Aide administrateur de SafeGuard Enterprise
Contents
1. Cat gorie ID Description s i Client 3406 Une erreur s est produite au niveau du client de protection de configuration Client 3407 Le client de protection de configuration a d tect une possible falsification Client 3408 Le client de protection de configuration a d tect une possible falsification des fichiers journaux Chiffrement 3501 Acc s refus au support sur le lecteur Chiffrement 3502 Acc s refus au fichier de donn es Chiffrement 3503 D marrage du chiffrement initial bas sur secteur du lecteur Chiffrement 3504 D marrage du chiffrement initial bas sur secteur du lecteur mode rapide Chiffrement 3505 Fin du chiffrement initial bas sur secteur du lecteur r ussie Chiffrement 3506 chec et cl ture du chiffrement initial bas sur secteur du lecteur Chiffrement 3507 Annulation du chiffrement initial bas sur secteur du lecteur Chiffrement 3508 chec du chiffrement initial bas sur secteur du lecteur Chiffrement 3509 D marrage du d chiffrement bas sur secteur du lecteur Chiffrement 3510 Cl ture du d chiffrement bas sur secteur du lecteur r ussie Chiffrement 3511 chec et cl ture du d chiffrement bas sur secteur du lecteur Chiffrement Annulation du d chiffrement bas sur secteur du lecteur Chiffrement chec du d chiffrement bas sur secteur du lecteur Chiffrement D marrage du chiffrement initial F amp F sur le lecteur Chiffrement Fin du chiffremen2. aF kd Neme e size iye ose moditea perme 74 bytes TOK File EUDETER Hg CD Drive E CD_ROM Sophos F ows m f Control Panel xl Normal Al Overwrite M Zip Password M Relative Path M Update M Hidden System 1 object s 74 bytes 1 object s selected 74 bytes F 963 69 MB free 263 70 MB total LOI Quick Launch Text Editor FM Extra Find File Hex Viewer Image Viewer AFi BE Restore KeyRecovery 25 7 4 initialisation du challenge dans l outil de r cup ration de cl KeyRecovery 1 Au bas du gestionnaire de fichiers Windows PE dans la section Lancement rapide cliquez sur l ic ne KeyRecovery pour ouvrir l outil de r cup ration de cl KeyRecovery L outil KeyRecovery affiche les ID de cl des lecteurs chiffr s Cet outil d marre et affiche une liste de tous les volumes ainsi que des informations de chiffrement correspondantes ID de cl R cup rer les cl s Sophos SafeGuard SOPHOS S lection de la langue Volumes chiffr s French 1036 c TE 0xB3D3426516BEC94795DDFE2874FBEB86 Annuler Terminer 201 SafeGuard Enterprise 25 7 5 25 7 6 202 S lectionnez le volume d chiffrer puis cliquez sur Importer par C R pour g n rer le code de challenge titre de r f rence dans la base de donn es SafeGuard Enterprise le fichier client virtuel est utilis et men
3. 132 Aide administrateur Type de fichier Extensions Description MP3 Audio MPEG AIFF change de donn es audio AIF change de donn es audio AU Audio AU RA Diffusion multim dia en continu RealMedia MID Son num rique d instrument de musique MIDI Son num rique d instrument de musique RMI Son num rique d instrument de musique SDS chantillon de son num rique d instrument de musique VOC Audio SoundBlaster Creative Lab OGG Audio codec Ogg Vorbis VOX Audio dialogique FLAC Audio codec sans perte gratuit MPEG Multim dia MPEG MPG Multim dia MPEG AVI Audio vid o entrelac e ASF Format avanc de diffusion de flux WMV Multim dia Windows Media MOV Clip vid o QuickTime SWF Fichier d animation Flash FLI Animation FLIC FLC Animation FLIC Code de texte et de TXT Fichier texte programme CSV Texte format s par par des virgules PRN Texte format s par par des espaces CPP Code de programme C C Code de programme C C 133 SafeGuard Enterprise Type de fichier Extensions Description H Fichier d en t te C Java XML Fichier XML F Code de programme FORTRAN T90 Code de programme FORTRAN MAKFFILE Fichier de contr le de compilation MAKEFILE IN Fichier de contr le de compilation PL1 Code de programme PL1 ASM Code de programme en assembleur PAS Code de programme PASCAL JAVA Code de pr
4. pr sent les modifications sont enregistr es Suppression d un domaine Les responsables de la s curit dot s des droits requis peuvent supprimer des domaines Remarque Les membres appartenant au domaine sont galement supprim s 1 Dans le SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 13 SafeGuard Enterprise 4 10 4 11 4 11 1 4 11 2 4 12 14 2 Dans la fen tre de navigation de gauche cliquez avec le bouton droit sur le domaine supprimer puis s lectionnez Supprimer 3 Cliquez sur Oui Le domaine est supprim Ses membres ventuels sont galement supprim s Suppression des ordinateurs enregistr s automatiquement Lorsqu un ordinateur enregistr automatiquement est supprim tous les utilisateurs locaux de cet ordinateur le sont galement Ils sont r enregistr s automatiquement lors de leur prochaine connexion cet ordinateur Filtre pour les objets locaux Utilisateurs et ordinateurs Dans Utilisateurs et ordinateurs vous pouvez filtrer la vue de la fen tre de navigation de gauche selon les utilisateurs locaux ou rechercher certains utilisateurs locaux 1 Dans le SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la partie inf rieure gauche de la fen tre de navigation cliquez sur Filtrer 3 S lectionnez Utilisateur local en tant que Type Si vous recherchez un utilisateur particulier saisissez son nom 4 Cliquez
5. R seau local sans fil bloqu 34 D finition des codes SGMERR du journal des v nements de Windows Le message suivant s affichera dans le journal des v nements de Windows Autorisation pour SafeGuard Enterprise Administration refus e pour l utilisateur Raison SGMERR 536870951 Consultez le tableau ci dessous pour conna tre la d finition du num ro 536870951 Le num ro 536870951 signifie par exemple Saisie incorrecte du code PIN Authentification impossible de l utilisateur ID de l erreur Affichage 0 OK 1 Erreur du param tre 1 2 Erreur du param tre 2 3 Erreur du param tre 3 4 Erreur du param tre 4 5 Erreur du param tre 5 6 Erreur du param tre 6 7 Erreur du param tre 7 8 Erreur du param tre 8 9 Erreur du param tre 9 10 Erreur du param tre 10 11 Erreur du param tre 11 257 SafeGuard Enterprise ID de l erreur Affichage 12 Erreur du param tre 12 13 Erreur du param tre 13 14 Erreur du param tre 14 15 Erreur du param tre 15 16 Erreur du param tre 16 17 Erreur du param tre 17 18 Erreur du param tre 18 19 Erreur du param tre 19 20 La fonction n a pas t ex cut e 21 Erreur interne d tect e 22 Module non initialis 23 Erreur d E S de fichier d tect e 24 Le cache ne peut pas tre attribu 25 Erreur de lecture d E S de fichier 26 Erreur d criture d
6. Vous ne pouvez pas ajouter de p riph riques de stockage la liste blanche Contr le du p riph rique Remarque Vous ne pouvez pas ajouter de p riph riques ou de p riph riques de stockage sans ID unique une liste blanche de P riph riques distincts Un p riph rique peut parfois ne pas tre identifi en tant que p riph rique de stockage par SafeGuard PortAuditor C est le cas par exemple lorsqu une classe de p riph rique n est pas int gr e par le fabricant Si vous savez qu il s agit d un p riph rique de stockage vous pouvez l ajouter la liste blanche de stockage de votre strat gie Vous ne devez pas ajouter de p riph riques de stockage une liste blanche Contr le du p riph rique ni ajouter de p riph riques hors stockage une liste blanche Contr le du stockage car ils seront ignor s par le client SafeGuard Configuration Protection Remarque Lorsque vous ajoutez un p riph rique figurant d j dans une autre liste blanche de p riph riques de cette strat gie et que les autorisations de liste blanche sont diff rentes les autorisations les plus strictes s appliquent tape 3 Enregistrer une liste blanche Enregistrez la liste blanche en cliquant sur l ic ne Enregistrer de la barre d outils de SafeGuard Enterprise Gr ce au bouton Modifier le contenu vous pouvez ins rer le contenu d un autre fichier dans la liste blanche Les nouvelles entr es sont ajout es la fin de la li
7. 2 Cliquez sur la loupe pour g n rer la liste compl te de tous les fichiers de cl s export s 3 Cliquez sur l ic ne situ e en regard du fichier de cl s requis pour afficher les cl s contenues dans ce fichier Suppression de clients virtuels 1 Ouvrez le SafeGuard Management Center et cliquez sur Cl s et certificats 2 Cliquez sur Clients virtuels dans la fen tre de navigation de gauche 3 Dans la zone d action recherchez le client virtuel concern en cliquant sur la loupe Les clients virtuels disponibles apparaissent 4 S lectionnez l entr e requise dans la zone d action et cliquez sur Supprimer le client virtuel dans la barre d outils 5 Enregistrez les modifications dans la base de donn es en cliquant sur l ic ne Enregistrer de la barre d outils Le client virtuel est supprim de la base de donn es Utilisation de strat gies Les sections suivantes d crivent les t ches administratives relatives aux strat gies par exemple la cr ation le regroupement et la sauvegarde Pour une description d taill e de tous les param tres de strat gie disponibles avec SafeGuard Enterprise voir Param tres de strat gie la page 80 57 SafeGuard Enterprise 11 1 Cr ation de strat gies 11 2 58 1 Connectez vous au SafeGuard Management Center avec le mot de passe d fini lors de la configuration initiale 2 Dans la zone de navigation cliquez sur Strat gies 3 Dans la fen tre de navig
