le chiffrement initial D marre automatiquement le chiffrement initial d un volume apr s la connexion de l utilisateur Il se peut que l
248. ez poss der le droit d affichage et de modification des responsables de la s curit 1 S lectionnez le responsable appropri dans la fen tre de navigation Les propri t s s affichent dans la zone d action de droite 2 Attribuez les r les n cessaires en s lectionnant les cases correspondantes en regard des r les disponibles Les r les pr d finis s affichent en gras 3 Cliquez sur le symbole double fl che d Actualiser dans la barre d outils Le r le est attribu au responsable de la s curit Remarque les r les personnalis s complexes peuvent entra ner de l gers probl mes de performances lors de l utilisation de SafeGuard Management Center Manuel d administration 8 4 8 4 1 8 4 2 8 4 3 8 4 4 Affichage des propri t s du responsable et du r le Condition pr alable pour obtenir un aper u des propri t s du responsable ou de l attribution du r le vous devez poss der le droit d affichage des responsables de la s curit et des r les de ces derniers Pour afficher les propri t s du responsable et du r le 1 Dans le SafeGuard Management Center cliquez sur Responsables de la s curit 2 Dans la zone de navigation de gauche cliquez deux fois sur l objet dont vous souhaitez obtenir un aper u Les informations disponibles dans la zone d action droite d pendent de l objet s lectionn Affichage des propri t s du responsable principal de la s curit Les infor
249. feGuard Enterprise pour ex cuter les scripts sp cifi es Les t ches p riodiques sont par exemple utiles pour M la synchronisation automatique entre Active Directory et SafeGuard Enterprise E la suppression automatique des journaux d v nements Pour ces deux proc dures des mod les de script pr d finis sont disponibles avec SafeGuard Enterprise Vous pouvez utiliser ces scripts tels quels ou les modifier en fonction de vos besoins Retrouvez plus d informations la section Scripts pr d finis pour les t ches quotidiennes la page 273 En tant que responsable de la s curit avec les droits n cessaires vous pouvez indiquer des scripts des r gles et des intervalles pour les t ches dans le Planificateur des t ches Remarque assurez vous que les autorisations SQL appropri es sont d finies pour le compte qui sert ex cuter le Planificateur de t ches SafeGuard Enterprise Retrouvez plus d informations dans l article de la base de connaissances suivant http www sophos com fr fr support knowledgebase 113582 aspx Cr ation d une nouvelle t che Pour cr er des t ches dans le Planificateur de t ches vous avez besoin des droits du responsable de la s curit Utiliser le planificateur de t ches et G rer les t ches 1 Dans la barre de menus du SafeGuard Management Center s lectionnez Outils gt Planificateur de t ches La bo te de dialogue Planificateur de t ches s affiche 2 Cliquez sur Cr er
250. fication au d marrage SafeGuard De plus du c t du pilote le module PKCS 11 doit tre pris en charge Tokens et cartes puce pris en charge par l authentification au d marrage SafeGuard SafeGuard Enterprise prend en charge une large vari t de cartes puce et de lecteurs de carte puce de tokens USB et de leurs pilotes respectifs ainsi que de middlewares gr ce l authentification au d marrage SafeGuard Avec SafeGuard Enterprise les tokens cartes puce compatibles avec les op rations 2048 bits RSA sont pris en charge La prise en charge des tokens et cartes puce faisant l objet d am liorations d une version l autre les tokens et cartes puce de la version actuelle de SafeGuard Enterprise sont r pertori s dans les notes de publication Middlewares pris en charge Les middlewares de la liste ci dessous sont pris en charge par le module PKCS 11 correspondant PKCS 11 est une interface standard servant connecter des tokens cryptographiques cartes puce diff rents logiciels Elle est utilis e ici pour la communication entre le token cryptographique carte puce le lecteur de carte puce et SafeGuard Enterprise Retrouvez plus d informations sur http www sophos com fr fr support knowledgebase 112781 aspx Manuel d administration Fabricant Actividentity Middleware ActivClient ActivClient PIV Aladdin A Trust eToken PKI Client a sign Client Charismatics Gemalto
251. fie le chiffrement bas sur volume des lecteurs amovibles et qui permet l utilisateur de choisir une cl dans une liste par exemple Toute cl du jeu de cl s utilisateur peut tre contourn e par l utilisateur en ne choisissant aucune cl Pour s assurer que les lecteurs amovibles sont toujours chiffr s utilisez une strat gie de chiffrement bas e sur fichier ou d finissez explicitement une cl dans la strat gie de chiffrement bas e sur volume Param tre de strat gie Explication Mode de chiffrement du Permet de prot ger les p riph riques PC ordinateurs portables support etc ainsi que tous types de supports amovibles Remarque ce param tre est obligatoire L objectif essentiel consiste chiffrer toutes les donn es stock es sur des p riph riques de stockage locaux ou externes La m thode de fonctionnement transparente permet aux utilisateurs de continuer utiliser leurs applications courantes par exemple Microsoft Office Le chiffrement transparent signifie que toutes les donn es chiffr es dans des r pertoires ou dans des volumes chiffr s sont automatiquement d chiffr es dans la m moire principale d s qu elles sont ouvertes dans un programme Un fichier est automatiquement chiffr de nouveau lorsqu il est enregistr Les options suivantes sont disponibles E Aucun chiffrement E Bas sur volume chiffrement transparent bas sur secteur Garantit que toutes les donn es sont chiffr
252. formations la section Enregistrement d utilisateurs SafeGuard Enterprise suppl mentaires la page 89 Ils seront galement ajout s l AUM pour cet ordinateur Une liste automatique est g n r e et d termine quel utilisateur est autoris se connecter quel ordinateur Cette liste peut tre modifi e dans SafeGuard Management Center Attribution utilisateur ordinateur dans SafeGuard Management Center Les utilisateurs peuvent tre affect s des ordinateurs sp cifiques du SafeGuard Management Center Si un utilisateur est affect un ordinateur dans SafeGuard Management Center ou r ciproquement cette affectation est int gr e l AUM Les donn es de l utilisateur certificat cl etc sont dupliqu es sur cet ordinateur et l utilisateur peut s y connecter Lorsqu un utilisateur est supprim de l AUM toutes ses donn es utilisateur sont automatiquement supprim es de l authentification au d marrage SafeGuard L utilisateur ne peut plus se connecter l authentification au d marrage SafeGuard avec son nom et son mot de passe Remarque dans Utilisateurs et ordinateurs pour visualiser l attribution des utilisateurs et des ordinateurs vous avez besoin au moins de droits d acc s en Lecture seule pour l un des objets utilisateur ou ordinateur en question Pour d finir ou changer l attribution vous avez besoin des droits d Acc s complet pour les deux objets en question L affichage AUM montrant les utilisateurs m
253. ge d accueil etc E La prise en charge de nombreux lecteurs de cartes et d un grand nombre de cartes puce M La prise en charge des comptes utilisateur Windows et des mots de passe d s l tape de pr initialisation ce qui vite l utilisateur de devoir m moriser des informations d identification distinctes E La prise en charge du format Unicode et par cons quent des mots de passe et des interfaces utilisateur en langue trang re Connexion SafeGuard Enterprise fonctionne avec la connexion bas e sur certificat Les utilisateurs ont besoin de cl s et de certificats pour se connecter lors de l authentification au d marrage 87 SafeGuard Enterprise 13 1 1 88 SafeGuard La cl et les certificats sp cifiques un utilisateur ne sont cependant cr s qu apr s une connexion Windows Seuls les utilisateurs connect s Windows peuvent tre authentifi s partir de l authentification au d marrage SafeGuard Pour clarifier la mani re dont un utilisateur se connecte SafeGuard Enterprise vous trouverez ci apr s une br ve introduction Retrouvez une description d taill e des proc dures de connexion d authentification au d marrage SafeGuard dans le Manuel d utilisation de SafeGuard Enterprise Connexion automatique de SafeGuard Lors de la premi re connexion la connexion automatique SafeGuard Enterprise s affiche apr s le d marrage de l ordinateur d extr mit Que se passe t il 1 Un
254. grammation E D marrage 24 sept 2013 12 15 SGMCMDlIntn exe WOLstart E D marrage 26 sept 2013 09 00 SGMCMDIntn exe WOLstop Le script de d ploiement des logiciels est dat du 25 09 2013 03 00 L veil par appel r seau peut tre nouveau explicitement d sactiv la fin du script en utilisant SGMCMDIntn exe WOLstop Tous les ordinateurs d extr mit ouvrant une session avant le 24 septembre 2013 et se connectant aux serveurs de d ploiement recevront la nouvelle strat gie et les commandes de programmation Tout ordinateur d extr mit sur lequel la programmation d clenche la commande SGMCMDlntn WOLstart entre le 24 sept 2013 midi et le 25 sept 2013 6 heures du matin se trouve dans l intervalle de l veil par appel r seau et ce dernier sera par cons quent activ Manuel d administration 26 Options de r cup ration SafeGuard Enterprise propose plusieurs options de r cup ration adapt es diff rents sc narios E R cup ration de connexion avec Local Self Help Local Self Help permet aux utilisateurs ayant oubli leur mot de passe de se connecter leur ordinateur sans l aide du support Les utilisateurs peuvent acc der de nouveau leur ordinateur m me si aucune connexion t l phonique ou r seau n est disponible bord d un avion par exemple Pour se connecter ils doivent r pondre un certain nombre de questions pr d finies dans l authentification au d marrage SafeGuard Loc
255. gue Planificateur de t ches appara t montrant un aper u des t ches planifi es S lectionnez la t che requise et cliquez sur le bouton Propri t s La bo te de dialogue Propri t s de lt nom t che gt appara t avec les propri t s de la t che Cliquez sur le bouton Exporter pr s du champ Script Une bo te de dialogue Enregistrer sous appara t S lectionnez l emplacement du fichier pour l enregistrement du script et cliquez sur Enregistrer Le script est enregistr l emplacement de fichier sp cifi Scripts pr d finis pour les t ches p riodiques Les scripts pr d finis suivants sont disponibles avec SafeGuard Enterprise ActiveDirectorySynchronization vbs Vous pouvez utiliser ce script pour la synchronisation automatique entre Active Directory et SafeGuard Enterprise EventLogDeletion vbs Vous pouvez utiliser ce script pour supprimer automatiquement les journaux d v nements Les scripts sont install s automatiquement dans le sous dossier Script Templates de l installation du SafeGuard Management Center 273 SafeGuard Enterprise 31 5 4 1 274 Pour utiliser ces scripts lors de t ches quotidiennes importez les dans le Planificateur de t ches et apportez les changements de param tres n cessaires avant de les utiliser Script pr d fini pour la synchronisation avec Active Directory Vous pouvez importer une structure organisationnelle existante dans la base de donn es SafeG
256. i Copie d un r le Pour cr er un r le dont les propri t s sont identiques celles d un r le existant vous pouvez utiliser le r le existant comme mod le pour le nouveau r le Vous pouvez s lectionner un r le pr d fini ou personnalis comme mod le Condition pr alable vous pouvez utiliser des r les existants comme mod les uniquement si le responsable de la s curit actuellement authentifi poss de tous les droits contenus dans le mod le de r le sp cifique Par cons quent cette fonction peut ne pas tre disponible pour les responsables ne poss dant qu un nombre d actions limit 1 Dans SafeGuard Management Center s lectionnez Responsables de la s curit 2 Dans la fen tre de navigation cliquez avec le bouton droit de la souris sur le r le copier et s lectionnez Nouveau gt Nouvelle copie du r le Dans Nouveau r le personnalis toutes les propri t s du r le existant sont pr s lectionn es 3 Saisissez un nouveau nom pour ce r le et modifiez les propri t s selon les besoins 4 Cliquez sur l ic ne Enregistrer de la barre d outils pour enregistrer vos modifications dans la base de donn es Le nouveau r le est cr 41 SafeGuard Enterprise 42 8 7 Suppression d un r le 8 8 Remarque les r les pr d finis ne peuvent pas tre supprim s Condition pr alable pour supprimer un r le vous devez poss der le droit d affichage et de suppression des r les de
257. i que dans le Manuel SafeGuard Enterprise pour une utilisation conforme la certification L application de r gles de mots de passe et l historique des mots de passe peuvent seulement tre garantis si le fournisseur de codes d acc s SGN est utilis en permanence D finissez des r gles de mots de passe soit dans le SafeGuard Management Center soit dans Active Directory pas dans les deux Param tre de strat gie Explication Mot de passe Longueur minimum du mot de Sp cifie le nombre de caract res que doit contenir un mot de passe passe lorsque l utilisateur en change La valeur requise peut tre saisie directement ou augment e r duite l aide des boutons en forme de fl che Longueur max du mot de passe Sp cifie le nombre maximum de caract res que peut contenir un mot de passe lorsque l utilisateur en change La valeur requise peut tre saisie directement ou augment e r duite l aide des boutons en forme de fl che Nombre min de lettres Ces param tres sp cifient qu un mot de passe ne doit pas contenir seulement des lettres des nombres ou des caract res sp ciaux mais une combinaison de ces 2 au moins par exemple Nombre min de caract res 15fleur etc Ces param tres ne sont pratiques que si vous avez sp ciaux d fini une longueur minimum de mot de passe sup rieure 2 Nombre min de chiffres Respecter la casse Ce param tre ne s applique qu avec Utiliser la liste des mots de passe interdits
258. ibles Remarque si vous s lectionnez des listes de comptes de service diff rentes dans des strat gies qui le sont tout autant et qui correspondent toutes au RSOP Resulting Set of Policies param tre valide pour un ordinateur groupe sp cifique la liste de comptes de service affect e la derni re strat gie appliqu e prend le dessus sur toutes les listes de comptes de service pr c demment attribu es Les listes de comptes de service ne sont pas fusionn es Pour voir la RSOP dans Utilisateurs et ordinateurs vous avez besoin au moins des droits d acc s en Lecture seule pour les objets concern s Transfert de la strat gie l ordinateur d extr mit La fonctionnalit de liste de comptes de service se r v le tout particuli rement utile et importante durant l installation initiale au cours de la phase de d ploiement d une mise en uvre C est pourquoi nous conseillons le transfert des param tres de liste de comptes de service sur l ordinateur d extr mit sit t l installation effectu e Pour rendre disponible la liste des comptes de service sur l ordinateur d extr mit ce moment pr cis ajoutez une strat gie de type Authentification lors de la cr ation du package de configuration initiale pour pouvoir configurer l ordinateur d extr mit apr s l installation Vous pouvez tout moment changer les param tres de la liste des comptes de service cr er une nouvelle strat gie et la transf rer sur les ordinateurs
259. iduelles aboutit la valeur Ignorer l utilisateur les strat gies d finies pour l utilisateur ne sont pas analys es Cela signifie que les m mes strat gies s appliquent la fois pour l utilisateur et pour la machine Si apr s regroupement des strat gies individuelles la valeur avec l attribut Mode de r cursivit des strat gies est Param tres de relecture de la machine les strat gies de l utilisateur sont combin es celles de la machine Apr s le regroupement les strat gies de la machine sont r crites et le cas ch ant remplacent les param tres de strat gie de l utilisateur Si un param tre est pr sent dans les deux strat gies la valeur de la strat gie de la machine remplace celle de la strat gie de l utilisateur Si le regroupement des strat gies individuelles de la machine produit la valeur par d faut Pas de mode de r cursivit des strat gies les param tres de l utilisateur sont prioritaires par rapport ceux de la machine Ordre d ex cution des strat gies Ignorer l utilisateur Ordinateurs Param tres machine de relecture Ordinateur gt Utilisateur gt Ordinateur La premi re ex cution sur machine est requise pour les strat gies qui sont crites avant que la connexion utilisateur n intervienne par exemple image d arri re plan lors de la connexion Aucun bouclage param tre standard Ordinateur gt Utilisateur 81 SafeGuard Enterprise 11 9 13 Autres d finitions 8
260. ier Saisissez et confirmez un mot de passe pour le fichier de configuration Saisissez un nom de fichier et sp cifiez un emplacement de stockage Ey ON DS D ployez ce fichier de configuration sur les ordinateurs des responsables de la s curit Fournissez leur le mot de passe de ce fichier et du magasin de certificats n cessaires pour s authentifier dans SafeGuard Management Center 8 Les responsables de la s curit cliquent simplement deux fois sur le fichier de configuration 9 Ils sont invit s saisir le mot de passe du fichier de configuration 10 Pour s authentifier sur SafeGuard Management Center ils sont invit s saisir leur mot de passe de magasin de certificats SafeGuard Management Center d marre avec la configuration import e Cette configuration est la nouvelle configuration par d faut Basculement rapide entre les configurations de base de donn es Pour simplifier la gestion de plusieurs titulaires le SafeGuard Management Center permet de basculer rapidement entre les configurations de base de donn es Remarque cette t che est galement disponible en mode Single Tenancy 1 Dans le SafeGuard Management Center s lectionnez Changer la configuration dans le menu Fichier 2 Dans la liste d roulante s lectionnez la base de donn es laquelle vous souhaitez basculer et cliquez sur OK SafeGuard Management Center red marre automatiquement avec la configuration s lectionn e V rificat
261. iers en texte brut vides dans tous les dossiers de synchronisation d finis dans la D finition Cloud Storage Manuel d administration 23 Attribution utilisateur ordinateur 23 1 SafeGuard Enterprise g re les informations concernant les utilisateurs autoris s se connecter une machine donn e figurant sur une liste mentionn e ci dessous sous le nom d AUM Attribution utilisateur machine Pour qu un utilisateur soit inclus dans l AUM il doit s tre connect une fois un ordinateur sur lequel SafeGuard Enterprise a t install et tre inscrit dans SafeGuard Management Center comme utilisateur complet en termes de SafeGuard Enterprise Un utilisateur complet d signe un utilisateur pour lequel un certificat a t g n r apr s la premi re connexion et pour lequel un jeu de cl s a t cr Alors seulement les donn es de cet utilisateur peuvent tre dupliqu es sur d autres ordinateurs Apr s la duplication l utilisateur peut se connecter cet ordinateur lors de l authentification au d marrage SafeGuard Si le param tre par d faut s applique le premier utilisateur se connecter l ordinateur apr s l installation de SafeGuard Enterprise est saisi dans l AUM en tant que propri taire de cet ordinateur Cet attribut permet l utilisateur s tant authentifi lors de l authentification au d marrage SafeGuard d autoriser d autres utilisateurs se connecter cet ordinateur Retrouvez plus d in
262. iffrement de p riph rique de SafeGuard Enterprise dans laquelle l ensemble du p riph rique amovible est chiffr par secteur 21 4 2 Utilisation domicile ou personnelle sur des ordinateurs tiers domicile Bob souhaite utiliser son support amovible chiffr sur son PC personnel sur lequel SafeGuard Enterprise n est pas install Sur son ordinateur personnel Bob d chiffre les fichiers avec SafeGuard Portable En d finissant une phrase secr te des supports pour tous les supports amovibles de Bob il ouvre simplement SafeGuard Portable et saisit la phrase secr te du support Il a ensuite acc s de mani re transparente tous les fichiers chiffr s quelle que soit la cl locale utilis e pour les chiffrer Utilisation personnelle sur des ordinateurs tiers Bob connecte le p riph rique amovible l ordinateur de Joe partenaire externe et saisit la phrase secr te des supports pour acc der aux fichiers chiffr s stock s sur le p riph rique Bob peut alors copier les fichiers chiffr s ou non sur l ordinateur de Joe Comportement sur l ordinateur d extr mit 180 Bob connecte pour la premi re fois le p riph rique amovible Manuel d administration La cl de chiffrement de support unique chaque p riph rique est cr e automatiquement Bob est invit saisir la phrase secr te des supports pour l utiliser hors ligne via SafeGuard Portable L utilisateur n a pas besoin de conna tre les c
263. ificat d entreprise 10 1 Les ordres de modification du certificat d entreprise CCO Company Certificate Change Orders sont utilis s dans les cas suivants Renouvellement du certificat d entreprise en cas d expiration Le renouvellement du certificat d entreprise est possible pour les ordinateurs d extr mit administr s et les ordinateurs d extr mit autonomes Il peut uniquement tre activ partir de la console d administration D placement des ordinateurs d extr mit non administr s dans un environnement diff rent Par exemple si vous avez deux environnements Sophos SafeGuard diff rents et souhaitez les fusionner en un environnement Sophos SafeGuard unique au sein duquel l un des deux environnements devra toujours tre l environnement cible Vous pouvez effectuer ceci en changeant le certificat d entreprise des ordinateurs d extr mit d un environnement par le certificat d entreprise de l environnement cible Remarque seuls les responsables principaux de la s curit sont autoris s cr er des ordres de modification du certificat d entreprise CCO Pour permettre d autres responsables de la s curit de cr er des ordres de modification du certificat d entreprise le Responsable principal de la s curit doit cr er un r le personnalis et attribuer le droit G rer les CCO ce r le Renouvellement du certificat d entreprise Un certificat d entreprise sur le point d expirer peut tre renouvel d
264. ifier Dans la strat gie correspondante vous pouvez galement accorder aux utilisateurs le droit de d finir des questions personnalis es Lorsque Local Self Help a t activ par la strat gie un assistant Local Self Help est disponible pour guider les utilisateurs finaux en fournissant les r ponses initiales et en modifiant les questions La r cup ration avec Local Self Help est disponible pour les m thodes de connexion suivantes dans l authentification au d marrage SafeGuard E Connexion par identifiant utilisateur et mot de passe E Connexion par empreinte digitale E Connexion avec un token non cryptographique dans la mesure o la connexion avec identifiant utilisateur et mot de passe a aussi t activ e dans une strat gie du type Authentification Retrouvez une description d taill e de Local Self Help sur l ordinateur d extr mit dans le Manuel d utilisation de SafeGuard Enterprise au chapitre R cup ration avec Local Self Help D finition des param tres de Local Self Help dans une strat gie D finissez les param tres de Local Self Help dans une strat gie du type Param tres g n raux sous R cup ration de connexion Local Self Help Vous pouvez activer ici la fonction utiliser sur l ordinateur d extr mit et d finir d autres droits et param tres Activation de Local Self Help Pour activer Local Self Help et l utiliser sur l ordinateur d extr mit s lectionnez Oui dans le champ Activer Local
265. im s de l authentification au d marrage Modification des attributions d utilisateurs de l authentification au d marrage sur les ordinateurs d extr mit non administr s 1 Cr ez un nouveau groupe POA ou modifiez en un existant 2 Cr ez un nouveau package de configuration et s lectionnez le nouveau groupe d authentification au d marrage ou celui qui a t modifi 3 D ployez le nouveau package de configuration sur l ordinateur d extr mit Le nouveau groupe d authentification au d marrage est disponible sur l ordinateur d extr mit Tous les utilisateurs inclus sont ajout s l authentification au d marrage Le nouveau groupe remplace le pr c dent Les groupes POA ne sont pas fusionn s 109 SafeGuard Enterprise 16 8 Connexion un ordinateur d extr mit l aide d un utilisateur 16 8 1 110 de l authentification au d marrage 1 Mettez l ordinateur sous tension La bo te de dialogue de connexion de l authentification au d marrage SafeGuard s affiche 2 Saisissez le Nom d utilisateur et le Mot de passe de l utilisateur POA pr d fini Vous n tes pas connect Windows automatiquement La bo te de dialogue de connexion de Windows s affiche 3 Dans le champ Domaine s lectionnez le domaine lt Authentification au d marrage gt 4 Connectez vous Windows l aide de votre compte utilisateur Windows existant Changement du mot de passe local Si le mot de passe d un utilisa
266. importer modifier et exporter des scripts Pour utiliser les scripts dans le Planificateur de t ches vous avez besoin des droits du responsable de la s curit Utiliser le planificateur de t ches et G rer les t ches Importation de scripts Pour sp cifier un script ex cuter par une t che le script doit tre import Vous pouvez importer le script lorsque vous cr ez la t che pour la premi re fois Vous pouvez aussi importer des scripts pour les t ches existantes l Dans la barre de menus du SafeGuard Management Center s lectionnez Outils gt Planificateur de t ches La bo te de dialogue Planificateur de t ches appara t montrant un aper u des t ches planifi es S lectionnez la t che requise et cliquez sur le bouton Propri t s La bo te de dialogue Propri t s de lt nom t che gt appara t avec les propri t s de la t che Cliquez sur le bouton Importer pr s du champ Script La bo te de dialogue S lectionner le fichier script importer appara t Remarque deux scripts pr d finis sont disponibles dans le r pertoire Script Templates de l installation de votre SafeGuard Management Center La bo te de dialogue S lectionner le fichier de script importer appara t Retrouvez plus d informations la section Scripts pr d finis pour les t ches quotidiennes la page 273 S lectionnez le script que vous voulez importer et cliquez sur OK Le nom du script appara t dans le ch
267. inateur local Configuration ordinateur Mod les d administration Composants Windows Chiffrement de lecteur BitLocker Lecteur du syst me d exploitation Pour utiliser la m thode Carte m moire USB veuillez galement activer Autoriser BitLocker sans un module de plateforme s curis e compatible dans la Strat gie de groupe M Pour utiliser la m thode TPM PIN sur les tablettes veuillez galement activer la Strat gie de groupe Activer l utilisation de l authentification BitLocker exigeant une saisie au clavier pr alable au d marrage sur tablettes tactiles 155 SafeGuard Enterprise 18 2 3 156 Remarque ces Strat gies de groupe sont automatiquement activ es lors de l installation sur l ordinateur d extr mit Assurez vous que les param tres ne sont pas remplac s par diff rents Strat gies de groupe M Le module de plate forme s curis e ou TPM de l ordinateur doit tre activ et la propri t doit tre d finie avant que SafeGuard Enterprise ne puisse g rer le chiffrement BitLocker Remarque si la gestion de SafeGuard BitLocker est install e sur un ordinateur d extr mit il se peut que l tat de chiffrement d un lecteur indique Non pr par Ceci signifie que le lecteur ne peut actuellement pas tre chiffr avec BitLocker car les pr parations d usage n ont pas encore t effectu es Ceci s applique uniquement aux ordinateurs d extr mit administr s En effet les ordinateurs d extr mit non a
268. inateurs d un n ud pouvant inclure des n uds secondaires depuis le menu contextuel et le menu Actions de la barre de menus SafeGuard Management Center La commande peut galement tre s lectionn e via le menu contextuel des entr es de la liste Si vous s lectionnez cette commande ou cliquez sur l ic ne Demander une actualisation de l inventaire dans la barre d outils les ordinateurs concern s envoient leurs donn es d inventaire actuelles Comme cela est le cas avec d autres zones du SafeGuard Management Center vous pouvez utiliser la commande Actualiser pour actualiser l affichage Vous pouvez s lectionner cette commande dans le menu contextuel pour les ordinateurs individuels ou tous les ordinateurs d un n ud et dans le menu Afficher de la barre de menus Vous pouvez galement utiliser l ic ne double fl che Actualiser dans la barre d outils pour actualiser l affichage Pr sentation Les colonnes individuelles dans la pr sentation proposent les informations suivantes Remarque certains colonnes sont cach es par d faut Vous pouvez personnaliser l affichage pour les montrer Retrouvez plus d informations la section Affichage des colonnes cach es la page 248 Colonne Explication Nom de la machine Indique le nom de l ordinateur Domaine Indique le nom du domaine de l ordinateur Domaine Pre 2000 Indique le nom du domaine avant Windows 2000 Nom utilisateur Indique le nom utilisateur du propri
269. incipal de la s curit est alors import Cliquez sur Suivant 6 Dans Certificat d entreprise cochez la case Restaurer l aide d un certificat d entreprise existant Cliquez sur Importer pour rechercher le fichier de certificat sauvegard qui contient le certificat d entreprise valide Vous tes invit saisir le mot de passe d fini pour le magasin de certificats Saisissez le mot de passe et cliquez sur OK pour le confirmer Cliquez sur Oui dans le message affich Le certificat d entreprise est alors import 7 Cliquez sur Suivant puis sur Terminer La configuration de la base de donn es est restaur e Manuel d administration 29 Donn es d inventaire et d tat 29 1 SafeGuard Enterprise lit une quantit consid rable de donn es d inventaire et d tat provenant des ordinateurs d extr mit Ces donn es indiquent l tat g n ral en cours de chaque ordinateur Ces donn es s affichent clairement dans le SafeGuard Management Center dans Utilisateurs et ordinateurs dans l onglet Inventaire En tant que responsable de la s curit vous pouvez afficher exporter et imprimer les donn es d inventaire et d tat Par exemple vous pouvez cr er des rapports de conformit pour prouver que des ordinateurs d extr mit ont t chiffr s Les fonctions de tri et de filtrage tendus sont disponibles pour vous aider s lectionner les donn es pertinentes L inventaire propose par exemple les donn es suivantes
270. ini par l utilisateur dans l authentification au d marrage SafeGuard Vous pouvez personnaliser l authentification au d marrage SafeGuard en affichant les textes d informations d finis par l utilisateur E Texte d informations affich lors du lancement d une proc dure Challenge R ponse pour la r cup ration de connexion par exemple Contactez le bureau de support en appelant au 01234 56789 Vous pouvez d finir un texte d informations en utilisant l option Texte d informations dans une strat gie de type Param tres g n raux 91 SafeGuard Enterprise 13 3 2 1 13 3 3 92 E Mentions l gales affich es apr s la connexion l authentification au d marrage SafeGuard Vous pouvez d finir un texte de mention l gale en utilisant l option Texte de la mention l gale dans la strat gie de type Param tres de machine sp cifiques E Texte d informations suppl mentaires affich apr s la connexion l authentification au d marrage SafeGuard Vous pouvez d finir un texte d informations suppl mentaires en utilisant l option Texte d informations suppl mentaires dans la strat gie de type Param tres de machine sp cifiques Enregistrement des textes d informations Les fichiers texte contenant les informations requises doivent tre cr s avant d tre enregistr s dans le SafeGuard Management Center La taille maximale des fichiers de textes d informations est de 50 Ko SafeGuard Enterprise utilise les textes cod
271. inistration 2632 token supprim Administration 2633 token g n r pour l utilisateur Administration 2634 Changer le code PIN utilisateur sur le token Administration 2635 Changer le code PIN SO sur le token Administration 2636 token verrouill Administration 2637 token d verrouill Administration 2638 token supprim Administration 2639 Attribution de token supprim e pour l utilisateur Administration 2640 Impossible de g n rer un token pour l utilisateur Administration 2641 Impossible de modifier le code PIN utilisateur sur le token Administration Impossible de modifier le code PIN SO sur le token Administration Impossible de verrouiller le token Administration Impossible de d verrouiller le token Administration Impossible de supprimer le token Administration Strat gie cr e Administration Strat gie modifi e Administration Strat gie supprim e 286 Manuel d administration Cat gorie Identifiant Description s i Administration 2651 Strat gie attribu e et activ e sur l OU Administration 2652 Strat gie attribu e supprim e de l OU Administration 2654 Impossible de modifier la strat gie Administration chec d attribution et d activation d une strat gie dans l OU Administration 2659 Groupe de strat gies cr Administration 2660 Groupe de strat gies modifi Administration 2661 Groupe de strat gies supprim Administration 2663
272. ion au d marrage SafeGuard n enregistre pas le nom et le domaine du dernier utilisateur connect Liste de comptes de service Pour viter que les op rations d administration sur un ordinateur prot g par SafeGuard Enterprise n activent l authentification au d marrage et n entra nent l ajout des op rateurs en charge du d ploiement comme autant d utilisateurs possibles de l ordinateur SafeGuard Enterprise vous permet de cr er des listes de comptes de service pour la connexion Windows sur les ordinateurs d extr mit SafeGuard Enterprise Les utilisateurs de la liste sont trait s comme des utilisateurs invit s SafeGuard Enterprise Avant de s lectionner une liste vous devez cr er les listes dans la zone de navigation Strat gies sous Listes de comptes de service Connexion automatique vers Windows Remarque pour que l utilisateur puisse autoriser d autres utilisateurs acc der son ordinateur il doit pouvoir d sactiver la connexion automatique vers Windows amp Laisser l utilisateur choisir En s lectionnant dess lectionnant cette option dans la bo te de dialogue de connexion l authentification au d marrage SafeGuard l utilisateur peut choisir d ex cuter ou non la connexion automatique Windows D sactiver l authentification automatique Windows Apr s la connexion l authentification au d marrage SafeGuard la bo te de dialogue de connexion Windows s affiche L utilisateur doit se c
273. ion de l int grit de la base de donn es Lorsque vous vous connectez la base de donn es l int grit de cette derni re est v rifi e automatiquement La bo te de dialogue V rifier l int grit de la base de donn es s affiche si cette v rification renvoie des erreurs Vous pouvez galement lancer la v rification de l int grit de la base de donn es et afficher la bo te de dialogue V rifier l int grit de la base de donn es 1 Dans le SafeGuard Management Center s lectionnez Outils gt Int grit de la base de donn es dans la barre de menus 2 V rifiez les tables en cliquant sur Tout v rifier ou V rifier la s lection Les tables erron es sont indiqu es dans la bo te de dialogue Pour les r parer cliquez sur R parer Remarque suite la sauvegarde d une mise jour SafeGuard Enterprise SQL la v rification de l int grit de la base de donn es sera toujours d clench e en premier Les v rifications 23 SafeGuard Enterprise doivent uniquement tre effectu es une seule fois par base de donn es SafeGuard Enterprise afin d effectuer la mise jour 24 Manuel d administration 7 Cr ation de la structure organisationnelle 7 1 7 1 1 La structure organisationnelle peut se refl ter dans le SafeGuard Management Center de deux fa ons m Vous pouvez importer une structure organisationnelle existante dans la base de donn es SafeGuard Enterprise par exemple par l interm
274. ionnez le fichier de certificat concern 6 Saisissez le code PIN du token et le mot de passe du fichier p12 et confirmez en cliquant sur OK La partie priv e du certificat est ajout e au token pr sent vous devez l attribuer un utilisateur Retrouvez plus d informations la section Attribution de certificats de token un utilisateur la page 208 Les utilisateurs peuvent alors seulement se connecter avec ce token Manuel d administration 24 8 Gestion des codes PIN 24 8 1 24 8 2 En tant que responsable de la s curit vous pouvez changer le code PIN de l utilisateur et celui du responsable de la s curit et aussi forcer le changement du code PIN de l utilisateur Ceci est g n ralement n cessaire lors de la g n ration d un token Vous pouvez galement initialiser des codes PIN c est dire les g n rer comme de nouveaux codes PIN et les bloquer Remarque pour initialiser changer et bloquer les codes PIN vous avez besoin des droits d Acc s complet pour les utilisateurs correspondants Vous pouvez utiliser des strat gies pour sp cifier d autres options de code PIN pour l ordinateur d extr mit Remarque lorsque vous changez un code PIN certains fabricants de tokens sp cifient leurs propres r gles de code PIN qui peuvent contredire celles de SafeGuard Enterprise C est la raison pour laquelle il se peut qu il ne soit pas possible de changer un code PIN comme vous le souhaitez m me s il re
275. ionnez un sous conteneur vous allez galement devoir en fonction de vos droits d acc s dess lectionner les conteneurs jusqu la racine Si un groupe avec un acc s en Lecture seule ou Refus est inclus dans un processus de synchronisation voici ce qui se passe m Les appartenances du groupe ne sont pas mises jour E Sile groupe a t supprim dans l Active Directory il ne sera pourtant pas supprim de la base de donn es SafeGuard Enterprise E Si par contre le groupe a t d plac dans l Active Directory il sera d plac dans la structure SafeGuard Enterprise m me dans un conteneur pour lequel vous n avez pas les droits d Acc s complet Si un conteneur avec un acc s en Lecture seule ou Refus est inclus la synchronisation parce qu il se trouve la racine et s il contient un groupe avec Acc s complet ce groupe sera synchronis Les groupes avec un acc s en Lecture seule ou Refus ne le seront pas 27 SafeGuard Enterprise 7 2 7 2 1 7 2 2 28 Cr ation des groupes de travail et des domaines Les responsables de la s curit avec les droits n cessaires peuvent cr er manuellement des groupes de travail ou des domaines avec une structure de gestion des l ments de la strat gie Il est galement possible d attribuer des strat gies et ou des strat gies de chiffrement aux utilisateurs locaux Veuillez cr er un nouveau domaine uniquement si vous ne voulez pas ou ne pouvez pas imp
276. ire La saisie d un nom de fichier seulement par exemple exemple exe n est pas suffisante Pour une meilleure utilisation la vue sur une ligne de la liste des applications n affiche que les noms de fichiers s par s par des points virgules 4 Enregistrez vos modifications Remarque les param tres de strat gie Applications fiables et Applications ignor es sont les param tres machine La strat gie doit donc tre attribu e aux machines pas aux utilisateurs Sinon les param tres ne deviennent pas actifs Manuel d administration 21 6 Configuration des p riph riques ignor s pour SafeGuard Data 21 6 1 21 7 Exchange Vous pouvez d finir des p riph riques comme ignor s pour les exclure du processus de chiffrement des fichiers Vous pouvez seulement exclure des p riph riques entiers 1 Dans la zone de navigation Strat gies cr ez une nouvelle strat gie du type Param tres g n raux ou s lectionnez en une 2 Sous Chiffrement de fichiers cliquez sur le bouton d roulant du champ P riph riques ignor s 3 Dans la zone de liste de l diteur saisissez les noms de p riph riques requis pour exclure des p riph riques donn s du chiffrement Ceci peut tre utile lorsque vous avez besoin d exclure des syst mes des fournisseurs tiers Remarque vous pouvez afficher les noms des p riph riques en cours d utilisation dans le syst me l aide d outils tiers par exemple Device Tree d OSR SafeGuard
277. isateurs et ordinateurs vous pouvez changer les droits d acc s d un autre responsable de la s curit si vous avez l acc s complet pour le conteneur appropri et tes responsable du responsable de la s curit en question Vous ne pouvez pas changer vos propres droits d acc s Si vous attribuez un responsable de la s curit un objet de r pertoire pour la premi re fois le responsable de la s curit h rite de vos droits d acc s pour ce conteneur Remarque vous ne pouvez pas accorder d autres responsables de la s curit des droits d acc s plus lev s que vos propres droits d acc s Condition pr alable si vous voulez accorder refuser au responsable de la s curit le droit d acc der aux objets de r pertoire et de les g rer vous devez poss der les droits utilisateurs et ordinateurs d affichage des droits d acc s des responsables de la s curit et d autoriser de refuser l acc s au r pertoire En plus vous avez besoin des droits d Acc s complet pour les objets de r pertoire en question 1 Dans SafeGuard Management Center s lectionnez Utilisateurs et ordinateurs 2 Dans la fen tre de navigation de gauche s lectionnez les objets de r pertoire requis Remarque l arborescence n affiche que les objets de r pertoire pour lesquels vous avez les droits d acc s Si vous avez des droits d Acc s complet l objet appara t en noir Les objets avec un acc s en Lecture seule apparaissent en bleu Un n