8. 536870920 Le module n a pas encore t initialis 536870921 Le chiffrement ASN 1 est corrompu 536870922 Longueur des donn es incorrecte 536870923 Signature incorrecte 536870924 M canisme de chiffrement appliqu incorrect 536870925 Cette version n est pas prise en charge 536870926 Erreur de remplissage 536870927 Indicateurs non valides 536870928 Le certificat a expir et n est plus valide 536870929 Heure saisie incorrecte Le certificat n est pas encore valide 536870930 Le certificat a t retir 536870931 La cha ne de certificat est non valide 536870932 Impossible de cr er la cha ne de certificat Aide administrateur ID de l erreur Affichage 536870933 Impossible de contacter CDP 536870934 Un certificat pouvant tre utilis uniquement comme unit de donn e finale a t utilis comme CA ou r ciproquement 536870935 Probl mes de validit de la longueur du certificat dans la cha ne 536870936 Erreur d ouverture d un fichier 536870937 Erreur de lecture d un fichier 536870938 Un ou plusieurs param tres attribu s la fonction sont incorrects 536870939 Le r sultat de la fonction d passe la taille du cache 536870940 Probl me de cl cryptographique et ou slot rompu 536870941 La cl cryptographique n a pas suffisamment de m moire pour effectuer la fonction demand e 536870942 La cl cryptographique a t retir
9. Cr ation d un responsable principal de la s curit Condition pr alable pour cr er un responsable principal de la s curit vous devez poss der le droit d affichage et de cr ation de responsables de la s curit 1 Dans le SafeGuard Management Center s lectionnez Responsables de la s curit 2 Dans la fen tre de navigation cliquez avec le bouton droit de la souris sur le n ud Responsables principaux de la s curit et s lectionnez Nouveau gt Nouveau responsable de la s curit Aide administrateur 3 Saisissez les informations correspondantes dans Nouveau responsable principal de la s curit Champ case cocher Activ Nom Description T l phone portable Courriel Description Le responsable de la s curit peut tre d sactiv jusqu nouvel avis Le responsable de la s curit est dans le syst me mais ne peut pas encore se connecter au SafeGuard Management Center Il peut seulement le faire et effectuer ses t ches d administration lorsqu un autre responsable l active Entrez le nom du responsable de s curit tel qu il est fourni dans les certificats cr s par SafeGuard Enterprise sous la forme cn Le responsable de la s curit est galement affich sous ce nom dans la fen tre de navigation du SafeGuard Management Center Ce nom doit tre unique Valeur maximale 256 caract res Facultatif Valeur maximale 256 caract res Facultatif Valeur maxi
10. E Il permet de r initialiser les mots de passe oubli s avec le m canisme de challenge r ponse dynamique et s curis BitLocker utilise une cl de r cup ration 48 chiffres fixe E I est dot d une interface utilisateur graphique pour l authentification de pr initialisation BitLocker ne comprend que du texte E Il accepte des mots de passe et des r gles de mot de passe complexes et synchronis es avec Windows BitLocker autorise l utilisation d un code PIN TPM uniquement E Il permet un chiffrement bas sur secteur pour les supports amovibles Vista BitLocker ne permet pas de chiffrer un quelconque support amovible Lorsqu un client BitLocker est utilis avec SafeGuard Enterprise le chiffrement bas sur fichier des supports amovibles est possible Gestion de clients BitLocker avec SafeGuard Enterprise Dans le SafeGuard Enterprise Management Center les ordinateurs d extr mit BitLocker peuvent tre g r s exactement comme n importe quel ordinateur d extr mit natif de SafeGuard En tant que responsable de la s curit vous pouvez d finir des strat gies de chiffrement et d authentification pour les ordinateurs d extr mit BitLocker et les distribuer Lorsque l ordinateur d extr mit BitLocker est enregistr dans SafeGuard Enterprise des informations concernant l utilisateur l ordinateur le mode de connexion et l tat du chiffrement sont affich es Les v nements sont galement journalis s pour les c
11. Lorsque vous vous connectez la base de donn es l int grit de cette derni re est v rifi e automatiquement La bo te de dialogue V rifier l int grit de la base de donn es s affiche si cette v rification renvoie des erreurs Vous pouvez galement lancer la v rification de l int grit de la base de donn es et afficher la bo te de dialogue V rifier l int grit de la base de donn es 1 Dans le SafeGuard Management Center s lectionnez Outils gt Int gralit base de donn es dans la barre de menus 2 V rifiez les tables en cliquant sur Tout v rifier ou V rifier s lection Les tables erron es sont indiqu es dans la bo te de dialogue Pour les r parer cliquez sur R parer Exportation des certificats d entreprise et du responsable principal de la s curit Dans une installation SafeGuard Enterprise les deux l ments suivants sont essentiels et doivent tre sauvegard s dans un emplacement s r M Le certificat d entreprise enregistr dans la base de donn es SafeGuard E Le certificat du responsable principal de la s curit MSO se trouvant dans le magasin de certificats de l ordinateur sur lequel le SafeGuard Management Center est install Vous pouvez exporter ces deux certificats sous la forme de fichiers p12 des fins de sauvegarde Pour restaurer les installations vous pouvez importer le certificat d entreprise et du responsable de la s curit correspondant sous la forme de fichi
12. Pour modifier les t ches dans le Planificateur de t ches vous avez besoin des droits du responsable de la s curit Utiliser le Planificateur de t ches et G rer les t ches 1 Dans la barre de menus du SafeGuard Management Center s lectionnez Outils gt Planificateur de t ches La bo te de dialogue Planificateur de t ches appara t montrant un aper u des t ches planifi es S lectionnez la t che requise et cliquez sur le bouton Propri t s La bo te de dialogue Propri t s de lt nom de t che gt appara t montrant les propri t s de la t che Effectuez les changements requis Pour plus d informations sur tous les champs voir Cr ation d une nouvelle t che la page 230 Remarque Ce nom de t che doit tre unique Si vous changez le nom en un nom de t che existant un message d erreur appara t Apr s avoir rempli tous les champs obligatoires le bouton OK devient disponible 4 Cliquez sur OK 233 SafeGuard Enterprise 29 4 29 5 29 5 1 234 Les changements deviennent effectifs Suppression de t ches Pour supprimer des t ches du Planificateur de t ches vous avez besoin des droits du responsable de la s curit Utiliser le Planificateur de t ches et G rer les t ches 1 Dans la barre de menus du SafeGuard Management Center s lectionnez Outils gt Planificateur de t ches La bo te de dialogue Planificateur de t ches appara t montrant un aper u des t che
13. Syst me Destination de journalisation non disponible Syst me Tentative non autoris e de d sinstallation de SafeGuard Enterprise Authentification 2001 GINA externe identifi et int gr Authentification 2002 GINA externe identifi chec de l int gration Authentification 2003 Authentification au d marrage active Authentification 2004 Authentification au d marrage d sactiv e Authentification 2005 veil par appel r seau activ Authentification 2006 veil par appel r seau d sactiv Authentification 2007 Challenge cr Authentification 2008 R ponse cr e Authentification 2009 Connexion tablie Authentification 2010 chec de la connexion Authentification 2011 Utilisateur import lors de la connexion et marqu comme propri taire Authentification 2012 Utilisateur import par un propri taire et marqu comme non propri taire Authentification 2013 Utilisateur import par un non propri taire et marqu comme non propri taire Authentification 2014 Utilisateur supprim en tant que propri taire Authentification 2015 chec de l importation de l utilisateur lors de la connexion 247 SafeGuard Enterprise 248 Cat gorie ID Description s i Authentification 2016 L utilisateur s est d connect Authentification 2017 L utilisateur a t contraint de se d connecter Authentification Action effectu e sur le p
14. 2 activ activ d sactiv activ d sactiv d sactiv 1 2 d sactiv d sactiv activ activ activ d sactiv 3 activ d sactiv d sactiv activ activ activ d sactiv activ activ d sactiv d sactiv d sactiv activ 1 Maj F5 d sactive USB 1 x et USB 2 0 activ Remarque activ activ d sactiv d sactiv Si vous appuyez sur Maj F5 pendant le d marrage vous r duirez consid rablement la dur e du lancement de l authentification au d marrage Gardez cependant en m moire que si l ordinateur est quip d un clavier USB ou d une souris USB ces derniers peuvent tre d sactiv s si vous appuyez sur Maj F5 2 Si aucun support USB n est actif l authentification au d marrage tente d utiliser BIOS SMM au lieu de sauvegarder et de restaurer le contr leur USB Le mode h rit peut fonctionner dans ce sc nario 3 Le support h rit est actif USB est actif L authentification au d marrage tente de sauvegarder et de restaurer le contr leur USB Il se peut que le syst me se bloque selon la version du BIOS utilis e Vous pouvez sp cifier les modifications pouvant tre effectu es en utilisant des raccourcis clavier lors de l installation du logiciel de chiffrement SafeGuard Enterprise l aide d un fichier mst Pour ce faire utilisez l appel appropri
15. 2 Dans la barre de menus du SafeGuard Management Center s lectionnez Actions gt Ouvrir le fichier de sauvegarde La fen tre Ouvrir une sauvegarde d v nement appara t 3 S lectionnez le fichier de sauvegarde ouvrir et cliquez sur Ouvrir Le fichier de sauvegarde est ouvert et les v nements apparaissent dans le visualiseur d v nements du SafeGuard Management Center Pour revenir la vue classique du visualiseur 225 SafeGuard Enterprise 28 13 28 13 1 226 d v nements cliquez de nouveau sur l ic ne Ouvrir le fichier de sauvegarde de la barre d outils Nettoyage d v nement planifi par script Remarque Le SafeGuard Management Center propose le Planificateur de t ches pour cr er et planifier des t ches p riodiques bas es sur des scripts Les t ches sont automatiquement ex cut es par un service sur le serveur SafeGuard Enterprise pour ex cuter les scripts sp cifi es Pour plus d informations voir Cr ation de t ches ex cuter sur le serveur SafeGuard Enterprise avec le Planificateur de t ches la page 229 Quatre scripts SQL sont disponibles dans le r pertoire tools du produit SafeGuard Enterprise livr pour le nettoyage automatique et efficace du tableau EVENT E spShrinkEventTable_install sql E ScheduledShrinkEventTable_install sql E spShrinkEventTable_uninstall sql E ScheduledShrinkEventTable_uninstall sql Les deux scripts spShrinkEventTable_uninstall sql et Sched