278. ise 24 2 1 24 2 2 24 2 3 200 m Middleware de token carte puce module PKCS 11 Tokens USB De m me que les cartes puce les tokens USB comportent une carte puce et un lecteur de cartes puce dans un m me bo tier L utilisation des tokens USB n cessite la pr sence d un port USB Lecteurs et pilotes de token carte puce E Windows Dans le syst me d exploitation Windows les lecteurs de cartes compatibles PC SC sont pris en charge L interface PC SC r git la communication entre l ordinateur et la carte puce La majorit de ces lecteurs de cartes sont d j int gr s dans l installation de Windows Pour tre prises en charge par SafeGuard Enterprise les cartes puce requi rent des pilotes compatibles PKCS 11 E Authentification au d marrage SafeGuard Avec l authentification au d marrage SafeGuard c est l interface PC SC qui r git la communication entre le PC et la carte puce Les pilotes de cartes puce pris en charge sont fix s de sorte que les utilisateurs ne peuvent pas en ajouter Les pilotes de cartes puce appropri s doivent tre activ s au moyen d une strat gie dans SafeGuard Enterprise L interface des lecteurs de cartes puce est standardis e et un grand nombre de ces lecteurs poss dent une interface USB ou une interface ExpressCard 54 et mettent en uvre la norme CCID Dans SafeGuard Enterprise il s agit d une condition pr alable la prise en charge avec l authenti
279. isposant des privil ges les responsables de la s curit peuvent acc der au SafeGuard Management Center Plusieurs responsables de la s curit peuvent travailler simultan ment sur les donn es Les diff rents responsables de la s curit peuvent effectuer leurs op rations conform ment aux r les et aux droits qui leur ont t attribu s Vous pouvez personnaliser les strat gies et les param tres selon vos besoins Apr s l enregistrement de nouveaux param tres dans la base de donn es ils peuvent tre transf r s sur les ordinateurs d extr mit o ils deviennent actifs Remarque certaines fonctions ne sont pas incluses dans toutes les licences Veuillez contacter votre Partenaires commercial pour obtenir plus de renseignements sur ce qui est inclus dans votre licence SafeGuard Enterprise 10 4 4 1 4 2 Connexion au SafeGuard Management Center Au cours de la configuration initiale de SafeGuard Enterprise un compte est cr pour le Responsable principal de la s curit Ce compte est obligatoire la premi re fois que vous vous connectez au SafeGuard Management Center Pour d marrer le SafeGuard Management Center l utilisateur doit conna tre le mot de passe du magasin de certificats et disposer de la cl priv e du certificat Retrouvez plus d informations dans le Guide d installation de SafeGuard Enterprise La proc dure de connexion d pend de l ex cution du SafeGuard Management Center connect
280. isseur Espace r serv Utilisable dans le R sultat param tre CSD qualifi du dossier de synchronisation utilis par le logiciel Media Center Exemple Si vous utilisez Dropbox comme fournisseur de stockage dans le Cloud vous pouvez simplement saisir lt Dropbox gt dans Application de synchronisation Si vous n indiquez pas explicitement de dossier de synchronisation lt Dropbox gt est aussi copi dans la liste des dossiers sous Dossiers de synchronisation En supposant que m Vous avez utilis les espaces r serv s lt Dropbox gt comme application de synchronisation et lt Dropbox gt encrypt comme dossier de synchronisation dans la d finition Cloud Storage CSD Cloud Storage Definition E Dropbox est install sur l ordinateur d extr mit m L utilisateur dispose de d dropbox configur en tant que dossier synchroniser avec Dropbox Lorsque l ordinateur d extr mit SafeGuard Enterprise re oit une strat gie avec une CSD comme celle ci il interpr te automatiquement les espaces r serv s de la CSD pour qu ils correspondent au chemin de Dropbox exe pour l application de synchronisation puis il lit la configuration Dropbox et d finit la strat gie de chiffrement dans le dossier d dropbox encrypt Exportation et importation des d finitions Cloud Storage En tant que responsable de la s curit vous pouvez exporter et importer des d finitions Cloud Storage CSD Cloud Storage
281. issez le ou les dossiers qui seront synchronis s avec le Cloud Seuls les chemins locaux sont pris en charge Remarque pour les chemins dans les param tres Application de synchronisation et Dossier de synchronisation les m mes espaces r serv s que pour File Encryption sont pris en charge Retrouvez plus d informations la section Espaces r serv s pour les chemins dans les r gles de chiffrement File Encryption la page 169 22 2 1 Espaces r serv s pour les fournisseurs de stockage dans le Cloud 188 En tant que responsable de la s curit vous pouvez utiliser des espaces r serv s pour les fournisseurs du stockage dans le Cloud afin de d finir des applications de synchronisation et des dossiers de synchronisation Ces espaces r serv s repr sentent les applications tierces de stockage dans le Cloud prises en charge Vous pouvez utiliser l espace r serv pour sp cifier une certaine application tierce comme application de synchronisation et m me utiliser le m me espace r serv pour qu il pointe vers les dossiers de synchronisation que l application tierce utilise v ritablement pour la synchronisation Manuel d administration Les espaces r serv s pour le fournisseur de stockage dans le Cloud sont encapsul s par lt et gt Espaces r serv s actuellement pris en charge Fournisseur Espace r serv Utilisable dans le R sultat param tre CSD Dropbox lt Dropbox gt Application de Pour les application
282. istante Dans la zone d action de droite sous Journalisation tous les v nements pr d finis qui peuvent tre journalis s apparaissent Cliquez sur les en t tes de colonnes pour trier les v nements par ID Cat gorie etc 259 SafeGuard Enterprise 30 6 2 30 7 260 3 Pour activer le suivi d acc s aux fichiers stock s sur les supports amovibles s lectionnez les v nements de journalisation suivants en fonction de vos besoins M ID 3020 File tracking CREATE M ID 3021 File tracking RENAME M ID 3022 File tracking DELETE Pour sp cifier qu un v nement doit tre journalis dans la base de donn es SafeGuard Enterprise s lectionnez l v nement en cliquant sur la colonne contenant l ic ne de base de donn es Consigner les v nements dans une base de donn es Pour les v nements journaliser dans l Observateur d v nements Windows cliquez dans la colonne contenant l ic ne du journal des v nements Consigner dans le journal des v nements Pour tous les v nements s lectionn s une coche verte s affiche dans la colonne correspondante 4 Enregistrez vos param tres Apr s attribution de la strat gie le suivi d acc s aux fichiers sur les supports amovibles est activ et les v nements s lectionn s sont journalis s dans la destination en sortie correspondante Affichage des v nements de suivi d acc s aux fichiers Pour afficher les journaux de suivi d acc s aux fichiers vo
283. istes blanches comme cibles pour les strat gies du type Protection des p riph riques pour le chiffrement bas sur fichier Ceci vous permet de cr er des strat gies de chiffrement pour des mod les de p riph riques sp cifiques ou m me pour des p riph riques distincts Avant de s lectionner une liste blanche comme cible pour une strat gie Protection des p riph riques vous devez la cr er et l enregistrer dans le SafeGuard Management Center Vous pouvez d finir des listes blanches pour des mod les de p riph riques de stockage sp cifiques par exemple un iPod des p riph riques USB provenant d un fournisseur particulier etc ou pour des p riph riques de stockage distincts en fonction du num ro de s rie Vous pouvez ajouter manuellement les p riph riques aux listes blanches ou utiliser les r sultats d un contr le SafeGuard PortAuditor Retrouvez plus d informations dans le Guide d utilisation de SafeGuard PortAuditor Ensuite vous pouvez s lectionner la liste blanche en tant que cible lorsque vous cr ez la strat gie de Protection des p riph riques Remarque si vous s lectionnez une liste blanche comme cible pour une strat gie du type Protection des p riph riques vous pouvez seulement s lectionner Bas sur fichier ou Aucun chiffrement comme Mode de chiffrement du support Si vous s lectionnez Aucun chiffrement pour une strat gie Protection des p riph riques avec une liste blanche cette strat gie n exclut
284. istrer les modifications avant de quitter cet affichage Le fichier n a pas pu tre charg ou est endommag Raison L int grit du journal a t rompue Un ou plusieurs v nements ont t supprim s 805306411 Voulez vous enregistrer les v nements dans un fichier avant de les supprimer 805306412 Affichage des t ches 805306413 Plusieurs CRL trouv es dans la base de donn es Impossible de supprimer les CRL 805306414 CRL non trouv e dans la base de donn es Manuel d administration Identifiant de Affichage l erreur 805306415 L utilisateur auquel le certificat devrait avoir t attribu est introuvable dans la base de donn es 805306416 Un blob P7 est requis en urgence pour l attribution d un certificat 805306417 L utilisateur auquel le certificat devrait avoir t attribu n a pas un nom unique 805306418 Il est malheureusement impossible de trouver l attribution du certificat 805306419 L attribution du certificat n est pas unique Le certificat devant tre supprim n est pas clair 805306420 L utilisateur pour lequel le certificat doit tre produit est introuvable dans la base de donn es 805306421 L utilisateur auquel le certificat doit tre attribu ne peut pas avoir un nom unique 805306422 Le certificat a d j t attribu un autre utilisateur Un certificat ne peut tre attribu qu un seul utilisateur 8053
285. it A PEET P D 4 Des r les pr d finis ou personnalis s peuvent tre attribu s au responsable de la s curit Les droits associ s chaque r le s affichent sous Action autoris e dans la zone d action en cliquant sur le r le respectif ou en cliquant avec le bouton droit de la souris sur le responsable de la s curit et en s lectionnant Propri t s Actions Il est possible d attribuer plusieurs r les un utilisateur 4 Pour confirmer cliquez sur OK Le nouveau responsable de la s curit appara t dans la fen tre de navigation sous le n ud Responsables de la s curit respectif Leurs propri t s peuvent tre affich es en s lectionnant le responsable de la s curit concern dans la fen tre de navigation Le responsable de la s curit peut se connecter au SafeGuard Management Center avec le nom affich Vous devez ensuite 47 SafeGuard Enterprise 8 10 48 attribuer les objets domaines de r pertoire au responsable de la s curit afin que celui ci puisse ex cuter ses t ches Attribution d objets de r pertoire un responsable de la s curit Afin que les responsables de la s curit puissent ex cuter ses t ches il doit poss der les droits d acc s aux objets de r pertoire Les droits d acc s peuvent tre accord s aux domaines aux unit s organisationnelles OU et aux groupes d utilisateurs ainsi qu au n ud Autoregistered situ sous le r pertoire racine Dans Util
286. jouter 3 Dans Authentification LDAP proc dez comme suit a Dans le champ Nom ou adresse IP du serveur saisissez le nom NetBIOS du contr leur de domaine ou son adresse IP b Pour Codes d acc s de l utilisateur saisissez votre nom et votre mot de passe Windows pour vous connecter l environnement test c Cliquez sur OK Remarque pour les ordinateurs autonomes Windows un r pertoire doit tre partag pour activer une connexion via LDAP 4 Cliquez sur Utilisateurs et ordinateurs 5 Dans la fen tre de navigation de gauche cliquez sur le r pertoire racine Racine Filtre actif 6 Dans la zone d action de droite s lectionnez l onglet Synchroniser 25 SafeGuard Enterprise 7 1 2 26 7 S lectionnez le r pertoire requis dans la liste DSN r pertoire et cliquez sur l ic ne de la loupe en haut droite Une repr sentation graphique de la structure Active Directory des unit s organisationnelles de votre entreprise s affiche 8 Cochez les unit s organisationnelles OU qui doivent tre synchronis es Il n est pas n cessaire d importer l ensemble du contenu d Active Directory 9 Pour galement synchroniser les appartenances s lectionnez la case cocher Synchroniser l appartenance Pour galement synchroniser l tat activ par l utilisateur s lectionnez la case cocher Synchroniser l tat activ par l utilisateur 10 Au bas de la zone d action cliquez sur Synchroniser L
287. l s personnelles sur un groupe plus important d utilisateurs des centaines ou plus qui n ont pas encore de cl s personnelles actives nous conseillons de cr er les cl s personnelles dans SafeGuard Management Center retrouvez plus d informations la section Cr ation de 57 SafeGuard Enterprise 9 2 2 9 2 3 58 cl s personnelles pour plusieurs utilisateurs la page 58 La charge sur le serveur SafeGuard Enterprise sera r duite Cr ation d une cl personnelle pour un utilisateur unique Pour cr er une cl personnelle vous avez besoin des droits Cr er des cl s et Attribuer des cl s En plus vous avez besoin des droits d Acc s complet pour l objet en question Pour remplacer une cl personnelle active vous avez besoin du droit G rer les cl s personnelles 1 Dans SafeGuard Management Center s lectionnez Utilisateurs et ordinateurs 2 Dans la zone de navigation s lectionnez l utilisateur requis 3 Cliquez avec le bouton droit de la souris sur l onglet Cl s et s lectionnez Attribuer une nouvelle cl dans le menu contextuel 4 Dans la bo te de dialogue Attribution d une nouvelle cl a Saisissez une description pour la cl personnelle b Pour cacher la cl personnelle dans le jeu de cl s de l utilisateur s lectionnez Masquer la cl 5 Selon que vous cr ez une cl personnelle pour un utilisateur qui n a pas encore de cl personnelle active ou pour un utilisateur qui en a une la bo t
288. l s utilis es ou le jeu de cl s La cl de chiffrement de support est toujours utilis e pour le chiffrement de donn es sans aucune interaction de l utilisateur La cl de chiffrement de support n est pas visible y compris pour l utilisateur Seule la cl de groupe domaine d finie de mani re centralis e est visible Bob et Alice du m me groupe ou domaine acc dent de mani re transparente car ils partagent la m me cl de groupe domaine Si Bob souhaite acc der des fichiers chiffr s d un p riph rique amovible sur un ordinateur sur lequel SafeGuard Data Exchange n est pas install il peut utiliser la phrase secr te des supports dans SafeGuard Portable Vous devez d finir les param tres dans une strat gie de type Protection des p riph riques Supports amovibles Mode de chiffrement du support Bas sur fichier Cl utiliser pour le chiffrement Cl d finie dans la liste Cl d finie dans la liste lt cl de groupe domaine gt par exemple groupe_utilisateurs_Bob_Alice DC pour s assurer qu ils partagent la m me cl L utilisateur peut d finir une phrase secr te des supports pour les p riph riques Oui L utilisateur d finit une phrase secr te des supports sur son ordinateur qui s applique tous les supports amovibles Copier portable SG sur la cible Oui SafeGuard Portable permet l utilisateur d acc der tous les fichiers chiffr s du support amovible en saisissant une phrase s
289. l ordinateur d extr mit correspondant Le disque dur compatible Opal est verrouill et est seulement accessible en se connectant sur l ordinateur l authentification au d marrage SafeGuard Manuel d administration 33 6 Autorisation de d verrouillage des disques durs compatibles 33 7 Opal aux utilisateurs En tant que responsable de la s curit vous pouvez permettre aux utilisateurs de d verrouiller les disques durs compatibles Opal sur les ordinateurs d extr mit l aide de la commande D chiffrer du menu contextuel Windows Explorer Condition pr alable dans la strat gie Protection des p riph riques ceci s applique au disque dur Opal L option L utilisateur peut d chiffrer le volume doit tre d finie sur Oui 1 Dans SafeGuard Management Center cr ez une strat gie du type Protection des p riph riques et incluez tous les volumes pr sents sur le disque dur compatible Opal 2 Dans le champ Mode de chiffrement du support s lectionnez Aucune chiffrement 3 Enregistrez vos changements dans la base de donn es 4 D ployez la strat gie sur l ordinateur d extr mit correspondant L utilisateur peut d verrouiller le disque dur compatible Opal sur l ordinateur d extr mit Le disque dur demeure verrouill Consignation dans le journal des v nements pour les ordinateurs d extr mit quip s de disques durs compatibles Opal Les v nements signal s par les ordinateurs d extr mit qui
290. l outil de r cup ration de cl 232 Manuel d administration 26 2 6 3 Importation du client virtuel dans l outil de r cup ration de cl KeyRecovery Condition pr alable m L ordinateur a t d marr depuis le disque de r cup ration m V rifiez que le lecteur USB sur lequel est enregistr le fichier du client virtuel recoverytoken tok a t correctement mont 1 Dans le gestionnaire de fichiers Windows PE s lectionnez le lecteur sur lequel est enregistr le client virtuel Le fichier recoverytoken tok appara t sur la droite 2 S lectionnez le fichier recoverytoken tok et faites le glisser sur le lecteur o se trouve l outil de r cup ration de cl KeyRecovery D posez le dans le r pertoire Tools SGN Tools isix Fie Et New Favorites Go Ven Toos Heb gt e ee eloo l Dex le Eeee e ue aaam Il ega eue co0 DE ef 3x He Flon EE Syste Kga Local Disk D Er CD Drive E CD_ROM m Control Panel xl Normal x E Overwrite I Zip Password M Relative Path M Update M Hidden System 1 object s 74 bytes 1 object s selected 74 bytes F 963 69 MB free 263 70 MB total BE Quick Launch Text Editor FM Extra Find File Hex Viewer Image Viewer jelea El BE Restore KeyRecovery E Main 233 SafeGuard Enterprise 26 2 6 4 26 2 6 5 234 Initialisation du challenge dans l o
291. l utilisateur doit tre connu m Vous avez besoin des droits d Acc s complet pour l utilisateur correspondant 1 Dans la barre d outils du SafeGuard Management Center cliquez sur l ic ne Changer le code PIN de l utilisateur 2 Saisissez l ancien et le nouveau code PIN de l utilisateur r p tez la saisie du nouveau et confirmez en cliquant sur OK Le code PIN de l utilisateur est chang Si vous avez chang le code PIN d un autre utilisateur informez le de cette modification Changement forc du code PIN Pour forcer le changement d un code PIN vous avez besoin des droits d Acc s complet pour l utilisateur concern 1 Dans la barre d outils du SafeGuard Management Center cliquez sur Forcer le changement du code PIN Lors de la prochaine connexion de l utilisateur avec le token il doit changer son code PIN Historique des codes PIN L historique des codes PIN peut tre supprim Pour cela cliquez sur l ic ne Supprimer l historique de PIN de la barre d outils du SafeGuard Management Center Gestion des tokens et des cartes puce Dans la zone Tokens du SafeGuard Management Center le responsable de la s curit peut M Avoir un aper u des tokens et des certificats qui ont t g n r s E Filtrer des aper us E Bloquer les tokens pour authentification E Lire ou supprimer les donn es sur un token Affichage des informations du token carte puce En tant que responsable de la s curit vous
292. la loupe en haut droite Une repr sentation graphique de la structure Active Directory des unit s organisationnelles de votre entreprise s affiche 5 Cochez le domaine synchroniser et cliquez sur Synchroniser au bas de la zone de navigation Remarque si des l ments ont t d plac s d une sous arborescence vers une autre dans Active Directory les deux sous arborescences doivent tre synchronis es avec la base de donn es SQL La synchronisation d une seule sous arborescence aboutit la suppression d objets au lieu de leur d placement Remarque la synchronisation AD ne synchronise pas le nom avant Windows 2000 NetBIOS du domaine si le contr leur de domaine est configur avec une adresse IP Configurez le Manuel d administration 7 1 3 contr leur de domaine pour utiliser le nom de serveur NetBIOS ou DNS la place Le client sur lequel la synchronisation AD fonctionne doit soit faire partie du domaine soit pouvoir r soudre le nom DNS vers le contr leur de domaine cible Droits d acc s du responsable de la s curit et importation Active Directory La r gle suivante s applique pour importer la structure organisationnelle depuis un Active Directory pour ce qui concerne les droits d acc s requis E Pour la gestion des connexion Active Directory la r gle suivante s applique si vous ajoutez une connexion Active Directory un domaine qui existe d j E Si vous avez les droits d Acc s c
293. la certification vitez le mode veille Sur les ordinateurs prot g s par Sophos SafeGuard il est possible que certains individus malintentionn s acc dent aux cl s de chiffrement dans certains modes de veille Tout particuli rement lorsque le syst me d exploitation de l ordinateur n est pas arr t correctement et que les processus en t che de fond restent en cours d ex cution La protection est renforc e lorsque le syst me d exploitation est compl tement arr t ou mis en veille prolong e Formez les utilisateurs en cons quence ou consid rez la d sactivation centrale du mode veille sur les ordinateurs d extr mit sans surveillance ou qui ne sont pas en cours d utilisation m vitez le mode veille attente veille prolong e ainsi que le mode de veille Hybride Le mode de veille Hybride allie la mise en hibernation et la mise en veille La d finition d un mot de passe suppl mentaire apr s la reprise d une session n assure pas de protection compl te m vitez de verrouiller les ordinateurs de bureau et de mettre hors tension les moniteurs ou de fermer les couvercles des portables en guide de protection si ce n est pas suivi par une v ritable mise hors tension ou en hibernation La demande d un mot de passe suppl mentaire apr s la reprise d une session ne fournit pas une protection suffisante m Arr tez vos ordinateurs ou mettez les en hibernation L authentification au d marrage SafeGuard est toujours activ e jusqu
294. la strat gie l ordinateur et ou un point de la structure du r pertoire auquel elle sera active pour l ordinateur Lorsque le premier utilisateur se connecte Ordinateur_ABC une connexion automatique est mise en uvre pour l authentification au d marrage SafeGuard Les strat gies de l ordinateur sont envoy es l ordinateur d extr mit Puisque l Utilisateur_a est inclus dans l AUM il deviendra un utilisateur complet lors de sa connexion Windows Les strat gies de l utilisateur les certificats et Les cl s sont envoy s l ordinateur d extr mit L authentification au d marrage SafeGuard est activ e Remarque l utilisateur peut v rifier le message d tat dans l ic ne de barre d tat de SafeGuard infobulle lorsque ce processus est termin L Utilisateur_a est pr sent un utilisateur complet selon les termes de SafeGuard Enterprise et apr s la premi re connexion il peut s authentifier l authentification au d marrage SafeGuard et il est connect automatiquement L Utilisateur_a quitte pr sent l ordinateur et l Utilisateur_b souhaite se connecter Comme l authentification au d marrage SafeGuard est activ e il n y a plus de connexion automatique 195 SafeGuard Enterprise 23 1 1 23 1 2 196 L Utilisateur_b et l Utilisateur_c ont deux possibilit s pour acc der cet ordinateur E L Utilisateur_a d sactive l option Connexion automatique vers Windows dans la bo te de dialogue de c
295. latif de toutes les machines du conteneur s lectionn Les onglets Lecteurs Utilisateurs et Fonctions sont galement disponibles pour chaque machine Cliquez sur l en t te de la colonne pour trier les donn es d inventaire par les valeurs de la colonne s lectionn e Le menu contextuel de chaque colonne propose de nombreuses fonctions de tri de regroupement et de personnalisation de l affichage En fonction de vos droits d acc s les l ments dans l inventaire apparaissent dans des couleurs diff rentes m Les l ments des objets pour lesquels vous avez des droits d Acc s complet apparaissent en noir m Les l ments des objets pour lesquels vous avez des droits d acc s en Lecture seule apparaissent en bleu m Les l ments des objets pour lesquels vous n avez aucun droit d acc s sont gris s 29 3 Affichage des colonnes masqu es Dans l affichage des donn es d inventaire certaines colonnes sont masqu es par d faut 1 Dans cet affichage cliquez avec le bouton droit de la souris sur la barre d en t tes de colonnes 2 Dans le menu contextuel s lectionnez Ex cuter la personnalisation de colonne La fen tre Personnalisation appara t affichant les colonnes cach es 3 D placez la colonne requise depuis la fen tre Personnalisation vers la barre d en t tes de colonnes La colonne appara t dans l affichage des donn es d inventaire Pour la masquer de nouveau d placez la de nouveau dans la fen tre Person
296. le client Enterprise Client 3046 LSH est disponible client autonome Client 3050 D sactivation de LSH client Enterprise Client 3051 LSH n est pas disponible client autonome La liste QST questions LSH a t modifi e La d sinstallation du client de protection de configuration a chou Client La sauvegarde de cl a t enregistr e dans le partage r seau sp cifi Client La sauvegarde de cl n a pas pu tre enregistr e dans le partage r seau sp cifi Client Utilisateur POA 1 import dans la POA Client Utilisateur POA 1 supprim de la POA 289 SafeGuard Enterprise 290 Cat gorie Client Client Client Client Identifiant s i 3115 3116 3117 Description Utilisateur POA 1 a chang le mot de passe via la touche F8 chec de l importation de l utilisateur POA 1 dans la POA chec de la suppression de l utilisateur POA 1 de la POA Utilisateur POA 1 chec de la modification du mot de passe via la touche F8 Client Client Une erreur s est produite au niveau du client de protection de configuration Le client de protection de configuration a d tect une possible falsification Client Chiffrement 3501 Le client de protection de configuration a d tect une possible falsification des fichiers journaux Acc s refus au support sur le lecteur Chiffrement 3502 Acc s refus au fichier de donn es Chiff
297. le Encryption d finit une cl personnelle utiliser pour le chiffrement et si l utilisateur n a pas encore de cl personnelle active le serveur SafeGuard Enterprise la cr e automatiquement 59 SafeGuard Enterprise 60 9 3 Certificats Un seul certificat peut tre affect par utilisateur Si ce certificat utilisateur est stock sur un token les utilisateurs peuvent donc utiliser ce token token cryptographique Kerberos pour se connecter leur ordinateur d extr mit Notez que lors de l importation d un certificat utilisateur la section publique et la section priv e de ce certificat sont import es toutes les deux Si uniquement la partie publique est import e seule l authentification par token est prise en charge La combinaison des certificats AC et de la CRL Certificate Revocation List liste de r vocation des certificats doit correspondre Dans le cas contraire les utilisateurs ne peuvent pas se connecter leurs ordinateurs respectifs V rifiez que la combinaison est correcte SafeGuard Enterprise n effectue pas cette v rification Si des certificats de l autorit de certification AC sont supprim s dans la base de donn es et si vous ne souhaitez plus les utiliser veuillez les supprimer manuellement du magasin local de tous les ordinateurs administrateurs SafeGuard Enterprise peut ensuite uniquement communiquer avec les certificats ayant expir si les cl s nouvelles et anciennes sont pr sentes su
298. le Encryption pour Mac Ce document s adresse aux administrateurs travaillant conjointement sur les plates formes Mac et Windows Configuration des r gles de chiffrement dans les strat gies File Encryption Vous d finissez les r gles du chiffrement bas sur fichier sur les emplacements r seau dans une strat gie du type File Encryption Remarque lorsqu ils sont chiffr s certains dossiers par exemple c program files peut emp cher l ex cution du syst me d exploitation ou d applications Lorsque vous d finissez des r gles de chiffrement assurez vous que ces dossiers ne sont pas chiffr s 1 Dans la zone de navigation Strat gies cr ez une nouvelle strat gie du type File Encryption ou s lectionnez en une Le tableau des r gles de la strat gie File Encryption appara t 2 Dans la colonne Chemin d finissez le chemin c est dire le dossier g rer par File Encryption E Cliquez sur le bouton d roulant et s lectionnez un espace r serv de nom de dossier dans la liste des espaces r serv s disponibles Remarque en faisant passer votre curseur sur les entr es de la liste vous pouvez afficher des infobulles qui vous indiquent comment un espace r serv est g n ralement pr sent sur un ordinateur d extr mit Vous pouvez seulement saisir des espaces r serv s valides Retrouvez une description de tous les espaces r serv s disponibles la section Espaces r serv s pour les chemins des r gles
299. le d autoriser le responsable requ te en dehors des heures de bureau L 805306390 Une partie responsable ne peut pas se supprimer 805306391 Le responsable principal de la s curit ne peut pas tre supprim car un second responsable principal de la s curit est n cessaire pour une authentification suppl mentaire 805306392 Le responsable de la s curit ne peut pas tre supprim car un second responsable de la s curit est requis pour une authentification suppl mentaire 805306393 Le responsable de la v rification ne peut pas tre supprim car un second responsable de la v rification est requis pour une authentification suppl mentaire 805306394 Le responsable de la r cup ration ne peut pas tre supprim car un second responsable r cup ration est requis pour une authentification suppl mentaire 805306395 Le conseiller principal ne peut pas tre supprim car un second conseiller principal est requis pour une authentification suppl mentaire 303 SafeGuard Enterprise 304 Identifiant de l erreur 805306396 805306397 805306398 805306399 805306400 805306401 Affichage La fonction de responsable principal de la s curit ne peut pas tre supprim e car un second responsable principal de la s curit est n cessaire pour une authentification suppl mentaire La fonction de responsable de la s curit ne peut pas tre supprim e car un second responsable de la s
300. lement actif inactif La prise en charge USB 1 x reste tel que d finie par Maj F5 E Maj F9 ACPI APIC actif inactif Matrice de d pendance des raccourcis clavier USB 95 SafeGuard Enterprise H rit d sactiv d sactiv d sactiv activ activ activ 3 activ d sactiv d sactiv d sactiv activ activ Par d faut d sactiv activ d sactiv activ d sactiv d sactiv activ activ d sactiv activ d sactiv d sactiv d sactiv d sactiv activ activ activ d sactiv activ d sactiv activ d sactiv activ d sactiv d sactiv activ activ activ d sactiv d sactiv activ activ activ activ d sactiv d sactiv 1 Maj F5 d sactive USB 1 x et USB 2 0 Remarque si vous appuyez sur Maj F5 pendant le d marrage vous r duirez consid rablement la dur e du lancement de l authentification au d marrage SafeGuard Sachez cependant que si l ordinateur est quip d un clavier USB ou d une souris USB ces derniers peuvent tre d sactiv s si vous appuyez sur Maj F5 2 Siaucun support USB n est actif l authentification au d marrage SafeGuard tente d utiliser BIOS SMM au lieu de sauvegarder et de restaurer le contr leur USB Le mode h rit peut fonctionner dans ce sc nario 3 Le support h rit est actif USB est actif L authentification au d marrage SafeGuard tente de sauvegarder et de r
301. les m Le nouveau token a t g n r E Seul un certificat est attribu l utilisateur m Vous avez besoin des droits d Acc s complet pour l utilisateur correspondant Pour changer le certificat d un utilisateur pour la connexion par token 1 Dans SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Connectez le token dans l interface USB SafeGuard Enterprise lit le token 3 S lectionnez l utilisateur dont vous voulez changer le certificat et ouvrez l onglet Certificat dans la zone de travail droite 4 Dans la barre d outils cliquez sur l ic ne appropri e pour l action que vous voulez ex cuter 209 SafeGuard Enterprise 24 7 4 210 5 S lectionnez le certificat concern et saisissez le code PIN du token 6 Cliquez sur OK 7 Fournissez le nouveau token l utilisateur Le certificat est attribu l utilisateur sous la forme d un certificat de veille Ceci est indiqu par une coche dans la colonne Veille de l onglet Certificats de l utilisateur Apr s la synchronisation entre l ordinateur d extr mit et le serveur SafeGuard Enterprise la bo te de dialogue d tat de l ordinateur d extr mit indique que ce dernier est Pr t pour la modification du certificat L utilisateur doit maintenant lancer une modification du certificat sur l ordinateur d extr mit Retrouvez plus d informations dans le Manuel d utilisation de SafeGuard Enterprise Une fois que l utili
302. les v nements par Niveau Cat gorie etc Le menu contextuel des colonnes propose galement de nombreuses fonctions de tri de regroupement et de personnalisation de la Visionneuse des v nements Cliquez deux fois sur une entr e de l Observateur d v nements pour afficher des d tails sur l v nement journalis 30 5 1 Application de filtres dans l Observateur d v nements SafeGuard Enterprise Le SafeGuard Management Center propose des fonctions de filtrage compl tes Gr ce ces fonctions vous pouvez r cup rer rapidement les v nements appropri s parmi ceux affich s 258 Manuel d administration La zone Filtre de l Observateur d v nements offre les champs suivants pour la d finition des filtres Description Cat gories Gr ce ce champ vous pouvez filtrer la Observateur d v nements en fonction de la classification source par exemple Chiffrement Authentification Syst me affich e dans la colonne Cat gorie S lectionnez les cat gories souhait es dans la liste d roulante du champ Niveau d erreur Gr ce ce champ vous pouvez filtrer la Observateur d v nements en fonction de la classification des v nements Windows par exemple avertissement erreur indiqu e dans la colonne Niveau S lectionnez les niveaux souhait s dans la liste d roulante du champ Afficher dernier Dans ce champ vous pouvez d finir le nombre d v nements afficher Les derniers v nements
303. les fonctions de r cup ration offertes par le m canisme Challenge R ponse SafeGuard Elle sert d option de secours lorsque les conditions requises l utilisation de la version UEFI ne sont pas remplies Le programme d installation Sophos v rifie si les conditions requises sont remplies et en cas contraire il installe automatiquement la version BitLocker sans Challenge R ponse Ordinateurs d extr mit Mac Les produits mentionn s ci dessous sont disponibles pour les ordinateurs d extr mit Mac Ils sont galement g r s par SafeGuard Enterprise ou communiquent leur rapport d tat la console d administration Management Center Sophos SafeGuard Sophos SafeGuard Sophos SafeGuard File Encryption 6 1 Disk Encryption 6 1 Disk Encryption pour FileVault 2 Mac 6 0 envoi de administr par rapport au SafeGuard Management Center OS X 10 7 OUI OS X 10 8 OS X 10 9 Ce manuel fait uniquement r f rence la plate forme Windows Retrouvez plus d informations sur les versions Mac dans la documentation produit respective SafeGuard Enterprise 2 Bon usage en mati re de s curit En suivant les tapes simples mentionn es ci dessous vous pourrez carter les risques et conserver les donn es de votre entreprise s curis es et prot g es tout moment Pour utiliser SafeGuard Enterprise dans un mode conforme la certification reportez vous au Manuel SafeGuard Enterprise pour une utilisation conforme
304. let Attribution de groupe d authentification au d marrage dans Utilisateurs et ordinateurs E Pour les ordinateurs d extr mit non administr s qui fonctionnent en mode autonome et ne sont pas connect s au serveur SafeGuard Enterprise un package de configuration avec un groupe d authentification au d marrage doit tre cr et d ploy 16 7 1 Attribution d utilisateurs de l authentification au d marrage aux ordinateurs d extr mit administr s Pour attribuer des utilisateurs de l authentification au d marrage aux ordinateurs administr s vous avez besoin des droits d Acc s complet ou en Lecture seule pour le groupe d authentification au d marrage concern et des droits d Acc s complet pour les conteneurs correspondants 107 SafeGuard Enterprise Remarque l attribution d utilisateurs de l authentification au d marrage est seulement valide pour les ordinateurs d extr mit SafeGuard Enterprise administr s partir de la version 5 60 1 Dans la zone de navigation du SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation Utilisateurs et ordinateurs s lectionnez le conteneur requis 3 Dans la zone d action du SafeGuard Management Center s lectionnez l onglet Attribution de groupe d authentification au d marrage Sous Groupes POA droite tous les groupes d authentification au d marrage disponibles apparaissent 4 Faites glisser le groupe d authentificatio
305. liquez sur Cl s et certificats 2 Dans la fen tre de navigation de gauche cliquez sur Clients virtuels 3 Dans la barre d outils cliquez sur Ajouter un client virtuel 4 Saisissez un nom unique de client virtuel et cliquez sur OK Les clients virtuels sont identifi s dans la base de donn es par ces noms 5 Dans la barre d outils cliquez sur l ic ne Enregistrer pour enregistrer le client virtuel dans la base de donn es Le nouveau client virtuel appara t dans la zone d action Exportation de clients virtuels Une fois le client virtuel cr vous devez l exporter dans un fichier Ce fichier est toujours nomm recoverytoken tok et doit tre distribu au support Ce fichier doit tre disponible dans l environnement de l ordinateur d extr mit pour lancer une session Challenge R ponse avec un outil de r cup ration par exemple lorsque l authentification au d marrage SafeGuard est corrompue L utilisateur doit placer le fichier de client virtuel Manuel d administration 9 5 3 recoverytoken tok dans le m me dossier que l outil de r cup ration pour la prise en charge d une proc dure Challenge R ponse 1 Dans le SafeGuard Management Center cliquez sur Cl s et certificats 2 Dans la fen tre de navigation de gauche cliquez sur Clients virtuels 3 Dans la zone d action recherchez le client virtuel concern en cliquant sur la loupe Les clients virtuels disponibles apparaissent 4 S lectionnez l
306. llation seront annul es Si l option Activer la protection antialt ration Sophos est d finie sur Non la d sinstallation de SafeGuard Enterprise ne sera pas v rifi e ou emp ch e par la protection antialt ration Sophos Remarque ce param tre ne s applique qu aux ordinateurs d extr mit partir de la version 9 5 de Sophos Endpoint Security and Control PARAM TRES DU FOURNISSEUR DES CODES D ACC S Enveloppement du fournisseur de codes d acc s Vous pouvez configurer SafeGuard Enterprise pour utiliser un fournisseur de codes d acc s diff rents de ceux du fournisseur de codes d acc s Windows Les mod les des fournisseurs de codes d acc s pris en charge peuvent tre t l charg s sur le site Web de Sophos Pour obtenir une liste des mod les de fournisseurs de codes d acc s prouv s et savoir o les t l charger veuillez contacter le support Sophos Vous pouvez importer un mod le et le d ployer sur les ordinateurs d extr mit en utilisant le param tre de la strat gie Fournisseur de codes d acc s Veuillez cliquer sur Importer le mod le et naviguez jusqu au fichier de mod les Le mod le import et son contenu sont affich s dans le champ Fournisseur de codes d acc s et d fini en tant que strat gie Pour supprimer un mod le veuillez cliquer sur Effacer le mod le Remarque veuillez ne pas modifier les fichiers de mod les fournis Si la structure XML de ces fichiers est modifi e les
307. lorsque vous cr ez des strat gies du type Protection des p riph riques pour le chiffrement bas sur fichier Manuel d administration 17 8 2 17 9 S lection de listes blanches comme cibles des strat gies de protection des p riph riques pour le chiffrement bas sur fichier Condition pr alable La liste blanche requise doit avoir t cr e dans le SafeGuard Management Center 1 Dans la zone de navigation du SafeGuard Management Center cliquez sur Strat gies 2 Dans la fen tre de navigation cliquez avec le bouton droit de la souris sur l ments de strat gie puis s lectionnez Nouveau 3 S lectionnez Protection des p riph riques Une bo te de dialogue permettant de nommer la nouvelle strat gie s affiche 4 Saisissez un nom et ventuellement une description de la nouvelle strat gie 5 Sous Cible de protection de p riph rique s lectionnez la liste blanche correspondante E Si vous avez cr une liste blanche pour les mod les de p riph riques de stockage elle appara t sous Mod les de p riph riques de stockage E Si vous avez cr une liste blanche pour les p riph riques de stockage distincts elle appara t sous P riph riques de stockage distincts 6 Cliquez sur OK La liste blanche a t s lectionn e comme cible pour la strat gie de Protection des p riph riques Une fois que la strat gie a t transf r e sur l ordinateur d extr mit le mode de chiffrement s
308. lphanum rique Au moins 3 caract res cons cutifs non autoris s L activation de cette option interdit les s quences de touches W qui sont des s ries cons cutives de symboles de code ASCII que ce soit par ordre croissant ou d croissant abc cba etc constitu es de trois symboles identiques ou plus aaa ou n 1 1 1 n Utilisation interdite du nom d utilisateur comme code PIN D termine si le nom d utilisateur et le code PIN peuvent tre identiques Oui le nom d utilisateur Windows et le code PIN doivent tre diff rents Non l utilisateur peut utiliser son nom d utilisateur Windows comme code PIN Utiliser la liste des codes PIN interdits D termine si certaines s quences de caract res ne doivent pas tre utilis es pour les codes PIN Les s quences de caract res sont stock es dans la Liste de codes PIN non autoris s par exemple un fichier txt Liste de PIN non autoris s D finit les s quences de caract res ne pas utiliser pour les codes PIN Si un utilisateur utilise un code PIN non autoris un message d erreur s affiche Condition pr alable Une liste fichier de codes PIN non autoris s doit tre enregistr e dans le Management Center dans la zone de navigation de strat gie 125 SafeGuard Enterprise 126 Param tre de strat gie Explication sous Texte d informations La liste n est disponible qu apr s l enregistrement
309. m nom de connexion ou nom de connexion avant 2000 dans un domaine Pour rechercher les objets 1 Dans la zone de navigation du SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la zone de navigation Utilisateurs et ordinateurs s lectionnez le conteneur requis 3 Dans la barre de menus du SafeGuard Management Center cliquez sur dition gt Rechercher La bo te de dialogue Rechercher des utilisateurs ordinateurs et groupes s affiche 4 S lectionnez le filtre requis dans la liste d roulante Rechercher 5 Dans le champ Dans le conteneur s lectionn appara t Vous pouvez changer ceci en s lectionnant une option diff rente de la liste d roulante 6 Si vous recherchez un objet sp cifique entrez le nom recherch dans le champ Rechercher le nom 7 Avec la case cocher Supprimer les r sultats apr s chaque recherche sp cifiez si les r sultats doivent tre effac s apr s chaque processus de recherche 8 Cliquez sur Rechercher maintenant Les r sultats apparaissent dans la bo te de dialogue Rechercher des utilisateurs ordinateurs et groupes Si vous cliquez sur un des r sultats dans cette bo te de dialogue l entr e correspondante est marqu e dans l arborescence Utilisateurs et ordinateurs Si vous avez recherch les doublons par exemple vous pouvez maintenant les supprimer facilement 7 4 Affichage des propri t s d objet dans Utilisateurs et ordinateurs Pour afficher le
310. mations g n rales et de modification relatives au responsable principal de la s curit s affichent Affichage des propri t s des responsables de la s curit Les informations g n rales et de modification relatives au responsable de la s curit s affichent 1 Dans Propri t s s lectionnez l onglet Actions afin d afficher un r sum des actions autoris es et des r les attribu s au responsable de la s curit Affichage des droits et des r les des responsables de la s curit Un r sum des actions de tous les r les attribu s au responsable de la s curit s affiche L arborescence affiche les actions n cessaires l ex cution d autres actions Les r les attribu s peuvent galement tre affich s 1 Dans la bo te de dialogue lt Nom du responsable de la s curit gt Propri t s dans l onglet Actions s lectionnez une action pour afficher tous les r les attribu s qui contiennent cette action 2 Cliquez deux fois sur un r le dans la liste R les attribu s avec l action s lectionn e La bo te de dialogue lt Nom du responsable de la s curit gt Propri t s se ferme et les propri t s du r le s affichent Affichage des propri t s du r le Les informations g n rales et de modification relatives au r le s affichent 1 Dans Propri t s s lectionnez l onglet Attribution afin d afficher les responsables de la s curit attribu s ce r le 39 SafeGuard Enterprise 8 4 5 Affi
311. mbres du groupe de travail la suppression du groupe de travail choue et un message d erreur appara t Cr ation d un domaine Les responsables de la s curit disposant des droits requis peuvent cr er un domaine sous le r pertoire racine Veuillez cr er un nouveau domaine uniquement si vous ne voulez pas ou ne pouvez pas importer un domaine partir d Active Directory AD par exemple parce qu aucun AD n est disponible 1 Dans SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation de gauche cliquez avec le bouton droit de la souris sur Racine Filtre actif et s lectionnez Nouveau gt Cr er un domaine enregistrement auto 3 Sous Informations communes saisissez les informations suivantes concernant le contr leur de domaine 31 SafeGuard Enterprise 7 2 8 7 2 9 32 Les trois entr es de noms doivent tre correctes Faute de quoi le domaine n est pas synchronis a Nom complet par exemple nom ordinateur domaine fr ou l adresse IP du contr leur de domaine b Nom distinctif nom DNS par exemple DC nomordinateur3 DC domaine DC pays c Une description de domaine facultatif d Nom Netbios nom du contr leur de domaine e Le type d objet est affich sous tat de la connexion dans ce cas Domaine f Pour emp cher l h ritage de strat gie vous pouvez s lectionner Bloquer l h ritage de strat gie g Cliquez sur OK Le nouveau domaine
312. ministration 9 2 9 2 1 4 Enregistrez vos changements dans la base de donn es Les cl s indiqu es n apparaissent pas dans le jeu de cl s de l utilisateur Retrouvez plus d informations sur l affichage du jeu de cl s de l utilisateur sur l ordinateur d extr mit dans le Manuel d utilisation de SafeGuard Enterprise au chapitre Ic ne de la barre d tat syst me et infobulles Remarque si une strat gie indique une cl masqu e utiliser pour le chiffrement le param tre Masquer la cl n affecte pas le chiffrement sur l ordinateur d extr mit Cl s personnelles pour le chiffrement bas sur fichier par le File Share Une cl personnelle est un type particulier de chiffrement cr pour un utilisateur donn qui ne peut pas tre partag avec d autres utilisateurs Une cl personnelle qui est active pour un utilisateur donn est appel e une cl personnelle active Les cl s personnelles actives ne peuvent pas tre attribu es d autres utilisateurs Dans les strat gies File Encryption vous pouvez d finir des r gles de chiffrement qui utilisent l espace r serv Cl personnelle au lieu d un nom de cl Pour de telles r gles la cl de chiffrement utiliser est la cl personnelle active de l utilisateur Lorsque vous d finissez une r gle de chiffrement pour que le chemin C encrypt soit chiffr avec la cl personnelle des cl s diff rentes sont utilis es pour diff rents utilisateurs Vous po
313. mp Mode de r cursivit des strat gies et si la strat gie provient d une machine seuls les param tres de la machine sont analys s Les param tres de l utilisateur ne sont pas analys s Aucun bouclage Aucun blocage est le comportement standard Les strat gies de l utilisateur sont prioritaires sur celles de la machine Comment les param tres Ignorer l utilisateur et Param tres de relecture de la machine sont ils analys s S il existe des attributions de strat gies actives les strat gies de la machine sont analys es et regroup es d abord Si le regroupement Manuel d administration Param tre de strat gie Explication des diff rentes strat gies se traduit par l attribut Ignorer l utilisateur dans le mode de r cursivit des strat gies les strat gies qui auraient t appliqu es pour l utilisateur ne sont plus analys es Cela signifie que les m mes strat gies s appliquent l utilisateur et la machine Si la valeur Param tres de relecture de la machine est appliqu e dans le cas du mode de r cursivit des strat gies lorsque les strat gies individuelles de la machine ont t regroup es les strat gies de l utilisateur sont ensuite combin es celles de la machine Apr s le regroupement les strat gies de la machine sont r crites et remplacent les param tres de strat gie de l utilisateur Cela signifie que si un param tre est pr sent dans les deux strat gies la valeur de la stra
314. musique de tous les utilisateurs Chemin type C Documents and Settings All Users Documents My Music lt Public Pictures gt R pertoire du syst me de fichiers qui sert de d p t commun pour les fichiers image de tous les utilisateurs Chemin type C Documents and Settings Tous les utilisateurs Documents Mes Images lt Vid os publiques gt Windows R pertoire du syst me de fichiers qui sert de d p t commun pour les fichiers vid o de tous les utilisateurs Chemin type C Documents and Settings Tous les utilisateurs Documents Mes Vid os lt Itin rant gt R pertoire du syst me de fichiers qui sert de d p t commun pour les donn es sp cifiques aux applications Chemin type C Documents and Settings nom d utilisateur Application Data lt Syst me gt Windows lt Temporary Burn Folder gt Dossier syst me Windows Chemin type C Windows System32 Pour les syst mes 64 bits celui ci sera tendu en deux r gles une pour le 32 bits et une pour le 64 bits R pertoire du syst me de fichiers qui sert de zone de transit pour les fichiers en attente d criture sur un CD ROM Chemin type C Documents and Settings username Local Settings Application Data Microsoft CD Burning lt Dossier de gravure temporaire gt Windows R pertoire du syst me de fichiers qui sert de d p t commun pour les fichiers temporaires Internet Chemin type C Documents and Settings username Local
315. n Administration Administration Identifiant s i 2083 2084 2085 Administration Administration Administration Administration Administration Description R ponse avec afficher le mot de passe utilisateur cr e R ponse pour les clients virtuels cr e R ponse pour les clients autonomes cr e Authentification 2095 Impossible d activer l veil par appel r seau Un certificat a t attribu l utilisateur du client autonome Impossible de d sactiver l veil par appel r seau L utilisateur s est connect pour la premi re fois au client l aide du token de veille Le token de veille a t d fini comme cl standard L activation du certificat de veille r ussie a t signal e au serveur L utilisateur s est connect pour la premi re fois au client l aide du token de veille Le certificat de veille n a pas pu tre activ cause d une erreur L activation du certificat de veille a chou sur le serveur Lancement de SafeGuard Enterprise Administration chec de la connexion SafeGuard Enterprise Administration Autorisation pour SafeGuard Enterprise Administration refus e Autorisation suppl mentaire accord e pour l action Autorisation suppl mentaire refus e Importation de donn es depuis le r pertoire men e bien Importation de donn es depuis le r pertoire annul e Impossible d importer des donn es depuis le r pertoire Utilisateur cr
316. n au d marrage basse r solution Image de connexion Taille de fichier maximale pour toutes les images de connexion 100 Ko SafeGuard Enterprise prend en charge deux variantes d images de connexion E 413x140 Couleurs aucune restriction Strat gie du type Param tres g n raux option Image de connexion dans la POA E 413x140 Couleurs 16 Strat gie du type Param tres g n raux option Image de connexion dans l authentification au d marrage basse r solution Les images doivent tre cr s en premier sous la forme de fichiers fichiers BMP PNG JPG puis enregistr s dans la fen tre de navigation Enregistrement d images 1 Dans la zone de navigation Strat gies cliquez avec le bouton droit de la souris sur Images et s lectionnez Nouveau gt Image 2 Entrez le nom de l image dans le champ Nom de l image 3 Cliquez sur pour s lectionner l image pr alablement cr e 4 Cliquez sur OK La nouvelle image appara t sous la forme d un n ud secondaire de Images dans la zone de navigation de strat gie Si vous s lectionnez l image elle s affiche dans la zone d action L image peut d sormais tre s lectionn e lors de la cr ation de strat gies R p tez la proc dure pour enregistrer d autres images Toutes les images enregistr es s affichent sous la forme de n uds secondaires Remarque vous pouvez utiliser le bouton Modifier l image pour changer l image attribu e Texte d informations d f
317. n concernant la cause de cette erreur n est disponible 536870945 L ordinateur sur lequel la compilation CBI s effectue n a pas suffisamment de m moire pour effectuer la fonction demand e Il se peut que cette fonction ne soit que partiellement ex cut e 536870946 Une op ration demand e n est pas prise en charge par la compilation CBI 536870947 Tentative de d finition d une valeur pour un objet qui ne peut pas tre param tr ou modifi 536870948 Valeur non valide pour l objet 536870949 chec d obtention de la valeur d un objet car celui ci est sensible ou inaccessible 536870950 Le code PIN saisi a expir Le fait que le code PIN d un utilisateur classique fonctionne ou non sur un token g n r e d pend de cette derni re 536870951 Le code PIN fourni est incorrect Authentification impossible de l utilisateur 536870952 Le code PIN saisi contient des caract res non valides Ce code de r ponse ne s applique qu aux op rations qui tentent de d finir un code PIN 536870953 Le code PIN saisi est trop long ou trop court Ce code de r ponse ne s applique qu aux op rations qui tentent de d finir un code PIN 300 Manuel d administration Identifiant de l erreur 536870954 Affichage Le code PIN s lectionn est bloqu et ne peut pas tre utilis Ceci se produit lorsqu un certain nombre de tentatives ont t faites pour authentifier un utilisateur et lorsque le toke
318. n Responsables de la s curit du Management Center D autres responsables de la s curit peuvent tre attribu s des t ches sp cifiques comme le support ou l audit Dans la zone de navigation du SafeGuard Management Center vous pouvez r organiser les responsables de la s curit de fa on hi rarchique pour refl ter la structure organisationnelle de votre entreprise Toutefois cette hi rarchie ne tient pas compte des droits et des r les Remarque deux responsables de la s curit ne doivent pas utiliser le m me compte Windows sur le m me ordinateur Dans le cas contraire il est impossible de distinguer correctement leurs droits d acc s Une authentification suppl mentaire ne peut tre utile que lorsque les responsables de la s curit doivent s authentifier l aide de tokens cartes puce R les du responsable de la s curit Pour plus de simplicit SafeGuard Enterprise propose des r les pr d finis pour les responsables de la s curit dot s de diverses fonctions Un responsable de la s curit poss dant les droits n cessaires peut galement d finir de nouveaux r les partir d une liste d actions de droits et les attribuer des responsables de la s curit particuliers Les types de r le suivants sont fournis E R le du responsable principal de la s curit E R les pr d finis E R les personnalis s Responsable principal de la s curit Apr s avoir install SafeGuard Enterprise
319. n au d marrage requis des Groupes POA dans la zone d action Attribution de groupe d authentification au d marrage Le Nom du groupe et le Groupe DSN du groupe d authentification au d marrage apparaissent dans la zone de travail 5 Enregistrez vos changements dans la base de donn es Tous les membres du groupe d authentification au d marrage attribu sont d ploy s sur tous les ordinateurs d extr mit dans le conteneur s lectionn Vous pouvez annuler l attribution d un groupe d authentification au d marrage ou changer le groupe d authentification au d marrage attribu en continuant comme indiqu et en d pla ant les groupes de l onglet Attribution de groupe d authentification au d marrage et de la zone Groupes POA depuis la zone d action et vers celle ci Apr s avoir enregistr vos changements dans la base de donn es la nouvelle attribution s applique 16 7 2 Attribution d utilisateurs de l authentification au d marrage aux 108 ordinateurs d extr mit non administr s Pour attribuer les utilisateurs de l authentification au d marrage aux ordinateurs d extr mit non administr s vous avez besoin des droits en Lecture seule ou d Acc s complet pour le groupe d authentification au d marrage concern Les utilisateurs de l authentification au d marrage sont attribu s aux ordinateurs d extr mit non administr s ordinateurs fonctionnant en mode autonome dans les packages de configuration 1 Dans Safe
320. n code PIN par d faut est sp cifi vous ne pourrez pas enregistrer la strat gie Si vous souhaitez activer l option Connexion automatique vers Windows vous pouvez cr er ult rieurement une autre strat gie du type Authentification dans laquelle cette option est activ e et l attribuer au m me groupe d ordinateurs afin que les deux strat gies soient actives dans le RSOP 6 Vous pouvez galement sp cifier d autres param tres de token 7 Enregistrez vos param tres et attribuez la strat gie aux ordinateurs ou groupes d ordinateurs concern s Windows d marre si la connexion automatique sur l ordinateur d extr mit r ussit En cas d chec de la connexion automatique sur l ordinateur d extr mit l utilisateur est invit saisir le code PIN de token lors de l authentification au d marrage SafeGuard 24 7 Attribution de certificats Les informations de connexion mais galement les certificats peuvent tre crits sur un token Seule la partie priv e du certificat fichier p12 peut tre enregistr e sur le token En revanche les utilisateurs peuvent alors seulement se connecter avec le token Nous vous recommandons d utiliser des certificats PKI Vous pouvez attribuer les donn es d authentification diff rents types de tokens de la mani re suivante M En g n rant des certificats directement sur le token M En attribuant des donn es qui sont d j sur le token 207 SafeGuard Enterprise 24 7
321. n non valide 536870981 L objet est en cours d utilisation 536870982 Le g n rateur de nombres al atoire n a pas t initialis CBIRNDInit non requis 536870983 Commande inconnue voir CBIControl 536870984 UNICODE n est pas pris en charge 536870985 Davantage de valeurs de d part sont n cessaires pour le g n rateur de nombres al atoire 536871001 Une op ration est active 536871002 Un certificat de la cha ne n est pas correctement imbriqu 536871003 La CRL n a pas pu tre remplac e 536871004 Le code PIN de l utilisateur a d j t initialis 805306369 Vous ne disposez pas des droits permettant d effectuer cette op ration Acc s refus 805306370 Op ration non valide 302 Manuel d administration Identifiant de Affichage l erreur 805306381 La strat gie est attribu e un groupe de strat gies Supprimez l attribution avant de supprimer la strat gie 805306382 La strat gie est attribu e une OU Supprimez d abord l attribution 805306383 Le certificat n est pas valide pour ce responsable 805306384 Le certificat a expir pour ce responsable 805306385 Le responsable est introuvable dans la base de donn es 805306386 Le responsable s lectionn n est pas unique 805306387 Le responsable est bloqu et ne peut pas tre authentifi 805306388 Le responsable n est plus ou n est pas encore valide 805306389 Impossib
322. n refuse toute tentative suppl mentaire 536870955 Identifiant de connecteur non valide 536870956 Le token n tait pas dans le connecteur lors de la requ te 536870957 L archive CBI et ou le connecteur n ont pas reconnu le token qui s y trouve 536870958 L op ration demand e n a pas pu tre effectu e car le token est prot g en criture 536870959 L utilisateur saisi ne peut pas tre connect car il a d j ouvert une session 536870960 536870961 536870962 536870963 L utilisateur saisi ne peut pas se connecter car un autre utilisateur est d j connect cette session L op ration demand e n a pas pu tre effectu e car aucun utilisateur correspondant n est connect Par exemple il n est pas possible de quitter une session lorsqu un utilisateur est encore connect Le code PIN de l utilisateur normal n a pas t initialis avec CBIInitPin Une tentative de connexion effectu e par plusieurs utilisateurs simultan ment sur le m me token a t autoris e 536870964 Une valeur incorrecte a t sp cifi e en tant que CBIUser Les types valides sont d finis dans les types d utilisateurs 536870976 Une erreur s est produite pendant la requ te d une fonction r seau 536870977 Une requ te de fonction non valide a t re ue 536870978 Impossible de trouver un objet 301 SafeGuard Enterprise Identifiant de Affichage l erreur 536870980 Op ratio
323. nalisation 29 4 Filtrage des donn es d inventaire Lorsque vous utilisez une OU des filtres peuvent tre d finis pour limiter l affichage en fonction d un crit re particulier Les champs suivants sont disponibles pour d finir des filtres dans la zone Filtre de l onglet Inventaire Description Nom de l ordinateur Pour afficher les donn es d inventaire et d tat d un ordinateur particulier entrez le nom de l ordinateur dans ce champ Sous conteneurs inclus Activez ce champ pour inclure les sous conteneurs l cran Afficher dernier modifi Utilisez ce champ pour sp cifier le nombre de derni res modifications afficher 248 Manuel d administration 29 5 29 6 Vous pouvez galement utiliser l diteur de filtres pour cr er des filtres d finis par l utilisateur Vous pouvez ouvrir l diteur de filtres depuis le menu contextuel de chaque colonne Dans la fen tre G n rateur de filtres vous pouvez d finir des filtres personnalis s et les appliquer la colonne concern e Actualisation des donn es d inventaire Les ordinateurs d extr mit envoient et mettent g n ralement jour les donn es d inventaire lorsqu elles sont modifi es La commande Demander une actualisation de l inventaire peut tre utilis e pour demander manuellement une actualisation des donn es d inventaire actuelles de l ordinateur Cette commande est disponible pour un ordinateur particulier ou pour tous les ord
324. nce Actions de r cup ration pour les clients SafeGuard Enterprise Le flux de travail de r cup ration d pend du type d ordinateur d extr mit pour lequel une r cup ration est demand e Remarque s il s agit d ordinateurs chiffr s BitLocker la seule action de r cup ration consiste r cup rer la cl utilis e pour chiffrer un volume sp cifique La r cup ration de mots de passe n est pas propos e R cup ration du mot de passe l authentification au d marrage SafeGuard L un des sc narios les plus courants est l oubli du mot de passe par l utilisateur Par d faut SafeGuard Enterprise est install avec l authentification au d marrage SafeGuard activ e Le mot de passe de l authentification au d marrage SafeGuard permettant d acc der l ordinateur est identique au mot de passe Windows Si l utilisateur a oubli le mot de passe l authentification au d marrage SafeGuard le responsable du support SafeGuard Enterprise peut g n rer une r ponse pour Initialiser le client SGN avec une connexion utilisateur mais sans afficher le mot de passe de l utilisateur Par contre dans ce cas apr s avoir entr le code de r ponse l ordinateur d marre sur le syst me d exploitation L utilisateur doit changer le mot de passe lors de la connexion Windows condition que le domaine soit accessible L utilisateur peut alors se connecter Windows ainsi qu l authentification au d marrage SafeGuard l aide du no
325. ncern dans le r pertoire suivant auditing SGMTranslog Les fichiers journaux sont soumis un m canisme de transport qui les transf re dans la base de donn es via le serveur SafeGuard Enterprise Par d faut le fichier est soumis d s que le m canisme de transport a tabli une connexion avec le serveur Pour limiter la taille d un fichier journal vous pouvez d finir un nombre maximal d entr es du journal dans une strat gie du type Param tres g n raux Le fichier journal est soumis dans la file d attente de transport du serveur SafeGuard Enterprise une fois le nombre d entr es sp cifi atteint Les v nements journalis s dans la base de donn es centrale peuvent tre affich s dans l Observateur d v nements ou dans le Visualiseur de suivi des fichiers de SafeGuard Enterprise En tant que responsable de la s curit vous devez disposer des droits appropri s pour afficher analyser et g rer les v nements journalis s dans la base de donn es Configuration des param tres de journalisation Les param tres de rapport sont d finis l aide de deux strat gies M Strat gie Param tres g n raux Dans une strat gie Param tres g n raux vous pouvez sp cifier un nombre maximum d entr es journalis es au del duquel le fichier journal contenant les v nements destin s la base de donn es centrale doit tre transf r dans la base de donn es de SafeGuard Enterprise Ceci permet de r duire la taille des fichi
326. ncryption Les r gles sont tri es dans l ordre d valuation des r gles de chiffrement sur l ordinateur d extr mit Retrouvez plus d informations la section valuation des r gles File Encryption sur les ordinateurs d extr mit la page 175 La colonne Nom de la strat gie indique d o les r gles individuelles proviennent Pour les r gles en double la seconde et la troisi me etc r gle est marqu e d une ic ne Cette ic ne fournit aussi une infobulle vous informant que la r gle sera ignor e sur l ordinateur d extr mit car il s agit du double d une r gle avec une priorit sup rieure valuation des r gles File Encryption sur les ordinateurs d extr mit Sur les ordinateurs d extr mit les r gles File Encryption sont tri es d une telle fa on que les emplacements plus sp cifiquement d finis sont valu s en premier m Si deux r gles avec les m mes param tres Chemin et tendue proviennent de strat gies attribu es des noeuds diff rents la r gle de la strat gie la plus proche de l objet utilisateur dans Utilisateurs et ordinateurs est appliqu e m Si deux r gles avec les m mes param tres Chemin et tendue proviennent de strat gies attribu es au m me noeud la r gle de la strat gie ayant la priorit la plus lev e est appliqu e m Les r gle absolues sont valu es avant les r gles relatives par exemple c encrypt avant encrypt Retrouvez plus d informations la section Informa
327. nd en charge Windows 7 et Windows 8 fonctionnant sur des ordinateurs d extr mit dot s de BIOS ou d UEFI M Pour les plates formes BIOS vous pouvez choisir entre le chiffrement int gral du disque SafeGuard Enterprise et le chiffrement BitLocker g r par SafeGuard Enterprise La version BIOS est livr e avec le m canisme de r cup ration BitLocker original Remarque si l authentification au d marrage SafeGuard ou le chiffrement int gral du disque SafeGuard sont mentionn s dans le pr sent manuel il font uniquement r f rence aux ordinateurs d extr mit Windows 7 avec BIOS M Pour les plates formes UEFI veuillez utiliser BitLocker g r par SafeGuard Enterprise pour le chiffrement du disque Pour ces ordinateurs d extr mit SafeGuard Enterprise offre des fonctionnalit s am lior es de Challenge R ponse Retrouvez plus de renseignements sur les versions UEFI prises en charge et sur les limites de la prise en charge du Challenge R ponse SafeGuard BitLocker dans les Notes de publication disponibles sur http downloads sophos com readmes readsgn_61_fra html Remarque la mention UEFI appara t de mani re explicite chaque fois qu elle doit tre utilis e Le tableau ci dessous indique quels composants sont disponibles Chiffrement int gral Authentification de R cup ration C R du disque SafeGuard pr initialisation SafeGuard pour avec authentification BitLocker g r e par l authentification de au d marrage SafeGua
328. nd ne peut pas utiliser le code PIN Informatique avant la quatri me invitation de changement du code PIN en d autres termes longueur d historique du code PIN 4 17 5 Cr ation d une liste de mots de passe interdits utiliser dans les strat gies Pour les strat gies de type Mot de passe une liste de mots de passe peut tre cr e afin de d finir quelles sont les s quences de caract res qui ne doivent pas tre utilis es dans les mots de passe Remarque dans les listes les mots de passe non autoris s sont s par s par un saut de ligne Les fichiers texte contenant les informations requises doivent tre cr s avant de pouvoir les enregistrer dans le SafeGuard Management Center La taille maximale de ces fichiers texte est de 50 Ko Sophos SafeGuard utilise les textes cod s en Unicode UTF 16 uniquement Si vous cr ez les fichiers texte dans un autre format ils seront automatiquement convertis lorsqu ils seront enregistr s Si un fichier est converti un message appara t Pour enregistrer des fichiers texte 1 Dans la zone de navigation de strat gie cliquez avec le bouton droit de la souris sur Texte d informations et s lectionnez Nouveau gt Texte 2 Entrez le nom du texte afficher dans le champ Nom de l l ment de texte 3 Cliquez sur pour s lectionner le fichier texte pr alablement cr Un message s affiche si le fichier doit tre converti 4 Cliquez sur OK Le nouvel l m
329. ne concernent que la zone du clavier alphanum rique Au moins 3 caract res cons cutifs non autoris s L activation de cette option interdit les s quences de touches M quisont des s ries cons cutives de symboles de code ASCII que ce soit par ordre croissant ou d croissant abc cba pm etc constitu es de trois symboles identiques ou plus aaa ou LA 1 1 1 Utilisation interdite du nom d utilisateur comme mot de passe D termine si le nom d utilisateur et le mot de passe peuvent tre identiques Oui le nom d utilisateur Windows et le mot de passe doivent tre diff rents Non l utilisateur peut utiliser son nom d utilisateur Windows comme mot de passe Utiliser la liste de mots de passe interdits D termine si certaines s quences de caract res ne doivent pas tre utilis es pour les mots de passe Les s quences de caract res sont stock es dans la Liste des mots de passe interdits par exemple un fichier txt Liste de mots de passe interdits D finit les s quences de caract res ne pas utiliser pour les mots de passe Si un utilisateur utilise un mot de passe non autoris un message d erreur s affiche Une liste fichier de mots de passe non autoris s doit tre enregistr e dans le SafeGuard Management Center dans la zone de navigation des strat gies sous Texte d informations La liste n est disponible qu apr s l enregistrement Taille de fichier maximale
330. nexion un message d avertissement s affiche Le package de configuration MSI a t cr dans le r pertoire sp cifi Assurez vous de red marrer tous les serveurs SGN Vous devez maintenant distribuer ce package aux ordinateurs d extr mit SafeGuard Enterprise administr s et le d ployer sur ceux ci Remplacement du certificat d entreprise Le remplacement du certificat d entreprise est n cessaire lorsque vous voulez d placer un ordinateur d extr mit d un environnement autonome un autre diff rent L ordinateur d extr mit d placer doit avoir le certificat d entreprise de l environnement dans lequel il va tre d plac Sinon le syst me d extr mit n accepte pas les strat gies du nouvel environnement Les t ches requises pour remplacer le certificat d entreprise peuvent tre ex cut es dans le SafeGuard Management Center et dans le SafeGuard Policy Editor Dans la description suivante le terme outil d administration sert signifier la fois le SafeGuard Management Center et le SafeGuard Policy Editor car le remplacement du certificat d entreprise est identique dans les deux cas Les conditions pr alables suivantes doivent tre remplies Sachez quel est votre environnement Management Center Policy Editor source et cible Le Management Center Policy Editor source est celui que vous avez utilis pour la cr ation des Manuel d administration 10 3 packages de configuration pour les ordinateurs
331. nformations d taill es sur le fichier de licence vous pouvez d terminer le module pour lequel le nombre de licences disponibles est d pass Cet tat de la licence peut tre modifi en faisant voluer en renouvelant ou en mettant la licence niveau Licence non valide erreur Si la valeur de tol rance du nombre de licences ou la p riode de validit d finie dans la licence est d pass e SafeGuard Management Center affiche un message d erreur Dans SafeGuard Management Center le d ploiement de strat gies sur les ordinateurs d extr mit est d sactiv Un message d erreur s affiche dans la zone Utilisateurs et ordinateurs de l onglet Licences Manuel d administration l aide des informations d taill es sur le fichier de licence vous pouvez d terminer le module pour lequel le nombre de licences disponibles est d pass Pour surmonter la restriction de fonctionnalit vous pouvez Redistribuer des licences Pour mettre disposition les licences vous pouvez d sinstaller le logiciel sur les ordinateurs d extr mit non utilis s et supprimer ainsi les ordinateurs de la base de donn es SafeGuard Enterprise Mettre niveau renouveler des licences Contactez votre partenaire commercial pour mettre niveau ou renouveler votre licence Vous recevrez un nouveau fichier de licence importer dans la base de donn es SafeGuard Enterprise Importer un nouveau fichier de licence Si vous avez renouvel
332. nibles Dans cette constellation la strat gie n est efficace ni pour les utilisateurs ni pour les ordinateurs 4 pr sent faites glisser le groupe requis ou plusieurs groupes de la liste des Groupes disponibles jusqu la zone d activation Cette strat gie s applique d sormais exclusivement ce groupe Si des strat gies ont galement t attribu es l OU de niveau sup rieur cette strat gie s applique ce groupe en plus de celles d finies pour l OU tout enti re Gestion des strat gies dans Utilisateurs et ordinateurs part la zone Strat gies dans le SafeGuard Management Center vous pouvez aussi afficher et modifier le contenu d une strat gie o l attribution des strat gies est effectu e dans Utilisateurs et ordinateurs 1 Cliquez sur Utilisateurs et ordinateurs 2 Dans la zone de navigation s lectionnez l objet conteneur requis 3 Vous pouvez ouvrir les strat gies pour les visualiser modifier partir de deux emplacements E Passez sur l onglet Strat gies ou M passez sur l onglet RSOP 4 Cliquez avec le bouton droit de la souris sur la strat gie attribu e ou disponible requise et s lectionnez Ouvrir dans le menu contextuel La bo te de dialogue des strat gies appara t et vous pouvez visualiser et modifier les param tres de strat gie 5 Cliquez sur OK pour enregistrer vos changements 6 Pour afficher les propri t s de strat gie cliquez avec le bouton droit de la souris sur la
333. nistr s et non administr s E Clients Sophos SafeGuard autonomes Challenge R ponse pour les ordinateurs non administr s Ils ne sont jamais connect s au serveur SafeGuard Enterprise Les informations de r cup ration requises sont bas es sur 225 SafeGuard Enterprise 26 2 5 26 2 5 1 26 2 5 1 1 26 2 5 1 2 226 le fichier de r cup ration de cl Sur chaque ordinateur d extr mit ce fichier est g n r lors du d ploiement du logiciel de chiffrement Sophos SafeGuard Pour assurer la proc dure Challenge R ponse dans ce cas le fichier de r cup ration de cl doit tre accessible pour le support technique Sophos SafeGuard par exemple sur un chemin r seau partag Remarque par ailleurs la m thode de r cup ration de connexion Local Self Help ne requiert aucune assistance du support Proc dure Challenge R ponse pour clients SafeGuard Enterprise administr s SafeGuard Enterprise fournit la proc dure de r cup ration aux ordinateurs d extr mit SafeGuard Enterprise enregistr s dans la base de donn es dans diff rents sc narios de r cup ration par exemple la r cup ration de mots de passe La proc dure Challenge R ponse est prise en charge pour les ordinateurs natifs SafeGuard Enterprise et les ordinateurs d extr mit chiffr s BitLocker Le syst me d termine dynamiquement quel type d ordinateur est en cours d utilisation Le flux de travail de r cup ration est ajust en cons que
334. nnalis s cliquez sur le r le modifier Dans la zone d action de droite cliquez sur le param tre requis dans la colonne Authentification de responsable de la s curit suppl mentaire et s lectionnez un r le diff rent dans la liste Les r les pr d finis s affichent en gras 3 Cliquez sur l ic ne Enregistrer de la barre d outils pour enregistrer vos modifications dans la base de donn es L authentification responsable suppl mentaire a t modifi e pour ce r le Modification de toutes les propri t s d un r le Condition pr alable pour modifier un r le personnalis vous devez poss der le droit d affichage et de modification des r les de responsable de la s curit Pour attribuer de nouveau une authentification suppl mentaire vous devez poss der le droit de modification des param tres d authentification suppl mentaire 1 Dans SafeGuard Management Center s lectionnez Responsables de la s curit 2 Dans la fen tre de navigation sous R les personnalis s cliquez avec le bouton droit de la souris sur le r le modifier et s lectionnez Modifier un r le personnalis 3 Modifiez les propri t s selon vos besoins Modifiez les propri t s d authentification suppl mentaire en cliquant sur la valeur de cette colonne et en s lectionnant le r le requis 4 Cliquez sur l ic ne Enregistrer de la barre d outils pour enregistrer vos modifications dans la base de donn es Le r le a t modif
335. nnectent au r seau les v nements SafeGuard Enterprise journalis s pendant la p riode hors ligne sont transf r s Les fonctionnalit s de journalisation proposent une vue d ensemble pr cise des activit s de l utilisateur pendant la p riode de d connexion de l ordinateur Condition pr alable Les v nements sont g r s par le serveur SafeGuard Enterprise Sur un ordinateur sur lequel se trouve uniquement SafeGuard Management Center assurez vous que les v nements sont envoy s au serveur SafeGuard Enterprise Veuillez donc installer un package de configuration client sur l ordinateur du SafeGuard Management Center indiquant ce dernier o est plac le serveur SafeGuard Enterprise Ainsi l ordinateur est activ en tant que client sur le serveur et les fonctionnalit s de journalisation Windows ou SafeGuard Enterprise sont activ es Retrouvez plus d informations sur les packages de configuration client la section Utilisation des packages de configuration la page 83 Destinations des v nements journalis s Il y a deux destinations possibles pour les v nements journalis s l Observateur d v nements Windows ou la base de donn es SafeGuard Enterprise Seuls les v nements li s un produit SafeGuard sont inscrits la destination correspondante 255 SafeGuard Enterprise 30 3 1 30 3 2 30 4 256 Les destinations de sortie des v nements journaliser sont sp cifi es dans la strat gie
336. nom de t che gt Le Planificateur de t ches ne peut pas d terminer lequel des deux mod les a t install sur la machine Pour viter cela ne s lectionnez pas la case cocher Scripts autoris s pour les mod les qui ne sont pas install s sur le serveur vitez aussi les mod les dupliqu s avec le m me certificat de machine Retrouvez plus d informations sur l enregistrement des serveurs dans le Guide d installation de SafeGuard Enterprise v nements de journalisation du planificateur de t ches Les v nements concernant l ex cution des t ches peuvent tre journalis s pour fournir des informations utiles par exemple pour la r solution des probl mes Vous pouvez d finir les v nements suivants journaliser M La t che du planificateur s est ex cut e avec succ s M La t che du planificateur a chou M Le fil du service du planificateur s est arr t cause d une exception Les v nements incluent les r sultats de la console de scripts pour faciliter la r solution des probl mes Retrouvez plus d informations sur la journalisation la section Rapports la page 254 Manuel d administration 32 32 1 32 2 Gestion des ordinateurs d extr mit Mac dans SafeGuard Management Center Les Macs sur lesquels les produits Sophos suivants sont install s peuvent tre g r s par SafeGuard Enterprise et ou cr er des rapports d informations sur leur tat Les informations d tat apparais
337. nombre de licences disponibles ou la limite de tol rance est d pass des messages d avertissement erreur correspondants s affichent au d marrage de SafeGuard Management Center Dans la zone Utilisateurs et ordinateurs SafeGuard Management Center propose un aper u de l tat de la licence du syst me SafeGuard Enterprise install L affichage de l tat de la licence est disponible dans l onglet Licences du n ud racine des domaines des OU des objets conteneurs et des groupes de travail C est l que les responsables de la s curit peuvent trouver des informations d taill es sur l tat de la licence S ils ont les droits suffisants ils peuvent importer des licences dans la base de donn es SafeGuard Enterprise Fichier de licence Le fichier de licence que vous recevez pour tre import dans la base de donn es SafeGuard Enterprise est un fichier XML avec une signature Le fichier de licence inclut les informations suivantes E Nom de la soci t E Informations suppl mentaires d partement filiale par exemple E Date de g n ration E Nombre de licences par module E Informations sur la licence du token E Date d expiration de la licence E Type de licence d monstration ou compl te E Signature avec le certificat de signature de licence Manuel d administration 5 2 5 3 5 3 1 5 3 2 Licences de token Pour g rer des tokens ou des cartes puce les licences de token appropri es sont requises Si
338. ns quence Affichage des droits du responsable de la s curit pour les objets du r pertoire Les droits d acc s attribu s aux responsables de la s curit pour les objets du r pertoire sont affich s sur l onglet Acc s des objets correspondants dans Utilisateurs et ordinateurs Remarque l onglet Acc s n affiche que les droits d acc s pour les conteneurs auxquels vous avez les droits d acc s De la m me fa on il n affiche que les responsables de la s curit dont vous tes responsable L onglet Acc s affiche les informations suivantes E La colonne Responsables affiche les types et les noms des responsables de la s curit qui ont t attribu s aux objets du r pertoire m La colonne Attribu par affiche la mani re dont le responsable de la s curit a re u les droits d acc s E La Date d attribution E La colonne Droits d acc s affiche les droits accord s Acc s complet Refus ou en Lecture seule E La colonne Origine indique le nom complet du n ud o le droit d acc s a t attribu au responsable correspondant Par exemple Si le droit a t attribu un n ud parent de l objet de r pertoire s lectionn le n ud parent appara t ici Dans ce cas le responsable de la s curit a h rit du droit d acc s pour l objet de r pertoire s lectionn par l attribution son n ud parent m La colonne tat affiche comment le responsable de la s curit a re u le droit d acc s m H