16. 5 Le nouveau groupe de strat gies s affiche dans la fen tre de navigation sous Groupes de strat gies 6 S lectionnez le groupe de strat gies La zone d action indique tous les l ments requis pour regrouper les strat gies 7 Pour ajouter les strat gies au groupe glissez les de la liste de strat gies disponibles dans la zone de strat gies 8 Vous pouvez d finir une priorit pour chaque strat gie en les organisant gr ce au menu contextuel Si vous rassemblez des strat gies du m me type dans un groupe les param tres sont fusionn s automatiquement Dans ce cas vous pouvez d finir des priorit s d utilisation des param tres Les param tres d une strat gie ayant une priorit sup rieure remplacent ceux d une strat gie de priorit inf rieure Si une option est d finie sur non configur le param tre n est pas remplac dans une strat gie de priorit inf rieure Exception relative la protection du p riph rique Les strat gies de protection des p riph riques sont fusionn es uniquement si elles ont t d finies pour la m me cible volume d initialisation par exemple Les param tres sont ajout s si elles pointent des cibles diff rentes 9 Enregistrez la strat gie avec Fichier gt Enregistrer Le groupe de strat gies contient d sormais les param tres de toutes les strat gies individuelles R sultats du regroupement de strat gies Le r sultat du regroupement de strat gies s affi
17. D ployez ce fichier de configuration sur les ordinateurs des responsables de la s curit Fournissez leur le mot de passe de ce fichier et du magasin de certificats n cessaires pour s authentifier dans le SafeGuard Management Center 8 Les responsables de la s curit double cliquent simplement sur le fichier de configuration 9 Ils sont invit s saisir le mot de passe du fichier de configuration 10 Pour s authentifier sur le SafeGuard Management Center ils sont invit s saisir leur mot de passe de magasin de certificats Le SafeGuard Management Center d marre avec la configuration import e Cette configuration est la nouvelle configuration par d faut Basculement rapide entre les configurations de base de donn es Pour simplifier la gestion de plusieurs titulaires le SafeGuard Management Center permet de basculer rapidement entre les configurations de base de donn es Remarque Cette t che est galement disponible en mode Single Tenancy Pour passer une configuration de base de donn es diff rente Aide administrateur 5 8 6 1 1 Dans le SafeGuard Management Center s lectionnez Changer la configuration dans le menu Fichier 2 Dans la liste d roulante s lectionnez la base de donn es laquelle vous souhaitez basculer et cliquez sur OK Le SafeGuard Management Center red marre automatiquement avec la configuration s lectionn e V rification de l int grit de la base de donn es
18. avec msiexec d faut 1 support ACPI APIC actif NOVESA D finit si le mode VESA ou VGA est utilis 0 mode VESA standard 1 mode VGA NOLEGACY D finit si le support h rit est activ apr s connexion l authentification au d marrage 0 support h rit activ 1 support h rit non activ standard ALTERNATE D finit si les p riph riques USB sont pris en charge par la POA 0 support USB activ standard 1 aucun support USB NOATA D finit si un pilote de p riph rique int13 est utilis 0 pilote de p riph rique ATA standard par d faut 1 pilote de p riph rique int13 ACPIAPIC D finit si le support ACPI APIC est utilis 0 aucun support ACPI APIC par 181 SafeGuard Enterprise 21 5 POA d sactiv et Lenovo Rescue and Recovery 22 22 1 182 Si l authentification au d marrage est d sactiv e sur l ordinateur l authentification Rescue and Recovery doit tre activ e pour la protection contre l acc s aux fichiers chiffr s partir de l environnement Rescue and Recovery Pour plus de d tails sur l activation de l authentification Rescue and Recovery reportez vous la documentation Lenovo Rescue and Recovery veil par appel r seau s curis WOL Dans le SafeGuard Management Center vous pouvez d finir des param tres de strat gie pour l veil par appel r seau s curis WOL afin de pr parer les ordinateurs d extr mit des d ploiements l
19. priv e doit se trouver dans la base de donn es SafeGuard Enterprise Pour se connecter avec un codePIN de cl cryptographique ou de carte puce le fichier p12 contenant la cl priv e doit se trouver sur la cl cryptographique ou la carte puce 8 11 2 Promotion d un utilisateur au rang de responsable de la s curit Condition pr alable pour promouvoir un utilisateur vous devez tre responsable principal de la s curit ou responsable de la s curit avec les droits n cessaires 1 A Dans le SafeGuard Management Center s lectionnez Utilisateurs et ordinateurs Cliquez avec le bouton droit sur l utilisateur que vous souhaitez promouvoir au rang de responsable de la s curit et s lectionnez Faire de cet utilisateur un responsable de la s curit L tape suivante est diff rente selon qu un certificat utilisateur est disponible ou non pour l utilisateur s lectionn 23 2 E Siun certificat utilisateur a d j t attribu cet utilisateur la bo te de dialogue S lection d un ou des r les appara t Passez l tape 4 M Siaucun certificat utilisateur est disponible un message appara t vous demandant si une paire de cl s signature automatique doit tre cr e pour cet utilisateur Cliquez sur Oui et entrez et confirmez un mot de passe dans la bo te de dialogue Mot de passe pour le nouveau certificat Maintenant la bo te de dialogue S lection du ou des r les appara t Dans la bo te
20. transf rer Ce param tre est facultatif Pour plus d informations voir D finition du nombre v nements pour commentaires la page 220 E Strat gie Journalisation Les v nements journaliser sont sp cifi s dans une strat gie de consignation Dans cette strat gie un responsable de la s curit disposant des droits de strat gie requis d finit les v nements journaliser vers une destination de sortie sp cifique Pour plus d informations voir S lection des v nements la page 221 D finition du nombre d v nements pour commentaires 1 Cliquez sur Rapports dans le SafeGuard Management Center 2 Cr ez une strat gie Param tres g n raux ou s lectionnez une strat gie existante Aide administrateur 3 Dans le champ Commentaires apr s un certain nombre d v nements sp cifiez le nombre maximum d v nements d un fichier journal 4 Enregistrez vos param tres Apr s l attribution de la strat gie le nombre d v nements sp cifi s applique 28 4 2 S lection d v nements 1 Cliquez sur Rapports dans le SafeGuard Management Center 2 Cr ez une strat gie Journalisation ou s lectionnez une strat gie existante Dans la zone d action de droite sous Journalisation tous les v nements pr d finis comme pouvant tre journalis s s affichent Cliquez sur les en t tes de colonnes pour trier les v nements par ID Cat gorie etc SafeGuard Management Center MSO act
21. 1403 chec de l acc s un lecteur 1404 Lecteur non valide d fini 1405 chec du changement de position sur un lecteur 1406 Le lecteur n est pas pr t 1407 chec du d montage d un lecteur 1451 Impossible d ouvrir le fichier 1452 Le fichier est introuvable 1453 Le chemin d acc s d fini pour le fichier est non valide 1454 Impossible de cr er le fichier 1455 Impossible de copier le fichier 1456 Aucune information n est disponible sur un volume 1457 Impossible de modifier la position dans un fichier 1458 chec de la lecture de donn es d un fichier 1459 chec de l criture de donn es dans un fichier 1460 Impossible de supprimer un fichier 1461 Syst me de fichiers non valide 1462 Impossible de fermer le fichier 1463 L acc s un fichier a t refus 1501 M moire disponible insuffisante 1502 Param tre non valide ou erron d fini 1503 D passement de la taille de la m moire tampon de donn es 1504 Un module DLL n a pas pu tre charg 1505 Une fonction ou un processus a t annul 1506 Aucun acc s autoris 1510 Aucun noyau syst me n est install 1511 Impossible de lancer un programme 1512 Une fonction un objet ou une donn e est indisponible 1513 Entr e non valide d tect e 260 Aide administrateur ID de l erreur Affichage 1514 Un objet existe d j 1515 Appe
22. Apr s deux jours seulement l utilisateur d cide de changer le code PIN par 13jk56 Le changement de code PIN est refus car Monsieur Miller ne peut d finir un nouveau code PIN qu apr s un d lai de cinq jours Si la p riode de validit maximum est activ e l utilisateur doit d finir un nouveau code PIN une fois la p riode d finie expir e Avertir d un changement obligatoire avant jours CAL Un message d avertissement s affiche n jours avant l expiration du code PIN pour rappeler l utilisateur de changer son code PIN dans n jours L utilisateur peut galement le changer imm diatement G N RAL Longueur de l historique du code PIN D termine quel moment des codes PIN d j utilis s peuvent l tre nouveau Il convient de d finir la longueur d historique avec le param tre Modification du PIN apr s jours max Exemple La longueur d historique du code PIN pour l utilisateur Miller est d finie 4 et le nombre de jours l issue desquels l utilisateur doit changer son code PIN est de 30 M Miller se connecte actuellement en utilisant le code PIN Informatik Lorsque la p riode de 30 jours expire il est invit changer son code PIN Miller saisit Informatik comme nouveau code PIN et re oit un message d erreur indiquant que ce code PIN a d j t utilis et qu il doit en s lectionner un nouveau Miller ne peut pas utiliser le code PIN Informatik avant la q
23. KeyRecovery pour ouvrir l outil de r cup ration de cl KeyRecovery Ce dernier affiche les ID de cl des lecteurs chiffr s R cup rer les cl s Sophos SafeGuard SOPHOS S lection de la langue Volumes chiffr s French 1036 xl Volume chiffr s avec CA DEA H Importer par fichier O f Importer pa Annuler Terminer 3 Recherchez les ID de cl des lecteurs auxquels vous souhaitez acc der Vous devrez fournir cet ID de cl ult rieurement Importez ensuite le client virtuel dans l outil de r cup ration de cl Importation du client virtuel dans l outil de r cup ration de cl KeyRecovery Condition pr alable m L ordinateur a t d marr depuis le disque de r cup ration E V rifiez que le lecteur USB sur lequel est enregistr le fichier du client virtuel recoverytoken tok a t correctement mont 1 Dansle gestionnaire de fichiers Windows PE s lectionnez le lecteur sur lequel est enregistr le client virtuel Le fichier recoverytoken tok s affiche sur la droite Aide administrateur 2 S lectionnez le fichier recoverytoken tok et faites le glisser sur le lecteur o se trouve l outil de r cup ration de cl KeyRecovery D posez le dans le r pertoire Outils Outils SGN iex Fie Edt New Favorites Go vew Toos Hep O e eloo x Delalxl EA sem 2 a janaa ERS Ee Floppy Disk Drive A BE System C Local Disk D
24. La liste n est disponible qu apr s l enregistrement Taille de fichier maximale 50 Ko Format pris en charge Unicode D finition des codes PIN interdits Dans la liste les codes PIN non autoris s sont s par s par un espace ou un saut de ligne Caract re g n rique le caract re g n rique peut repr senter tout caract re et tout nombre de caract res dans un code PIN Par exemple 123 signifie que toute s quence de caract res contenant 123 sera interdite comme code PIN 93 SafeGuard Enterprise 94 Param tre de strat gie Explication Remarque M Sila liste ne contient qu un seul caract re g n rique l utilisateur ne sera plus en mesure de se connecter au syst me apr s un changement obligatoire de mot de passe E Les utilisateurs ne doivent pas tre autoris s acc der ce fichier E L option Utiliser la liste des codes PIN interdits doit tre activ e MODIFICATIONS Modification du code PIN apr s un min de jours Changement de code PIN apr s un max de jours D termine la p riode pendant laquelle un mot de passe ne peut tre modifi Ce param tre emp che l utilisateur de changer trop souvent de code PIN au cours d une p riode donn e Exemple L utilisateur Miller d finit un nouveau code PIN par exemple 13jk56 L intervalle minimum de changement pour cet utilisateur ou pour le groupe auquel il appartient est d fini cinq jours
25. M Pour obtenir un aper u avant impression s lectionnez Imprimer gt Aper u E Pour imprimer le document sans afficher l aper u s lectionnez Imprimer Exportation des rapports d inventaire dans les fichiers 1 Dans la barre de menus du SafeGuard Management Center cliquez sur Fichier 2 S lectionnez Imprimer gt Aper u Le rapport d inventaire Aper u appara t L aper u fournit plusieurs fonctions par exemple pour la modification de la mise en page en t te et pied de page etc 3 Dans la barre d outils de la fen tre Aper u s lectionnez la liste d roulante de l ic ne Exporter le document 4 Dans la liste s lectionnez le type de fichier requis 5 Indiquez les options d exportation n cessaires et cliquez sur OK Le rapport d inventaire est export dans un fichier du type sp cifi 217 SafeGuard Enterprise 28 Rapports 28 1 218 La possibilit de signaler des incidents li s la s curit est une condition pr alable une analyse d taill e du syst me Les v nements journalis s simplifient le suivi exact des processus sur un poste de travail donn ou sur un r seau En journalisant les v nements vous pouvez par exemple v rifier les failles de s curit dues des tiers A l aide des fonctionnalit s de journalisation les administrateurs et responsables de la s curit peuvent aussi d tecter les erreurs dans l affectation de droits utilisateur et les corriger SafeGua
26. Param tre de strat gie Explication R GLES Longueur min du mot de passe Sp cifie le nombre de caract res que doit contenir un mot de passe lorsque l utilisateur en change La valeur requise peut tre saisie directement ou augment e r duite l aide des touches fl ch es Longueur max du mot de passe Sp cifie le nombre maximum de caract res que doit contenir un mot de passe lorsque l utilisateur en change La valeur requise peut tre saisie directement ou augment e r duite l aide des touches fl ch es Nombre min de lettres Nombre min de chiffres Nombre min de caract res sp ciaux Ces param tres sp cifient qu un mot de passe ne peut pas contenir seulement des lettres des nombres ou des caract res sp ciaux mais doit comporter une combinaison de ces 2 au moins par ex 15fleur etc Ces param tres ne sont pratiques que si vous avez d fini une longueur minimum de mot de passe sup rieure 2 Respecter la casse Ce param tre ne s applique qu avec Utiliser la liste des mots de passe interdits et Utilisation interdite du nom d utilisateur comme mot de passe Exemple 1 vous avez saisi tableau dans la liste des mots de passe interdits Si l option Respecter la casse est d finie sur OUI les variantes suppl mentaires du mot de passe telles que TABLEAU TablEAU ne seront pas accept es et la connexion sera refus e Exemple 2 EMaier est saisi comme nom d utilisateur Si l
27. Un code de r ponse sous la forme d une cha ne de caract res ASCII est g n r et s affiche 5 Le support transmet le code de r ponse l utilisateur par exemple par t l phone ou message texte 6 L utilisateur saisit le code de r ponse En fonction du type de r cup ration cette op ration s effectue soit dans l authentification au d marrage soit dans l outil de r cup ration de cl KeyRecovery L utilisateur est ensuite autoris effectuer l action convenue par exemple r initialiser le mot de passe et reprendre son travail 25 2 Exigences li es au changement du mot de passe de l utilisateur Dans le cadre du processus de r cup ration de SafeGuard Enterprise les utilisateurs peuvent tre contraints de changer leurs mots de passe Windows Le tableau suivant fournit des informations sur les cas dans lesquels un changement de mot de passe est requis Les quatre premi res colonnes indiquent les conditions sp cifiques pouvant se produire lors de la proc dure Challenge R ponse La derni re colonne indique si l utilisateur est contraint de changer son mot de passe Windows en fonction des conditions indiqu es dans les colonnes pr c dentes Condition Condition Condition Condition R sultat proc dure C R proc dure C R contr leur de affichage du l utilisateur est g n r e avec g n r e avec domaine mot de passe contraint de connexion de connexion de disponible refus par changer son mot l utilis
28. Une configuration permissive est n cessaire afin que toutes les activit s de port ne soient pas bloqu es automatiquement apr s l installation du client SafeGuard Configuration Protection Cela signifie que jusqu ce que vous d finissiez et distribuiez des strat gies aux points de terminaison par utilisateur ou par ordinateur le fonctionnement de la machine sur laquelle le client SafeGuard Configuration Protection vient d tre install est inchang aucun blocage de ports ni de p riph riques Remarque La strat gie machine est utilis e comme strat gie de secours lorsque la strat gie utilisateur ne peut pas tre utilis e ou est falsifi e Il est donc recommand de cr er une strat gie machine et une strat gie utilisateur cette derni re tant plus stricte Remarque En fonction de l ordinateur d extr mit quelques secondes peuvent tre n cessaires pour l application d un changement de strat gie par le client SafeGuard Configuration Protection apr s la connexion Cela signifie que lorsque la strat gie machine est plus restrictive que la strat gie utilisateur l acc s aux p riph riques par l utilisateur peut demander quelques secondes tape 3 Cr er une strat gie Les strat gies sont cr es comme d crit pour toutes les autres strat gies tape 4 D finir le contr le des ports Cette tape inclut la configuration d autorisations de port ainsi que des autorisations de pontage de r seau
29. cette commande s effectue quel que soit le point d extr mit d fini pour l veil par appel r seau OPTIONS D AFFICHAGE Afficher l identification de la machine Affiche le nom de l ordinateur ou un texte d fini dans la barre de titre de la POA Si les param tres r seau de Windows incluent le nom de l ordinateur ce dernier est automatiquement int gr aux param tres de base 111 SafeGuard Enterprise Param tres de strat gie Explication Texte d identification de la Le texte afficher dans la barre de titre de la POA machine Si vous avez s lectionn Nom d fini dans le champ Afficher l identification de la machine vous pouvez entrer le texte dans ce champ de saisie Afficher la mention l gale Affiche une zone de texte avec un contenu pouvant tre configur qui appara t avant l authentification dans la POA Dans certains pays la loi exige l affichage d une zone de texte ayant un certain contenu L utilisateur doit confirmer la zone de texte avant que le syst me ne continue Avant de sp cifier un texte ce dernier doit tre enregistr en tant qu l ment de texte sous Texte d informations dans la zone de navigation de strat gie Texte de la mention l gale Le texte afficher en tant que mention l gale Dans ce champ vous pouvez s lectionner un l ment de texte enregistr dans Texte d informations dans la zone de navigation de strat gie Afficher des info