339. ns le Cloud Cela ne change pas la fa on dont les utilisateurs exploitent les donn es stock es dans le Cloud Les utilisateurs utilisent toujours les m mes applications de synchronisation sp cifiques aux fournisseurs pour envoyer des donn es au Cloud ou en recevoir depuis celui ci Le but de Cloud Storage est de s assurer que les copies locales des donn es stock es dans le Cloud sont chiffr es de mani re transparente et qu elles seront donc toujours stock es dans le Cloud sous une forme chiffr e Dans SafeGuard Management Center cr ez des D finitions Cloud Storage CSD Cloud Storage Definitions et utilisez les dans les strat gies Protection des p riph riques Les d finitions Cloud Storage pr d finies de diff rents fournisseurs de stockage dans le Cloud sont disponibles Par exemple Dropbox ou Egnyte Apr s attribution d une strat gie Cloud Storage aux ordinateurs d extr mit les fichiers pr sents dans les emplacements couverts par la strat gie sont chiffr s de mani re transparente sans interaction avec l utilisateur Les fichiers chiffr s seront synchronis s dans le Cloud m Les fichiers chiffr s re us du Cloud peuvent comme d habitude tre modifi s par les applications Pour acc der aux fichiers chiffr s Cloud Storage sur les ordinateurs d extr mit sans Cloud Storage de SafeGuard Enterprise SafeGuard Portable peut tre utilis pour lire les fichiers chiffr s Remarque cloud Storage chiffr
340. ns le tableau EVENT Le nombre par d faut est 100 000 Default keep the latest 100000 events change if required SELECT ShrinkCommand exec spShrinkEventTable 100000 E Vous pouvez sp cifier si une ex cution de t che doit tre journalis e dans le journal des v nements NT exec sp_add_ job job_name AutoShrinkEventTable enabled 1 notify level _ eventlog 3 Les valeurs suivantes sont disponibles pour le param trenotify_level_eventlog Valeur R sultat Journaliser chaque ex cution de la t che Journaliser en cas d chec de la t che Journaliser si la t che a t ex cut e avec succ s Ne pas journaliser l ex cution de la t che dans le journal des v nements NT E Vous pouvez pr ciser la fr quence de r p tition de la t che en cas d chec exec sp_add_jobstep E Qretry_attempts 3 Cet exemple d finit 3 tentatives d ex cution de la t che en cas d chec 264 Manuel d administration 30 13 3 30 14 E Qretry_interval 60 Cet exemple d finit un intervalle de 60 minutes M Vous pouvez sp cifier l heure d ex cution de la t che exec sp_add_jobschedule E Qfreq type 4 Cet exemple d finit une ex cution quotidienne de la t che E Qfreq interval 1 Cet exemple d finit une ex cution de la t che une fois par jour E QRactive start _time 010000 Cet exemple d finit que la t che est ex cut e 1 heure du matin Remarque la syntaxe du param tr
341. nt imm diatement apr s l installation Il s agit d une cl pr d finie du jeu de cl s de l utilisateur qui s affiche sous la forme d un lt nom utilisateur gt dans les bo tes de dialogue de s lection de cl Le cas ch ant les cl s de chiffrement de support sont galement utilis es pour toutes les t ches de chiffrement initial Bon usage Cette section d crit des tudes de cas classiques de SafeGuard Data Exchange et comment les mettre en uvre en cr ant les strat gies appropri es Bob et Alice sont deux employ s de la m me soci t et disposent de SafeGuard Data Exchange Joe est un partenaire externe et ne dispose pas de SafeGuard Enterprise sur son ordinateur Utilisation interne uniquement Bob souhaite partager des donn es chiffr es sur un support amovible avec Alice Ils font partie du m me groupe et disposent donc de la cl de groupe appropri e dans leur jeu de cl s SafeGuard Enterprise tant donn qu ils utilisent la m me cl de groupe ils peuvent acc der en toute transparence aux fichiers chiffr s sans saisir de phrase secr te Vous devez d finir les param tres dans une strat gie de type Protection du p riph rique Supports amovibles E Mode de chiffrement du support Bas sur fichier E Cl utiliser pour le chiffrement Cl d finie dans la liste m Cl d finie dans la liste lt cl de groupe domaine gt par exemple groupe_utilisateurs_Bob_Alice DC pour s assurer qu ils
342. ntification Windows ou l authentification au d marrage SafeGuard Le retard de connexion augmente chaque chec de tentative de connexion Apr s un chec de connexion une bo te de dialogue appara t et affiche le d lai restant Manuel d administration 13 2 Remarque si un utilisateur saisit un code PIN incorrect lors de la connexion sur la carte puce il n y a aucun retard de connexion Vous pouvez indiquer le nombre de tentatives de connexion autoris es dans une strat gie du type Authentification en vous aidant pour cela de l option Nbre maximum d checs de connexion Lorsque le nombre maximum d checs de tentative de connexion est atteint l ordinateur est verrouill Pour d verrouiller leurs ordinateurs les utilisateurs doivent lancer une proc dure Challenge R ponse Enregistrement d utilisateurs SafeGuard Enterprise suppl mentaires Le premier utilisateur se connecter Windows est enregistr automatiquement dans l authentification au d marrage SafeGuard Au d part aucun autre utilisateur Windows ne peut se connecter l authentification au d marrage SafeGuard Les autres utilisateurs doivent tre import s avec l aide du premier Retrouvez une description d taill e de l importation d autres utilisateurs dans le Manuel d utilisation de SafeGuard Enterprise Un param tre de strat gie sp cifie qui est autoris importer un nouvel utilisateur Vous pouvez trouver cette strat gie dans S
343. ntification au d marrage SafeGuard soit dans l outil de r cup ration de cl KeyRecovery L utilisateur est ensuite autoris effectuer l action convenue par exemple r initialiser le mot de passe et reprendre son travail Exigences li es au changement du mot de passe de l utilisateur Dans le cadre du processus de r cup ration de SafeGuard Enterprise les utilisateurs peuvent tre contraints de changer leurs mots de passe Windows Le tableau suivant fournit des informations sur les cas dans lesquels un changement de mot de passe est requis Les quatre premi res colonnes indiquent les conditions sp cifiques pouvant se produire lors de la proc dure Challenge R ponse La derni re colonne indique si l utilisateur est contraint de changer son mot de passe Windows en fonction des conditions indiqu es dans les colonnes pr c dentes Condition Condition Condition Condition R sultat proc dure C R proc dure C R contr leur de affichage du mot l utilisateur est g n r e avec g n r e avec domaine de passe refus contraint de connexion de connexion de disponible par l utilisateur changer son mot l utilisateur et l utilisateur de passe affichage de Windows l option du mot de passe Manuel d administration Condition Condition Condition Condition R sultat proc dure C R proc dure C R contr leur de affichage du mot l utilisateur est g n r e avec g n r e avec domaine de passe refus contr
344. num ro 536870951 signifie par exemple Saisie incorrecte du code PIN Authentification impossible de l utilisateur Identifiant de Affichage l erreur Erreur interne d tect e Erreur d criture d E S de fichier 293 SafeGuard Enterprise Identifiant de Affichage l erreur Le syst me de fichiers existant sur un volume et le syst me de fichiers d fini diff rent La taille du cluster existant utilis e par un syst me de fichiers et la taille du cluster d finie diff rent 1308 Taille de secteur non valide utilis e par un syst me de fichiers d fini 1309 Secteur de d part non valide d fini 1310 Type de partition non valide d fini Impossible de trouver une zone non utilis e et d fragment e de la taille requise sur un volume Impossible de marquer le cluster du syst me de fichiers comme tant utilis Impossible de marquer le cluster du syst me de fichiers comme tant utilis Impossible de marquer le cluster du syst me de fichiers comme tant CORRECT Impossible de marquer le cluster du syst me de fichiers comme tant INCORRECT Une commande erron e a t d finie pour une allocation ou une d sallocation Algorithme non valide d fini chec de l acc s au noyau syst me Aucun noyau syst me n est install Une erreur s est produite lors de l acc s au noyau syst me 294 Manuel d administration Identifiant de Affichage l erreur
345. ogue Propri t s de lt nom t che gt appara t avec les propri t s de la t che Effectuez les changements requis Remarque ce nom de t che doit tre unique Si vous changez le nom en un nom de t che existant un message d erreur appara t Apr s avoir rempli tous les champs obligatoires le bouton OK devient disponible Cliquez sur OK Les changements deviennent effectifs Suppression de t ches Pour supprimer des t ches du Planificateur de t ches vous avez besoin des droits du responsable de la s curit Utiliser le planificateur de t ches et G rer les t ches 1 3 Dans la barre de menus du SafeGuard Management Center s lectionnez Outils gt Planificateur de t ches La bo te de dialogue Planificateur de t ches appara t montrant un aper u des t ches planifi es S lectionnez la t che requise Le bouton Supprimer devient disponible Cliquez sur le bouton Supprimer et confirmez que vous voulez supprimer la t che La t che est supprim e de la bo te de dialogue de l aper u du Planificateur de t ches et ne sera plus ex cut e sur le serveur SafeGuard Enterprise Remarque si la t che a t d marr e entre temps elle est supprim e de la bo te de dialogue de l aper u du Planificateur de t ches mais sera tout de m me achev e 271 SafeGuard Enterprise 31 5 Utilisation de scripts dans le Planificateur de t ches 31 5 1 Avec le Planificateur de t ches vous pouvez
346. oken peut tre d bloqu lors de la connexion puce OPTIONS DE VERROUILLAGE Verrouiller l cran apr s X minutes D termine le d lai l issue duquel un bureau inutilis est d inactivit automatiquement verrouill La valeur par d faut est de 0 minute auquel cas le bureau n est pas verrouill Verrouiller l cran au retrait dela D termine si l cran est verrouill lorsqu un token est retir au carte puce cours d une session Verrouiller l cran apr s miseen D termine si l cran est verrouill quand l ordinateur est r activ veille du mode veille 17 3 Cr ation de listes de codes PIN interdits utiliser dans les strat gies Pour les strat gies de type PIN une liste de codes PIN interdits peut tre cr e afin de d finir quelles sont les s quences de caract res ne pas utiliser dans les codes PIN Les codes PIN sont utilis s pour la connexion avec le token Retrouvez plus d informations la section Tokens et cartes puce la page 198 Les fichiers texte contenant les informations requises doivent tre cr s avant de pouvoir les enregistrer dans le SafeGuard Management Center La taille maximale de ces fichiers texte est de 50 Ko SafeGuard Enterprise utilise les textes cod s en Unicode UTF 16 uniquement Si vous cr ez les fichiers texte dans un autre format ils seront automatiquement convertis lorsqu ils seront enregistr s Remarque dans les listes les codes
347. omaine par entr e de liste vous permettent de couvrir toutes les combinaisons disponibles de connexion par exemple utilisateur domaine ou domaine utilisateur Pour g rer plusieurs combinaisons nom d utilisateur nom de domaine vous pouvez utiliser des ast risques comme caract res g n riques Une ast risque peut remplacer le premier signe le dernier signe ou tre le seul signe autoris Par exemple E Nom d utilisateur Administrateur E Nom du domaine Cette combinaison indique tous les utilisateurs ayant pour nom d utilisateur Administrateur et se connectant un poste en local ou en r seau quel qu il soit Le nom du domaine pr d fini LOCALHOST disponible dans la liste d roulante du champ Nom du domaine indique une connexion n importe quel ordinateur en local Manuel d administration Par exemple m Nom d utilisateur admin m Nom du domaine LOCALHOST Cette combinaison indique tous les utilisateurs dont le nom d utilisateur se termine par admin et se connectant un poste en local quel qu il soit Les utilisateurs peuvent se connecter de diff rentes mani res Par exemple m utilisateur test domaine monentreprise ou m utilisateur test domaine monentreprise com tant donn que les sp cifications de domaine dans les listes de comptes de service ne sont pas automatiquement r solues trois m thodes possibles servant indiquer correctement le domaine sont disponible
348. ombre de certificats disponibles en fonction de vos droits d acc s Pour modifier les certificats vous avez besoin des droits d Acc s complet au conteneur dans lequel r sident les utilisateurs Manuel d administration 9 3 1 9 3 2 Importation des certificats d autorit de certification et des listes de r vocation de certificats Si des certificats AC autorit de certification sont utilis s veuillez importer toute la hi rarchie AC y compris toutes Les listes de r vocation des certificats dans la base de donn es SafeGuard Les certificats AC ne peuvent pas tre r cup r s partir de tokens Ils doivent tre mis disposition sous la forme de fichier afin que vous puissiez les importer dans la base de donn es SafeGuard Enterprise Ceci s applique galement aux listes de r vocation de certificats 1 Dans le SafeGuard Management Center cliquez sur Cl s et certificats 2 S lectionnez Certificats et cliquez sur l ic ne Importer les certificats de l AC de la barre d outils Naviguez jusqu aux fichiers du certificat AC que vous souhaitez importer Les certificats import s s affichent dans la zone d action de droite 3 S lectionnez Certificats et cliquez sur l ic ne Importer la liste de r vocation de certificats de la barre d outils Naviguez jusqu aux fichiers de la liste de r vocation de certificats que vous souhaitez importer Les listes de r vocation de certificats import es s affichent dans la zone
349. omplet pour le domaine DNS les codes d acc s de connexion au r pertoire sont mises jour m Si vous avez des droits Lecture seule ou moins pour le domaine DNS les codes d acc s ne sont pas mis jour mais vous pouvez utiliser des codes d acc s existants des fins de synchronisation M Pour l importation et la synchronisation Active Directory les droits d acc s un conteneur ou un domaine englobent l arborescence de domaine que vous pouvez importer ou synchroniser Si vous n avez pas les droits Acc s complet pour une arborescence secondaire il ne peut pas tre synchronis Si une sous arborescence ne peut pas tre modifi e elle n appara t pas dans l arborescence de synchronisation M Quels que soient les droits d acc s aux objets du r pertoire de votre responsable de la s curit vous pouvez importer un nouveau domaine depuis l Active Directory s il n existe pas encore dans la base de donn es SafeGuard Enterprise Des droits d Acc s complet au nouveau domaine seront accord s automatiquement vous et votre responsable de la s curit M Si vous s lectionnez un sous conteneur pour la synchronisation celle ci doit tre effectu e jusqu la racine Dans l arborescence de synchronisation tous les conteneurs correspondants sont s lectionn s automatiquement m me s il y a des conteneurs au dessus du sous conteneur qui sont en Lecture seule ou Refus s en fonction de vos droits d acc s Si vous dess lect
350. on de la strat gie s lectionnez Listes de comptes de service 3 Dans le menu contextuel de l option Listes de comptes de service cliquez sur Nouveau gt Liste de comptes de service 4 Entrez un nom pour la liste de comptes de service puis cliquez sur OK 5 S lectionnez la nouvelle liste sous Listes de comptes de service dans la fen tre de navigation de la strat gie 6 Cliquez avec le bouton droit de la souris dans la zone d action pour ouvrir le menu contextuel de la liste de comptes de service Dans le menu contextuel s lectionnez Ajouter Une nouvelle ligne utilisateur est ajout e 7 Entrez le Nom d utilisateur et le Nom du domaine dans les colonnes correspondantes puis appuyez sur Entr e R p tez cette tape pour ajouter d autres utilisateurs 8 Enregistrez vos modifications en cliquant sur l ic ne Enregistrer de la barre d outils La liste de comptes de service est pr sent enregistr e et peut tre s lectionn e d s lors que vous cr ez une strat gie Informations suppl mentaires pour la saisie de noms d utilisateur et de domaine Il existe plusieurs m thodes servant sp cifier des utilisateurs dans les listes de comptes de service Deux champs sont alors utilis s Nom d utilisateur et Nom du domaine Les restrictions s appliquent aussi pour les entr es valides dans ces champs Pr sentation des diff rentes combinaisons de connexion Les deux champs distincts Nom d utilisateur et Nom du d
351. ongueur des donn es incorrecte 536870923 Signature incorrecte 536870924 M canisme de chiffrement appliqu incorrect 536870925 Cette version n est pas prise en charge 536870926 Erreur de remplissage 536870927 Indicateurs non valides 536870928 Le certificat a expir et n est plus valide 299 SafeGuard Enterprise Identifiant de Affichage l erreur 536870929 Heure saisie incorrecte Le certificat n est pas encore valide 536870931 La cha ne de certificat est non valide 536870932 Impossible de cr er la cha ne de certificat 536870933 Impossible de contacter CDP 536870934 Un certificat pouvant tre utilis uniquement comme unit de donn e finale a t utilis comme CA ou r ciproquement 536870930 Le certificat a t retir 536870935 Probl mes de validit de la longueur du certificat dans la cha ne 536870936 Erreur d ouverture d un fichier 536870937 Erreur de lecture d un fichier 536870938 Un ou plusieurs param tres attribu s la fonction sont incorrects 536870939 Le r sultat de la fonction d passe la taille du cache 536870940 Probl me de token et ou de connecteur rompu 536870941 Le token n a pas suffisamment de m moire pour effectuer la fonction demand e 536870942 Le token a t retir du connecteur alors que la fonction tait en cours 536870943 La fonction demand e n a pas pu tre r alis e mais aucune informatio
352. onnecter manuellement Windows Appliquer l authentification automatique Windows L utilisateur se connecte toujours automatiquement Windows OPTIONS BITLOCKER Mode de connexion BitLocker Pour le mode de connexion BitLocker les options disponibles sont disponibles E TPM la cl de connexion est stock e sur la puce du TPM E TPM PIN la cl de connexion est stock e sur la puce du TPM et un code PIN est galement n cessaire pour la 121 SafeGuard Enterprise Param tre de strat gie Explication connexion Les param tres du code PIN sont fournis sous le code PIN et le mot de passe Carte m moire USB la cl de connexion est stock e sur une cl USB TPM carte m moire USB la cl de connexion est stock e sur la puce du TPM et sur une cl USB La connexion peut s effectuer avec la puce du TPM ou la cl USB Remarque si vous voulez utiliser TPM PIN TPM Carte m moire USB ou Carte m moire USB veuillez activer la Strat gie de groupe Authentification suppl mentaire requise au d marrage soit dans Active Directory soit localement sur les ordinateurs Dans l diteur d objets de strat gie de groupe gpedit msc la Strat gie de groupe se trouve l emplacement suivant Strat gie de l ordinateur local Configuration ordinateur Mod les d administration Composants Windows Chiffrement de lecteur BitLocker Lecteur du syst me d exploitation Pour utiliser la m thode
353. onnement une fois le logiciel client SafeGuard Enterprise install vous devez cr er un package de configuration pour les ordinateurs administr s et le d ployer sur ceux ci Une fois la premi re configuration de l ordinateur d extr mit effectu e par le package de configuration l ordinateur re oit des strat gies par le biais du serveur SafeGuard Enterprise apr s que vous avez attribu celles ci dans la zone Utilisateurs et ordinateurs du SafeGuard Management Center E Package de configuration pour ordinateurs d extr mit non administr s Les ordinateurs d extr mit non administr s ne sont connect s au serveur SafeGuard Enterprise aucun moment et fonctionnent en mode autonome Ces ordinateurs re oivent leurs strat gies par packages de configuration Pour garantir un bon fonctionnement vous devez cr er un package de configuration contenant les groupes de strat gies appropri s puis le distribuer sur les ordinateurs d extr mit l aide des m canismes de distribution de l entreprise chaque fois que vous modifiez des param tres de strat gie vous devez cr er de nouveaux packages de configuration et les distribuer sur les ordinateurs d extr mit Remarque les packages de configuration pour ordinateurs d extr mit non administr s peuvent uniquement tre utilis s sur les ordinateurs d extr mit Windows E Package de configuration pour le serveur SafeGuard Enterprise Pour garantir un bon fonctionnement
354. onnexion l authentification au d marrage SafeGuard et se connecte E L Utilisateur_b utilise la proc dure Challenge R ponse pour se connecter l authentification au d marrage SafeGuard Dans les deux cas la bo te de dialogue de connexion de Windows s affiche L Utilisateur_b peut saisir ses codes d acc s Windows Les strat gies de l utilisateur les certificats et les cl s sont envoy s l ordinateur d extr mit L utilisateur est activ dans l authentification au d marrage SafeGuard L Utilisateur_b est pr sent un utilisateur complet selon les termes de SafeGuard Enterprise et apr s la premi re connexion il peut s authentifier lors de l authentification au d marrage SafeGuard et sera connect automatiquement Alors que la strat gie de l ordinateur indique que personne ne peut importer d utilisateurs sur cet ordinateur car ces utilisateurs sont d j dans l AUM l Utilisateur_b et l Utilisateur_c obtiennent n anmoins l tat utilisateur complet la connexion Windows et sont activ s dans l authentification au d marrage SafeGuard Aucun autre utilisateur ne sera ajout l AUM ou ne pourra s identifier lors de l authentification au d marrage Tout utilisateur se connectant Windows qui n est pas Utilisateur_a Utilisateur_b ou Utilisateur_c est exclu de l AUM dans ce sc nario et ne sera jamais activ dans l authentification au d marrage SafeGuard Les utilisateurs peuvent toujours tre ajout s par la
355. ons utilisent des noms de dossiers longs ou des noms 8 3 pour l acc s aux fichiers le r sultat devrait tre identique Pour les r gles relatives utilisez des noms de dossiers courts pour vous assurer que la r gle peut tre appliqu e que l application utilise ou non des noms de dossiers longs ou une notation 8 3 Notation UNC et ou lettres des lecteurs mapp s Que l administration des r gles soit bas e sur une notation UNC ou sur des lettres de lecteurs mapp s d pend de vos conditions requises m Utilisez la notation UNC si vos noms de serveur et de partage ne sont pas susceptibles de changer mais si les mappages des lettres de lecteurs varient entre les utilisateurs Utilisez des lettres de lecteurs mapp s si les lettres restent les m mes et si les noms des serveurs peuvent changer Si vous utilisez UNC sp cifiez un nom de serveur et un nom de partage par exemple serveur partage Manuel d administration File Encryption fait correspondre en interne les noms UNC et les lettres de lecteurs mapp s Dans une r gle un chemin a donc besoin d tre d fini soit en tant que chemin UNC soit avec des lettres de lecteurs mapp s Remarque tant donn que les utilisateurs peuvent changer le mappage des lettres de leurs lecteurs nous conseillons d utiliser les chemins UNC dans les r gles File Encryption pour des raisons de s curit E Dossiers hors ligne Si la fonction Windows Rendre disponible hors connexion
356. ordinateurs d extr mit aux d ploiements de logiciels Si les param tres d veil par appel r seau s curis s appliquent aux ordinateurs d extr mit les param tres n cessaires par exemple la d sactivation de l authentification au d marrage SafeGuard et un intervalle d veil par appel r seau sont transf r s directement sur les ordinateurs d extr mit sur lesquels les param tres sont analys s Remarque la d sactivation de l authentification au d marrage SafeGuard m me pour un nombre limit de processus d initialisation r duit le niveau de s curit de votre syst me Retrouvez plus d informations sur l veil par appel r seau s curis la section veil par appel r seau s curis WOL la page 215 Nombre de connexions automatiques D finit le nombre de red marrages lorsque l authentification au d marrage SafeGuard est inactive pour l veil par appel r seau Ce param tre remplace temporairement le param tre Activer l authentification au d marrage jusqu ce que le nombre pr d fini de connexions automatiques soit atteint L authentification au d marrage SafeGuard est ensuite r activ e Si vous d finissez le nombre de connexions automatiques sur deux et si Activer l authentification au d marrage est actif l ordinateur d extr mit d marre deux fois sans authentification via l authentification au d marrage SafeGuard Pour le mode veil par appel r seau nous vous conseillons
357. ors de la synchronisation d utilisateurs avec leur appartenance un groupe l appartenance un groupe principal n est pas synchronis e car elle n est pas visible pour le groupe Les domaines sont synchronis s Des informations sur la synchronisation s affichent Cliquez sur le message qui s affichent dans la barre d tat en dessous gauche des boutons pour voir un protocole de synchronisation Cliquez sur le protocole pour Le copier dans le Presse papiers et le coller dans un e mail ou un fichier Remarque si des l ments ont t d plac s d une sous arborescence vers une autre dans Active Directory les deux sous arborescences doivent tre synchronis es avec la base de donn es SQL La synchronisation d une seule sous arborescence aboutit la suppression d objets au lieu de leur d placement Remarque nous vous recommandons de diviser en plusieurs op rations l importation de plus de 400 000 objets depuis AD Il se peut que l op ration ne soit pas possible s il y a plus de 400 000 objets dans une seule unit organisationnelle Importation d un nouveau domaine partir d un Active Directory 1 Dans la fen tre de navigation de gauche cliquez sur le r pertoire racine Racine Filtre actif 2 S lectionnez Fichier gt Nouveau Importer nouveau domaine de AD 3 Dans la zone d action de droite s lectionnez Synchroniser 4 S lectionnez le r pertoire requis dans la liste DSN r pertoire et cliquez sur l ic ne de
358. orter un domaine partir d Active Directory AD par exemple parce qu aucun AD n est disponible Enregistrement d un nouvel utilisateur Retrouvez plus d informations sur la premi re connexion des utilisateurs SafeGuard Enterprise la section Authentification au d marrage de SafeGuard la page 87 Lorsqu un nouvel utilisateur se connecte SafeGuard Enterprise d s que son ordinateur a contact le serveur SafeGuard Enterprise il est enregistr et appara t automatiquement dans la zone Utilisateurs et ordinateurs de SafeGuard Management Center sous son domaine ou groupe de travail respectif Le r pertoire de ces utilisateurs ordinateurs Enregistr automatiquement est cr automatiquement sous le r pertoire racine et sous chaque domaine groupe de travail Il ne peut tre ni renomm ni d plac Les objets de ce r pertoire ne peuvent pas non plus tre d plac s manuellement Lorsque l unit organisationnelle OU est synchronis e avec le contact suivant dans la base de donn es SafeGuard Enterprise l objet est d plac vers l unit organisationnelle respective Autrement il reste sous le r pertoire Enregistr automatiquement de son domaine groupe de travail En tant que responsable de la s curit vous pouvez alors g rer les objets enregistr s automatiquement comme vous le faites habituellement Remarque les utilisateurs locaux ne peuvent pas se connecter SafeGuard Enterprise avec un mot de passe vid
359. oute lectronique de tiers car les donn es espionn es ne peuvent pas tre utilis es ult rieurement ni sur d autres p riph riques M Aucune connexion r seau en ligne n est n cessaire pour l ordinateur L assistant de code de r ponse du support s ex cute galement sur un ordinateur d extr mit non administr sans connexion au serveur SafeGuard Enterprise Aucune infrastructure complexe n est n cessaire m L utilisateur peut commencer retravailler rapidement L oubli du mot de passe n entra ne aucune perte de donn es chiffr es Situations classiques n cessitant l aide du support m Un utilisateur a oubli le mot de passe de connexion et l ordinateur a t verrouill m Un utilisateur a oubli ou perdu le token carte puce m Le cache local de l authentification au d marrage SafeGuard est partiellement endommag E Siun utilisateur est absent ses coll gues doivent pouvoir acc der aux donn es de son ordinateur m Un utilisateur souhaite acc der un volume chiffr l aide d une cl qui n est pas disponible sur l ordinateur SafeGuard Enterprise propose diff rents flux de travail de r cup ration pour ces sc narios types ce qui permet aux utilisateurs d acc der de nouveau leurs ordinateurs Flux de travail Challenge R ponse La proc dure Challenge R ponse repose sur les deux composants suivants E L ordinateur d extr mit sur lequel le code de challenge est g n r 223 SafeGuar
360. oyau SafeGuard Enterprise m Probl mes d acc s aux volumes E Probl mes d initialisation Windows Retrouvez plus d informations la section R cup ration du syst me pour le chiffrement int gral du disque SafeGuard la page 240 217 SafeGuard Enterprise 26 1 26 1 1 218 R cup ration avec Local Self Help SafeGuard propose Local Self Help afin de permettre l utilisateur ayant oubli son mot de passe de se connecter son ordinateur sans recourir au support technique Local Self Help r duit le nombre d appels de r cup ration de connexion et ainsi les t ches de routine des membres du support en leur permettant de se concentrer sur des demandes plus complexes Gr ce Local Self Help les utilisateurs peuvent acc der de nouveau leur ordinateur portable dans les situations o aucune connexion par t l phone ou r seau n est disponible et o ils ne peuvent donc pas utiliser de proc dure Challenge R ponse par exemple bord d un avion L utilisateur peut se connecter son ordinateur en r pondant un nombre pr d fini de questions dans l authentification au d marrage SafeGuard En tant que responsable de la s curit vous pouvez d finir de mani re centralis e les questions auxquelles il faudra r pondre et les distribuer sur les ordinateurs d extr mit dans une strat gie titre d exemple nous vous proposons un sujet de question pr d fini Vous pouvez utiliser ce sujet tel quel ou le mod
361. p s de disques durs compatibles Opal chiffrement automatique sont consign s dans le journal comme pour tout autre ordinateur d extr mit prot g par SafeGuard Enterprise Les v nements ne mentionnent pas particuli rement le type d ordinateur Les v nements signal s sont identiques tout autre ordinateur d extr mit prot g par SafeGuard Enterprise Retrouvez plus d informations la section Rapports la page 254 281 SafeGuard Enterprise 34 v nements disponibles pour les rapports Le tableau suivant fournit un aper u de tous les v nements pouvant tre s lectionn s pour la journalisation Cat gorie Identifiant Description s i Syst me 1005 Service d marr chec du d marrage du service Arr t du service chec du test d int grit des fichiers de donn es Destination de journalisation non disponible Tentative non autoris e de d sinstallation de SafeGuard Enterprise Authentification 2001 GINA externe identifi et int gr Authentification 2003 Authentification au d marrage active Authentification 2004 Authentification au d marrage d sactiv e Authentification 2005 veil par appel r seau activ Authentification 2006 veil par appel r seau d sactiv Authentification 2007 Challenge cr Authentification 2008 R ponse cr e Authentification 2009 Connexion tablie Authentification 2010 chec de la connexion Authentification Utilisat
362. param tres de chiffrement des fichiers dans les strat gies Param tres g n raux En plus des r gles de chiffrement d finies dans les strat gies File Encryption vous pouvez configurer les param tres File Encryption dans des strat gies du type Param tres g n raux E Applications fiables M Applications ignor es E P riph riques ignor s E Activer le chiffrement permanent Manuel d administration 20 2 1 20 2 2 Configuration des applications s curis es et ignor es pour File Encryption Vous pouvez d finir des applications comme s curis es pour leur accorder l acc s aux fichiers chiffr s Ceci s av re utile par exemple pour activer le logiciel antivirus afin de contr ler les fichiers chiffr s Vous pouvez d finir des applications comme ignor es pour les exempter du chiffrement d chiffrement transparent des fichiers Par exemple si vous d finissez un programme de sauvegarde comme une application ignor e les donn es chiffr es sauvegard es par le programme restent chiffr es Remarque les processus enfants ne seront pas fiables ignor s 1 Dans la zone de navigation Strat gies cr ez une nouvelle strat gie du type Param tres g n raux ou s lectionnez en une 2 Sous Chiffrement de fichiers cliquez sur le bouton d roulant du champ Applications fiables ou Application ignor es 3 Dans la zone de liste de l diteur saisissez les applications d finir comme s curis es ignor es
363. param tres ne seront pas reconnus sur l ordinateur d extr mit et le fournisseur de codes d acc s Windows par d faut sera utilis la place PARAM TRES DE PRISE EN CHARGE DU TOKEN Nom du module middleware du token Enregistre le module PKCS 11 d un token Les options suivantes sont disponibles M Param tres PKCS 11 personnalis s M Activeldentity ActivClient Activeldentity ActivClient PIV m AET SafeSign Identity Client E Aladdin eToken PKI Client 147 SafeGuard Enterprise Param tres de strat gie Explication a sign Client Charismathics Smart Security Interface Estonian ID Card Gemalto Access Client Gemalto Classic Client Gemalto NET Card IT Solution trustWare CSP Nexus Personal RSA Authentication Client 2 x RSA Smart Card Middleware 3 x Siemens CardOS API T Systems NetKey 3 0 E Unizeto proCertum Si vous s lectionnez Param tres PKCS 11 personnalis s les Param tres PKCS 11 personnalis s sont activ s Vous pouvez saisir les noms de module utiliser E Module PKCS 11 pour Windows m Module PKCS 11 pour l authentification au d marrage SafeGuard Remarque si vous installez le middleware Nexus Personal ou Gemalto NET Card vous allez galement devoir ajouter leur chemin d installation la variable d environnement PATH des Propri t s syst me de votre ordinateur m Le chemin d installation par d faut pour Gemalto NET Card C Program Files Gemalto PKCS11 for
364. pendant deux ans compter de la date de sortie de SafeGuard Enterprise 6 1 Remarque lors de la mise niveau de SafeGuard Enterprise 5 x SafeGuard Enterprise 6 1 vous devez importer manuellement ce fichier de licence dans la base de donn es de SafeGuard Enterprise Fichiers de licence de d monstration individuelle Si le fichier de licence par d faut ne suffit pas l valuation vous pouvez galement obtenir une licence de d monstration personnalis e en fonction de vos besoins Pour obtenir un fichier de licence de d monstration individuelle veuillez contacter votre partenaire de ventes Ce type de d monstration de licence est galement limit dans le temps La licence est galement limit e au nombre de licences par module accord par votre partenaire commercial Lorsque vous d marrez SafeGuard Management Center un message d avertissement indique que vous utilisez des licences de d monstration Si le nombre de licences disponibles indiqu dans la licence de d monstration est d pass ou si la dur e limite est atteinte un message d erreur s affiche 15 SafeGuard Enterprise 5 4 Aper u de l tat de la licence Pour afficher un aper u de l tat de la licence 1 Dans la zone de navigation du SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dansla fen tre de navigation gauche cliquez sur le n ud racine le domaine l OU l objet conteneur ou le groupe de travail 3 D
365. per les strat gies Pour ajouter les strat gies au groupe glissez les de la liste de strat gies disponibles dans la zone de strat gies Vous pouvez d finir une priorit pour chaque strat gie en les organisant gr ce au menu contextuel Si vous rassemblez des strat gies du m me type dans un groupe les param tres sont fusionn s automatiquement Dans ce cas vous pouvez d finir des priorit s d utilisation des param tres Les param tres d une strat gie ayant une priorit sup rieure remplacent ceux d une strat gie de priorit inf rieure Si une option est d finie sur non configur le param tre n est pas remplac dans une strat gie de priorit inf rieure Exception relative la protection du p riph rique Les strat gies de protection des p riph riques sont fusionn es uniquement si elles ont t d finies pour la m me cible volume d initialisation par exemple Les param tres sont ajout s si elles pointent des cibles diff rentes Enregistrez la strat gie avec Fichier gt Enregistrer Le groupe de strat gies contient d sormais les param tres de toutes les strat gies individuelles R sultats du regroupement de strat gies Le r sultat du regroupement de strat gies s affiche s par ment Pour afficher le r sultat cliquez sur l onglet R sultat Un onglet distinct s affiche pour chaque type de strat gie Les param tres obtenus de la combinaison des strat gies individuelles dans un g
366. ponibles jusqu la zone d activation 5 Une bo te de dialogue s affiche demandant si l utilisateur doit tre le propri taire de tous les ordinateurs S il n y a pas de propri taire sp cifique dans SafeGuard Management Center le premier utilisateur se connecter cet ordinateur est automatiquement entr en tant que propri taire Cet utilisateur peut autoriser d autres utilisateurs acc der cet ordinateur La condition est que l utilisateur Peut devenir propri taire E Si vous r pondez Oui le premier utilisateur se connecter cet ordinateur en devient le propri taire et peut en autoriser l acc s d autres utilisateurs E Si vous r pondez Non l utilisateur ne sera pas le propri taire de cet ordinateur Il n est g n ralement pas n cessaire pour le propri taire d un compte de service d tre en m me temps le propri taire de l ordinateur Ce param tre peut tre modifi apr s l attribution initiale Tous les ordinateurs du groupe attribu sont affich s dans la zone d action L utilisateur peut se connecter tous les ordinateurs attribu s de cette mani re Un groupe d utilisateurs peut tre attribu un seul ordinateur en utilisant la m me proc dure 197 SafeGuard Enterprise 24 Tokens et cartes puce Remarque les tokens et les cartes puce ne peuvent pas tre configur s pour les ordinateurs d extr mit Windows 8 Windows 8 1 et Mac SafeGuard Enterprise fournit une s c
367. pour les clients SafeGuard Enterprise chiffr s par BitLocker ordinateurs d extr mit BIOS la page 229 1 Sur la page Type de r cup ration s lectionnez Client SafeGuard Enterprise administr 2 Sous Domaine s lectionnez le domaine requis dans la liste 3 Sous Ordinateur saisissez ou s lectionnez le nom d ordinateur requis Pour ce faire vous pouvez proc der de plusieurs fa ons E Pour s lectionner un nom cliquez sur Cliquez ensuite sur Rechercher maintenant Une liste des ordinateurs s affiche S lectionnez l ordinateur requis puis cliquez sur OK Le nom de l ordinateur appara t sur la page Type de r cup ration E Entrez le nom court de l ordinateur directement dans le champ Lorsque vous cliquez sur Suivant ce nom est recherch dans la base de donn es S il est trouv le nom d ordinateur unique s affiche M Saisissez directement le nom de l ordinateur au format de nom unique par exemple CN Postel OU D veloppement OU Si ge DC Utimaco DC uae 4 Cliquez sur Suivant 5 S lectionnez le volume auquel acc der dans la liste et cliquez sur Suivant 6 Cliquez sur Suivant Une fen tre appara t o vous pouvez saisir le code de challenge 7 Saisissez le code de challenge que l utilisateur vous a transmis et cliquez sur Suivant 8 Un code de r ponse est g n r Fournissez le code de r ponse l utilisateur Une aide l pellation est fournie Vous pouvez galement copier le cod
368. pour rechercher le fichier Pour faciliter l identification des fichiers de r cup ration leur nom est identique celui de l ordinateur nomordinateur GUID xml S lectionnez le fichier et cliquez sur Ouvrir Remarque le support doit pouvoir acc der au fichier de r cup ration de cl n cessaire pour r cup rer l acc s l ordinateur Ce fichier peut par exemple se trouver sur un partage r seau 2 Cliquez sur Suivant La page pour la saisie du code de challenge appara t La cl requise est transf r e vers l environnement de l utilisateur dans le code de r ponse 235 SafeGuard Enterprise 26 2 6 8 26 2 6 9 26 2 6 10 236 S lection de la cl requise plusieurs cl s Condition pr alable Cette option est uniquement disponible pour les ordinateurs d extr mit administr s S lectionnez au pr alable le fichier de cl dans le SafeGuard Management Center sous Cl s et certificats En outre le mot de passe de chiffrement du fichier de cl doit tre stock dans la base de donn es S lectionnez au pr alable le fichier du client virtuel requis dans l assistant de r cup ration du SafeGuard Management Center et l action de r cup ration Mot de passe du fichier de cl demand 1 Pour s lectionner un fichier de cl cliquez sur pr s de cette option Dans Fichier de cl cliquez sur Rechercher maintenant S lectionnez le fichier de cl et cliquez sur OK 2 Pour confirmer cliquez s
369. pouvez afficher des informations sur tous les tokens ou sur certains tokens ayant t g n r s Vous pouvez aussi filtrer les aper us Condition pr alable le token doit tre connect 1 Dans SafeGuard Management Center cliquez sur Tokens Manuel d administration 24 9 2 24 9 3 2 Pour afficher des informations sur un token individuel s lectionnez le token correspondant dans la zone de navigation sous Connecteurs de tokens Le fabricant le type le num ro de s rie les donn es mat rielles et les r gles des codes PIN sont affich s sous Informations sur le token Vous pouvez galement voir quel utilisateur le token est attribu Remarque sous Connecteurs de tokens les tokens g n r s apparaissent quels que soient vos droits d acc s aux utilisateurs concern s Vous pouvez ainsi voir si le token est en cours d utilisation ou non Si vous n avez pas de droits d acc s en Lecture seule l utilisateur attribu toutes les donn es sur les tokens dans les onglets Informations sur le token et Informations d identification et certificats sont gris es et vous ne pouvez pas g rer ce token 3 Pour afficher un aper u des tokens s lectionnez Tokens g n r s Vous pouvez afficher toutes les cartes puce ayant t g n r es ou filtrer l aper u par utilisateur Le num ro de s rie du token les utilisateurs attribu s et la date de g n ration sont affich s Vous pouvez galement voir si le token e
370. pouvez cr er des cl s personnelles pour un ou plusieurs utilisateurs dans Utilisateurs et ordinateurs Retrouvez plus d informations la section Cl s personnelles pour le chiffrement de fichiers par File Share la page 57 6 Le type de Syst me Windows Mac OS X ou Tous les syst mes pour les syst mes Windows et Mac OSX sera attribu automatiquement 7 Ajoutez d autres r gles de chiffrement selon vos besoins et enregistrez vos changements Remarque toutes les r gles File Encryption attribu es par des strat gies et activ es pour les utilisateurs ordinateurs des n uds diff rents dans Utilisateurs et ordinateurs sont cumul es L ordre des r gles de chiffrement dans une strat gie File Encryption n a pas d importance pour leur valuation sur l ordinateur d extr mit Dans une strat gie File Encryption vous pouvez d placer les r gles pour avoir une meilleur visibilit 167 SafeGuard Enterprise 20 1 1 Informations suppl mentaires sur la configuration des chemins dans les r gles File Encryption 168 Lors de la configuration des chemins dans les r gles File Encryption veuillez prendre en compte ce qui suit Un chemin peut seulement contenir des caract res qui peuvent aussi tre utilis s dans des syst mes de fichiers Les caract res comme lt gt et ne sont pas autoris s Vous pouvez seulement saisir des espaces r serv s valides Retrouvez une liste des espaces r serv s autoris s la
371. pport knowledgebase 108805 aspx 2 Cr ez le client virtuel dans SafeGuard Management Center Retrouvez plus d informations la section Cr ation de clients virtuels la page 64 3 Exportez le client virtuel dans un fichier Retrouvez plus d informations la section Exportation de clients virtuels la page 64 4 Vous avez aussi la possibilit d exporter plusieurs cl s de client virtuel dans un fichier Retrouvez plus d informations la section Cr ation et exportation de fichiers de cl s pour la r cup ration des clients virtuels la page 65 5 D marrez l ordinateur d extr mit depuis le disque de r cup ration 6 Importez le fichier du client virtuel dans l outil de r cup ration de cl KeyRecovery 7 Initialisez le challenge dans l outil de r cup ration de cl KeyRecovery 8 Confirmez le client virtuel dans SafeGuard Management Center 9 S lectionnez l action de r cup ration requise 10 Saisissez le code de challenge dans SafeGuard Management Center 11 Saisissez le code de r ponse dans SafeGuard Management Center 12 Saisissez le code de r ponse dans l outil de r cup ration de cl KeyRecovery L ordinateur est de nouveau accessible 231 SafeGuard Enterprise 26 2 6 2 D marrage de l ordinateur depuis le disque de r cup ration Condition pr alable V rifiez que la s quence d initialisation dans les param tres du BIOS permet de d marrer partir du CD 1 Ins rez le disque
372. ps s coule entre l affichage de la bo te de dialogue de s lection de la cl et le refus de l acc s Pendant cet intervalle le volume reste accessible Le volume est accessible tant que la bo te de dialogue de s lection de cl n est pas confirm e Pour viter cela sp cifiez une cl pr s lectionn e pour le chiffrement Retrouvez plus d informations sur les param tres de strat gie correspondants la section Protection des p riph riques la page 135 Cet intervalle de temps existe galement pour les volumes d objets du syst me de fichiers non identifi s qui sont connect s un ordinateur d extr mit notamment lorsque l utilisateur a d j ouvert des fichiers sur le volume lorsque la strat gie de chiffrement prend effet Dans ce cas il n est pas garanti que l acc s au volume sera refus car cela risque de provoquer une perte de donn es Manuel d administration 18 1 1 4 18 1 1 5 18 1 2 18 1 2 1 Chiffrement des volumes avec la fonctionnalit Autorun activ e Si vous appliquez une strat gie de chiffrement aux volumes pour lesquels Autorun est activ voici ce qui peut se produire E Le volume n est pas chiffr E Sile volume est un objet syst me fichier non identifi Unidentified File System Object l acc s n est pas refus Acc s aux volumes chiffr s BitLocker To Go Si SafeGuard Enterprise est utilis avec la prise en charge BitLocker To Go activ e et si une strat gie de chiffremen
373. ptographique demand n cessaire est requise c t client les actions disponibles pour la r ponse sont Initialiser le client SGN avec une connexion utilisateur et Initialiser le client SGN sans connexion utilisateur S lectionnez l action que l utilisateur doit ex cuter Si l action Initialiser le client SGN avec une connexion utilisateur a t s lectionn e vous pouvez galement s lectionner Afficher le mot de passe utilisateur afin d afficher le mot de passe sur l ordinateur cible Cliquez sur Suivant Un code de r ponse est g n r Fournissez le code de r ponse l utilisateur Une aide pellation est fournie Vous pouvez galement copier le code de r ponse dans le Presse papiers Manuel d administration 26 2 5 3 26 2 5 4 L utilisateur peut saisir le code de r ponse sur l ordinateur d extr mit et ex cuter l action autoris e R ponse pour les clients SafeGuard Enterprise chiffr s BitLocker ordinateurs d extr mit UEFI Pour les ordinateurs d extr mit UEFI satisfaisant certaines conditions requises SafeGuard Enterprise offre la proc dure Challenge R ponse pour la r cup ration Sur les ordinateurs d extr mit UEFI qui ne remplissent pas ces conditions requises la gestion SafeGuard BitLocker sans proc dure Challenge R ponse est install e automatiquement Retrouvez plus d informations sur la r cup ration de ces ordinateurs d extr mit la section Cl de r cup ration
374. que si vous saisissez un mot de passe incorrect un message d erreur s affiche et un d lai sera impos avant la tentative de connexion suivante Le d lai augmente chaque chec de tentative de connexion Les tentatives rat es de connexion sont consign es dans le journal Manuel d administration 4 3 Connexion en mode mutualis Multi Tenancy Le processus de connexion au SafeGuard Management Center est tendu lorsque plusieurs bases de donn es ont t configur es Multi Tenancy Retrouvez plus d informations la sectiion Utilisation de plusieurs configurations de bases de donn es la page 20 1 D marrez SafeGuard Management Center partir du dossier des produits dans le menu D marrer La bo te de dialogue S lection d une configuration s affiche 2 S lectionnez la configuration de base de donn es que vous souhaitez utiliser dans la liste d roulante et cliquez sur OK La configuration de base de donn es s lectionn e est reli e au SafeGuard Management Center et devient active 3 Pour vous authentifier dans SafeGuard Management Center vous tes invit s lectionner le nom du responsable de la s curit de cette configuration et saisir son mot de passe de magasin de certificats Cliquez sur OK SafeGuard Management Center est ouvert et reli la configuration de base de donn es s lectionn e Remarque si vous saisissez un mot de passe incorrect un message d erreur s affiche et un d lai
375. que UEFI veuillez utiliser la fonctionnalit int gr e de Chiffrement de lecteur BitLocker de Windows Retrouvez plus d informations la section Chiffrement de lecteur BitLocker la page 154 Chiffrement int gral du disque bas sur volume Avec le chiffrement int gral du disque bas sur volume toutes les donn es pr sentes sur un volume y compris les fichiers d initialisation les fichiers de pages les fichiers d hibernation les fichiers temporaires les informations de r pertoire etc sont chiffr es Les utilisateurs n ont pas changer les proc dures de fonctionnement normales ou penser la s curit Pour appliquer le chiffrement bas sur volume aux ordinateurs d extr mit cr ez une strat gie du type Protection des p riph riques et d finissez le Mode de chiffrement du support sur Bas sur volume Retrouvez plus d informations la section Protection des p riph riques la page 135 Remarque E Le chiffrement d chiffrement bas sur volume n est pas pris en charge pour les lecteurs sans lettre de lecteur attribu e E Si une strat gie de chiffrement existe pour un volume ou un type de volume et si le chiffrement du volume choue l utilisateur n est pas autoris y acc der M Les ordinateurs d extr mit peuvent tre teints et red marr s lors du chiffrement d chiffrement E Si le d chiffrement est suivi d une d sinstallation nous conseillons de ne pas suspendre ni de mettre en v
376. questions et distribuez les aux utilisateurs Les utilisateurs ne sont pas autoris s d finir des questions personnalis es E En tant que responsable de la s curit d finissez les questions et distribuez les aux utilisateurs Les utilisateurs sont galement autoris s d finir des questions personnalis es Lorsqu ils r pondent au nombre minimum de questions n cessaire pour activer Local Self Help les utilisateurs peuvent choisir entre des questions pr d finies et des questions personnalis es ou une combinaison des deux m Vous autorisez les utilisateurs d finir des questions personnalis es Les utilisateurs activent Local Self Help sur leurs ordinateurs en d finissant des questions personnalis es et en y r pondant Pour autoriser les utilisateurs d finir des questions personnalis es s lectionnez l option Oui dans le champ L utilisateur peut d finir des questions personnalis es D finition de questions Pour pouvoir utiliser Local Self Help sur un ordinateur d extr mit l utilisateur doit r pondre un nombre pr d fini de questions et les enregistrer En tant que responsable de la s curit avec les droits n cessaires vous pouvez indiquer le nombre de questions auxquelles l utilisateur doit r pondre pour activer Local Self Help sur l ordinateur d extr mit Vous pouvez galement pr ciser le nombre de questions qui seront al atoirement s lectionn es dans l authentification au d marrage SafeGuard
377. r Ex cuter gpedit msc et s lectionnez Strat gie de l ordinateur local Configuration ordinateur Mod les d administration Composants Windows Chiffrement de lecteur BitLocker Lecteur du syst me d exploitation et cliquez deux fois sur Demander une authentification suppl mentaire au d marrage La case Activer doit tre s lectionn e Pour le mode de connexion Carte m moire USB la case Autoriser BitLocker sans un module de plateforme s curis e compatible requiert une cl de d marrage sur un lecteur flash USB doit galement tre s lectionn e TPM module de plate forme s curis e TPM est un module semblable une carte puce sur la carte m re qui ex cute des fonctions cryptographiques et des op rations de signature num rique Il permet de cr er stocker et g rer des cl s utilisateur Il est prot g contre les attaques Cl USB Les cl s externes peuvent tre stock es sur une cl USB non prot g e Conditions pr alables la gestion de BitLocker sur les ordinateurs d extr mit E Si vous voulez utiliser l une des m thodes de connexion TPM PIN TPM Carte m moire USB ou Carte m moire USB veuillez activer la Strat gie de groupe Authentification suppl mentaire requise au d marrage soit dans Active Directory soit localement sur les ordinateurs Dans l diteur d objets de strat gie de groupe gpedit msc la Strat gie de groupe se trouve l emplacement suivant Strat gie de l ord
378. r ation de l utilisateur POA 1 Administration Administration Administration 2816 2817 2820 chec de la modification de l utilisateur POA 1 chec de la suppression de l utilisateur POA 1 Groupe POA 1 cr Manuel d administration Cat gorie Administration Administration Administration Administration Administration Administration Administration Administration Administration Administration Client Client Client Client Client Client Client Client Client Identifiant s i 2821 2822 2825 2826 2827 2850 2851 2852 2853 2854 3003 3005 3006 3007 3008 3030 3035 3040 Description Groupe POA 1 modifi Groupe POA 1 supprim chec de la cr ation du groupe POA 1 chec de la modification du groupe POA 1 chec de la suppression du groupe POA 1 Le service du planificateur s est arr t cause d une exception La t che du planificateur s est ex cut e avec succ s chec de la t che du planificateur T che du planificateur cr e ou modifi e T che du planificateur supprim e Sauvegarde du noyau r ussie Premi re tentative de restauration du noyau r ussie Deuxi me tentative de restauration du noyau r ussie chec de la sauvegarde du noyau chec de la restauration du noyau L utilisateur a modifi ses secrets LSH apr s la connexion Activation de LSH D sactivation de LSH 3045 LSH est disponib
379. r et g rer des comptes rendus de tous les v nements li s la s curit Fen tre de navigation Les objets devant tre trait s ou pouvant tre cr s apparaissent dans la fen tre de navigation objets Active Directory tels que les OU utilisateurs et ordinateurs l ments de strat gies etc Les objets affich s d pendent de la t che s lectionn e Remarque dans Utilisateurs et ordinateurs les objets affich s dans l arborescence de la fen tre de navigation d pendent des droits d acc s du responsable de la s curit pour les objets du r pertoire L arborescence affiche seulement les objets auxquels peut acc der le responsable de la s curit connect Les objets refus s n apparaissent pas sauf s il existe des n uds inf rieurs dans l arborescence pour lesquels le responsable de la s curit a les droits d acc s Dans ce cas les objets refus s sont gris s Si le responsable de la s curit les droits d Acc s complet l objet appara t en noir Les objets avec un acc s en Lecture seule apparaissent en bleu Zone d action Dans la zone d action d finissez les param tres des objets s lectionn s dans la fen tre de navigation La zone d action contient diff rents onglets permettant de traiter les objets et de d finir les param tres La zone d action comporte galement des informations concernant les objets s lectionn s Vues associ es Dans ces vues des objets et des informations suppl mentai
380. r le m me token Les certificats de l AC ne peuvent pas provenir d un token et tre stock s dans la base de donn es ou dans le magasin de certificats Si vous utilisez des certificats de l AC ces derniers doivent tre disponibles sous forme de fichiers et pas seulement sous forme de token Ceci s applique galement aux CRL Les certificats g n r s par SafeGuard Enterprise sont sign s avec SHA 1 ou SHA 256 pour v rification SHA 256 fournit une s curit optimale et il est utilis par d faut sur toutes les premi res installations Si la version 6 de SafeGuard Enterprise ou une version pr c dente doit tout de m me tre g r e ou si la mise niveau a lieu partir d une version ant rieure l algorithme SHA I est utilis par d faut Les certificats fournis par le client et import s dans SafeGuard Enterprise ne sont actuellement pas v rifi s conform ment RFC3280 Par exemple nous n emp chons pas l utilisation de certificats de signature des fins de chiffrement Les certificats de connexion des responsables de la s curit doivent se trouver dans le magasin de certificats MY Remarque la liste Certificats attribu s dans Cl s et certificats indique seulement les certificats attribu s aux objets pour lesquels vous avez des droits en Lecture seule ou d Acc s complet La vue Certificat indique le nombre de certificats disponibles quels que soient vos droits d acc s La liste Certificats attribu s indique le n
381. r un code PIN du SO 8 Cliquez sur G n rer un token maintenant Le token est g n r les informations de connexion crites sur le token et les informations de token enregistr es dans la base de donn es SafeGuard Enterprise Vous pouvez afficher les donn es de la zone Token dans l onglet Informations sur le token G n ration d un token ou d une carte puce pour un responsable de la s curit Lorsque SafeGuard Enterprise est install pour la premi re fois le premier responsable de la s curit peut g n rer pour lui m me un token et indiquer le mode de connexion consultez le Guide d installation SafeGuard Enterprise Pour tous les autres responsables de la s curit les tokens sont g n r s dans SafeGuard Management Center Condition pr alable m le token doit tre initialis et le module PKCS 11 appropri doit tre activ m Vous devez disposer des droits n cessaires pour effectuer des s lections pour le responsable de la s curit 1 Dans SafeGuard Management Center cliquez sur Responsables de la s curit 2 Connectez le token l interface USB SafeGuard Enterprise lit le token 3 Dans la fen tre de navigation de gauche cochez Responsable de la s curit et s lectionnez Nouveau gt Nouveau responsable de la s curit dans le menu contextuel La bo te de dialogue Nouveau responsable de la s curit s affiche 4 Dans le champ Connexion au token sp cifiez le type de connexion pour le
382. rader des responsables principaux de la s curit au rang de responsable de la s curit vous devez tre responsable principal de la s curit 1 Dans SafeGuard Management Center s lectionnez Responsables de la s curit 2 Dans la fen tre de navigation cliquez avec le bouton droit de la souris sur le responsable principal de la s curit que vous voulez r trograder et s lectionnez R trograder au rang de responsable de la s curit 3 Vous tes invit s lectionner un n ud parent pour le responsable et attribuer au moins un r le 51 SafeGuard Enterprise 8 13 8 14 52 Le responsable de la s curit a t r trograd et s affiche sous le n ud Responsables de la s curit s lectionn Le responsable ainsi r trograd perd tous ses droits sur l ensemble des objets et ne re oit que ceux attribu s son ou ses r les Un responsable r trograd ne poss de aucun droit sur les domaines Vous devez accorder individuellement des droits d acc s dans la zone Utilisateurs et ordinateurs sous l onglet Acc s Modification du certificat du responsable de la s curit Condition pr alable pour modifier le certificat d un responsable de la s curit ou d un responsable principal de la s curit vous devez poss der le droit d affichage et de modification des responsables de la s curit 1 Dans SafeGuard Management Center s lectionnez Responsables de la s curit 2 Dans la fen tre de n
383. rage POA l ordinateur veil par appel r seau Sp cifie si l veil par appel r seau est activ pour l ordinateur Date de modification Indique la date laquelle les donn es d inventaire ont chang en raison d une demande d actualisation de l inventaire ou de l envoi de l ordinateur de nouvelles donn es d inventaire Actualisation demand e Indique la date de la derni re demande d actualisation La valeur affich e dans ce champ sera supprim e une fois la demande trait e par l ordinateur DSN parent Indique le nom distinctif de l objet conteneur auquel l ordinateur est subordonn Cette colonne ne s affiche que si le champ Sous conteneurs inclus a t activ dans la zone Filtre Certificat d entreprise actuel Indique si l ordinateur utilise le certificat d entreprise actuel 29 7 Onglet Lecteurs L onglet Lecteurs indique les donn es d inventaire et d tat des lecteurs sur l ordinateur concern Colonne Explication Nom du lecteur Indique le nom du lecteur tiquette Identifie un lecteur Mac 250 Manuel d administration Colonne Algorithme 29 8 Onglet Utilisateurs Explication Indique le type de lecteur par exemple Fixe Support amovible ou CD ROM DVD Indique l tat de chiffrement d un lecteur Remarque si la gestion de SafeGuard BitLocker est install e sur un ordinateur d extr mit il se peut que l tat de chiffrement d un lecteur indique Non pr par Ceci signifie que le
384. ram tres d authentification au d marrage SafeGuard activer d sactiver d veil par appel r seau s curis d options d affichage etc Journalisation D finit les v nements consigner dans le journal et leurs destinations de sortie Protection de la configuration Remarque le param tre Protection de la configuration n est disponible que pour les clients SafeGuard Enterprise jusqu la version 6 0 La strat gie est disponible dans la version 6 1 de SafeGuard Management Center afin de prendre en charge les clients de la version 6 0 de SafeGuard Enterprise qui ont install la Protection de la configuration et qui veulent l administrer avec la version 6 1 du Management Center La Protection de la configuration n est pas prise en charge pour les ordinateurs d extr mit sur lesquels SafeGuard Enterprise 6 1 est install 111 SafeGuard Enterprise Param tres autoriser bloquer pour l utilisation des ports et des p riph riques lecteurs multim dias amovibles imprimantes etc E Chiffrement de fichier Param tres pour un chiffrement bas sur fichier sur les lecteurs locaux et les emplacements r seau surtout pour les groupes de travail et les partages r seau Dans SafeGuard Management Center les strat gies par d faut sont disponibles pour tous les types de strat gie Dans les strat gies Protection des p riph riques les strat gies de chiffrement int gral du disque cible p riph riques de stockage de
385. rat gie Activer l enregistrement des utilisateurs Windows de SGN Explication D finit si les utilisateurs Windows de SGN peuvent tre enregistr s sur l ordinateur d extr mit Un utilisateur Windows de SGN n est pas ajout l authentification au d marrage SafeGuard En revanche il dispose d un jeu de cl s pour acc der aux fichiers chiffr s comme le ferait un utilisateur Sophos SGN Si vous s lectionnez ce param tre tous les utilisateurs qui seraient autrement devenus des utilisateurs invit s deviennent des utilisateurs Windows de SGN Les utilisateurs sont ajout s l Attribution utilisateur machine d s qu ils se connectent Windows Activer l attribution utilisateur machine pour les ordinateurs d extr mit autonomes Remarque ce param tre s applique uniquement aux ordinateurs d extr mit non administr s D finit si les utilisateurs peuvent supprimer les utilisateurs SGN et les utilisateurs Windows de SGN de l attribution utilisateur machine Si vous s lectionnez Oui la commande Attributions utilisateur machine est disponible dans le menu de l ic ne de la barre d tat syst me sur l ordinateur d extr mit Cette commande affiche une liste des utilisateurs pouvant se connecter l authentification au d marrage SafeGuard en tant qu utilisateurs SGN et Windows en tant qu utilisateurs Windows de SGN Dans la bo te de dialogue qui s affiche il est possible de retirer des utilisateurs de la lis
386. rd lors de la connexion avec Local Self Help Les questions affich es dans l authentification au d marrage SafeGuard sont s lectionn es de mani re al atoire partir des questions auxquelles l utilisateur a r pondu dans l assistant Local Self Help Le nombre sp cifi dans le champ Nombre minimum de questions r ponses doit tre sup rieur au nombre indiqu dans le champ Nombre de questions pr sent es dans la POA Si ce n est pas le cas un message d erreur appara t lorsque vous enregistrez vos changements Les valeurs par d faut sont E Nombre minimum de questions r ponses 10 E Nombre de questions pr sent es dans la POA 5 3 Enregistrez vos changements dans la base de donn es Le nombre de questions s applique la configuration de Local Self Help d ploy e sur les ordinateurs d extr mit Utilisation du mod le Un sujet de question pr d fini est disponible pour Local Self Help Ce sujet de question est disponible dans SafeGuard Management Center sous Questions Local Self Help Vous pouvez utiliser le sujet de question pr d fini tel quel le modifier ou le supprimer Manuel d administration 26 1 5 Importation de sujets de question l aide de la proc dure d importation vous pouvez importer vos propres listes de questions cr es sous la forme de fichiers XML 1 4 Cr ez un nouveau sujet de question Retrouvez plus d informations la section Cr ation d un nouveau sujet de que
387. rd pr initialisation SafeGuard BitLocker Windows 7 UEFI OUI OUI Windows 8 UEFI OUI OUI Windows 8 1 UEFI OUI OUI Windows 8 1 BIOS OUI Remarque la R cup ration C R SafeGuard pour l authentification de pr initialisation BitLocker est uniquement disponible sur les syst mes 64 bits Le Chiffrement int gral du disque SafeGuard avec authentification au d marrage SafeGuard est le module Sophos permettant de chiffrer les volumes sur les ordinateurs d extr mit Il est Manuel d administration livr avec l authentification de pr initialisation Sophos nomm e authentification au d marrage SafeGuard qui prend en charge les options de connexion par cartes puce par empreinte digitale et qui offre un m canisme Challenge R ponse pour la r cup ration L Authentification de pr initialisation BitLocker g r e par SafeGuard est le composant qui active et g re le moteur de chiffrement BitLocker et l authentification de pr initialisation BitLocker Elle est disponible sur les plates formes BIOS et UEFI E La version UEFI propose galement un m canisme Challenge R ponse SafeGuard pour la r cup ration de BitLocker lorsque l utilisateur oublie son code PIN La version UFFI peut tre utilis e si la plate forme r pond certaines conditions pr alables requises Par exemple la version UEFI doit tre 2 3 1 Retrouvez plus de renseignements dans les Notes de publication m La version BIOS ne propose pas toutes
388. re activ e par strat gie Dans ce cas l utilisateur est automatiquement invit lancer une proc dure Challenge R ponse si le cache local est corrompu SafeGuard Data Exchange r cup ration d un mot de passe oubli SafeGuard Data Exchange sans le chiffrement de p riph riques ne fournit pas la r cup ration Challenge R ponse lorsque l utilisateur a oubli son mot de passe Dans ce cas vous devez changer le mot de passe dans Active Directory Connectez vous l ordinateur d extr mit sans le fournisseur de codes d acc s Sophos et restaurez la configuration utilisateur sur l ordinateur d extr mit R ponse pour les clients SafeGuard Enterprise 1 Sur la page Type de r cup ration s lectionnez Client SafeGuard Enterprise administr 2 Sous Domaine s lectionnez le domaine requis dans la liste 227 SafeGuard Enterprise 228 10 11 12 13 Sous Ordinateur saisissez ou s lectionnez le nom d ordinateur requis Pour ce faire vous pouvez proc der de plusieurs fa ons E Pour s lectionner un nom cliquez sur Cliquez ensuite sur Rechercher maintenant Une liste des ordinateurs s affiche S lectionnez l ordinateur requis puis cliquez sur OK Le nom de l ordinateur appara t sur la page Type de r cup ration E Entrez le nom court de l ordinateur directement dans le champ Lorsque vous cliquez sur Suivant ce nom est recherch dans la base de donn es S il est trouv le nom d or
389. re disponibles et valides m Vous devez galement conna tre les mots de passe de ces deux fichiers p12 ainsi que du magasin de certificats Remarque nous conseillons seulement ce type de restauration si aucune sauvegarde de base de donn es valide n est disponible Tous les ordinateurs connect s un client qui a t restaur de cette fa on perdront leur attribution utilisateur machine L authentification au d marrage SafeGuard sera provisoirement d sactiv e Les m canismes de challenge r ponse ne seront pas disponibles tant que l ordinateur d extr mit correspondant n aura pas renvoy avec succ s les informations sur sa cl Pour restaurer une configuration de base de donn es corrompue 1 R installez le package d installation du SafeGuard Management Center Ouvrez le SafeGuard Management Center L Assistant de configuration d marre automatiquement 2 Dans Connexion la base de donn es cochez la case Cr er une base de donn es Sous Param tres de base de donn es configurez la connexion la base de donn es Cliquez sur Suivant 3 Dans Donn es du responsable de la s curit s lectionnez le responsable principal de la s curit correspondant puis cliquez sur Importer 4 Cliquez sur Importer le certificat d authentification pour rechercher le fichier de certificat sauvegard Sous Fichier de certificat logiciel entrez le mot de passe de ce fichier Cliquez sur OK 5 Le certificat du responsable pr
390. re fichier texte s affiche lorsque vous cliquez sur ce bouton Le texte contenu dans ce fichier est ajout la fin du texte existant Langue de la bo te de dialogue d authentification au d marrage SafeGuard Apr s l installation du logiciel de chiffrement SafeGuard Enterprise le texte de la bo te de dialogue de l authentification au d marrage SafeGuard est affich dans la langue par d faut d finie dans les Options r gionales et linguistiques de Windows sur l ordinateur d extr mit lors de l installation de SafeGuard Enterprise Manuel d administration 13 3 4 Vous pouvez changer la langue du texte de la bo te de dialogue de l authentification au d marrage SafeGuard apr s l installation de SafeGuard Enterprise l aide de l une des deux m thodes suivantes E Changez la langue par d faut dans les Options r gionales et linguistiques Windows sur l ordinateur d extr mit Apr s deux red marrages de l ordinateur par l utilisateur le nouveau param tre de langue est actif dans l authentification au d marrage SafeGuard E Cr ez une strat gie du type Param tres g n raux choisissez la langue dans le champ Langue utilis e sur le client et d ployez la strat gie sur l ordinateur d extr mit Remarque si vous d finissez une strat gie et la d ployez sur l ordinateur d extr mit la langue choisie dans la strat gie s applique au lieu de celle indiqu e dans les Options r gionales et linguistiques de Window
391. re l acc s aux fichiers chiffr s partir de l environnement Rescue and Recovery Retrouvez plus d informations sur l activation de l authentification Rescue and Recovery dans la documentation Lenovo Rescue and Recovery 97 SafeGuard Enterprise 98 14 Acc s administratif aux ordinateurs d extr mit Windows Remarque les descriptions suivantes se rapportent aux ordinateurs d extr mit Windows prot g s par SafeGuard Enterprise l aide de l authentification au d marrage SafeGuard SafeGuard Enterprise utilise deux types de comptes pour permettre aux utilisateurs de se connecter aux ordinateurs d extr mit et d ex cuter des t ches administratives apr s l installation de SafeGuard Enterprise E Comptes de service pour la connexion Windows Gr ce aux comptes de service les utilisateurs peuvent se connecter connexion Windows aux ordinateurs d extr mit apr s l installation de SafeGuard Enterprise sans avoir activer l authentification au d marrage SafeGuard et sans tre ajout s en tant qu utilisateurs sur les ordinateurs Les listes de comptes de service sont d finies dans la zone Strat gies du SafeGuard Management Center et attribu es aux ordinateurs d extr mit via des strat gies Les utilisateurs figurant sur une liste de comptes de service sont consid r s comme des utilisateurs invit s lorsqu ils se connectent l ordinateur d extr mit Remarque les listes de comptes de service sont attribu
392. rement Chiffrement 3503 D marrage du chiffrement initial bas sur secteur du lecteur D marrage du chiffrement initial bas sur secteur du lecteur mode rapide Chiffrement Fin du chiffrement initial bas sur secteur du lecteur r ussie Chiffrement chec et cl ture du chiffrement initial bas sur secteur du lecteur Chiffrement Annulation du chiffrement initial bas sur secteur du lecteur Chiffrement chec du chiffrement initial bas sur secteur du lecteur Chiffrement D marrage du d chiffrement bas sur secteur du lecteur Chiffrement Cl ture du d chiffrement bas sur secteur du lecteur r ussie Chiffrement Chiffrement Chiffrement Chiffrement chec et cl ture du d chiffrement bas sur secteur du lecteur Annulation du d chiffrement bas sur secteur du lecteur chec du d chiffrement bas sur secteur du lecteur D marrage du chiffrement initial F amp F sur le lecteur Chiffrement Chiffrement Chiffrement Chiffrement Chiffrement Fin du chiffrement initial F amp F sur le lecteur r ussie chec et cl ture du chiffrement initial F amp F sur le lecteur Annulation du d chiffrement F amp F sur le lecteur D marrage du chiffrement F amp F Cl ture du chiffrement F amp F r ussie Manuel d administration Cat gorie Chiffrement Chiffrement Chiffrement Chiffrement Chiffrement Chiffrement Chiffrement Chiffrement
393. res en fonction de vos exigences en mati re de rapports et d audits Retrouvez plus d informations la section Rapports la page 254 149 SafeGuard Enterprise 18 Chiffrement du disque Cette version de SafeGuard Enterprise prend en charge Windows 7 et Windows 8 fonctionnant sur des ordinateurs d extr mit dot s de BIOS ou d UEFI E Pour les plates formes BIOS vous pouvez choisir entre le chiffrement int gral du disque SafeGuard Enterprise et le chiffrement BitLocker g r par SafeGuard La version BIOS est livr e avec le m canisme de r cup ration BitLocker original Remarque si l authentification au d marrage SafeGuard ou le chiffrement int gral du disque SafeGuard sont mentionn s dans le pr sent manuel il font uniquement r f rence aux ordinateurs d extr mit Windows 7 avec BIOS M Pour les plates formes UEFI veuillez utiliser BitLocker g r par SafeGuard Enterprise pour le chiffrement du disque Pour ces ordinateurs d extr mit SafeGuard Enterprise offre des fonctionnalit s am lior es de Challenge R ponse Retrouvez plus de renseignements sur les versions UFFI prises en charge et sur les limites de la prise en charge du Challenge R ponse SafeGuard BitLocker dans les Notes de publication disponibles sur http downloads sophos com readmes readsgn_61_fra html Remarque la mention UEFI appara t de mani re explicite chaque fois qu elle doit tre utilis e Le tableau ci dessous indique quel
394. res apparaissent Elles fournissent des informations utiles concernant l administration du syst me et en simplifient l utilisation Vous pouvez par exemple attribuer des cl s des objets avec l op ration de glisser d placer Manuel d administration 4 5 Barre d outils Contient des symboles pour les diff rentes op rations du SafeGuard Management Center Les symboles sont affich s tels qu ils sont disponibles et quand ils sont disponibles pour l objet s lectionn Apr s la connexion SafeGuard Management Center s ouvre toujours avec la vue qui tait utilis e lors de sa fermeture Param tres de langue Les param tres de langue pour SafeGuard Management Center et le logiciel de chiffrement SafeGuard Enterprise sur les ordinateurs d extr mit sont les suivants Langue du SafeGuard Management Center Vous pouvez d finir la langue du SafeGuard Management Center ainsi m Dans la barre de menus de SafeGuard Management Center cliquez sur Outils gt Options gt G n ral S lectionnez Utiliser la langue d finie par l utilisateur et s lectionnez une langue disponible Les langues prises en charge sont l anglais l allemand le fran ais et le japonais m Red marrez SafeGuard Management Center Il appara t dans la langue s lectionn e Langue de SafeGuard Enterprise sur les ordinateurs d extr mit Vous d finissez la langue de SafeGuard Enterprise sur l ordinateur d extr mit dans une strat gie de type Param
395. responsable de la s curit M Pour permettre au responsable de la s curit de s authentifier avec ou sans token s lectionnez Facultatif M Pour rendre obligatoire la connexion sur la carte puce pour le responsable de la s curit s lectionnez Obligatoire Avec ce param tre la cl priv e reste sur le token Le token doit toujours tre connect sinon le syst me doit tre r initialis 205 SafeGuard Enterprise 24 6 5 Veuillez ensuite indiquer le certificat du responsable de la s curit E Pour cr er un nouveau certificat cliquez sur le bouton Cr er pr s de la liste d roulante Certificat Saisissez un mot de passe pour le certificat deux fois et cliquez sur OK pour le confirmer Indiquez l emplacement d enregistrement du certificat M Pour importer les certificats cliquez sur le bouton Importer pr s de la liste d roulante Certificat et ouvrez le fichier de certificat correspondant La recherche s effectue d abord dans un fichier de certificat puis sur le token Les certificats peuvent rester dans l emplacement de stockage quel qu il soit 6 Sous R les activez les r les devant tre attribu s au responsable de la s curit 7 Confirmez les saisies en cliquant sur OK Le responsable de la s curit est cr le token est g n r les informations de connexion sont crites sur le token en fonction du param tre et les informations du token sont enregistr es dans la bas
396. riph riques s lectionnez Cr er manuellement une liste blanche Lorsque vous cliquez sur OK une liste blanche vide s ouvre dans le SafeGuard Management Center Dans cette liste blanche vide vous pouvez cr er manuellement des entr es Pour ajouter une nouvelle entr e cliquez sur l ic ne verte Ajouter Ins rer dans la barre d outils du SafeGuard Management Center Remarque pour r cup rer les cha nes correspondantes d un p riph rique dans le Gestionnaire de p riph riques Windows ouvrez la fen tre Propri t s du p riph rique et observez les valeurs des propri t s Num ros d identification du mat riel et Chemin d acc s l instance du p riph rique Seules les interfaces suivantes sont prises en charge USB 1394 PCMCIA et PCI Si vous voulez utiliser le r sultat d un contr le des ordinateurs d extr mit par SafeGuard PortAuditor comme source s lectionnez Importer le r sultat de SafeGuard Port Auditor Les r sultats de l analyse SafeGuard Port Auditor doivent tre disponibles fichier XML si vous voulez cr er la liste blanche avec cette source Pour s lectionner le fichier cliquez sur le bouton Retrouvez plus d informations dans le Guide d utilisation de SafeGuard PortAuditor Cliquez sur OK pour afficher le contenu du fichier import dans le SafeGuard Management Center La liste blanche appara t sous Listes blanches dans la zone de navigation Strat gies Vous pouvez la s lectionner
397. rit ou le responsable principal de la s curit supprimer et s lectionnez Supprimer Vous ne pouvez pas supprimer le responsable de la s curit sous le nom duquel vous tes connect 3 Si le responsable poss de des enfants vous tes invit s lectionner un nouveau n ud parent pour les enfants Le responsable est supprim de la base de donn es Remarque un responsable principal de la s curit explicitement cr en tant que responsable et non seulement promu au rang de responsable de la s curit doit cependant tre conserv dans la base de donn es Si un utilisateur promu au rang de responsable de la s curit est supprim de la base de donn es son compte utilisateur l est galement Remarque si le responsable supprimer s est vu attribuer un r le incluant une authentification suppl mentaire et si le responsable est le seul qui ce r le a t attribu le responsable sera tout de m me supprim Nous consid rons que le responsable principal de la s curit sera en mesure de prendre le contr le de l autorisation suppl mentaire 53 SafeGuard Enterprise 54 9 Cl s et certificats Lors de l importation de la structure du r pertoire SafeGuard Enterprise dans sa configuration par d faut g n re automatiquement des cl s pour E Domaines E Conteneurs OU et les attribue aux objets correspondants Des cl s d ordinateur et d utilisateur sont g n r es selon les besoins Cl s po
398. rit s directement ou indirectement par la machine y compris les strat gies qui n ont pas t Manuel d administration 11 9 12 2 11 9 12 3 11 9 12 4 11 9 12 5 appliqu es par le mode de r cursivit des strat gies Param tres machine de relecture sont remplac s Ignorer l utilisateur Vous pouvez trouver ce param tre sous l ments de strat gie gt strat gie du type Param tres g n raux gt Chargement de param tres gt Mode de r cursivit des strat gies Si vous s lectionnez Ignorer l utilisateur pour une strat gie d ordinateur dans le champ Mode de r cursivit des strat gies d une strat gie du type Param tres g n raux et si la strat gie provient d une machine seuls les param tres de la machine sont analys s Les param tres de l utilisateur ne sont pas analys s Aucun bouclage Vous pouvez trouver ce param tre sous l ments de strat gie gt strat gie du type Param tres g n raux gt Chargement de param tres gt Mode de r cursivit des strat gies Aucun blocage d crit le comportement standard Les strat gies de l utilisateur sont prioritaires sur celles de l ordinateur Analyse des param tres Ignorer l utilisateur et Param tres machine de relecture S il existe des attributions de strat gies actives les strat gies de la machine sont analys es et regroup es d abord Si avec le Mode de r cursivit des strat gies ce regroupement de strat gies indiv
399. rmations d tat authentification au d marrage SafeGuard active inactive tat de chiffrement Les informations d tat apparaissent dans SafeGuard Management Center 1 v AeA O N Dans le menu Outils du SafeGuard Management Center cliquez sur Outil de package de configuration S lectionnez Packages du client administr Cliquez sur Ajouter un package de configuration Donnez un nom au package de configuration Attribuez un serveur SafeGuard Enterprise principal le serveur secondaire n est pas n cessaire S lectionnez SSL comme Chiffrement du transport pour la connexion entre l ordinateur d extr mit et le serveur SafeGuard Enterprise Sophos en tant que Chiffrement de transport n est pas pris en charge pour Mac 7 Indiquez un chemin de sortie pour le package de configuration ZIP 8 Cliquez sur Cr er un package de configuration La connexion au serveur pour le mode Chiffrement du transport SSL est valid En cas d chec de la connexion un message d avertissement s affiche Le package de configuration ZIP a t cr dans le r pertoire sp cifi Vous devez maintenant distribuer ce package sur vos Macs et le d ployer sur ceux ci Retrouvez plus d informations dans les manuels de Sophos SafeGuard Disc encryption pour Mac et de Sophos SafeGuard File Encryption pour Mac Manuel d administration 13 Authentification au d marrage de SafeGuard 13 1 Remarque cette description conc