30. connaissance En tant que responsable support SafeGuard Enterprise g n rez une r ponse pour Initialiser le client SGN avec une connexion utilisateur avec l option Afficher le mot de passe utilisateur Ceci est utile car il n est pas n cessaire de r initialiser le mot de passe dans l Active Directory L utilisateur peut continuer travailler avec l ancien mot de passe et le modifier localement par la suite Affichage du mot de passe utilisateur SafeGuard Enterprise permet aux utilisateurs d afficher leur mot de passe lors de la proc dure Challenge R ponse Ainsi ils ne sont pas tenus de r initialiser le mot de passe dans l Active Directory Cette option est disponible uniquement si l action Initialiser le client SGN avec une connexion utilisateur est demand e Un autre utilisateur doit d marrer l ordinateur prot g par SafeGuard Enterprise Dans ce cas l utilisateur qui doit acc der son ordinateur d marre l ordinateur et saisit son nom utilisateur L utilisateur demande alors un challenge Le support SafeGuard g n re une r ponse du type Initialiser le client SGN avec une connexion utilisateur et Connexion automatique vers Windows activ e L utilisateur est connect et peut utiliser l ordinateur Acc s aux donn es via l initialisation partir d un support externe Il est galement possible d utiliser la proc dure challenge r ponse pour d marrer un ordinateur partir de supports externes comme WinPE Pour ce fa
31. e dans la zone d action La question est marqu e d une ic ne en forme de crayon Entrez vos modifications sur la ligne de la question M Pour supprimer des questions s lectionnez la question souhait e en cliquant sur la case grise situ e au d but de la ligne de la question dans la zone d action puis cliquez sur Supprimer dans le menu contextuel de la question 3 Pour enregistrer vos modifications cliquez sur l ic ne Enregistrer dans la barre d outils Le sujet de question modifi est enregistr Il est transf r avec la strat gie du type Param tres g n raux qui active Local Self Help sur les ordinateurs d extr mit Suppression de sujets de question Pour supprimer l int gralit d un sujet de question cliquez avec le bouton droit de la souris sur le sujet concern Questions Local Self Help dans la zone de navigation Strat gies puis s lectionnez Supprimer Remarque Si vous supprimez un sujet de question alors que des utilisateurs ont d j r pondu certaines questions pour activer Local Self Help sur leurs ordinateurs leurs r ponses ne sont plus valides car les questions n existent plus Enregistrement de textes de bienvenue Vous pouvez enregistrer un texte de bienvenue afficher dans la premi re bo te de dialogue de l assistant de Local Self Help Les fichiers texte contenant les informations requises doivent tre cr s avant de les enregistrer dans le SafeGuard Management Center La taille m
32. e du slot alors que la fonction tait en cours 536870943 La fonction demand e n a pas pu tre r alis e mais aucune information concernant la cause de cette erreur n est disponible 536870945 L ordinateur sur lequel la compilation CBI s effectue n a pas suffisamment de m moire pour effectuer la fonction demand e Il se peut que cette fonction ne soit que partiellement ex cut e 536870946 Une op ration demand e n est pas prise en charge par la compilation CBI 536870947 Tentative de d finition d une valeur pour un objet qui ne peut pas tre param tr ou modifi 536870948 Valeur non valide pour l objet 536870949 chec d obtention de la valeur d un objet car celui ci est sensible ou inaccessible 536870950 Le code PIN saisi a expir Le fait que le code PIN d un utilisateur classique fonctionne ou non sur une cl cryptographique g n r e d pend de cette derni re 536870951 Le code PIN fourni est incorrect Authentification impossible de l utilisateur 536870952 Le code PIN saisi contient des caract res non valides Ce code de r ponse ne s applique qu aux op rations qui tentent de d finir un code PIN 536870953 Le code PIN saisi est trop long ou trop court Ce code de r ponse ne s applique qu aux op rations qui tentent de d finir un code PIN 536870954 Le code PIN s lectionn est bloqu et ne peut pas tre utilis Ceci se produit lorsqu un certain nombre de tentatives ont t faites pour authentifier un
33. e implique une interaction plus importante de l utilisateur en l autorisant cr er des cl s locales sur son ordinateur Remarque Pour ce faire l utilisateur doit au pr alable tre autoris cr er des cl s locales param tre par d faut dans SafeGuard Enterprise 21 Authentification au d marrage POA SafeGuard Enterprise identifie l utilisateur avant m me le d marrage du syst me d exploitation Pour ce faire le noyau du syst me de SafeGuard Enterprise d marre en amont Il est prot g contre toute modification puis il est enregistr et masqu sur le disque dur Lorsque l utilisateur est correctement authentifi dans l authentification au d marrage seul le syst me d exploitation effectif Windows est lanc depuis la partition chiffr e L utilisateur est connect automatiquement Windows La proc dure est identique lorsque l ordinateur revient du mode hibernation SOPHOS Nom d utilisateur lohn Domaine my_company X ok R cup ration Arr ter Options gt gt L authentification au d marrage POA de SafeGuard Enterprise propose E Uneinterface utilisateur graphique avec prise en charge de la souris et des fen tres pouvant tre d plac es pour plus de facilit et de lisibilit E Une pr sentation graphique qui en suivant les instructions peut tre personnalis e pour les ordinateurs d entreprise image d arri re plan image de connexio
34. es s lectionnez le serveur de base de donn es correspondant et configurez la connexion la base de donn es le cas ch ant Cliquez sur Suivant 3 Dans Param tres de base de donn es cliquez sur S lectionner une base de donn es disponible et s lectionnez dans la liste la base de donn es correspondante Aide administrateur 6 4 4 Dans Responsable de la s curit ex cutez l une des actions suivantes M Sile fichier de certificat sauvegard se trouve sur l ordinateur il s affiche Saisissez le mot de passe que vous utilisez pour vous authentifier dans le SafeGuard Management Center M Sile fichier de certificat sauvegard est introuvable sur l ordinateur cliquez sur Importer Recherchez le fichier de certificat sauvegard et cliquez sur Ouvrir Saisissez le mot de passe du fichier de certificat s lectionn Cliquez sur Oui Saisissez et confirmez le mot de passe d authentification dans le SafeGuard Management Center 5 Cliquez sur Suivant puis sur Terminer pour achever la configuration du SafeGuard Management Center L installation corrompue du SafeGuard Management Center est restaur e Restauration d une configuration de base de donn es corrompue La configuration corrompue d une base de donn es peut tre restaur e en r installant le SafeGuard Management Center pour cr er une nouvelle instance de la base de donn es d apr s les fichiers de certificat sauvegard s Ceci garantit que tous les ordinat
35. fichier de configuration Single et Multi Tenancy Remarque Cette t che est disponible en mode Single Tenancy et Multi Tenancy Vous pouvez galement exporter une configuration et la distribuer vers plusieurs responsables de la s curit Les responsables de la s curit cliquent deux fois alors sur le fichier de configuration pour ouvrir une instance du SafeGuard Management Center totalement configur e Ceci est utile lorsque vous utilisez l authentification SQL pour la base de donn es et souhaitez viter que chaque administrateur connaisse le mot de passe SQL Dans ce cas vous ne le saisissez ensuite qu une seule fois vous cr ez un fichier de configuration et vous le distribuez vers les ordinateurs des responsables de la s curit concern s Condition pr alable la configuration initiale du SafeGuard Management Center doit avoir t effectu e Pour plus d informations reportez vous au manuel d installation de SafeGuard Enterprise 1 D marrez le SafeGuard Management Center 2 S lectionnez Options dans le menu Outils et s lectionnez l onglet Base de donn es Saisissez et confirmez les informations d identification de la connexion au serveur de base de donn es SQL Cliquez sur Exporter la configuration pour exporter cette configuration vers un fichier Ww Entrez et confirmez le mot de passe du fichier de configuration Entrez un nom de fichier et sp cifiez un emplacement de stockage I OS U
36. gralit Pour se connecter au syst me il suffit l utilisateur de saisir le code PIN de la cl cryptographique Si vous sp cifiez ce type de connexion pour les ordinateurs d extr mit l utilisateur peut uniquement se connecter avec la cl cryptographique Utilisation des cl s cryptographiques Pour utiliser les cryptographiques pour authentification 1 Initialiser des cl s cryptographiques vides 2 G n rer des cl s cryptographiques pour les responsables de la s curit 3 crire les certificats et les cl s sur les cl s cryptographiques 4 D finir des strat gies pour les cl s cryptographiques Vous pouvez galement utiliser des cl s cryptographiques dont les donn es proviennent d une application diff rente pour l authentification condition qu elles disposent de suffisamment d espace de stockage pour les certificats et les informations de connexion Pour une administration simplifi e des cl s cryptographiques SafeGuard Enterprise propose les fonctions suivantes m Affichage et filtrage des informations de la cl cryptographique m Initialisation modification r initialisation et blocage des codes PIN m Lecture et suppression des donn es de la cl cryptographique m Blocage de la cl cryptographique Initialisation d une cl cryptographique Avant qu une cl cryptographique vide non format e puisse tre g n r e pour un utilisateur de SafeGuard Enterprise elle doit tre pr par e