400. roupe s affichent Pour les strat gies de protection du p riph rique un onglet s affiche pour chaque cible de strat gie volumes d initialisation lecteur X etc Sauvegarde de strat gies et de groupes de strat gies Vous pouvez cr er des sauvegardes de strat gies et de groupes de strat gies sous forme de fichiers XML Si n cessaire les strat gies groupes de strat gies correspondants peuvent ensuite tre restaur s partir de ces fichiers XML 1 Dans la fen tre de navigation s lectionnez la strat gie le groupe de strat gies sous l ments de strat gie ou Groupes de strat gies Cliquez avec le bouton droit de la souris pour afficher le menu contextuel et s lectionnez Sauvegarder la strat gie Remarque la commande Sauvegarder la strat gie est galement accessible dans le menu Actions Dans la bo te de dialogue Enregistrer sous entrez le nom du fichier XML puis s lectionnez un emplacement de stockage Cliquez sur Enregistrer Manuel d administration La sauvegarde de la strat gie du groupe de strat gies est stock e sous forme de fichier XML dans le r pertoire sp cifi 11 5 Restauration de strat gies et de groupes de strat gies Pour restaurer une strat gie un groupe de strat gies partir d un fichier XML 1 2 Dans la fen tre de navigation s lectionnez l ments de strat gie Groupes de strat gies Cliquez avec le bouton droit de la souris pour afficher le menu contex
401. s E Vous savez exactement comment l utilisateur va se connecter et saisir le domaine en cons quence m Vous cr ez plusieurs entr es de liste de comptes de service m Vous utilisez les caract res g n riques pour couvrir l ensemble des cas utilisateur test domaine monentreprise Remarque afin d viter les probl mes li s au fait que Windows peut utiliser des noms tronqu s et non la m me s quence de caract res nous vous recommandons de saisir le NomComplet et le nom NetBIOS voire d utiliser des caract res g n riques Restrictions Un ast risque ne peut remplacer que le premier signe le dernier signe ou tre le seul signe autoris Voici quelques exemples de cha nes valides et non valides concernant l utilisation des ast risques m Exemples de cha nes valides admin strateur minis m Exemple de cha nes non valides Admin trateur Ad minst En outre les restrictions suivantes s appliquent E Le caract re n est pas autoris dans les noms de connexion utilisateur m Les caract res 2 lt gt ne sont pas autoris s dans les noms de domaine 101 SafeGuard Enterprise 15 3 15 4 15 5 102 Modification et suppression des listes de comptes de service En tant que responsable de la s curit poss dant le droit Modifier les listes de comptes de service vous pouvez modifier ou supprimer les listes de comptes de service tout moment E Pour modifier
402. s Disposition du clavier Chaque pays ou presque a une disposition de clavier qui lui est propre La disposition du clavier dans l authentification au d marrage SafeGuard est importante lorsque vous saisissez des noms d utilisateur des mots de passe et des codes de r ponse Par d faut SafeGuard Enterprise adopte la disposition de clavier de l authentification au d marrage SafeGuard qui a t d finie dans les Options r gionales et linguistiques de Windows pour l utilisateur Windows par d faut au moment o SafeGuard Enterprise a t install Si Allemand est la disposition de clavier d finie sous Windows la disposition allemande du clavier sera utilis e dans l authentification au d marrage SafeGuard La langue de la disposition du clavier utilis e est affich e dans l authentification au d marrage SafeGuard par exemple FR pour fran ais Outre la disposition du clavier par d faut la disposition du clavier am ricain anglais peut galement tre utilis e Il existe un certain nombre d exceptions E La disposition du clavier est effectivement prise en charge mais l absence d une police de caract res par exemple pour le bulgare signifie que seuls les caract res sp ciaux sont affich s dans le champ Nom d utilisateur M Aucune disposition du clavier n est disponible par exemple pour la R publique Dominicaine Dans ces situations l authentification au d marrage SafeGuard revient la disposition du
403. s sur fichier par File Encryption et SafeGuard Data Exchange vous pouvez indiquer des applications comme ignor es pour les exempter du chiffrement d chiffrement des fichiers transparents Par exemple si vous d finissez un programme de sauvegarde comme une application ignor e les donn es chiffr es sauvegard es par le programme restent chiffr es Manuel d administration Param tre de strat gie Explication Saisissez les applications que vous voulez d finir comme ignor es dans la zone de liste d dition de ce champ Les applications doivent tre saisies comme des chemins pleinement qualifi s P riph riques ignor s Pour le chiffrement bas sur fichier par File Encryption et SafeGuard Data Exchange vous pouvez exclure des p riph riques entiers par exemple des disques du chiffrement bas sur fichier Dans la zone de liste d dition s lectionnez R seau pour s lectionner un p riph rique pr d fini ou saisissez les noms de p riph riques requis pour exclure des p riph riques donn es du chiffrement Activer le chiffrement Pour le chiffrement bas sur fichier par File Encryption et permanent SafeGuard Data Exchange vous pouvez configurer le chiffrement permanent Avec le chiffrement permanent les copies des fichiers chiffr s seront chiffr es m me lorsqu elles sont enregistr es dans un emplacement non couvert par une r gle de chiffrement Ce param tre de strat gie est activ par d f
404. s sont cr es sur les ordinateurs et peuvent tre utilis es pour chiffrer des donn es de supports amovibles Elles sont cr es en saisissant une phrase secr te et sauvegard es dans la base de donn es de SafeGuard Enterprise Remarque par d faut l utilisateur est autoris cr er des cl s locales Si des utilisateurs n y sont pas autoris s vous devez d sactiver cette option de mani re explicite Ceci doit tre effectu dans une strat gie de type Protection des p riph riques avec P riph riques de stockage locaux comme Cible de protection de p riph rique Param tres g n raux gt L utilisateur est autoris cr er une cl locale gt Non Si des cl s locales sont utilis es pour chiffrer des fichiers sur des supports amovibles ces fichiers peuvent tre d chiffr s l aide de SafeGuard Portable sur un ordinateur sur lequel SafeGuard 177 SafeGuard Enterprise 21 3 178 Data Exchange n est pas install l ouverture des fichiers avec SafeGuard Portable l utilisateur est invit saisir la phrase secr te sp cifi e lors de la cr ation de la cl L utilisateur peut ouvrir le fichier s il conna t la phrase secr te Gr ce SafeGuard Portable chaque utilisateur connaissant la phrase secr te peut acc der un fichier chiffr sur un support amovible Il est ainsi galement possible de partager des donn es chiffr es avec des partenaires ne disposant pas de SafeGuard Enterprise SafeGuar
405. s actives vous avez besoin des droits Modifier des cl s et G rer des cl s personnelles Par d faut le droit G rer des cl s personnelles a t attribu au r le pr d fini de responsable principal de la s curit mais il peut aussi tre attribu aux nouveaux r les d finis par l utilisateur En plus vous avez besoin des droits d Acc s complet pour l objet en question Vous pouvez r trograder manuellement des cl s personnelles actives par exemple si un utilisateur quitte la soci t Dans la mesure o vous avez le droit G rer des cl s personnelles vous pouvez attribuer la cl personnelle r trograd e de cet utilisateur d autres utilisateurs pour leur donner un acc s en lecture seule aux fichiers chiffr s avec cette cl Mais ils ne peuvent pas utiliser cette cl pour le chiffrement des fichiers Remarque ceci ne peut pas tre annul Une cl personnelle r trograd e ne peut jamais devenir une cl personnelle active quel que soit l utilisateur 1 Dans SafeGuard Management Center s lectionnez Utilisateurs et ordinateurs 2 Dans la zone de navigation s lectionnez l utilisateur requis 3 Dans l onglet Cl cliquez avec le bouton droit de la souris sur la Cl personnelle active requise et s lectionnez R trograder la cl personnelle dans le menu contextuel La cl est r trograd e C est encore une cl personnelle mais elle ne peut plus tre utilis e comme cl personnelle active Si une r gle Fi
406. s composants sont disponibles Chiffrement du Authentification Authentification R cup ration C R disque SafeGuard au d marrage de SafeGuard pour avec SafeGuard avec pr initialisation l authentification authentification r cup ration par BitLocker g r e de au d marrage Challenge R ponse par SafeGuard pr initialisation SafeGuard BitLocker Windows7 OUI BIOS Windows7 UEFI Windows 8 UEFI Windows 8 BIOS 150 Manuel d administration 18 1 18 1 1 Chiffrement int gral du disque SafeGuard La fonction principale de SafeGuard Enterprise est le chiffrement des donn es sur diff rents p riph riques de stockage de donn es Le chiffrement int gral du disque peut tre bas sur volume ou sur fichier avec des cl s et des algorithmes diff rents Les fichiers sont chiffr s de mani re transparente Lorsque les utilisateurs ouvrent modifient et enregistrent des fichiers ils ne sont pas invit s chiffrer ou d chiffrer En tant que responsable de la s curit d finissez des param tres de chiffrement dans une strat gie de s curit du type Protection des p riph riques Retrouvez plus d informations aux sections Utilisation de strat gies la page 71 et Protection des p riph riques la page 135 Remarque la fonctionnalit de chiffrement int gral du disque d crite aux sections suivantes peut uniquement tre utilis e avec les syst mes BIOS Si vous utilisez d autres syst mes tel
407. s d entreprise actuellement actifs dans la base de donn es SafeGuard Enterprise et sur l ordinateur diff rent et une modification de certificat d entreprise est donc requise Dans le SafeGuard Management Center dans le menu Outils cliquez sur Outil de package de configuration S lectionnez Packages du client administr Cliquez sur Ajouter un package de configuration Donnez un nom au package de configuration Attribuez un serveur SafeGuard Enterprise principal le serveur secondaire n est pas n cessaire Si besoin est indiquez un groupe de strat gies cr auparavant dans le SafeGuard Management Center qui sera appliqu aux ordinateurs d extr mit Si vous voulez utiliser des comptes de service utilisateur pour les t ches post rieures l installation sur l ordinateur d extr mit assurez vous d inclure le param tre de strat gie respectif dans ce premier groupe de strat gie Retrouvez plus d informations la section Listes de comptes de service pour la connexion Windows la page 99 Si le certificat d entreprise actuellement actif dans la base de donn es SafeGuard Enterprise diff re de celui pr sent sur les ordinateurs d extr mit qui doivent recevoir le nouveau package de configuration s lectionnez le CCO Company Certificate Change Order ad quat Dans Utilisateurs et ordinateurs dans l onglet Inventaire du domaine appropri de l OU ou de l ordinateur une coche manquante sous Certificat d entreprise
408. s d un Challenge R ponse il existe plusieurs possibilit s de filtrage et de recherche dans SafeGuard Management Center sous Cl s et certificats Vues des clients virtuels 1 Cliquez sur Clients virtuels dans la fen tre de navigation de gauche 2 Cliquez sur la loupe pour g n rer la liste compl te de tous les clients virtuels 3 Filtrez les clients virtuels par Nom symbolique ou par GUID de cl Vues des fichiers de cl s export s 1 Dans SafeGuard Management Center cliquez sur Clients virtuels puis sur Fichiers de cl s export s 2 Cliquez sur la loupe pour g n rer la liste compl te de tous les fichiers de cl s export s 3 Cliquez sur l ic ne situ e en regard du fichier de cl requis pour afficher les cl s contenues dans ce fichier Suppression de clients virtuels 1 Ouvrez SafeGuard Management Center et cliquez sur Cl s et certificats 2 Cliquez sur Clients virtuels dans la fen tre de navigation de gauche 3 Dans la zone d action recherchez le client virtuel concern en cliquant sur la loupe Les clients virtuels disponibles apparaissent 4 S lectionnez l entr e requise dans la zone d action et cliquez sur Supprimer le client virtuel dans la barre d outils 5 Enregistrez les modifications dans la base de donn es en cliquant sur l ic ne Enregistrer de la barre d outils Le client virtuel est supprim de la base de donn es Manuel d administration 10 Ordres de modification du cert
409. s de synchronisation Dossiers synchronisation Le de synchronisation chemin pleinement qualifi de l application de synchronisation utilis e par le logiciel Dropbox Pour les dossiers de synchronisation Le chemin pleinement qualifi du dossier de synchronisation utilis par le logiciel Dropbox lt Egnyte gt Application de Le chemin pleinement synchronisation qualifi de l application de synchronisation utilis e par le logiciel Egnyte lt EgnytePrivate gt Dossiers de synchronisation Tous les dossiers confidentiels du stockage Cloud d Egnyte Pour les utilisateurs Egnyte classiques il s agit g n ralement d un seul dossier Pour les administrateurs Egnyte cet espace r serv consiste g n ralement en plusieurs dossiers lt EgnyteShared gt Dossiers de synchronisation Tous les dossiers partag s du stockage Cloud d Egnyte Remarque Les modifications de la structure du dossier Egnyte y compris l ajout ou la suppression de dossiers confidentiels ou partag s sont d tect es automatiquement Les strat gies affect es sont mises jour automatiquement 189 SafeGuard Enterprise 190 Utilisable dans le param tre CSD Fournisseur Espace r serv R sultat Remarque les dossiers de synchronisation peuvent se trouver sur des emplacements du r seau Vous pouvez donc saisir les chemins r seau dans le param tre Dossiers de synchronisation Le module Cloud S
410. s depuis un Active Directory et tre visibles dans la zone Utilisateurs et ordinateurs du SafeGuard Management Center E Pour permettre un utilisateur promu de se connecter au SafeGuard Management Center en tant que responsable de la s curit un certificat utilisateur est n cessaire Vous pouvez cr er ce certificat lors de la promotion d un utilisateur Retrouvez plus d informations la section Promotion d un utilisateur au rang de responsable de la s curit la page 50 Pour rendre possible la connexion avec les codes d acc s Windows le fichier p12 contenant la cl priv e doit se trouver dans la base de donn es SafeGuard Enterprise Pour se connecter avec un code PIN de token ou de carte puce le fichier p12 contenant la cl priv e doit se trouver sur le token ou la carte puce Remarque si vous cr ez le certificat lors de la promotion d un utilisateur ce dernier va devoir utiliser le mot de passe du certificat pour se connecter au SafeGuard Management Center Il va devoir saisir le mot de passe du certificat m me s il est invit saisir le mot de passe Windows Ceci s applique galement lors de la connexion SafeGuard Enterprise Web Help Desk 8 11 2 Promotion d un utilisateur au rang de responsable de la s curit 50 Condition pr alable pour promouvoir un utilisateur vous devez tre responsable principal de la s curit ou responsable de la s curit avec les droits n cessaires 1 Dans SafeGuard
411. s disponibles sous la forme de fichiers cco Manuel d administration 11 11 1 Utilisation de strat gies Les sections suivantes d crivent les t ches administratives relatives aux strat gies par exemple la cr ation le regroupement et la sauvegarde Remarque pour l attribution la suppression ou la modification des strat gies vous avez besoin des droits d Acc s complet aux objets appropri s ainsi qu tout groupe activ pour les strat gies donn es Retrouvez une description d taill e de tous les param tres de strat gie disponibles dans SafeGuard Enterprise la section Param tres de strat gie la page 111 Cr ation de strat gies 1 Connectez vous au SafeGuard Management Center avec le mot de passe d fini lors de la configuration initiale 2 Dans la zone de navigation cliquez sur Strat gies 3 Dans la fen tre de navigation cliquez avec le bouton droit de la souris sur l ments de strat gie puis s lectionnez Nouveau 4 S lectionnez le type de strat gie Une bo te de dialogue permettant de nommer la nouvelle strat gie s affiche 5 Saisissez un nom et ventuellement une description de la nouvelle strat gie Strat gies de protection des p riph riques Si vous cr ez une strat gie de protection du p riph rique sp cifiez d abord la cible de la protection du p riph rique Les cibles possibles sont les suivantes Stockage de masse volumes d initialisation autres volumes
412. s doivent se trouver dans un m me groupe Manuel d administration Ce groupe est ensuite attribu un compte de service utilisateur Le propri taire du compte de service peut ensuite se connecter tous les ordinateurs de ce groupe En outre le fait d attribuer un groupe contenant diff rents utilisateurs permet ces derniers de se connecter ensuite un ordinateur sp cifique en une seule tape 23 2 Attribution de groupes d utilisateurs et d ordinateurs Dans Utilisateurs et ordinateurs pour visualiser l attribution des groupes d utilisateurs et d ordinateurs vous avez besoin au moins de droits d acc s en Lecture seule pour l un des objets groupe d utilisateurs ou d ordinateurs en question Pour d finir ou changer l attribution vous avez besoin des droits d Acc s complet pour les deux objets en question L affichage AUM montrant les utilisateurs machines disponibles est filtr en fonction de vos droits d acc s Remarque vous pouvez attribuer des utilisateurs individuels un ordinateur ou r ciproquement en utilisant le m me processus que pour les groupes 1 Cliquez sur Utilisateurs et ordinateurs 2 Pour attribuer un groupe d ordinateurs un utilisateur unique s lectionnez ce dernier 3 Cliquez sur l onglet Ordinateur dans la zone d action Tous les ordinateurs et groupes d ordinateurs sont affich s sous Ordinateurs disponibles 4 Faites glisser les groupes s lectionn s de la liste des Groupes dis
413. s expire il est invit modifier son mot de passe M Bertrand saisit Informatique comme nouveau mot de passe et re oit un message d erreur indiquant que ce mot de passe a d j t utilis et qu il doit en s lectionner un nouveau M Bertrand ne peut pas utiliser le mot de passe Informatique avant la quatri me invitation de changement du mot de passe en d autres termes longueur d historique du mot de passe 4 17 7 Phrase secr te pour SafeGuard Data Exchange L utilisateur doit entrer une phrase secr te qui est utilis e pour g n rer des cl s locales pour un change s curis des donn es avec SafeGuard Data Exchange Les cl s g n r es sur les 131 SafeGuard Enterprise ordinateurs d extr mit sont galement stock es dans la base de donn es SafeGuard Enterprise Dans les strat gies du type Phrase secr te vous d finissez les conditions requises correspondantes Retrouvez une description de SafeGuard Data Exchange la section SafeGuard Data Exchange la page 177 Retrouvez plus d informations sur SafeGuard Data Exchange et sur SafeGuard Portable sur l ordinateur d extr mit dans le Manuel d utilisation de SafeGuard Enterprise au chapitre SafeGuard Data Exchange Param tre de strat gie PHRASE SECR TE Explication Longueur minimum de la phrase secr te D finit le nombre minimum de caract res de la phrase secr te partir de laquelle la cl est g n r e
414. s la langue du syst me SafeGuard Management Center courant Les mod les utilis s pour les textes d v nement peuvent tre modifi s et trait s l aide de requ tes SQL par exemple Pour cela vous pouvez g n rer une table contenant tous les mod les de texte des messages d v nement Vous pouvez ensuite personnaliser les mod les en fonction de vos exigences particuli res 265 SafeGuard Enterprise 266 Pour cr er une table contenant les mod les de texte des identifiants d v nement individuels 1 Dans la barre de menus du SafeGuard Management Center s lectionnez Outils gt Options 2 Dans la fen tre Options acc dez l onglet Base de donn es 3 Dans la zone Mod les de messages de rapport cliquez sur Cr er une table La table contenant les mod les de l identifiant d v nement est cr e dans la langue syst me en cours et peut tre personnalis e Remarque la table doit tre effac e avant la g n ration des mod les Si les mod les ont t g n r s tel que d crit pour une langue sp cifique et si un utilisateur g n re les mod les d une autre langue les mod les de la premi re langue sont supprim s Manuel d administration 31 31 1 Planification des t ches SafeGuard Management Center contient le Planificateur de t ches pour cr er et planifier des t ches p riodiques bas es sur des scripts Les t ches sont automatiquement ex cut es par un service sur le serveur Sa
415. s ne sont pas accessibles si les modules essentiels de SafeGuard Enterprise ne sont pas disponibles ou ne fonctionnent pas Les sections suivantes couvrent les probl mes et les m thodes de r cup ration envisageables R cup ration des donn es via l initialisation partir d un support externe Ce type de r cup ration s applique lorsque l utilisateur ne peut plus acc der au volume chiffr Dans ce cas l acc s aux donn es chiffr es peut tre r cup r en d marrant l ordinateur partir d un disque de r cup ration Windows PE personnalis pour SafeGuard Enterprise Conditions pr alables L utilisateur qui ex cute l initialisation partir d un support externe doit disposer de l autorisation appropri e La configuration doit tre effectu e dans le BIOS de l ordinateur Manuel d administration 26 3 2 26 3 3 26 3 4 m L ordinateur doit prendre en charge l initialisation partir de supports autres qu un disque dur fixe Pour r cup rer l acc s aux donn es chiffr es sur l ordinateur proc dez comme suit 1 Demandez au support technique de vous fournir le disque SafeGuard Enterprise Windows PE Le support peut t l charger le disque de r cup ration Windows PE avec les derniers pilotes du filtre Sophos SafeGuard sur le site du support Sophos Retrouvez plus d informations dans l article http www sophos com fr fr support knowledgebase 108805 aspx 2 Ins rez le disque de r cup ration Win
416. s pour les ordinateurs d extr mit non administr s prot g s par SafeGuard Enterprise autonome Si la fonction de phrase secr te des supports est activ e pour des ordinateurs d extr mit non administr s la cl de chiffrement de support est utilis e automatiquement comme Cl d finie pour le chiffrement en effet aucune cl de groupe n est disponible sur les ordinateurs d extr mit non administr s L utilisateur est autoris cr er une cl locale Ce param tre d termine si les utilisateurs peuvent g n rer ou non une cl locale sur leurs ordinateurs Les cl s locales sont g n r es sur l ordinateur d extr mit selon une phrase secr te saisie par l utilisateur La configuration minimale de la phrase secr te est d finie dans des strat gies du type Phrase secr te Ces cl s sont galement enregistr es dans la base de donn es L utilisateur peut les utiliser sur n importe quel ordinateur auquel il est connect Des cl s locales peuvent tre utilis es pour l change de donn es s curis avec SafeGuard Data Exchange SG DX PARAM TRES BAS S SUR VOLUME L utilisateur peut ajouter des cl s au volume chiffr ou en supprimer Oui les utilisateurs de l ordinateur d extr mit peuvent ajouter ou supprimer des cl s d un jeu de cl s La bo te de dialogue s affiche dans l onglet Propri t s Chiffrement de la commande du menu contextuel Non les utilisateurs de l ordinateur d
417. s propri t s d objet vous avez besoin des droits d Acc s complet ou en Lecture seule aux objets concern s 1 Dans la zone de navigation du SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation Utilisateurs et ordinateurs cliquez avec le bouton droit de la souris sur l objet requis et s lectionnez Propri t s Les propri t s de l objet s lectionn apparaissent Si vous avez des droits d acc s en Lecture seule l objet en question les informations sur les propri t s sont gris es dans la bo te de dialogue et vous ne pouvez pas les modifier Manuel d administration 8 Responsables de la s curit de SafeGuard Enterprise 8 1 8 1 1 SafeGuard Enterprise peut tre administr par un ou plusieurs responsables de la s curit La gestion bas e sur le r le de SafeGuard Enterprise permet de r partir l administration entre plusieurs utilisateurs Un utilisateur peut se voir attribuer un ou plusieurs r les Pour am liorer la s curit l autorisation suppl mentaire d une action peut tre attribu e au r le d un responsable Au cours de la configuration initiale du SafeGuard Management Center un administrateur de niveau sup rieur le responsable principal de la s curit poss dant tous les droits et un certificat est cr par d faut Par d faut le certificat du responsable principal de la s curit expire apr s 5 ans et peut tre renouvel dans la sectio
418. s un d lai de cinq jours Changement de code PIN apr s un max de jours Si la p riode de validit maximum est activ e l utilisateur doit d finir un nouveau code PIN une fois la p riode d finie expir e Avertir d un changement obligatoire avant jours LL Un message d avertissement s affiche n jours avant l expiration du code PIN pour rappeler l utilisateur de changer son code PIN dans n jours L utilisateur peut galement le changer imm diatement G N RAL Masquer les entr es Indique si les entr es sont masqu es lors de la saisie des codes PIN Manuel d administration Param tre de strat gie Explication Longueur de l historique du D termine quel moment des codes PIN d j utilis s peuvent code PIN l tre nouveau Il est judicieux de d finir la longueur d historique conjointement au param tre Changer de code PIN apr s un max de jours Exemple La longueur d historique du code PIN pour l utilisateur Bertrand est d finie 4 et le nombre de jours l issue desquels l utilisateur doit changer son code PIN est de 30 M Bertrand se connecte actuellement en utilisant le code PIN Informatique Lorsque la p riode de 30 jours expire il est invit changer son code PIN M Bertrand saisit Informatique comme nouveau code PIN et re oit un message d erreur indiquant que ce code PIN a d j t utilis et qu il doit en s lectionner un nouveau M Bertra
419. sable de la s curit Retrouvez plus d informations la section Promotion des responsables de la s curit la page 49 1 2 Dans SafeGuard Management Center s lectionnez Responsables de la s curit Dans la fen tre de navigation cliquez avec le bouton droit de la souris sur le n ud Responsables principaux de la s curit et s lectionnez Nouveau gt Nouveau responsable principal de la s curit Manuel d administration 3 Saisissez les informations correspondantes dans Nouveau responsable principal de la s curit Champ case cocher Activ Description Le responsable de la s curit peut tre d sactiv jusqu nouvel avis Le responsable de la s curit est dans le syst me mais ne peut pas encore se connecter au SafeGuard Management Center Il peut seulement le faire et effectuer ses t ches d administration lorsqu un autre responsable l active Saisissez le nom du responsable de s curit tel qu il est fourni dans les certificats cr s par SafeGuard Enterprise sous la forme cn Le responsable de la s curit est galement affich sous ce nom dans la fen tre de navigation du SafeGuard Management Center Ce nom doit tre unique Valeur maximale 256 caract res Description T l phone portable Facultatif Valeur maximale 256 caract res Facultatif Valeur maximale 128 caract res Facultatif Valeur maximale 256 caract res Connexion au token L
420. sateur a chang le certificat sur l ordinateur d extr mit le certificat est galement renouvel sur le serveur SafeGuard Enterprise lors de la synchronisation suivante Cela supprime l ancien token de l onglet Certificats de l utilisateur dans SafeGuard Management Center Le nouveau token devient le token standard pour l utilisateur Remarque dans SafeGuard Management Center les deux certificats peuvent tre supprim s s par ment Si un seul certificat de veille est disponible le certificat suivant est attribu sous la forme d un certificat de veille Importation d un certificat partir d un fichier du token Condition pr alable le token a t g n r Vous devez s lectionner cette proc dure pour un token avec la prise en charge Kerberos Le certificat doit tre reconnu par SafeGuard Enterprise et ajout au token S il existe d j un certificat g n r automatiquement le certificat import le remplacera Pour ajouter la partie priv e du certificat fichier p12 sur le token partir d une fichier 1 Dans SafeGuard Management Center cliquez sur Tokens 2 Connectez le token dans l interface USB SafeGuard Enterprise lit le token 3 Marquez le token auquel vous voulez ajouter la partie priv e du certificat et dans la zone de travail droite ouvrez l onglet Informations de connexion et certificats 4 Cliquez sur l ic ne P12 token dans la barre d outils du SafeGuard Management Center 5 S lect
421. sateurs dans le SafeGuard Management Center Tout le monde L ve la restriction selon laquelle les utilisateurs ne peuvent tre ajout s que par le propri taire Remarque pour les ordinateurs d extr mit sur lesquels le module Protection des p riph riques n est pas install le param tre Autoriser l enregistrement de nouveaux utilisateurs SGN pour doit tre d fini sur Tout le monde s il est possible d ajouter plusieurs utilisateurs l Attribution utilisateur machine avec acc s leur trousseau de cl s Autrement les utilisateurs peuvent uniquement tre ajout s dans SafeGuard Management Center Ce param tre est uniquement valu sur les ordinateurs d extr mit administr s Retrouvez plus d informations sur http www sophos com fr fr support knowledgebase 110659 aspx Manuel d administration E Activer l enregistrement des utilisateurs Windows de SGN Si vous s lectionnez Oui les utilisateurs Windows de SGN peuvent tre enregistr s sur l ordinateur d extr mit Un utilisateur Windows de SGN n est pas ajout l authentification au d marrage SafeGuard En revanche il dispose d un jeu de cl s pour acc der aux fichiers chiffr s comme le ferait un utilisateur Sophos SGN Si vous s lectionnez ce param tre tous les utilisateurs qui seraient autrement devenus des utilisateurs invit s deviennent des utilisateurs Windows de SGN Les utilisateurs sont ajout s l Attribution utilisateur machine d s qu ils s
422. se 2 10 Security made simple SateGuard Enterprise Manuel d administration Version du produit 6 1 Date du document janvier 2014 Table des mati res 1 propos de SafeGuard Enterprise D le S ne A Rs sn 4 2 Bon usage en mati re de s curit ner 6 3 propos de SafeGuard Management Centers antenne detente 9 4 Connexion au SafeGuard Management Center 10 5 E O A E rl ss Rte ne Res nee in nie nn ent io stress 14 6 Utilisation de plusieurs configurations de base de donn es 20 7 Cr ation de la structure organisationnelle ss 25 8 Responsables de la s curit de SafeGuard Enterprise 35 9 Cl s et CA ND D S SR a Ee 54 10 Ordres de modification du certificat d entreprise 67 11 Utilisation de strat gies sise 71 12 Utilisation des packages de configuration 83 13 Authentification au d marrage de SafeGuard sn 87 14 Acc s administratif aux ordinateurs d extr mit Windows 98 15 Listes de comptes de service pour la connexion Windows 99 16 Utilisateurs de l authentification au d marrage pour connexion l authentification au d marrage SafeGuard 104 17 Param tres de Strat gie nant in nn tnt Meet te tem SaS APERE se 111 18 Chiffrement du disque sise 150 19 Protection de la configuration SafeGuard sen 164 20 Utilisation de File Encryption avec File Share 165 21 SafeGuard Data Exchange nant nina Animale 177
423. se constituent une solution conviviale et compl te pour l enregistrement et l analyse des v nements Les exemples suivants illustrent des sc narios d application types des Rapports de SafeGuard Enterprise Contr le centralis des ordinateurs d extr mit d un r seau Le responsable de la s curit souhaite tre r guli rement inform des v nements critiques acc s non autoris aux donn es nombre d checs de tentatives de connexion sur une p riode sp cifi e par exemple Gr ce une strat gie de journalisation le responsable de la s curit peut configurer la journalisation dans un fichier journal local de processus afin de journaliser tous les v nements li s la s curit survenus sur les ordinateurs d extr mit Ce fichier journal est transf r dans la base de donn es SafeGuard Enterprise via le serveur SafeGuard Enterprise une fois atteint un certain nombre d v nements Le responsable de la s curit peut r cup rer afficher et analyser les v nements dans la Observateur d v nements du SafeGuard Management Center Les processus ex cut s sur diff rents ordinateurs d extr mit peuvent ainsi tre audit s sans intervention du personnel sur la journalisation Surveillance des utilisateurs mobiles Les utilisateurs mobiles ne sont g n ralement pas connect s en permanence au r seau de l entreprise Par exemple les commerciaux d connectent leur portable pendant une r union D s qu ils se reco
424. section Attribution et activation des strat gies Pour activer une strat gie devant tre mise en uvre pour un utilisateur ou un ordinateur vous devez d abord l attribuer un objet conteneur n uds racine domaine OU conteneur int gr ou groupe de travail Pour que la strat gie attribu e un utilisateur ou un ordinateur devienne effective lorsque vous attribuez une strat gie un point quelconque de la hi rarchie tous les ordinateurs ordinateurs authentifi s et tous les utilisateurs utilisateurs authentifi s sont activ s automatiquement l attribution sans activation ne suffit pas Tous les utilisateurs et tous les ordinateurs sont combin s dans ces groupes H ritage de strat gie Les strat gies ne peuvent tre transmises qu entre objets conteneurs Les strat gies peuvent tre activ es au sein d un conteneur supposer qu il ne contienne aucun autre objet conteneur au niveau du groupe L h ritage entre groupes est impossible Hi rarchie d h ritage de strat gie Lorsque des strat gies sont attribu es le long d une cha ne hi rarchique la strat gie la plus proche dans le cas d un objet cible utilisateur ordinateur a le niveau le plus lev Cela signifie que si la distance entre une strat gie et l objet cible augmente elle sera remplac e par toute autre strat gie plus proche Attribution directe des strat gies L utilisateur ordinateur re oit une strat gie attribu e directement l o
425. sent dans SafeGuard Management Center E Sophos SafeGuard File Encryption pour Mac 6 1 m Sophos SafeGuard Disk Encryption pour Mac 6 1 E Sophos SafeGuard Disk Encryption pour Mac 6 rapport uniquement Remarque Retrouvez plus de conseils et d informations sur les sp cificit s et limites d utilisation de SafeGuard File Encryption ou de SafeGuard Disk Encryption pour Mac dans le Manuel d administration de Mac Donn es d inventaire et d tat des Mac Pour les Macs l Inventaire fournit les donn es suivantes sur chaque machine Les donn es affich es peuvent varier selon le produit Sophos install E Le nom du Mac M Le syst me d exploitation M Le type de chiffrement E L tat de l authentification au d marrage E Le nombre de lecteurs chiffr s E Le nombre de lecteurs d chiffr s E Le dernier contact du serveur E La date de modification E Si le certificat d entreprise en cours est utilis ou non Cr ation d un package de configuration pour les Macs Un package de configuration pour un Mac contient les informations sur le serveur et le certificat d entreprise Le Mac utilise ces informations pour signaler les informations d tat authentification au d marrage SafeGuard active inactive tat de chiffrement Les informations d tat apparaissent dans SafeGuard Management Center 1 Dans le menu Outils du SafeGuard Management Center cliquez sur Outil de package de configuration 277 SafeGuard Enterprise
426. sieurs r les peuvent alors tre attribu s aux responsables de la s curit Par exemple un utilisateur peut se voir attribuer le r le de responsable supervision et celui de responsable du support Toutefois le responsable principal de la s curit peut galement cr er des r les personnalis s et les attribuer des utilisateurs particuliers R les pr d finis Dans le SafeGuard Management Center les r les de responsable de la s curit suivants sauf ceux du MSO sont pr d finis L attribution des droits ces r les pr d finis ne peut tre chang e Par exemple si un r le pr d fini poss de le droit de cr ation d l ments de strat gie et de groupes de strat gies ce droit ne peut pas tre supprim du r le De m me un nouveau droit ne peut pas tre ajout un r le pr d fini Toutefois vous pouvez attribuer tout moment une authentification responsable des r les pr d finis E Responsable supervision Les responsables supervision peuvent acc der leurs propres n uds dans la zone Responsables de la s curit De m me ils sont autoris s g rer les responsables de la s curit inclus dans leurs n uds respectifs E Responsable de la s curit Les responsables de la s curit poss dent des droits tendus y compris des droits de configuration de SafeGuard Enterprise de gestion des strat gies et des cl s ainsi que des autorisations relatives au contr le et la r cup ration
427. sophos fr y compris le s num ro s de version du logiciel Sophos le s syst me s d exploitation et le s niveau x de correctif ainsi que le texte de tous les messages d erreur 309 SafeGuard Enterprise 310 37 Mentions l gales Copyright 1996 2014 Sophos Group Tous droits r serv s SafeGuard est une marque d pos e de Sophos Group Aucune partie de cette publication ne peut tre reproduite stock e dans un syst me de recherche documentaire ou transmise sous quelque forme ou par quelque moyen que ce soit lectronique m canique photocopie enregistrement ou autre sauf si vous poss dez une licence valide auquel cas vous pouvez reproduire la documentation conform ment aux termes de cette licence ou si vous avez le consentement pr alable crit du propri taire du copyright Sophos Sophos Anti Virus et SafeGuard sont des marques d pos es de Sophos Limited Sophos Group et de Utimaco Safeware AG partout ou ceci est applicable Tous les autres noms de produits et d entreprises cit s dans ce document sont des marques ou des marques d pos es de leurs propri taires respectifs Les informations de copyright des fournisseurs tiers sont disponibles dans le document Disclaimer and Copyright for 3rd Party Software dans votre r pertoire des produits
428. specte les r gles des codes PIN de SafeGuard Enterprise Vous devez toujours consulter les r gles des codes PIN du fabricant de tokens Elles peuvent tre affich es dans la zone Token sous Informations sur le token dans SafeGuard Management Center Les codes PIN sont g r s dans SafeGuard Management Center sous Tokens Le token est connect et coch dans la fen tre de navigation de gauche initialisation du code PIN utilisateur Conditions pr alables E Le code PIN du SO doit tre connu m Vous avez besoin des droits d Acc s complet pour l utilisateur correspondant 1 Dans la barre d outils du SafeGuard Management Center cliquez sur Initialiser le PIN utilisateur 2 Saisissez le code PIN du SO 3 Saisissez le nouveau code PIN de l utilisateur r p tez la saisie et confirmez en cliquant sur OK Le code PIN de l utilisateur est initialis Changement du code PIN d un responsable de la s curit Condition pr alable le code PIN du responsable de la s curit pr c dent doit tre connu 1 Dans la barre d outils du SafeGuard Management Center cliquez sur l ic ne Changer le code PIN SO 2 Saisissez l ancien code PIN du SO 3 Saisissez le nouveau code PIN du SO r p tez la saisie et cliquez sur OK Le code PIN du SO a t modifi 211 SafeGuard Enterprise 24 8 3 24 8 4 24 8 5 24 9 24 9 1 212 Changement d un code PIN utilisateur Condition pr alable E Le code PIN de
429. sse pour le fichier P12 Le fichier p12 doit tre la disposition du responsable de la s curit lorsqu il se connecte Le certificat cr est attribu automatiquement au responsable de la s curit et affich dans Certificat Si des r gles de mot de passe de SafeGuard Enterprise sont utilis es celles ci doivent tre d sactiv es dans Active Directory Remarque longueur max du chemin d enregistrement et du nom de fichier 260 caract res Lors de la cr ation d un responsable de la s curit la partie publique du certificat suffit Lors de la connexion au SafeGuard Management Center cependant la partie priv e du certificat le fichier de cl est galement requise Si elle n est pas disponible dans la base de donn es elle doit l tre pour le responsable de la s curit sur une carte m moire par exemple et peut tre stock e dans le magasin de certificats pendant la connexion Certificat Importation Un certificat existant est utilis et attribu au responsable de la s curit lors de l importation Si l importation s effectue partir d un fichier de cl p12 le mot de passe du certificat doit tre connu Si un conteneur de certificats PKCS 12 est s lectionn tous les certificats sont charg s dans la liste de certificats attribuables L attribution du certificat s effectue apr s l importation en le s lectionnant dans la liste d roulante R les du responsable de R les la s cur
430. st bloqu Remarque la vue Tokens g n r s n affiche que les tokens des utilisateurs pour qui vous avez des droits en Lecture seule ou d Acc s complet Blocage d un token ou d une carte puce Si vous tes responsable de la s curit vous pouvez bloquer des tokens C est utile par exemple si un token a t perdu Pour bloquer un token vous avez besoin des droits d Acc s complet pour l utilisateur concern 1 Dans SafeGuard Management Center cliquez sur Tokens 2 Dans la zone de navigation de gauche s lectionnez Tokens g n r s gauche de la zone de navigation 3 S lectionnez le token bloquer et cliquez sur l ic ne Bloquer le token de la barre d outils du SafeGuard Management Center Le token est bloqu pour l authentification et l utilisateur attribu ne peut plus l utiliser pour se connecter Le token ne peut tre d bloqu qu en utilisant le code PIN du responsable de la s curit Suppression des informations du token carte puce En tant que responsable de la s curit vous pouvez supprimer les informations crites sur le token par SafeGuard Enterprise Condition pr alable E le token doit tre connect m Vous avez besoin des droits d Acc s complet pour l utilisateur correspondant 1 Dans SafeGuard Management Center cliquez sur Tokens 213 SafeGuard Enterprise 24 9 4 214 Dans la zone de navigation de gauche s lectionnez la carte puce concern e sous Cartes