37. les qui leur ont t attribu s Apr s l enregistrement de nouveaux param tres dans la base de donn es ils peuvent tre transf r s sur les ordinateurs d extr mit o ils deviennent actifs SafeGuard Enterprise 3 2 Zone de travail du SafeGuard Management Center Fen tre de navigation Barre d outils 2 LR acne Fitre atf 1 Erregi atom queent A Cr namsrs autres 9 Enega ntonsmuenere Bord crop Be Zone Action sen les crans d pende 20 omes fde la zone de na 2 D onan Codes CA rue Geoiprropats D Husta Bih Bnerobrens Qi Fra are rinri shews de lens M D EDUDC autre ested Compute 2UGN Zone de navigation Cis et certificats Cates apuce Responsables de La s curit 5 rapports Boutons pour toutes les op rations d administration Zone de navigation La zone de navigation contient des boutons pour toutes les op rations d administration E Utilisateurs et ordinateurs Pour importer des groupes et des utilisateurs partir d un annuaire actif partir du domaine ou d un ordinateur individuel E Strat gies Pour cr er des strat gies E Cl s et certificats Pour g rer les cl s et les certificats E Carte puce Pour g rer les cl s cryptographiques et les cartes puce E Responsables de la s curit Pour cr er des responsables de la s curit ou des r les et d finir les op rations qui n cessitent une autorisa
38. ou 111 Utilisation interdite du nom d utilisateur comme mot de passe D termine si le nom d utilisateur et le mot de passe peuvent tre identiques OUI le nom d utilisateur Windows et le mot de passe doivent tre diff rents NON l utilisateur peut utiliser son nom d utilisateur Windows comme mot de passe Utiliser la liste de mots de passe interdits D termine si certaines s quences de caract res ne doivent pas tre utilis es pour les mots de passe Les s quences de caract res sont stock es dans la liste des mots de passe interdits par exemple un fichier txt Liste de mots de passe interdits D finit les s quences de caract res ne pas utiliser pour les mots de passe Si un utilisateur utilise un mot de passe non autoris un message d erreur s affiche Une liste fichier de mots de passe non autoris s doit tre enregistr e dans le SafeGuard Management Center dans la zone de navigation des strat gies sous Texte d informations La liste n est disponible qu apr s l enregistrement Taille de fichier maximale 50 Ko Format pris en charge Unicode D finition de mots de passe interdits Dans la liste les mots de passe non autoris s sont s par s par un saut de ligne Caract re g n rique Le caract re g n rique peut repr senter tout caract re et tout nombre de caract res dans un mot de passe Par exemple 123 signifie que toute s quence de caract res contena
39. promouvoir et s lectionnez Promouvoir au rang de responsable principal dela s curit 3 Sile responsable promu poss de des enfants vous tes invit s lectionner un nouveau n ud parent pour les enfants Le responsable de la s curit a t promu et appara t sous le n ud Responsables principaux de la s curit En tant que responsable principal de la s curit le responsable promu recevra tous les droits sur l ensemble des objets Par cons quent il perdra tous les droits attribu s ainsi que l acc s au domaine autoris de mani re individuelle dans Utilisateur et ordinateurs R trogradation de responsables principaux de la s curit Condition pr alable Pour r trograder des responsables principaux de la s curit au rang de responsable de la s curit vous devez tre responsable principal de la s curit 1 Dans le SafeGuard Management Center s lectionnez Responsables de la s curit 2 Dans la fen tre de navigation cliquez avec le bouton droit sur le responsable principal de la s curit r trograder et s lectionnez R trograder au rang de responsable de la s curit 3 Vous tes invit s lectionner un n ud parent pour le responsable et attribuer ce dernier au moins un r le Le responsable de la s curit a t r trograd et s affiche sous le n ud Responsables de la s curit s lectionn Le responsable ainsi r trograd perd tous ses droits sur l ensemble des objets et
40. ration d une cl cryptographique Vous pouvez galement initialiser des codes PIN c est dire les g n rer comme de nouveaux codes PIN et les bloquer Vous pouvez utiliser des strat gies pour sp cifier d autres options de code PIN pour l ordinateur d extr mit Remarque Lorsque vous changez un code PIN certains fabricants de cl s cryptographiques sp cifient leurs propres r gles de code PIN qui peuvent contredire celles de SafeGuard Enterprise C est la raison pour laquelle il se peut qu il ne soit pas possible de changer un code PIN comme vous le souhaitez m me s il respecte les r gles des codes PIN de SafeGuard Enterprise Vous devez toujours consulter les r gles des codes PIN du fabricant de la cl cryptographique Elles peuvent tre affich es dans la zone Carte puce sous Informations sur la carte puce dans le SafeGuard Management Center Les codes PIN sont g r s dans le SafeGuard Management Center sous Cl s cryptographiques La cl cryptographique est connect e et coch e dans la fen tre de navigation de gauche Initialisation du code PIN utilisateur Condition pr alable le code PIN du SO doit tre connu 1 Dans la barre d outils du SafeGuard Management Center cliquez sur Initialiser le PIN utilisateur 2 Saisissez le code PIN du SO 3 Saisissez le nouveau code PIN de l utilisateur r p tez la saisie et confirmez en cliquant sur OK Le code PIN de l utilisateur est initialis Changem
41. riph rique Authentification L utilisateur a initi une modification de mot de passe code PIN Authentification Modification mot de passe code PIN de l utilisateur apr s la connexion Authentification Qualit du mot de passe code PIN Authentification 2022 La modification du mot de passe code PIN n a pas pu tre effectu e Authentification 2023 LocalCache tait corrompu et a t restaur Authentification 2024 Configuration non valide de la liste noire des mots de passe Authentification 2025 Le code de r ponse permettant l utilisateur d afficher le mot de passe a t re u Authentification L utilisateur connect est un compte de service Authentification Liste de comptes de service import e Authentification Liste de comptes de service supprim e Authentification L initialisation du noyau a t men e bien Authentification chec de l initialisation du noyau Authentification Les cl s machine ont t g n r es avec succ s sur le client Authentification Les cl s machine n ont pas pu tre g n r es avec succ s sur le client Code interne 0x 1 Authentification L interrogation des propri t s du disque ou l initialisation du disque Opal a chou Code interne 0x 1 Authentification 2079 L importation de l utilisateur dans le noyau a t men e bien Authentification 2080 La suppression de l utilisateur du noyau a t men e bien Authentification 2081 chec de l importation de l ut
42. s et certificats En outre le mot de passe de chiffrement du fichier de cl s doit tre stock dans la base de donn es S lectionnez au pr alable le fichier du client virtuel requis dans l assistant de r cup ration du SafeGuard Management Center et l action de r cup ration Mot de passe du fichier de cl s requis 203 SafeGuard Enterprise 25 7 9 25 7 10 204 1 Pour s lectionner un fichier de cl s cliquez sur pr s de cette option Dans Fichier de cl s cliquez sur Rechercher maintenant S lectionnez le fichier de cl s et cliquez sur OK 2 Pour confirmer cliquez sur Suivant La page pour la saisie du code de challenge appara t Saisie du code de challenge et g n ration du code de r ponse Condition pr alable S lectionnez au pr alable le client virtuel requis dans l assistant de r cup ration du SafeGuard Management Center et l action de r cup ration requise 1 Saisissez le code de challenge que l utilisateur vous a indiqu puis cliquez sur Suivant Ce code est v rifi Si le code de challenge a t saisi correctement le code de r ponse est g n r S il a t saisi de fa on incorrecte le terme Non valide s affiche au dessous du bloc contenant l erreur 2 Lisez alors le code de r ponse l utilisateur Une aide orthographique est fournie Vous pouvez galement copier le code de r ponse dans le Presse papiers Lorsque vous avez s lectionn Cl requise comme acti
43. s lectionnez la cl et cliquez sur OK Remarque Une r ponse ne peut tre initi e que pour des cl s attribu es Si une cl est inactive c est dire qu elle n est pas attribu e au moins un utilisateur une r ponse pour client virtuel est impossible Dans ce cas la cl inactive peut tre r attribu e un autre utilisateur et une r ponse pour cette cl peut tre de nouveau g n r e E Pour les ordinateurs non administr s s lectionnez S lectionner un fichier de cl de r cup ration contenant une cl de r cup ration client autonome Sophos SafeGuard Cliquez sur pr s de cette option pour rechercher le fichier Pour faciliter l identification des fichiers de r cup ration leur nom est identique celui de l ordinateur nomordinateur GUID xmIl S lectionnez le fichier et cliquez sur Ouvrir Remarque Le support doit pouvoir acc der au fichier de r cup ration de cl n cessaire pour r cup rer l acc s l ordinateur Ce fichier peut par exemple se trouver sur un partage r seau 2 Cliquez sur Suivant La page pour la saisie du code de challenge appara t La cl requise est transf r e vers l environnement de l utilisateur dans le code de r ponse S lection de la cl requise plusieurs cl s Condition pr alable Cette option est seulement disponible pour les ordinateurs administr s S lectionnez au pr alable le fichier de cl s dans le SafeGuard Management Center sous Cl
44. v nements SafeGuard Management Center les valeurs de param tre et les mod les de texte contenus dans le fichier dll sont convertis en texte d v nement complet dans la langue du syst me SafeGuard Management Center actuelle Les mod les utilis s pour les textes d v nement peuvent tre modifi s et trait s l aide de requ tes SQL par exemple Pour cela vous pouvez g n rer une table contenant tous les mod les de texte des messages d v nement Vous pouvez ensuite personnaliser les mod les en fonction de vos exigences particuli res Pour cr er une table contenant les mod les de texte des ID d v nement individuels 1 Dans la barre de menus du SafeGuard Management Center s lectionnez Outils gt Options 2 Dans la fen tre Options acc dez l onglet Base de donn es 3 Dans la zone Mod les de messages de rapport cliquez sur Cr er une table La table contenant les mod les de l ID d v nement est cr e dans la langue syst me en cours et peut tre personnalis e Remarque La table doit tre effac e avant la g n ration des mod les Si les mod les ont t g n r s tel que d crit pour une langue sp cifique et si un utilisateur g n re les mod les d une autre langue les mod les de la premi re langue sont supprim s Cr ation de t ches ex cuter sur le serveur SafeGuard Enterprise avec le Planificateur de t ches Le SafeGuard Management Center propose le Planificateur de t ches
45. votre base de donn es SafeGuard Enterprise modifiez le nom en cons quence Aide administrateur 28 13 2 La proc dure enregistr e conserve les lt n gt derniers v nements dans le tableau EVENT et d place les autres v nements dans le tableau EVENT _ BACKUP Le nombre d v nements conserv s dans le tableau EVENT est d fini par un param tre Pour ex cuter la proc dure enregistr e lancez la commande suivante dans SQL Server Management Studio New Query exec spShrinkEventTable 1000 Cet exemple de commande d place tous les v nements sauf les 1000 derniers Cr ation d une t che planifi e d ex cution de la proc dure enregistr e Pour nettoyer automatiquement le tableau EVENT intervalles r guliers vous pouvez cr er une t che dans le serveur SQL La t che peut tre cr e avec le script ScheduledShrinkEventTable_install sql ou l aide de SQL Enterprise Manager Remarque La t che planifi e ne s applique pas aux bases de donn es SQL Express L agent SQL Server doit tre en cours d ex cution pour que la t che planifi e soit ex cut e SQL Server Express ne comportant aucun agent SQL Server cette t che ne s applique pas ces installations Ko Le script doit tre ex cut dans msdb Si vous avez donn un autre nom que SafeGuard votre base de donn es SafeGuard Enterprise modifiez le nom en cons quence Default Database name SafeGuard change if required SELECT
46. Adobe FrameMaker DOC Document Adobe FrameMaker FrameBuilder FM Document Adobe FrameMaker FRM Document Adobe FrameMaker BOOK Livre Adobe FrameMaker MIF Format d change de donn es Adobe FrameMaker 17 3 10 tape 9 D finir les options d affichage 17 3 10 1 17 3 11 17 4 Vous pouvez permettre l utilisateur de suspendre provisoirement la strat gie SafeGuard Configuration Protection via une proc dure Challenge R ponse Dans le Challenge l utilisateur peut d finir une p riode pour la suspension Une fois la p riode coul e la strat gie SafeGuard Configuration Protection en cours est reprise sur l ordinateur d extr mit correspondant Pour plus d informations voir Suspension de la strat gie de protection de la configuration la page 144 Options d affichage Param tres Cette section inclut le param tre suivant Autoriser les utilisateurs suspendre la protection de la configuration cette option vous permet d autoriser Oui ou de restreindre Non l utilisateur suspendre la strat gie SafeGuard Configuration Protection pendant une certaine p riode d finie par l utilisateur dans une proc dure de Challenge R ponse Si le param tre est Oui l entr e de menu Suspendre la protection de la configuration appara t dans le menu de l ic ne de la barre d tat syst me sur l ordinateur d extr mit L utilisateur peut alors demander un challenge pour r clamer la suspension de la strat gi
47. Aide administrateur 19 6 1 E en important des certificats d un fichier Remarque Les certificats de l AC ne peuvent pas provenir d une cl cryptographique et tre stock s dans la base de donn es ou dans le magasin de certificats Si vous souhaitez ou avez besoin d utiliser des certificats de l AC ces derniers doivent tre disponibles sous forme de fichiers et pas seulement sur une cl cryptographique Ceci s applique galement aux CRL liste de r vocation des certificats De surcro t les certificats de l AC doivent correspondre la CRL sur une cl cryptographique sinon les utilisateurs ne peuvent pas se connecter aux ordinateurs concern s V rifiez que l AC et la CRL sont correctes SafeGuard Enterprise n effectue pas cette v rification SafeGuard Enterprise ne peut ensuite communiquer avec les certificats ayant expir que si les cl s nouvelles et anciennes sont pr sentes sur la m me carte G n ration de certificats avec des cl s cryptographiques Vous pouvez g n rer de nouveaux certificats directement partir de la cl cryptographique si par exemple aucune structure de certificat n est pr sente Remarque Si seule la partie priv e du certificat est crite sur la cl cryptographique cette derni re permet l utilisateur d acc der uniquement sa cl priv e La cl priv e ne se trouve alors que sur la cl cryptographique En cas de perte de la cl cryptographique la cl priv e devient i
48. Authentification Syst me indiqu e dans la colonne Cat gorie S lectionnez les cat gories souhait es dans la liste d roulante du champ Niveau d erreur Gr ce ce champ vous pouvez filtrer le visualiseur d v nements en fonction de la classification des v nements Windows par exemple avertissement erreur indiqu e dans la colonne Niveau S lectionnez les niveaux souhait s dans la liste d roulante du champ Afficher dernier Dans ce champ vous pouvez d finir le nombre d v nements afficher Les derniers v nements journalis s sont affich s par d faut les 100 derniers v nements Vous pouvez galement cr er des filtres personnalis s l aide de l diteur de filtres Vous pouvez afficher l diteur de filtres dans le menu contextuel des colonnes d un rapport Dans la fen tre G n rateur de filtres vous pouvez d finir des filtres et les appliquer la colonne concern e Impression de rapports Vous pouvez imprimer les rapports d v nements affich s dans le visualiseur d v nements du SafeGuard Management Center depuis le menu Fichier de la barre de menus du SafeGuard Management Center Pour afficher un aper u avant l impression du rapport s lectionnez Fichier gt Aper u avant impression L aper u avant impression propose diff rentes fonctions comme l exportation du document dans divers formats de sortie par exemple PDF ou la modification de la mise en page par e
49. Center ou r ciproquement cette affectation est int gr e l UMA Les donn es de l utilisateur certificat cl etc sont dupliqu es sur cet ordinateur et l utilisateur peut s y connecter Lorsqu un utilisateur est supprim de l UMA toutes ses donn es utilisateur sont automatiquement supprim es de la POA L utilisateur ne peut plus se connecter la POA avec son nom et son mot de passe Lorsque vous attribuez un utilisateur un ordinateur vous pouvez aussi sp cifier qui peut autoriser d autres utilisateurs se connecter cet ordinateur Dans Type le SafeGuard Management Center indique la m thode selon laquelle l utilisateur a t ajout la base de donn es SafeGuard Enterprise Adopt signifie que l utilisateur a t ajout l UMA d un ordinateur d extr mit Remarque Si personne n est attribu dans le SafeGuard Management Center et si aucun utilisateur n est sp cifi comme propri taire le premier utilisateur se connecter l ordinateur apr s l installation de SafeGuard Enterprise est saisi en tant que propri taire Cet utilisateur peut ensuite autoriser d autres utilisateurs se connecter cet ordinateur voir Importation d autres utilisateurs la page 174 Si des utilisateurs sont attribu s cet ordinateur dans le SafeGuard Management Center une date ult rieure ils peuvent ensuite se connecter lors de l authentification au d marrage N anmoins ces utilisateurs doivent tre des ut
50. E L utilisateur a oubli le mot de passe E Une m moire cache endommag e doit tre r par e Aucune cl utilisateur n est disponible dans la base de donn es pour un ordinateur non administr Par cons quent la seule action de r cup ration possible dans une session de challenge r ponse est Initialisation du client SGN sans connexion utilisateur La proc dure Challenge R ponse permet l ordinateur de d marrer partir de l authentification au d marrage L utilisateur peut alors se connecter Windows tudes de cas de r cup ration potentiels L utilisateur a saisi le mot de passe de mani re incorrecte un trop grand nombre de fois au niveau POA et l ordinateur est verrouill L ordinateur est verrouill et l utilisateur est invit lancer une proc dure Challenge R ponse pour le d verrouiller Puisque dans ce cas la r initialisation du mot de passe n est pas n cessaire tant donn que l utilisateur se souvient encore du mot de passe actuel la proc dure Challenge R ponse permet l ordinateur de s initialiser avec l authentification au d marrage L utilisateur peut ensuite saisir le mot de passe Windows appropri et r utiliser l ordinateur L utilisateur a oubli le mot de passe Remarque Nous vous conseillons d utiliser Local Self Help pour r cup rer un mot de passe oubli Dans Local Self Help le mot de passe actuel peut tre affich et l utilisateur peut continuer l utiliser Ceci pour