431. stall s 5 Lorsque vous y tes invit veuillez confirmer que la mise jour a r ussi et qu un CCO inclure dans tous les packages de configuration a t cr Cliquez sur OK 6 Dans le menu Outils cliquez sur Outil de package de configuration 7 S lectionnez le type de package de configuration des ordinateurs d extr mit Packages du client administr ou Packages du client autonome 8 Cliquez sur Ajouter un package de configuration et saisissez un nom pour le package de configuration 9 S lectionnez le CCO que vous aviez cr auparavant 10 Proc dez toutes les autres s lections de votre choix 11 Indiquez un chemin de sortie pour le package de configuration MSI 12 Cliquez sur Cr er un package de configuration Le package de configuration MSI a t cr dans le r pertoire sp cifi 13 Red marrez tous les serveurs base de donn es SafeGuard Enterprise 14 Distribuez ce package aux ordinateurs d extr mit SafeGuard Enterprise prot g s et d ployez le sur ceux ci Tous les certificats g n r s par SafeGuard Enterprise sont sign s avec le nouvel algorithme Retrouvez plus d informations sur http www sophos com fr fr support knowledgebase 116791 aspx Exportation du certificat d entreprise et du responsable principal de la s curit Dans une installation SafeGuard Enterprise les deux l ments suivants sont essentiels et doivent tre sauvegard s dans un emplacement s r
432. stion et ajout de questions la page 221 Dans la zone de navigation Strat gies s lectionnez le nouveau sujet de question sous Questions Local Self Help Cliquez avec le bouton droit de la souris dans la zone d action pour ouvrir le menu contextuel du sujet de question Dans le menu contextuel s lectionnez Importer S lectionnez le r pertoire et le sujet de question puis cliquez sur Ouvrir Les questions import es s affichent dans la zone d action Vous pouvez maintenant enregistrer le sujet de question tel quel ou le modifier 26 1 6 Cr ation d un nouveau sujet de question et ajout de questions Vous pouvez cr er de nouveaux sujets de question propos de th mes diff rents Vous pouvez ainsi proposer aux utilisateurs un choix de sujets de question qui pourraient leur convenir 1 Dans la zone de navigation Strat gies s lectionnez Questions Local Self Help 7 Cliquez avec le bouton droit de la souris sur Questions Local Self Help puis s lectionnez Nouveau gt Sujet de la question Saisissez un nom pour le sujet de question et cliquez sur OK Dans la zone de navigation Strat gies s lectionnez le nouveau sujet de question sous Questions Local Self Help Cliquez avec le bouton droit de la souris dans la zone d action pour ouvrir le menu contextuel du sujet de question Dans le menu contextuel s lectionnez Ajouter Une nouvelle ligne de question est ajout e Saisissez votre question et appuyez sur En
433. strat gie ayant une priorit inf rieure Remarque si une strat gie ayant une priorit inf rieure mais ayant t d sign e Ne pas remplacer est attribu e au m me niveau qu une strat gie d un niveau sup rieur cette strat gie sera prioritaire en d pit de son niveau inf rieur 79 SafeGuard Enterprise 11 9 10 Priorit s au sein d un groupe 11 9 11 Au sein d un groupe la strat gie ayant la plus haute priorit 1 se range au dessus d une strat gie ayant une priorit inf rieure Indicateurs d tat La d finition d indicateurs d tat permet de changer les r gles par d faut pour les strat gies E Bloquer l h ritage de strat gie Param tre des conteneurs pour lesquels vous ne souhaitez pas que des strat gies de niveau sup rieur s appliquent cliquez avec le bouton droit sur l objet dans la fen tre de navigation Propri t s Si vous ne souhaitez pas qu un objet conteneur h rite d une strat gie d un objet plus lev s lectionnez Bloquer l h ritage de strat gie pour l en emp cher Si Bloquer l h ritage de strat gie a t s lectionn pour un objet conteneur il ne sera pas affect par les param tres d une strat gie d un niveau sup rieur exception Ne pas remplacer activ lorsqu une strat gie a t attribu e E Ne pas remplacer D finie au cours de l attribution cette strat gie ne peut pas tre remplac e par une autre Plus l attribution de la strat gie Ne pas remplacer est
434. strat gie et s lectionnez Propri t s dans le menu contextuel La bo te de dialogue Propri t s de la strat gie appara t Ici vous pouvez afficher les informations G n ral et Attribution Manuel d administration 11 8 11 9 11 9 1 11 9 2 11 9 3 11 9 4 D sactivation du d ploiement de strat gies En tant que responsable de la s curit vous pouvez d sactiver le d ploiement des ordinateurs d extr mit Pour ce faire cliquez sur le bouton Activer d sactiver le d ploiement des strat gies dans la barre d outils du SafeGuard Management Center ou s lectionnez la commande Activer d sactiver le d ploiement des strat gies dans le menu diter Apr s d sactivation du d ploiement de strat gies aucune strat gie n est envoy e aux ordinateurs d extr mit Pour inverser la d sactivation du d ploiement de strat gies cliquez sur le bouton ou s lectionnez de nouveau la commande Remarque pour d sactiver le d ploiement de strat gies un responsable de la s curit doit disposer du droit Activer d sactiver le d ploiement des strat gies Par d faut ce droit a t affect aux r les pr d finis de responsable principal de la s curit et de responsable de la s curit mais il peut aussi tre affect de nouveaux r les d finis par l utilisateur R gles d attribution et d analyse des strat gies La gestion et l analyse des strat gies s effectuent selon les r gles d crites dans cette
435. t che Supprimer Cliquez sur ce bouton pour supprimer une t che s lectionn e Propri t s Cliquez sur ce bouton pour afficher la bo te de dialogue Propri t s de lt nom de t che gt d une t che s lectionn e Dans cette bo te de dialogue vous pouvez modifier la t che ou importer exporter et modifier des scripts Rafra chir Cliquez sur ce bouton pour rafra chir la liste des t ches dans la bo te de dialogue Planificateur de t ches Si un autre utilisateur a entre temps ajout ou supprim des t ches la liste est mise jour Tous les serveurs utilisent l heure courante du serveur de base de donn es pour d terminer quand d marrer les t ches Ainsi pour une meilleure surveillance des t ches l heure du serveur de base de donn es appara t ici Il appara t avec l heure locale de l ordinateur sur lequel fonctionne le SafeGuard Management Center 270 Manuel d administration 31 3 Modification de t ches 31 4 Pour modifier des t ches dans le Planificateur de t ches vous avez besoin des droits du responsable de la s curit Utiliser le planificateur de t ches et G rer les t ches 1 4 Dans la barre de menus du SafeGuard Management Center s lectionnez Outils gt Planificateur de t ches La bo te de dialogue Planificateur de t ches appara t montrant un aper u des t ches planifi es S lectionnez la t che requise et cliquez sur le bouton Propri t s La bo te de dial
436. t gie de la machine remplace celle de la strat gie de l utilisateur Si le regroupement des strat gies individuelles de la machine produit la valeur standard par d faut les conditions suivantes s appliquent Les param tres de l utilisateur deviennent prioritaires sur ceux de la machine TAUX DE TRANSFERT Intervalle de connexion au D termine la p riode en minutes apr s laquelle un client serveur min SafeGuard Enterprise envoie une demande de strat gie modifications au serveur SafeGuard Enterprise Remarque pour viter qu un grand nombre de clients ne contactent le serveur simultan ment la communication s effectue toujours dans une p riode de 50 de l intervalle de connexion d fini Exemple le param tre 90 minutes se traduit par une p riode de communication entre le client et le serveur de 45 135 minutes JOURNALISATION Commentaires apr s plusieurs Le syst me de journalisation introduit sous le nom de Win32 v nements Service SGM LogPlayer recueille les entr es du journal g n r es par SafeGuard Enterprise pour la base de donn es centrale et les stocke dans des fichiers journaux locaux Elles sont stock es dans le cache local dans le r pertoire Auditing SGMTransLog Ces fichiers sont transf r s au m canisme de transport qui les envoie ensuite la base de donn es via le serveur SGN Le transfert s effectue d s que le m canisme de transport a r ussi cr er
437. t il n est pas n cessaire de le r initialiser La proc dure Challenge R ponse permet l ordinateur de d marrer partir de l authentification au d marrage SafeGuard L utilisateur peut ensuite saisir le mot de passe correctement dans la bo te de dialogue de connexion Windows et s y connecter L utilisateur a oubli le mot de passe Remarque nous vous conseillons d utiliser Local Self Help pour r cup rer un mot de passe oubli Local Self Help permet aux utilisateurs d avoir leurs mots de passe en cours affich s et de continuer l utiliser Ceci lui vite d avoir r initialiser le mot de passe ou de demander de l aide au support technique Manuel d administration Lors de la r cup ration d un mot de passe oubli via la proc dure Challenge R ponse une r initialisation de mot de passe est requise 1 La proc dure Challenge R ponse permet l ordinateur de d marrer partir de l authentification au d marrage SafeGuard 2 Dans la bo te de dialogue de connexion Windows l utilisateur ne connait pas le mot de passe correct Le mot de passe doit tre red fini au niveau de Windows Cela n cessite d autres actions de r cup ration sortant du p rim tre de SafeGuard Enterprise via des moyens Windows standard Remarque nous vous recommandons d viter la r initialisation centralis e du mot de passe avant la proc dure Challenge R ponse Cela garantit que le mot de passe reste synchronis entre Windows e
438. t utilisateur Mot de passe et token Pour v rifier si la connexion fonctionne en utilisant un token s lectionnez tout d abord les deux param tres Dess lectionnez seulement le mode de connexion Identifiant utilisateur Mot de passe si l authentification l aide du token a r ussi Vous devez aussi combiner les deux param tres si vous voulez autoriser Local Self Help pour la connexion avec le token E Empreinte digitale s lectionnez ce param tre pour permettre la connexion l aide du lecteur d empreintes digitales Lenovo Les utilisateurs auxquels cette strat gie s applique peuvent alors se connecter l aide d une empreinte digitale ou d un nom Manuel d administration Param tre de strat gie Explication d utilisateur et d un mot de passe Cette proc dure offre le niveau de s curit maximum Lors de la connexion les utilisateurs font glisser leurs doigts sur le lecteur d empreintes digitales Lorsque l empreinte digitale est correctement reconnue le processus d authentification au d marrage SafeGuard lit les codes d acc s de l utilisateur et connecte l utilisateur l authentification au d marrage Le syst me transf re alors les codes d acc s vers Windows et connecte l utilisateur l ordinateur Remarque apr s avoir s lectionn cette proc dure de connexion l utilisateur peut se connecter uniquement l aide d une empreinte digitale pr enregistr e ou d un nom d utilisateur et d un mot de passe
439. t SafeGuard Enterprise Assurez vous que le support Windows en a bien connaissance Nous recommandons les m thodes de r initialisation de mot de passe Windows suivantes E l aide d un compte de service ou administrateur disponible sur l ordinateur d extr mit avec les droits Windows requis E l aide d un disque de r initialisation de mot de passe Windows sur l ordinateur d extr mit En tant que responsable du support vous pouvez informer l utilisateur de la proc dure appliquer et lui fournir les codes d acc s Windows suppl mentaires ou le disque requis 3 L utilisateur saisit le nouveau mot de passe que le support a r initialis au niveau de Windows L utilisateur doit ensuite modifier ce mot de passe imm diatement en choisissant une valeur connue de lui seul Un nouveau certificat utilisateur est cr en fonction du nouveau choix de mot de passe Windows L utilisateur peut donc se reconnecter l ordinateur ainsi qu l authentification au d marrage SafeGuard l aide du nouveau mot de passe Remarque Cl s pour SafeGuard Data Exchange Lorsqu un mot de passe est r initialis et qu un nouveau certificat est cr les cl s locales pr c demment cr es pour SafeGuard Data Exchange peuvent tre encore utilis es si l ordinateur d extr mit est membre d un domaine Si le syst me d extr mit est membre d un groupe de travail l utilisateur doit se rappeler de la phrase secr te SafeGuard Data Exchange po
440. t SafeGuard Enterprise existe pour un volume chiffr BitLocker To Go l acc s au volume est refus Si aucune strat gie de chiffrement SafeGuard Enterprise n existe l utilisateur peut acc der au volume Retrouvez plus d informations sur BitLocker To Go la section BitLocker To Go la page 161 Chiffrement int gral du disque bas sur fichier Le chiffrement bas sur fichier garantit que toutes les donn es sont chiffr es part le support d initialisation et les informations de r pertoire Avec le chiffrement bas sur fichier m me les supports optiques tels que les CD DVD peuvent tre chiffr s Par ailleurs les donn es peuvent tre chang es avec des ordinateurs externes sur lesquels SafeGuard Enterprise n est pas install si les strat gies le permettent Retrouvez plus d informations la section SafeGuard Data Exchange la page 177 Remarque les donn es chiffr es l aide du chiffrement bas sur fichier ne peuvent pas tre compress es De m me les donn es compress es ne peuvent pas tre chiffr es en utilisant le chiffrement bas sur fichier Remarque les volumes d initialisation ne sont jamais chiffr s d apr s la m thode bas e sur fichier Ils sont automatiquement exclus du chiffrement bas sur fichier m me si une r gle correspondante est d finie Pour appliquer le chiffrement bas sur fichier aux ordinateurs d extr mit cr ez une strat gie du type Protection des p riph riques e
441. t aux machines pour lesquels il existe aussi une attribution de strat gie Ce qui signifie que l activation des strat gies ne peut pas aller au del des limites de conteneur s il n y a pas d attribution directe ou indirecte de la strat gie pour cet objet Une strat gie devient effective lorsqu elle a t activ e pour des groupes d utilisateurs ou des groupes d ordinateurs Les groupes d utilisateurs puis les groupes d ordinateurs sont analys s les utilisateurs authentifi s et les ordinateurs authentifi s sont galement des groupes Les deux r sultats sont reli s par une instruction OR Si ce lien OR donne une valeur positive pour la relation ordinateur utilisateur la strat gie s applique Remarque si plusieurs strat gies sont actives pour un objet les strat gies individuelles sont group es en respectant n anmoins les r gles d crites et fusionn es Ce qui signifie que les param tres r els d un objet peuvent tre compos s de plusieurs strat gies diff rentes Un groupe peut avoir les param tres d activation suivants E Activ Une strat gie a t attribu e Le groupe est affich dans la zone d activation du SafeGuard Management Center E Non activ Une strat gie a t attribu e Le groupe ne se trouve pas dans la zone d activation Si une strat gie est attribu e un conteneur le param tre d activation d un groupe activ d termine si cette strat gie pour ce conteneur est incluse dans le calc
442. t commun pour les fichiers vid o de tous les utilisateurs Chemin type C Documents and Settings All Users Documents My Videos lt Cookies gt lt Favorites gt Windows Windows lt Local Application Data gt lt Program Data gt Windows R pertoire du syst me de fichiers qui sert de d p t commun pour les cookies Internet Chemin type C Documents and Settings username Cookies R pertoire du syst me de fichiers qui sert de d p t commun pour les l ments pr f r s de l utilisateur Chemin type Documents and Settings username Favorites R pertoire du syst me de fichiers qui sert de d p t de donn es pour les applications locales non itin rantes Chemin type C Documents and Settings username Local Settings Application Data R pertoire du syst me de fichier contenant les donn es d application de tous les Manuel d administration Espace r serv au chemin Syst me R sultats dans la valeur suivante sur d exploitation l ordinateur d extr mit Tous Windows et Mac OS X utilisateurs Chemin type C Documents and Settings All Users Application Data lt Program Files gt Dossier Program Files Chemin type Program Files Pour les syst mes 64 bits celui ci sera tendu en deux r gles une pour les applications 32 bits et une pour les applications 64 bits lt Public Music gt R pertoire du syst me de fichiers qui sert de d p t commun pour les fichiers
443. t d finissez le Mode de chiffrement du support sur Bas sur fichier Comportement par d faut lors de l enregistrement des fichiers tant donn que les applications se comportent diff remment lors de l enregistrement des fichiers SafeGuard Enterprise propose deux fa ons de g rer des fichiers chiffr s qui ont t modifi s Si un fichier est chiffr avec une cl diff rente de celle par d faut du volume et si vous modifiez le fichier et l enregistrez vous pouvez vous attendre ce que la cl de chiffrement d origine soit pr serv e puisque vous modifiez un fichier et n en cr ez pas de nouveau Mais de nombreuses applications enregistrent des fichiers en effectuant une combinaison d op rations d enregistrement de suppression et de changement de nom par exemple Microsoft Office Si elles font a le param tre SafeGuard Enterprise par d faut est d utiliser la cl par d faut pour cette t che de chiffrement et donc de changer la cl utilis e pour le chiffrement 153 SafeGuard Enterprise 18 2 18 2 1 154 Si vous voulez changer ce comportement et pr server la cl utilis e pour le chiffrement dans tous les cas vous pouvez modifier une cl de registre sur l ordinateur d extr mit Pour toujours utiliser la m me cl lors de l enregistrement des fichiers modifi s HKEY_LOCAL_ MACHINE SYSTEM CurrentControlSet Control UTIMACO SGLCENC ActivateEncryptionTunneling dword 00000001
444. t d entreprise plus r cent que l actuel de r cent est disponible l ordinateur d extr mit est disponible Cr ation de rapports des donn es d inventaire En tant que responsable de la s curit vous pouvez cr er des rapports des donn es d inventaire dans diff rents formats Par exemple vous pouvez cr er des rapports de conformit pour prouver que des ordinateurs d extr mit ont t chiffr s Les rapports peuvent tre imprim s ou export s dans un fichier Impression de rapports d inventaire 1 Dans la barre de menus du SafeGuard Management Center cliquez sur Fichier 2 Vous pouvez soit imprimer le rapport directement soit afficher un aper u avant impression Manuel d administration L aper u avant impression fournit plusieurs fonctions par exemple pour la modification de la mise en page en t te et pied de page etc M Pour obtenir un aper u avant impression s lectionnez Imprimer gt Aper u E Pour imprimer le document sans afficher l aper u s lectionnez Imprimer 29 11 2 Exportation des rapports d inventaire dans les fichiers 1 Dans la barre de menus du SafeGuard Management Center cliquez sur Fichier 2 S lectionnez Imprimer gt Aper u Le rapport d inventaire Aper u appara t L aper u fournit plusieurs fonctions par exemple pour la modification de la mise en page en t te et pied de page etc 3 Dans la barre d outils de la fen tre Aper u s lectionnez la liste d roul
445. t initial rapide s lectionnez le param tre Chiffrement initial rapide dans une strat gie du type Protection des p riph riques Remarque pour le d chiffrement des volumes le mode de chiffrement initial rapide sera toujours utilis quel que soit le param tre de strat gie sp cifi Pour le d chiffrement les conditions pr alables num r es s appliquent aussi Chiffrement bas sur volume et partition du syst me Windows 7 Pour Windows 7 Professionnel Entreprise et dition Int grale une partition syst me est cr e sur les ordinateurs d extr mit sans attribution de lettre de lecteur Cette partition syst me ne peut pas tre chiffr e par SafeGuard Enterprise Chiffrement bas sur volume et objets du syst me de fichiers non identifi s Les objets du syst me de fichiers non identifi s sont des volumes qui ne peuvent pas tre clairement identifi s comme texte brut ou chiffr s par SafeGuard Enterprise L acc s au volume est refus s il existe une strat gie de chiffrement d finie pour un objet du syst me de fichiers non identifi Si aucune strat gie de chiffrement n existe l utilisateur peut acc der au volume Remarque si une strat gie de chiffrement dont le param tre Cl utiliser pour le chiffrement est d fini de sorte permettre la s lection de cl par exemple Toute cl du jeu de cl s utilisateur existe pour un volume d objets du syst me de fichiers non identifi s un intervalle de tem
446. t ne peut pas tre r utilis e Elle doit tre stock e en lieu s r Lors de l utilisation de BitLocker avec SafeGuard Enterprise une cl de sauvegarde est stock e dans la base de donn es SafeGuard Enterprise de cl s g n r es par BitLocker Ceci permet de d finir un m canisme d assistance et de r cup ration similaire au m canisme de Challenge R ponse de SafeGuard Enterprise Il n est cependant pas possible de s lectionner globalement des cl s et de les r utiliser avec des clients SafeGuard Enterprise natifs Les cl s n apparaissent pas dans le SafeGuard Management Center Remarque si un volume est chiffr alors que la prise en charge SafeGuard Enterprise BitLocker est d j install e l administrateur peut enregistrer les cl s de sauvegarde prot g es par un 157 SafeGuard Enterprise 18 2 4 2 18 2 4 3 158 mot de passe de r cup ration dans Active Directory en plus du stockage dans la base de donn es SafeGuard Enterprise L administrateur doit le faire manuellement l aide de l outil Windows Manage BDE et en les enregistrant dans une strat gie de groupe En revanche pour Windows 2003 Server le sch ma Active Directory utilis doit tre tendu En outre des droits d administrateur de domaine sont n cessaires pour r cup rer les informations stock es Algorithmes BitLocker dans SafeGuard Enterprise BitLocker prend en charge les algorithmes AES Advanced Encryption Standard suivants M AES
447. t prise en charge et il est possible d utiliser la r cup ration Em Aucune strat gie de chiffrement SafeGuard Enterprise ne s applique au lecteur chiffr il est possible d utiliser la r cup ration SafeGuard Enterprise D chiffrement avec BitLocker Les ordinateurs chiffr s avec BitLocker ne peuvent pas tre d chiffr s automatiquement Le d chiffrement doit tre ex cut l aide de l outil Manage bde de Microsoft Cet outil de Manuel d administration ligne de commande peut tre utilis la place de l l ment Chiffrement de lecteur BitLocker du Panneau de configuration Pour permettre aux utilisateurs de d chiffrer les lecteurs chiffr s avec BitLocker manuellement une strat gie sans r gle de chiffrement pour le lecteur chiffr par BitLocker doit tre appliqu e sur l ordinateur d extr mit L utilisateur peut d clencher le chiffrement en d sactivant BitLocker pour le lecteur de son choix partir de l l ment Chiffrement de lecteur BitLocker du Panneau de configuration 18 2 5 BitLocker To Go Avec BitLocker To Go la fonctionnalit de Chiffrement de lecteur BitLocker a t tendue dans Microsoft Windows 7 Elle permet aux utilisateurs de chiffrer des volumes internes ainsi que des volumes sur supports amovibles connect s aux ordinateurs d extr mit partir du menu contextuel de l Explorateur Windows M Lorsque le client de chiffrement des p riph riques de SafeGuard Enterprise a t d
448. taire de l ordinateur s il est propri taire disponible Pr nom Indique le pr nom du propri taire s il est disponible Nom Indique le nom de famille du propri taire s il est disponible Adresse lectronique Indique l adresse lectronique du propri taire s il est disponible 249 SafeGuard Enterprise Colonne Explication Autres utilisateurs Affiche les noms des autres utilisateurs enregistr s de l ordinateur enregistr s s ils sont disponibles Syst me d exploitation Indique le syst me d exploitation de l ordinateur Dernier contact du serveur Indique la date et l heure auxquelles l ordinateur a communiqu avec le serveur pour la derni re fois Derni re strat gie re ue Indique la date et l heure auxquelles l ordinateur a re u la derni re strat gie Lecteurs chiffr s Indique les lecteurs chiffr s de l ordinateur Lecteurs non chiffr s Indique les lecteurs non chiffr s de l ordinateur Type de chiffrement Indique si l ordinateur est un ordinateur d extr mit SafeGuard Enterprise natif un ordinateur d extr mit BitLocker avec Challenge R ponse SafeGuard un ordinateur d extr mit BitLocker avec m canisme de r cup ration natif un ordinateur d extr mit FileVault 2 ou un ordinateur d extr mit avec un lecteur de disque dur conforme la norme d auto chiffrement Opal Authentification au Indique si l authentification au d marrage SafeGuard est activ e pour d mar
449. te 3 Cliquez sur pour s lectionner le fichier texte pr alablement cr Un message s affiche si le fichier doit tre converti 4 Cliquez sur OK Le nouvel l ment de texte s affiche en tant que n ud secondaire sous Texte d informations dans la zone de navigation Strat gies Si vous s lectionnez un l ment de texte son contenu s affiche dans la fen tre de droite L l ment de texte peut d sormais tre s lectionn lors de la cr ation de strat gies Manuel d administration 26 2 26 2 1 R p tez la proc dure pour enregistrer d autres l ments de texte Tous les l ments de texte enregistr s s affichent en tant que n uds secondaires R cup ration avec Challenge R ponse Pour simplifier le flux de travail et r duire les co ts du support SafeGuard Enterprise fournit une solution de r cup ration Challenge R ponse Gr ce au m canisme convivial Challenge R ponse SafeGuard Enterprise aide les utilisateurs qui ne peuvent pas se connecter ou qui ne peuvent pas acc der aux donn es chiffr es Cette fonctionnalit est int gr e au SafeGuard Management Center en tant qu Assistant de r cup ration Avantages de la proc dure Challenge R ponse Le m canisme Challenge R ponse est un syst me de r cup ration s curis et fiable E Tout au long du processus aucune donn e confidentielle n est chang e sous une forme autre que chiffr e m Cette proc dure ne contient aucun point d c
450. te Une fois que les utilisateurs SGN ou que les utilisateurs Windows de SGN ont t supprim s ils ne peuvent plus se connecter l authentification au d marrage SafeGuard o Windows Nombre maximal d utilisateurs Windows de SGN avant nettoyage automatique Remarque ce param tre s applique uniquement aux ordinateurs d extr mit administr s Ce param tre vous permet d activer le nettoyage automatique des utilisateurs Windows de SafeGuard Enterprise sur les ordinateurs d extr mit administr s D s que le seuil que vous avez fix est d pass par un utilisateur Windows de SafeGuard Enterprise tous les utilisateurs Windows de SafeGuard Enterprise sont supprim s de l Attribution utilisateur machine l exception du nouveau La valeur par d faut est de 10 OPTIONS D AFFICHAGE Afficher l identification de la machine 144 Affiche le nom de l ordinateur ou un texte d fini dans la barre de titre de l authentification au d marrage SafeGuard Si les param tres r seau de Windows incluent le nom de l ordinateur ce dernier est automatiquement int gr aux param tres de base Manuel d administration Param tres de strat gie Texte d identification de la machine Afficher la mention l gale Texte de la mention l gale Explication Le texte afficher dans la barre de titre de l authentification au d marrage SafeGuard Si vous avez s lectionn Nom d fini dans le champ Afficher
451. teur Windows peut vous inviter l installer Apr s avoir effectu cette op ration vous devez red marrer l ordinateur deux fois pour que l authentification au d marrage SafeGuard puisse lire la nouvelle disposition du clavier et la d finir Vous pouvez changer la disposition du clavier requise pour l authentification au d marrage SafeGuard l aide de la souris ou du clavier Alt Maj Pour voir les langues install es et disponibles sur le syst me s lectionnez D marrer gt Ex cuter gt regedit gt HKEY USERS DEFAULT Keyboard Layout Preload Manuel d administration 13 4 Raccourcis clavier pris en charge dans l authentification au d marrage SafeGuard Certains param tres et fonctionnalit s du mat riel peuvent g n rer des probl mes lors du d marrage des ordinateurs et provoquer le blocage du syst me L authentification au d marrage SafeGuard prend en charge plusieurs raccourcis clavier pour modifier les param tres mat riels et d sactiver les fonctionnalit s De plus des listes grises et noires contenant les fonctions connues pour provoquer des probl mes sont int gr es au fichier msi install sur l ordinateur Nous vous recommandons d installer une version mise jour du fichier de configuration de l authentification au d marrage SafeGuard avant de proc der au d ploiement de SafeGuard Enterprise Ce fichier b n ficie d une mise jour mensuelle et peut tre t l charg depuis l emplac
452. teur d extr mit ou la base de donn es SafeGuard Enterprise En tant que responsable de la s curit disposant des droits n cessaires vous pouvez afficher imprimer et archiver les informations d tat et les rapports de journaux affich s dans le SafeGuard Management Center Le SafeGuard Management Center propose des fonctions de tri et de filtrage compl tes tr s utiles lors de la s lection d v nements pertinents partir des informations disponibles Des analyses automatiques de la base de donn es de journaux par exemple avec Crystal Reports ou Microsoft System Center Operations Manager sont galement possibles SafeGuard Enterprise prot ge les entr es des journaux contre toute manipulation non autoris e l aide de signatures sur le client et sur le serveur En fonction de la strat gie de journalisation les v nements des cat gories suivantes peuvent tre journalis s E Authentification E Administration E Syst me E Chiffrement E Client E Contr le d acc s Pour SafeGuard Data Exchange vous pouvez avoir un suivi des fichiers acc d s sur les supports amovibles en journalisant les v nements correspondants Retrouvez plus d informations sur ce type de rapport la section Rapport d acc s aux fichiers pour les supports amovibles la page 259 Manuel d administration 30 1 30 1 1 30 1 2 30 2 30 3 Sc narios d application Les fonctionnalit s de journalisation de SafeGuard Enterpri
453. teur de l authentification au d marrage a t chang avec F8 le changement n est pas synchronis avec d autres ordinateurs d extr mit L administrateur doit changer de mani re centralis e le mot de passe pour cet utilisateur Manuel d administration 17 Param tres de strat gie Les strat gies SafeGuard Enterprise comportent tous les param tres n cessaires pour mettre en uvre une strat gie de s curit l chelle de l entreprise sur les ordinateurs d extr mit Les strat gies de SafeGuard Enterprise peuvent comporter des param tres pour les domaines suivants types de strat gies Param tres g n raux Param tres pour le taux de transfert la personnalisation la r cup ration de connexion les images d arri re plan etc Authentification Param tres de mode de connexion verrouillage de p riph rique etc PIN D finit la configuration minimale des codes PIN utilis s Mots de passe D finit la configuration minimale des mots de passe utilis s Phrase secr te D finit la configuration minimale pour les phrases secr tes utilis es pour SafeGuard Data Exchange Protection des p riph riques Param tres de chiffrement bas sur volume ou sur fichier y compris des param tres pour SafeGuard Data Exchange SafeGuard Cloud Storage et SafeGuard Portable algorithmes cl s les lecteurs sur lesquels les donn es doivent tre chiffr es etc Param tres de machine sp cifiques Pa
454. teur et les fichiers d audit Le nouveau nom de l ordinateur doit donc tre supprim du cache local afin de ne conserver que le nom pr c dent bien que l ordinateur ait t renomm sous Windows Actions de r cup ration pour les clients Sophos SafeGuard autonomes La proc dure Challenge R ponse pour un ordinateur d extr mit non administr intervient dans les situations suivantes M L utilisateur a saisi un mot de passe incorrect un trop grand nombre de fois M L utilisateur a oubli le mot de passe E Un cache local endommag doit tre r par Aucune cl utilisateur n est disponible dans la base de donn es pour les ordinateurs d extr mit non administr s Par cons quent la seule action de r cup ration possible dans une session de Challenge R ponse est Initialisation du client SGN sans connexion utilisateur La proc dure Challenge R ponse permet l ordinateur de d marrer partir de l authentification au d marrage SafeGuard L utilisateur peut alors se connecter Windows tudes de cas de r cup ration potentiels L utilisateur a saisi un mot de passe incorrect un trop grand nombre de fois au niveau de l authentification au d marrage SafeGuard et l ordinateur est verrouill Mais l utilisateur connait encore le mot de passe L ordinateur est verrouill et l utilisateur est invit lancer une proc dure Challenge R ponse pour le d verrouiller Comme l utilisateur connait le mot de passe correc
455. teur peut galement changer la phrase secr te des supports La synchronisation est alors automatique lorsque la phrase secr te reconnue sur l ordinateur et la phrase secr te des supports amovibles ne correspondent pas Manuel d administration 21 3 1 21 4 21 4 1 En cas d oubli de la phrase secr te des supports l utilisateur peut la r cup rer sans recourir au support Remarque pour activer la phrase secr te des supports activez l option L utilisateur peut d finir une phrase secr te des supports pour les p riph riques dans une strat gie de type Chiffrement de p riph rique Cette option n est disponible que si vous avez s lectionn Supports amovibles comme Cible de protection de p riph rique Phrase secr te des supports et ordinateurs d extr mit non administr s Sur un ordinateur d extr mit non administr autrement dit un ordinateur fonctionnant en mode autonome sur lequel la fonction de phrase secr te des supports est d sactiv e aucune cl n est disponible une fois l installation termin e car les ordinateurs d extr mit non administr s utilisent des cl s locales uniquement Avant de pouvoir utiliser le chiffrement l utilisateur doit cr er une cl Si la fonction de phrase secr te des supports est activ e dans une strat gie de support amovible pour ces ordinateurs la cl de chiffrement de support est cr e automatiquement sur l ordinateur client et peut tre utilis e pour un chiffreme
456. teur tout en chiffrant chaque fichier d un support amovible et en permettant aux utilisateurs d acc der hors ligne aux fichiers chiffr s L utilisateur n est pas autoris d chiffrer des fichiers de supports amovibles Remarque dans cette configuration les utilisateurs ne sont pas autoris s cr er des cl s locales car elles sont inutiles dans ce cas de figure Ceci doit tre sp cifi dans une strat gie du type Protection des p riph riques avec P riph riques de stockage locaux comme Cible de protection de p riph rique Param tres g n raux gt L utilisateur est autoris cr er une cl locale gt Non E Copier SG Portable vers support amovible Num ro SafeGuard Portable n est pas n cessaire tant que les donn es de supports amovibles sont partag es dans un groupe de travail SafeGuard Portable permet galement d autoriser le d chiffrement de fichiers sur des ordinateurs sur lesquels SafeGuard Enterprise n est pas install Au bureau l utilisateur acc de de mani re transparente aux fichiers chiffr s d un support amovible son domicile il utilise SafeGuard Portable pour ouvrir des fichiers chiffr s L utilisateur saisit simplement la phrase secr te des supports et acc de tous les fichiers chiffr s quelle que soit la cl de chiffrement utilis e Partage d un support amovible avec un tiers externe Remarque cet exemple s applique uniquement aux ordinateurs d extr mit Windows Bob souhaite
457. texte brut Pour carter ce type de menace ne permettez pas aux utilisateurs de changer les attributions de lettres au lecteur D finissez leurs droits utilisateurs en cons quence Les utilisateurs standard de Windows n ont pas ce droit par d faut E Appliquez un chiffrement initial rapide avec pr caution Sophos SafeGuard propose le chiffrement initial rapide pour r duire le temps du chiffrement initial des volumes en acc dant seulement l espace v ritablement utilis Ce mode conduit un tat moins s curis si un volume a t utilis avant son chiffrement avec SafeGuard Enterprise cause de leur architecture les SSD Solid State Disks sont affect s davantage que les disques durs standard Ce mode est d sactiv par d faut Retrouvez plus d informations sur http www sophos com fr fr support knowledgebase 113334 aspx E Utilisez seulement l algorithme AES 256 pour le chiffrement des donn es E Utilisez SSL TLS SSL version 3 ou sup rieure pour la protection de la communication client serveur Retrouvez plus d informations dans le Guide d installation de SafeGuard Enterprise m Emp chez toute d sinstallation SafeGuard Enterprise Pour renforcer la protection des ordinateurs d extr mit vous pouvez emp cher la d sinstallation locale de Sophos SafeGuard dans une strat gie Param tres de machine sp cifiques D finissez l option D sinstallation autoris e sur Non et d ployez cette strat gie sur
458. tions suppl mentaires sur la configuration des chemins dans les r gles File Encryption la page 168 m Les r gles avec un chemin contenant plus de sous r pertoires sont valu es avant celles avec un chemin contenant moins de sous r pertoires m Les r gles d finies avec UNC sont valu es avant celles avec des informations sur la lettre du lecteur m Les r gles dont l option Seulement ce dossier est activ e sont valu es avant celles sans cette option 175 SafeGuard Enterprise 20 5 20 6 176 m Les r gles sous le mode Ignorer sont valu es avant celles sous le mode Chiffrer ou Exclure E Les r gles sous le mode Exclure sont valu es avant celles sous le mode Chiffrer ou Exclure m Si deux r gles sont identiques en ce qui concerne les crit res indiqu es celle qui vient en premier dans l ordre alphab tique est valu e avant l autre Conflit entre les r gles File Encryption tant donn que plusieurs strat gies File Encryption peuvent tre attribu es un utilisateur ordinateur des conflits sont possibles Deux r gles sont consid r es comme tant en conflit si elles ont les m mes valeurs pour le chemin le mode et le sous r pertoire mais si la cl utiliser est diff rente Dans ce cas la r gle issue de la strat gie File Encryption ayant la priorit la plus lev e s applique L autre r gle est abandonn e Utilisation de File Share et SafeGuard Data Exchange SafeGuard Data E
459. tlocker traite les strat gies de type Protection des p riph riques et Authentification Les param tres suivants sont valu s sur l ordinateur d extr mit E Param tres d une strat gie de type Protection des p riph riques m Cible m Mode de chiffrement des supports Bas sur le volume Aucun chiffrement m Algorithme utiliser pour le chiffrement AES128 AES256 m Chiffrement initial rapide Oui Non Manuel d administration 18 2 4 4 Retrouvez plus d informations la section Protection des p riph riques la page 135 m S lectionnez une strat gie du type Authentification m Mode de connexion BitLocker TPM TPM PIN TPM carte m moire USB Carte m moire USB E Mode de connexion de secours BitLocker Erreur Retrouvez plus d informations la section Authentification la page 117 Tous les autres param tres sont ignor s par l ordinateur d extr mit BitLocker Chiffrement sur un ordinateur prot g par BitLocker Avant toute op ration de chiffrement les cl s de chiffrement et de d chiffrement sont g n r es par BitLocker Le comportement est l g rement diff rent selon le syst me utilis et la prise en charge de la version de SafeGuard BitLocker qui est install e Ordinateurs d extr mit avec TPM BitLocker conserve ses propres cl s de chiffrement et de d chiffrement dans un mat riel de s curit nomm Module de plate forme s curis e TPM ou Trusted Platform Module
460. torage de SafeGuard Enterprise se connecte donc par d faut aux syst mes de fichiers r seau Si cette op ration n est pas n cessaire vous pouvez d sactiver ce comportement en d finissant une strat gie Param tres g n raux et en s lectionnant R seau sous P riph riques ignor s Google Drive lt GoogleDrive gt Application de synchronisation Dossiers de synchronisation Pour les applications de synchronisation Le chemin pleinement qualifi de l application de synchronisation utilis e par le logiciel Google Drive Pour les dossiers de synchronisation Le chemin pleinement qualifi du dossier de synchronisation utilis par le logiciel Google Drive SkyDrive lt SkyDrive gt Application de synchronisation Dossiers de synchronisation Pour les applications de synchronisation Le chemin pleinement qualifi de l application de synchronisation utilis e par le logiciel SkyDrive Pour les dossiers de synchronisation Le chemin pleinement qualifi du dossier de synchronisation utilis par le logiciel SkyDrive Media Center lt Mediacenter gt Application de synchronisation Dossiers de synchronisation Pour les applications de synchronisation Le chemin pleinement qualifi de l application de synchronisation utilis e par le logiciel Media Center Pour les dossiers de synchronisation Le chemin pleinement Manuel d administration 22 2 2 Fourn
461. tr e R p tez cette tape pour ajouter d autres questions Pour enregistrer vos modifications cliquez sur l ic ne Enregistrer dans la barre d outils Votre sujet de question est enregistr Il est automatiquement transf r avec la strat gie du type Param tres g n raux activant Local Self Help sur les ordinateurs d extr mit 26 1 7 Modification de sujets de question 1 Dans la zone de navigation Strat gies s lectionnez le sujet de question souhait sous Questions Local Self Help 221 SafeGuard Enterprise 26 1 8 26 1 9 222 2 Vous pouvez maintenant ajouter modifier ou supprimer des questions E Pour ajouter des questions cliquez avec le bouton droit de la souris dans la zone d action pour afficher le menu contextuel Dans le menu contextuel cliquez sur Ajouter Une nouvelle ligne est ajout e la liste de questions Entrez votre question sur la ligne E Pour modifier des questions cliquez sur le texte de la question souhait e dans la zone d action La question est marqu e d une ic ne en forme de crayon Entrez vos modifications sur la ligne de la question M Pour supprimer des questions s lectionnez la question souhait e en cliquant sur la case grise situ e au d but de la ligne de la question dans la zone d action puis cliquez sur Supprimer dans le menu contextuel de la question 3 Pour enregistrer vos modifications cliquez sur l ic ne Enregistrer dans la barre d outils Le sujet
462. tralis e et totalement transparente de BitLocker via SafeGuard Enterprise permet ainsi de l utiliser dans des environnements informatiques h t rog nes SafeGuard Enterprise am liore de mani re consid rable les fonctions BitLocker Les strat gies de s curit de BitLocker peuvent tre appliqu es de mani re centralis e via SafeGuard Enterprise M me des processus critiques comme la gestion et la r cup ration des cl s sont disponibles lorsque BitLocker est g r par l interm diaire de SafeGuard Enterprise Retrouvez plus d informations sur la prise en charge SafeGuard Enterprise de l am lioration BitLocker To Go dans Windows 7 et Windows 8 la section BitLocker To Go la page 161 Chiffrement avec BitLocker l aide de SafeGuard Enterprise Avec la prise en charge de BitLocker Drive Encryption dans SafeGuard Enterprise vous pouvez chiffrer les l ments suivants E Volume d initialisation avec le chiffrement BitLocker et les cl s BitLocker E Autres volumes avec le chiffrement BitLocker et les cl s BitLocker M Toutes les donn es par exemple de support amovible avec le chiffrement de fichiers de SafeGuard Enterprise et les cl s SafeGuard Enterprise Cl s de chiffrement pour BitLocker Lors d un chiffrement du volume d initialisation ou d autres volumes avec BitLocker via SafeGuard Enterprise les cl s de chiffrement sont toujours g n r es par BitLocker Une cl est g n r e par BitLocker pour chaque volume e
463. tuel et s lectionnez Restaurer une strat gie Remarque la commande Restaurer une strat gie est galement accessible depuis le menu Actions S lectionnez le fichier XML partir duquel la strat gie le groupe de strat gies doit tre restaur puis cliquez sur Ouvrir La strat gie le groupe de strat gie est restaur e 11 6 Attribution de strat gies Pour attribuer des strat gies vous avez besoin des droits d Acc s complet aux objets concern s 1 2 Cliquez sur Utilisateurs et ordinateurs Dans la fen tre de navigation s lectionnez l objet conteneur requis par exemple OU ou domaine Changez pour l onglet Strat gies Tous les l ments requis pour l attribution de la strat gie sont affich s dans la zone d action 4 Pour attribuer une strat gie faites la glisser de la liste dans l onglet Strat gies Vous pouvez d finir une Priorit pour chaque strat gie en les organisant gr ce au menu contextuel Les param tres des strat gies de niveau sup rieur remplacent celles qui lui sont inf rieures Si vous s lectionnez Ne pas remplacer pour une strat gie ses param tres ne sont pas remplac s par ceux d autres strat gies Remarque si vous s lectionnez Ne pas remplacer pour une strat gie de priorit inf rieure celle ci acquiert une priorit plus lev e que celle d une strat gie de niveau sup rieur Pour changer la Priorit ou le param tre Ne pas remplacer pour des strat gies dans
464. u d marrage correspondant Suppression des utilisateurs de l authentification au d marrage Pour supprimer les utilisateurs de l a vous avez besoin des droits d Acc s complet pour le n ud POA sous Utilisateurs et ordinateurs 1 Dans la zone de navigation du SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation Utilisateurs et ordinateurs sous POA Utilisateurs POA s lectionnez l utilisateur de l authentification au d marrage appropri 3 Cliquez avec le bouton droit de la souris sur l utilisateur de l authentification au d marrage et s lectionnez Supprimer dans le menu contextuel L utilisateur de l authentification au d marrage est supprim Il n appara t plus dans la fen tre de navigation Utilisateurs et ordinateurs 105 SafeGuard Enterprise 16 4 Remarque si l utilisateur appartient un ou plusieurs groupes d authentification au d marrage l utilisateur de l authentification au d marrage est galement supprim de tous les groupes L utilisateur de l authentification au d marrage reste cependant disponible sur l ordinateur d extr mit jusqu ce que le groupe d authentification au d marrage ait t attribu Cr ation de groupes POA Pour cr er des groupes POA vous avez besoin des droits d Acc s complet pour le noeud POA sous Utilisateurs et ordinateurs Pour attribuer des utilisateurs de l authentification au d marrage aux ordinateurs d
465. u l OU s lectionn Si cette partie indique un message d avertissement ou d erreur il affiche aussi des informations sur la restauration d un tat de licence valide 16 Manuel d administration 5 5 Les ic nes affich es dans l onglet Licences ont les significations suivantes Licence valide Q Avertissement La licence d un module affiche un tat d avertissement si M La limite de la licence est d pass e E La licence a expir Erreur La licence d un module affiche un tat d erreur si X M La seuil de tol rance est d pass WE La licence a expir il y a plus d un mois Pour actualiser l aper u de l tat de la licence cliquez sur Recompter les licences utilis es Importation de fichiers de licence Condition pr alable pour importer un fichier de licence dans la base de donn es SafeGuard Enterprise un responsable de la s curit doit disposer du droit Importer le fichier de licence 1 2 6 Dans SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs Dans la fen tre de navigation gauche cliquez sur le n ud racine le domaine ou l unit organisationnelle Dans la zone d action changez pour l onglet Licences Cliquez sur le bouton Importer le fichier de licence Une fen tre s ouvre dans laquelle vous pouvez s lectionner le fichier de licence S lectionnez le fichier de licence que vous souhaitez importer puis cliquez sur Ouvrir
466. u mot de passe utilisateur SafeGuard Enterprise permet aux utilisateurs d afficher leur mot de passe lors de la proc dure Challenge R ponse Ceci est utile car il n est pas n cessaire de r initialiser le mot de passe dans l Active Directory Cette option est disponible uniquement si l action Initialiser le client SGN avec une connexion utilisateur est demand e Un autre utilisateur doit d marrer l ordinateur prot g par SafeGuard Enterprise Dans ce cas l utilisateur qui doit acc der l ordinateur d marre ce dernier et saisit son nom d utilisateur L utilisateur demande alors un challenge Le support SafeGuard g n re une r ponse du type Initialiser le client SGN sans connexion utilisateur et Connexion automatique vers Windows activ e L utilisateur est connect et peut utiliser l ordinateur Restauration de la m moire cache de la strat gie SafeGuard Enterprise Cette proc dure est n cessaire si le cache de strat gies SafeGuard est endommag Le cache local stocke toutes les cl s et strat gies ainsi que les certificats utilisateur et les fichiers d audit Lorsque le cache local est corrompu la r cup ration de connexion est d sactiv e par d faut Sa restauration s effectue automatiquement partir de la sauvegarde Aucune proc dure Challenge R ponse n est donc requise pour r parer le cache local Si le cache local doit tre r par l aide de la proc dure Challenge R ponse la r cup ration de connexion peut t
467. u par une image d arri re plan personnalis e Par exemple les clients peuvent utiliser le logo de l entreprise dans l authentification au d marrage SafeGuard et lors de la connexion Windows Taille de fichier maximale pour toutes les images bitmap d arri re plan 500 Ko Normal E R solution 1024 x 768 mode VESA Couleurs illimit Basse amp R solution 640 x 480 mode VGA Couleurs 16 couleurs Image de connexion dans la POA Image de connexion dans la POA basse r solution Remplace l image SafeGuard Enterprise affich e lors de la connexion l authentification au d marrage SafeGuard par une image personnalis e par exemple le logo d une entreprise Normal E R solution 413 x 140 pixels amp Couleurs illimit Basse E R solution 413 x 140 pixels Couleurs 16 couleurs Chiffrement de fichier Applications fiables Applications ignor es 116 Pour le chiffrement bas sur fichier par File Encryption et SafeGuard Data Exchange vous pouvez indiquer des applications comme s curis es pour leur accorder l acc s aux fichiers chiffr s Ceci s av re utile par exemple pour activer le logiciel antivirus afin de contr ler les fichiers chiffr s Saisissez les applications que vous voulez d finir comme fiables dans la zone de liste d dition de ce champ Les applications doivent tre saisies comme des chemins pleinement qualifi s Pour le chiffrement ba
468. uard Enterprise depuis un Active Directory Retrouvez plus d informations la section Importation de la structure organisationnelle la page 25 Apr s avoir import la structure du r pertoire vous pouvez planifier une t che p riodique de synchronisation automatique entre l Active Directory et SafeGuard Enterprise Pour cette t che vous pouvez utiliser le script pr d fini ActiveDirectorySynchronization vbs Le script synchronise tous les conteneurs existants dans la base de donn es SafeGuard Enterprise avec un Active Directory Avant que nous n utilisiez le script dans une t che p riodique vous pouvez modifier les param tres suivants Param tre Description logFileName Sp cifiez un chemin pour le fichier journal du script Ce param tre est obligatoire S il est laiss vide ou incorrect la synchronisation ne fonctionne pas et un message d erreur appara t Par d faut ce param tre est vide Si un fichier journal existe d j de nouveaux journaux sont ajout s la fin du fichier synchronizeMembership D finissez ce param tre sur 1 pour galement synchroniser les appartenances Si ce param tre est d fini sur 0 les appartenances ne sont pas synchronis es Le param tre par d faut est 1 synchronizeAccountState D finissez ce param tre sur 1 pour galement synchroniser l tat activ par l utilisateur Si ce param tre est d fini sur 0 l tat activ par l utilisateur est seulement synchronis
469. uce M Prise en charge de la connexion par empreintes digitales E R cup ration Local Self Help Challenge R ponse M Audit centralis E Chiffrement des supports amovibles par exemple les cl s USB avec SafeGuard Data Exchange 279 SafeGuard Enterprise 33 3 33 4 33 5 280 Administration avec SafeGuard Enterprise des ordinateurs d extr mit quip s de disques durs compatibles Opal Dans SafeGuard Management Center vous pouvez administrer les ordinateurs d extr mit quip s de disques durs compatibles Opal chiffrement automatique comme tout autre poste prot g par SafeGuard Enterprise En tant que responsable de la s curit vous pouvez d finir des strat gies de s curit par exemple des strat gies d authentification et les d ployer sur les ordinateurs d extr mit Une fois qu un ordinateur d extr mit quip d un disque dur compatible Opal est enregistr dans SafeGuard Enterprise des informations concernant l utilisateur l ordinateur le mode de connexion et le statut du chiffrement sont affich es En outre les v nements sont consign s dans le journal Dans SafeGuard Enterprise l administration des ordinateurs d extr mit quip s de disques durs compatibles Opal est transparente ce qui signifie que les fonctions d administration en g n ral fonctionnent de la m me fa on que pour les autres ordinateurs d extr mit prot g s par SafeGuard Enterprise Le type d un ordinate
470. ud gris n est pas accessible mais appara t quand m me s il existe des n uds au dessous auxquels vous avez acc s 3 Dans la zone d action de droite cliquez sur l onglet Acc s 4 Pour attribuer les droits pour les objets s lectionn s faites glisser le responsable requis depuis l extr mit droite dans le tableau Acc s 5 Dans la colonne Droits d acc s s lectionnez les droits que vous voulez accorder au responsable de la s curit pour les objets s lectionn s E Acc s complet E Lecture seule E Refus Pour annuler l attribution des droits pour les objets s lectionn s faites glisser le responsable de la s curit en retour dans le tableau Responsables 6 Pour enregistrer les modifications apport es la base de donn es cliquez sur l ic ne Enregistrer de la barre d outils Les objets s lectionn s sont disponibles pour le responsable de la s curit correspondant Remarque si deux responsables de la s curit travaillent sur la m me base de donn es SafeGuard Enterprise en m me temps et si l un d entre eux change ses droits d acc s un message Manuel d administration 8 10 1 8 11 appara t pour informer l autre responsable de la s curit et tous les changements non enregistr s sont perdus Si un responsable de la s curit perd compl tement les droits d acc s pour un n ud l acc s n est plus accord et un message appropri appara t La fen tre de navigation est actualis e en co
471. ud pour lequel vous voulez cr er des cl s personnelles E un n ud de domaine M le n ud Autoregistered la racine ou dans les domaines ou Manuel d administration 9 2 4 E un n ud Unit Organisationnelle 3 Dans le menu contextuel s lectionnez Cr er des cl s personnelles pour les utilisateurs 4 Dans la bo te de dialogue Cr er des cl s personnelles pour les utilisateurs a Saisissez une description pour les cl s personnelles b Pour cacher les cl s personnelles dans les jeux de cl s des utilisateurs s lectionnez Masquer la cl c Pour remplacer les cl s personnelles actives existantes par les nouvelles s lectionnez Remplacer les cl s personnelles actives existantes 5 Cliquez sur OK Les cl s personnelles sont cr es comme pour tous les utilisateurs du n ud s lectionn Dans l ongletCl les cl s apparaissent comme des Cl s personnelles actives pour les utilisateurs Si les utilisateurs avaient d j des cl s personnelles actives et si vous avez s lectionn Remplacer les cl s personnelles actives existantes les cl s existantes sont r trograd es et les utilisateurs en re oivent des nouvelles Les cl s personnelles r trograd es restent dans les jeux de cl s des utilisateurs Les cl s personnelles actives individuelles ne peuvent pas tre attribu es d autres utilisateurs R trogradation des cl s personnelles actives Pour r trograder manuellement des cl s personnelle
472. ue la zone du clavier alphanum rique Interdire la succession de touches verticales Concerne les touches dispos es cons cutivement en colonne sur le clavier par exemple wqa1 xsz2 ou 3edc mais pas wse4 xdr5 ou cft6 Un maximum de deux caract res adjacents d une m me colonne clavier est autoris Si vous n autorisez pas les colonnes du clavier ces combinaisons sont rejet es comme mots de passe Les s quences de touches cons cutives ne concernent que la zone du clavier alphanum rique Manuel d administration Param tre de strat gie Explication Au moins 3 caract res L activation de cette option interdit les s quences de touches cons cutifs non autoris s W qui sont des s ries cons cutives de symboles de code ASCII que ce soit par ordre croissant ou d croissant abc cba etc E constitu es de trois symboles identiques ou plus aaa ou 1 1 1 Utilisation interdite du nom D termine si le nom d utilisateur et la phrase secr te peuvent tre d utilisateur comme phrase identiques secr te r PROP E Oui le nom d utilisateur Windows et la phrase secr te doivent tre diff rents Non l utilisateur peut utiliser son nom d utilisateur Windows comme phrase secr te 17 8 Listes blanches pour les strat gies de protection des p riph riques pour le chiffrement bas sur fichier Dans le SafeGuard Management Center vous pouvez s lectionner des l
473. ul de la strat gie r sultante Les strat gies h rit es ne peuvent pas tre contr l es par ces activations Bloquer l h ritage de strat gie doit tre d fini dans l OU plus locale pour annuler l effet de la strat gie globale cet endroit Manuel d administration 11 9 7 11 9 8 11 9 9 Param tres de l utilisateur ou du groupe Les param tres de strat gie pour les utilisateurs illustr s en noir dans le SafeGuard Management Center sont prioritaires sur les param tres de strat gie pour les ordinateurs illustr s en bleu dans le SafeGuard Management Center Si les param tres de l utilisateur sont sp cifi s dans une strat gie pour les ordinateurs ces param tres seront remplac s par la strat gie pour l utilisateur Remarque seuls les param tres de l utilisateur sont remplac s Si une strat gie pour les utilisateurs comporte galement des param tres machine illustr s en bleu ils ne sont pas remplac s par une strat gie d utilisateur Exemple 1 Si une longueur de mot de passe de 4 a t d finie pour un groupe d ordinateurs et si la valeur 3 du m me param tre a t d finie pour le groupe d utilisateurs un mot de passe de longueur 3 s applique cet utilisateur sur un ordinateur appartenant ce groupe d ordinateurs Exemple 2 Si un intervalle de connexion au serveur de 1 minute est d fini pour un groupe d utilisateurs et si la valeur 3 est d finie pour un groupe de machines la
474. un responsable principal de la s curit MSO Master Security Officer est cr par d faut au cours de la configuration initiale du SafeGuard Management Center Le responsable principal de la s curit est un responsable de la s curit de niveau sup rieur Il b n ficie de tous les droits et peut acc der tous les objets semblable un administrateur Windows Les droits du responsable principal de la s curit ne peuvent pas tre modifi s Plusieurs responsables principaux de la s curit peuvent tre cr s pour une seule instance du SafeGuard Management Center Pour des raisons de s curit la cr ation d au moins un MSO 35 SafeGuard Enterprise 8 1 2 36 suppl mentaire est fortement recommand e Les MSO suppl mentaires peuvent tre supprim s Toutefois il doit toujours rester un utilisateur b n ficiant du r le de MSO et cr de mani re explicite en tant que MSO dans la base de donn es SafeGuard Enterprise Un responsable principal de la s curit peut d l guer des t ches une autre personne Pour ce faire vous pouvez proc der de deux fa ons E Un nouveau responsable de la s curit peut tre cr dans Responsables de la s curit M Un utilisateur ou tous les membres d un conteneur import d Active Directory et visibles dans le r pertoire racine du SafeGuard Management Center peuvent tre promus au rang de responsable de la s curit dans Utilisateurs et ordinateurs Un ou plu
475. ur Suivant La page pour la saisie du code de challenge appara t Saisie du code de challenge et g n ration du code de r ponse Condition pr alable S lectionnez au pr alable le client virtuel requis dans l assistant de r cup ration du SafeGuard Management Center et l action de r cup ration requise 1 Saisissez le code de challenge que l utilisateur vous a transmis et cliquez sur Suivant Ce code est v rifi Si le code de challenge a t saisi correctement le code de r ponse est g n r Si le code a t saisi de fa on incorrecte le terme Challenge non valide appara t au dessous du bloc contenant l erreur 2 Lisez alors le code de r ponse l utilisateur Une aide l pellation est fournie Vous pouvez galement copier le code de r ponse dans le Presse papiers Lorsque vous avez s lectionn Cl requise comme action de r cup ration la cl requise est transf r e dans l environnement utilisateur dans le code de r ponse Lorsque vous avez s lectionn Mot de passe du fichier de cl requis comme action de r cup ration le mot de passe du fichier de cl chiffr est transf r dans le code de r ponse Ce fichier de cl est ensuite supprim Saisie du code de r ponse dans l outil KeyRecovery 1 Sur l ordinateur d extr mit dans l outil de r cup ration de cl KeyRecovery saisissez le code de r ponse fourni par le support La cl ou le mot de passe requis pour le fichier de cl fig
476. ur appara t dans l Inventaire d un conteneur dans Utilisateurs et ordinateurs La colonne Type de chiffrement vous indique si l ordinateur correspondant est chiffr par SafeGuard Enterprise ou utilise un disque dur compatible Opal chiffrement automatique Chiffrement de disques durs compatibles Opal Les disques durs compatibles Opal sont chiffrement automatique Les donn es sont chiffr es automatiquement lorsqu elles sont crites sur le disque dur Les disques durs sont verrouill s par une cl AES 128 256 utilis e comme mot de passe Opal Ce mot de passe est g r par SafeGuard Enterprise via une strat gie de chiffrement Retrouvez plus d informations la section Verrouillage des disques durs compatibles Opal la page 280 Verrouillage des disques durs compatibles Opal Pour verrouiller les disques durs compatibles Opal la cl de la machine doit tre d finie pour au moins un volume sur le disque dur dans une strat gie de chiffrement Au cas o la strat gie de chiffrement inclut un volume d initialisation la cl de la machine est d finie automatiquement 1 Dans le SafeGuard Management Center cr ez une strat gie du type Protection du p riph rique 2 Dans le champ Mode de chiffrement du support s lectionnez Bas sur volume 3 Dans le champ Cl utiliser pour le chiffrement s lectionnez Cl machine d finie 4 Enregistrez vos changements dans la base de donn es 5 D ployez la strat gie sur
477. ur des ordinateurs d extr mit non administr s la cl de chiffrement de support est utilis e automatiquement comme Cl d finie pour le chiffrement en effet aucune cl de groupe n est disponible sur les ordinateurs d extr mit non administr s La s lection d une autre cl sous Cl d finie pour le chiffrement lors de la cr ation d une strat gie de support amovible pour des clients autonomes n a aucun effet Cl d finie pour le chiffrement Ce champ ne devient actif que si vous avez s lectionn l option Cl d finie dans la liste dans le champ Cl utiliser pour le chiffrement Cliquez sur pour afficher la bo te de dialogue Rechercher des cl s Cliquez sur Rechercher maintenant pour rechercher des cl s et en s lectionner une dans la liste qui appara t Dans le cas d une strat gie de type Protection du p riph rique avec la cible Supports amovibles cette cl sert chiffrer la cl de chiffrement de support lorsque la fonction de phrase secr te des supports est activ e L utilisateur peut d finir une phrase secr te des supports pour les p riph riques d finie sur Oui Pour des strat gies Protection des p riph riques pour des supports amovibles les param tres EH Cl utiliser pour le chiffrement E Cl d finie pour le chiffrement doivent donc tre sp cifi s ind pendamment l un de l autre Manuel d administration Param tre de strat gie Explication Strat gie
478. ur les groupes Dans a configuration par d faut SafeGuard Enterprise ne g n re pas automatiquement de cl s pour les groupes Ce comportement est d sactiv par d faut En tant que responsable de la s curit vous pouvez changer ce comportement sur l onglet Cl s en s lectionnant Outils gt Options Si Groupes est coch sur l onglet Cl s SafeGuard Enterprise g n re automatiquement des cl s de groupe lorsque la base de donn es est synchronis e En bas de l onglet Synchronisation il est indiqu pour quels l ments des cl s sont g n r es lors de la synchronisation Les cl s ne peuvent pas tre supprim es Elles sont conserv es en permanence dans la base de donn es de SafeGuard Enterprise Lorsqu un ordinateur d extr mit est d marr pour la premi re fois SafeGuard Enterprise lui q g n re une cl d ordinateur cl machine d finie Remarque la cl machine d finie est uniquement g n r e lorsque le chiffrement de volume est install sur l ordinateur d extr mit Chaque utilisateur obtient toutes ses cl s lors de la connexion partir de son jeu de cl s Le jeu de cl s utilisateur comporte les l ments suivants E Les cl s des groupes auxquels appartient l utilisateur M Les cl s des conteneurs OU globaux des groupes auxquels appartient l utilisateur Les cl s du jeu de cl s de l utilisateur d terminent les donn es auxquelles l utilisateur peut acc der L utilisateur ne peut acc d
479. ur r activer ces cl s locales Le cache local doit tre r par Le cache local stocke toutes les cl s et strat gies ainsi que les certificats utilisateur et les fichiers d audit Lorsque le cache local est corrompu la r cup ration de connexion est d sactiv e par d faut c est dire que sa restauration s effectue automatiquement partir de la sauvegarde Aucune proc dure Challenge R ponse n est donc requise pour r parer le cache local En revanche la r cup ration de connexion peut tre activ e par strat gie si le cache local doit effectivement tre r par avec une proc dure Challenge R ponse Dans ce cas l utilisateur est automatiquement invit lancer une proc dure Challenge R ponse si le cache local est corrompu 239 SafeGuard Enterprise 26 2 7 2 G n ration d une r ponse pour les ordinateurs non administr s l aide du fichier de 26 3 26 3 1 240 r cup ration de cl Remarque le fichier de r cup ration de cl g n r durant l installation du logiciel de chiffrement SafeGuard Enterprise doit tre stock dans un emplacement accessible au responsable support et son nom doit tre connu 1 Pour ouvrir l Assistant de r cup ration dans SafeGuard Management Center s lectionnez Outils gt R cup ration dans la barre de menus 2 Dans Type de r cup ration s lectionnez Clients Sophos SafeGuard autonomes 3 Recherchez le fichier de r cup ration de cl requis en cliqu
480. ure dans ce code de r ponse Manuel d administration 2 Cliquez sur OK Le disque s lectionn pour la proc dure Challenge R ponse a t d chiffr SafeGuard k SE Sdlaction da is langue 3 Pour v rifier si le d chiffrement a r ussi s lectionnez le lecteur d chiffr dans le gestionnaire de fichiers Windows PE s EE Fie Et new Favorites en Toos Hep 9 2 2 2 ollo o ells S 2 5Ix PRO o e janam IE CsE caD BE f a i D z Name ooo sefiye Dare moaned A Sophos File der 10 5 2008 10 25 L Sophos txt O bytes Text Doc 0 26 i Sophos He CD Drive CD_ROM Sophos F erwrite M Zip Password Relative Path M Update M Hidden System Z object s 0 object s selected D 72 64 MB free 86 26 MB total Jo Quick Launch Text Editor FM Extra Find File Hex Viewer Image Viewer EERIE d cf BE Restore KeyRecovery Main Le Late Le contenu du lecteur d chiffr s affiche dans le gestionnaire de fichiers Le syst me de fichiers ainsi que la capacit et l espace utilis libre figurent dans les propri t s du lecteur d chiffr L acc s aux donn es stock es sur cette partition est r cup r Suite ce d chiffrement r ussi vous pouvez lire crire et copier des donn es partir du disque indiqu ou vers celui ci 26 2 7 Proc dure Challenge R ponse pour clients Sophos Safe
481. urit optimale en prenant en charge les tokens et cartes puce pour authentification Les tokens cartes puce peuvent stocker des certificats signatures num riques et renseignements biom triques L authentification par token est bas e sur le principe d une authentification en deux tapes l utilisateur poss de un token propri t mais il ne peut l utiliser que s il en conna t le mot de passe connaissance Lorsqu un token ou une carte puce sont utilis s leur pr sence et un code PIN suffisent l utilisateur pour s authentifier Remarque les cartes puce et les tokens sont trait s de la m me mani re dans SafeGuard Enterprise Les termes token et carte puce recouvrent la m me notion dans le produit et le manuel Les tokens sont pris en charge dans SafeGuard Enterprise E Dans l authentification au d marrage SafeGuard M Au niveau du syst me d exploitation M Pour se connecter au SafeGuard Management Center Lorsqu un token est g n r pour un utilisateur dans SafeGuard Enterprise des informations telles que le fabricant le type le num ro de s rie les donn es de connexion et les certificats sont stock es dans la base de donn es SafeGuard Enterprise Les tokens sont identifi s par un num ro de s rie puis reconnues dans SafeGuard Enterprise Les avantages sont consid rables M Vous savez quels tokens sont en circulation et quels utilisateurs ils ont t attribu s M Vous connaissez la
482. us avez besoin du droit Afficher les v nements de suivi des fichiers 1 Dans la zone de navigation du SafeGuard Management Center cliquez sur Rapports 2 Dans la zone de navigation Rapports s lectionnez Observateur de suivi des fichiers 3 Dans la zone d action Observateur de suivi des fichiers droite cliquez sur la loupe Tous les v nements journalis s dans la base de donn es centrale apparaissent dans le Observateur de suivi des fichiers L affichage est identique celui de l Observateur d v nements Retrouvez plus d informations la section Visualisation des v nements journalis s la page 257 Impression de rapports Vous pouvez imprimer les rapports d v nements affich s dans l a Observateur d v nements ou de l Observateur de suivi des fichiers du SafeGuard Management Center partir du menu Fichier dans la barre de menus du SafeGuard Management Center M Pour afficher un aper u avant l impression du rapport s lectionnez Fichier gt Aper u avant impression L aper u avant impression propose diff rentes fonctions comme l exportation du document dans divers formats de sortie par exemple PDF ou la modification de la mise en page par exemple en t te et pied de page E Pour imprimer le document sans afficher l aper u s lectionnez Fichier gt Imprimer Manuel d administration 30 8 Connexion des v nements journalis s 30 8 1 30 9 Les v nements destin s la base de donn
483. us pouvez r viser l tat de la licence et mettre niveau ou renouveler votre licence La valeur de tol rance est g n ralement de 10 du nombre de licences achet es la valeur minimale est 5 la valeur maximale est 5 000 Un message d erreur s affiche si la valeur de tol rance est d pass e Dans ce cas les fonctionnalit s sont restreintes Le d ploiement des strat gies sur les ordinateurs d extr mit est d sactiv Cette d sactivation ne peut pas tre invers e manuellement dans SafeGuard Management Center La licence doit tre mise niveau ou renouvel e pour pouvoir de nouveau b n ficier de toutes les fonctions Outre la d sactivation du d ploiement des strat gies la restriction fonctionnelle n affecte pas les ordinateurs d extr mit Les strat gies affect es restent actives Les clients peuvent galement tre d sinstall s Les sections suivantes d crivent le comportement du syst me en cas de d passement du nombre de licences autoris es ainsi que l action n cessaire pour restaurer la restriction fonctionnelle Licence non valide avertissement Si le nombre de licences disponibles est d pass un avertissement appara t au d marrage du SafeGuard Management Center SafeGuard Management Center s ouvre et affiche la pr sentation de l tat de la licence dans la zone Utilisateurs et ordinateurs de l onglet Licences Un message d avertissement vous informe que la licence n est pas valide l aide des i
484. util de r cup ration de cl KeyRecovery 1 Au bas du gestionnaire de fichiers Windows PE dans la section Lancement rapide cliquez sur l ic ne KeyRecovery pour ouvrir l outil de r cup ration de cl KeyRecovery L outil KeyRecovery affiche les ID de cl des lecteurs chiffr s Cet outil d marre et affiche une liste de tous les volumes ainsi que des informations de chiffrement correspondantes ID de cl A R cup rer les ch s xi SafeGuard k se S lection de ls langue Voies ch fr s Luc z Voimme ch fr s avet gt c E Oxf3024265 1 EBEC M7 PSDOFEZE4FRERSS Fi PT Tee one S lectionnez le volume d chiffrer puis cliquez sur Importer par C R pour g n rer le code de challenge titre de r f rence dans la base de donn es SafeGuard Enterprise le fichier client virtuel est utilis et mentionn dans la proc dure Challenge Le code de challenge est alors g n r et s affiche Communiquez le nom du client virtuel et le code de challenge au support par exemple par t l phone ou en envoyant un message texte Une aide l pellation est fournie Confirmation du client virtuel Condition pr alable le client virtuel doit avoir t cr dans le SafeGuard Management Center dans Clients virtuels ainsi qu tre disponible dans la base de donn es 1 Pour ouvrir l Assistant de r cup ration dans le SafeGuard Management Center cliquez sur Outils gt R cup ration
485. uveau mot de passe Bon usage de r cup ration du mot de passe l authentification au d marrage SafeGuard Nous vous conseillons d utiliser les m thodes suivantes pour r cup rer un mot de passe oubli par l utilisateur afin d viter que ce mot de passe ne soit r initialis de mani re centralis e M Utilisation de Local Self Help Avec la r cup ration avec Local Self Help le mot de passe actuel peut tre affich et l utilisateur peut continuer l utiliser sans devoir le r initialiser et sans requ rir l assistance du support Manuel d administration 26 2 5 1 3 26 2 5 1 4 26 2 5 1 5 26 2 5 1 6 26 2 5 2 M Utilisation de la proc dure Challenge R ponse pour les clients SafeGuard Enterprise administr s Nous vous recommandons d viter de r initialiser le mot de passe dans Active Directory avant la proc dure Challenge R ponse Cela garantit que le mot de passe reste synchronis entre Windows et SafeGuard Enterprise Assurez vous que le support Windows en a bien connaissance En tant que responsable du support de SafeGuard Enterprise g n rez une r ponse pour Initialiser le client SGN avec une connexion utilisateur l aide de l option Afficher le mot de passe utilisateur Ceci est utile car il n est pas n cessaire de r initialiser le mot de passe dans l Active Directory L utilisateur peut continuer travailler avec l ancien mot de passe et le modifier localement par la suite Affichage d
486. uvent tre modifi s et m me supprim s le cas ch ant Lorsque vous supprimez le r le il n est plus attribu aucun utilisateur Si un seul r le est attribu un utilisateur et si ce r le est supprim l utilisateur ne peut plus se connecter au SafeGuard Management Center Remarque le r le et les actions d finis dans le cadre de celui ci d terminent ce qu un utilisateur peut faire et ne pas faire Ceci est galement vrai si l utilisateur a plusieurs r les Lorsque l utilisateur s est connect au SafeGuard Management Center les seules zones qui sont activ es et affich es sont celles qui sont n cessaires pour son r le respectif Ceci s applique galement aux zones des scripts et de l API Il est donc important de toujours activer l affichage de la zone dans laquelle les actions respectives sont d finies Les actions sont tri es par zone de fonctions et dispos es de mani re hi rarchique Cette structure permet de visualiser les actions n cessaires l ex cution d autres actions 8 1 4 Authentification d un responsable suppl mentaire L authentification d un responsable suppl mentaire galement appel e r gle des deux personnes peut tre attribu e des actions sp cifiques d un r le Cela signifie que l utilisateur de ce r le n est autoris effectuer qu une certaine action si un utilisateur d un autre r le est pr sent et le confirme chaque fois qu un utilisateur effectue cette action un autre utilis
487. uvez ainsi vous assurer que les informations dans les dossiers sp cifiques sont priv es pour les utilisateurs Retrouvez plus d informations sur File Share la section Utilisation de File Encryption avec File Share la page 165 Si une File Encryption d finit une cl personnelle utiliser pour le chiffrement des cl s personnelles sont cr es automatiquement pour les utilisateurs correspondants s ils n ont pas encore de cl s personnelles actives En tant que responsable de la s curit avec les droits requis vous pouvez cr er des cl s personnelles pour des utilisateurs s lectionn s ou pour tous les utilisateurs de groupes s lectionn s dans le SafeGuard Management Center Vous pouvez aussi r trograder des cl s personnelles actives par exemple lorsqu un utilisateur quitte la soci t Cr ation automatique de cl s personnelles Si une r gle de chiffrement File Encryption d finit une cl personnelle utiliser pour le chiffrement et si l utilisateur n a pas encore de cl personnelle active le serveur SafeGuard Enterprise la cr e automatiquement Lors du d lai entre la r ception de la strat gie sur l ordinateur d extr mit et la mise disposition de la cl personnelle active requise l utilisateur n est pas autoris cr er de nouveaux fichiers dans les dossiers couverts par la r gle File Encryption Pour un d ploiement initial des strat gies File Encryption avec des r gles de chiffrement l aide de c
488. vous devez cr er un package de configuration pour le serveur SafeGuard Enterprise qui d finira la base de donn es et la connexion SSL activera l API de script etc E Package de configuration pour les Mac Les ordinateurs Macs re oivent l adresse du serveur et le certificat d entreprise par le biais de ce package Ils envoient les informations sur leur tat qui sont ensuite affich es dans le SafeGuard Management Center Retrouvez plus d informations sur la cr ation des packages de configuration pour Macs la section Cr ation d un package de configuration pour Macs la page 277 Remarque v rifiez votre r seau et vos ordinateurs intervalles r guliers pour d tecter les packages de configuration obsol tes ou non utilis s De m me pour des raisons de s curit n oubliez pas de les supprimer Assurez vous de toujours d sinstaller les anciens packages de configuration avant d installer tout nouveau package de configuration sur l ordinateur le serveur 83 SafeGuard Enterprise 12 1 Cr ation d un package de configuration pour les ordinateurs administr s 84 Conditions pr alables UE E Dans la zone de navigation Utilisateurs et ordinateurs sous l onglet Inventaire v rifiez si une modification d un certificat d entreprise est n cessaire pour les ordinateurs d extr mit qui doivent recevoir le nouveau package de configuration Si le champ Certificat d entreprise actuel n est pas s lectionn les certificat
489. xchange est utilis pour chiffrer des donn es stock es sur des supports amovibles connect s un ordinateur afin d changer ces donn es avec d autres utilisateurs Le chiffrement de fichiers est utilis pour SafeGuard Data Exchange Si SafeGuard Data Exchange et File Encryption sont install s sur un ordinateur d extr mit il peut arriver qu une strat gie de chiffrement SafeGuard Data Exchange soit d finie pour un lecteur pr sent sur l ordinateur et que les strat gies File Encryption soient d finies pour des dossiers pr sents sur le m me lecteur Dans ce cas la strat gie de chiffrement SafeGuard Data Exchange remplace les strat gies File Encryption Les nouveaux fichiers sont chiffr s en fonction de la strat gie de chiffrement de SafeGuard Data Exchange Retrouvez plus d informations sur SafeGuard Data Exchange la section SafeGuard Data Exchange la page 177 Manuel d administration 21 21 1 21 2 SafeGuard Data Exchange SafeGuard Data Exchange est utilis pour chiffrer des donn es stock es sur des supports amovibles connect s un ordinateur afin d changer ces donn es avec d autres utilisateurs Tous les processus de chiffrement et de d chiffrement sont ex cut s de mani re transparente et impliquent une interaction utilisateur minimale Seuls les utilisateurs disposant des cl s appropri es peuvent lire le contenu des donn es chiffr es Tout processus de chiffrement ult rieur est ex cut de
490. z galement cr er vos propres d finitions Cloud Storage Remarque lorsqu ils sont chiffr s certains dossiers par exemple le dossier d installation Dropbox peut emp cher l ex cution du syst me d exploitation ou d applications Lorsque vous cr ez des d finitions Cloud Storage pour les strat gies de Protection des p riph riques assurez vous que ces dossiers ne sont pas chiffr s 1 Dans la zone de navigation Strat gies s lectionnez D finitions Cloud Storage 2 Dans le menu contextuel D finitions Cloud Storage cliquez sur Nouvelle gt D finition Cloud Storage 3 La bo te de dialogue Nouvelle d finition Cloud Storage appara t Saisissez un nom de d finition Cloud Storage 4 Cliquez sur OK La d finition Cloud Storage appara t avec le nom saisi sous le n ud racine D finitions Cloud Storage dans la zone de navigation Strat gies 5 S lectionnez la d finition Cloud Storage Dans la zone de travail droite le contenu d une d finition Cloud Storage appara t E Nom de la cible Il s agit du nom que vous avez saisi initialement Il sert r f rencer la d finition Cloud Storage comme cible dans une strat gie de type Protection des p riph riques E Application de synchronisation Saisissez le chemin et l application qui synchronise les donn es avec le Cloud par exemple lt Bureau gt dropbox dropbox exe L application doit r sider sur un lecteur local E Dossier de synchronisation Sais
491. z ajouter au groupe 5 Cliquez sur OK Manuel d administration L utilisateur POA est ajout au groupe puis affich dans l onglet Membres 16 6 Suppression d utilisateurs de groupes POA Pour modifier les groupes POA vous avez besoin des droits d Acc s complet pour le noeud POA sous Utilisateurs et ordinateurs 1 Dans la zone de navigation du SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation Utilisateurs et ordinateurs sous POA Groupe POA s lectionnez le groupe d authentification au d marrage appropri Dans la zone d action du SafeGuard Management Center sur la droite l onglet Membres s affiche 3 S lectionnez l utilisateur que vous souhaitez supprimer du groupe 4 Dans la barre d outils du SafeGuard Management Center cliquez sur l ic ne Supprimer croix rouge L utilisateur est supprim du groupe 16 7 Attribution d utilisateurs de l authentification au d marrage aux ordinateurs d extr mit Remarque pour attribuer des utilisateurs de l authentification au d marrage aux ordinateurs d extr mit les comptes doivent tre r organis s en groupes La fa on dont vous attribuez et annulez l attribution des utilisateurs de l authentification au d marrage aux ordinateurs d extr mit d pend du type d ordinateur M Pour les ordinateurs d extr mit administr s les groupes d authentification au d marrage peuvent tre attribu s dans l ong
Download Pdf Manuals
Related Search