51. En tant que responsable de la s curit poss dant les droits n cessaires vous pouvez d finir de nouveaux r les partir d une liste d actions de droits puis les attribuer un responsable de la s curit existant ou nouveau De m me qu avec les r les pr d finis vous pouvez activer l authentification responsable suppl mentaire pour une fonction du r le tout moment Lors de l attribution d un nouveau r le notez les informations suivantes relatives l authentification suppl mentaire Remarque Si un utilisateur a deux r les avec les m mes droits et si l authentification suppl mentaire est attribu e l un des r les elle s applique automatiquement l autre galement Un responsable de la s curit avec les droits n cessaires peut ajouter des droits un r le personnalis ou en supprimer Contrairement aux r les pr d finis les r les personnalis s peuvent tre modifi s et m me supprim s le cas ch ant Lorsque vous supprimez le r le il n est plus attribu aucun utilisateur Si un seul r le est attribu un utilisateur et si ce r le est supprim l utilisateur ne peut plus se connecter au SafeGuard Management Center Remarque Le r le et les actions d finis dans le cadre de celui ci d terminent ce qu un utilisateur peut faire et ne pas faire Ceci est galement vrai si l utilisateur a plusieurs r les Lorsque l utilisateur s est connect au SafeGuard Management Center les seules
52. Help puis s lectionnez Nouveau gt Sujet de question Saisissez un nom pour le sujet de question et cliquez sur OK Dans la zone de navigation Strat gies s lectionnez le nouveau sujet de question sous Questions Local Self Help Cliquez avec le bouton droit de la souris dans la zone d action pour ouvrir le menu contextuel du sujet de question Dans le menu contextuel s lectionnez Ajouter Une nouvelle ligne de question est ajout e Saisissez votre question et appuyez sur Entr e R p tez cette tape pour ajouter d autres questions Pour enregistrer vos modifications cliquez sur l ic ne Enregistrer dans la barre d outils Votre sujet de question est enregistr Il est automatiquement transf r avec la strat gie du type Param tres g n raux activant Local Self Help sur les ordinateurs d extr mit 24 7 Modification de sujets de question 188 1 Dans la zone de navigation Strat gies s lectionnez le sujet de question souhait sous Questions Local Self Help Aide administrateur 24 8 24 9 2 Vous pouvez maintenant ajouter modifier ou supprimer des questions E Pour ajouter des questions cliquez avec le bouton droit de la souris dans la zone d action pour afficher le menu contextuel Dans le menu contextuel cliquez sur Ajouter Une nouvelle ligne est ajout e la liste de questions Entrez votre question sur la ligne M Pour modifier des questions cliquez sur le texte de la question souhait
53. Il est possible de rem dier ici la cause du syst me qui ne peut tre initialis Sous syst me de chiffrement Les sous syst mes de chiffrement sont par exemple BEFLT sys effectuez la proc dure d crite dans Probl mes d initialisation Windows et r parez le syst me Probl mes GINA Les probl mes GINA par exemple les boucles circulaires peuvent tre r solus de la mani re suivante effectuez la proc dure d crite dans Probl mes d initialisation Windows et r parez le syst me Configuration de WinPE pour SafeGuard Enterprise Pour acc der aux lecteurs chiffr s avec le BOOTKEY d un ordinateur dans un environnement WinPE SafeGuard Enterprise offre WinPE avec les modules de fonction et les pilotes SafeGuard Enterprise Pour lancer SetupWinPE entrez la commande suivante SetupWinPE pe2 lt fichier d image WinPE gt fichier d image WinPE tant le nom de chemin complet d un fichier d image WinPE SetupWinPE effectue toutes les modifications n cessaires Remarque Notez que dans ce type d environnement WinPE seuls les lecteurs chiffr s avec le BOOTKEY sont accessibles Les lecteurs chiffr s avec une cl utilisateur sont inaccessibles car les cl s ne sont pas disponibles dans cet environnement Asservissement d un disque dur SafeGuard Enterprise permet l asservissement des volumes ou des disques durs chiffr s Il permet l utilisateur final l administrateur Windows et au responsable de la s curit
54. Management Center s lectionnez Outil de package de configuration dans le menu Outils 2 S lectionnez un package de configuration existant ou cr ez en un nouveau 3 Sp cifiez un Groupe POA vide cr pr alablement dans la zone Utilisateurs et ordinateurs du SafeGuard Management Center ou s lectionnez le groupe POA vide disponible par d faut dans l Outil de package de configuration 4 Sp cifiez un chemin de sortie pour le package de configuration 5 Cliquez sur Cr er un package de configuration 6 D ployez le package de configuration sur les ordinateurs d extr mit L installation du package de configuration entra ne la suppression de tous les comptes d acc s POA des ordinateurs d extr mit Tous les utilisateurs concern s sont donc supprim s de l authentification au d marrage Modification des attributions de comptes d acc s POA sur les ordinateurs d extr mit non g r s 1 Cr ez un nouveau groupe de comptes d acc s POA ou modifiez en un existant 2 Cr ez un nouveau package de configuration puis s lectionnez un groupe de comptes d acc s POA existant ou celui que vous venez de cr er 3 D ployez le nouveau package de configuration sur l ordinateur d extr mit Le nouveau groupe de comptes d acc s POA est disponible sur l ordinateur d extr mit Tous les utilisateurs inclus sont ajout s l authentification au d marrage Le nouveau groupe remplace le pr c dent Les groupes de comptes d ac
55. Opal offrent les fonctions de s curit tendues voir Am lioration des disques durs compatibles Opal avec SafeGuard Enterprise la page 245 Aide administrateur 32 2 Am lioration des disques durs compatibles Opal avec SafeGuard 32 3 32 4 Enterprise En combinaison avec les disques durs compatibles Opal chiffrement automatique SafeGuard Enterprise offre les avantages suivantes Administration centralis e des ordinateurs d extr mit Authentification au d marrage avec interface graphique utilisateur Prise en charge multi utilisateurs Prise en charge de la connexion par cl cryptographique carte puce Prise en charge de la connexion par empreintes digitales R cup ration Local Self Help Challenge R ponse Audit centralis Chiffrement des supports amovibles par exemple les cl s USB avec SafeGuard Data Exchange Administration avec SafeGuard Enterprise des ordinateurs d extr mit quip s de disques durs compatibles Opal Dans le SafeGuard Management Center vous pouvez administrer les ordinateurs d extr mit quip s de disques durs compatibles Opal chiffrement automatique comme tout autre poste prot g par SafeGuard Enterprise En tant que responsable de la s curit vous pouvez d finir des strat gies de s curit par exemple des strat gies d authentification et les d ployer sur les ordinateurs d extr mit Une fois qu un ordinateur d extr mit quip d un disque dur compat
56. Saisissez le code de challenge dans le SafeGuard Management Center 11 G n rez le code de r ponse dans le SafeGuard Management Center 12 Saisissez le code de r ponse dans l outil de r cup ration de cl KeyRecovery L ordinateur est accessible nouveau D marrage de l ordinateur depuis le disque de r cup ration Condition pr alable v rifiez que la s quence d initialisation dans les param tres du BIOS permet de d marrer partir du CD 1 Ins rez le disque de r cup ration puis d marrez l ordinateur d extr mit Le gestionnaire de fichiers int gr s ouvre Les volumes et les lecteurs pr sents s affichent imm diatement y Fawrtes Go vew Tes rap eleo x aoln 2o e ua EI NI Pe ea eze xa Local Disk D 43 CD Drive E CD_ROM Normal Cle Overwrite M Zip Password M Relative Path M Update M Hidden System 0 object s 0 cbject s selected D 0 00 KB free 0 00 KB total EE Quick Launch Text Editor FM Extra Find File Hex Viewer Image Viewer ISERE NEA Le contenu du lecteur chiffr ne s affiche pas dans le gestionnaire de fichiers Ni le syst me de fichiers ni la capacit et l espace utilis libre ne figurent dans les propri t s du lecteur chiffr 199 SafeGuard Enterprise 25 7 3 200 2 Au bas du gestionnaire de fichiers dans la section Lancement rapide cliquez sur l ic ne
57. Sous Options de connexion s lectionnez la liste de comptes de service requise dans la liste d roulante Liste de comptes de service Remarque le param tre par d faut est Aucune liste c est dire qu aucune liste de comptes de service ne s applique Les op rateurs en charge du d ploiement se connectant l ordinateur apr s l installation de SafeGuard Enterprise ne seront ainsi pas trait s comme des utilisateurs invit s Ils pourront activer l authentification au d marrage et tre ajout s l ordinateur Pour annuler l affectation d une liste de comptes de service s lectionnez l option Aucune liste 3 Enregistrez vos modifications en cliquant sur l ic ne Enregistrer de la barre d outils Vous pouvez pr sent transf rer la strat gie sur les ordinateurs concern s et y mettre disposition les comptes de service disponibles Remarque Si vous s lectionnez des listes de comptes de service diff rentes dans des strat gies qui le sont tout autant et qui correspondent toutes au RSOP Resulting Set of Policies param tre valide Aide administrateur 14 5 14 6 14 7 pour un ordinateur groupe sp cifique la liste de comptes de service affect e la derni re strat gie appliqu e prend le dessus sur toutes les listes de comptes de service pr c demment assign es Les listes de comptes de service ne sont pas fusionn es Transfert de la strat gie l ordinateur d extr mit La fonctionnalit de l
58. a t initialis 536870990 Impossible de charger le module Cryptoki PKCS 11 536870991 Certificat introuvable 536870992 Non approuv 536870993 Cl non valide 536870994 La cl ne peut pas tre export e 536870995 L algorithme sp cifi n est pas pris en charge temporairement 536870996 Le mode de d chiffrement saisi n est pas pris en charge 536870997 Erreur de compilation GSENC 536870998 Le format de requ te de donn es n est pas reconnu 536870999 Le certificat n a pas de cl priv e 536871000 Param tre syst me incorrect 536871001 Une op ration est active 536871002 Un certificat de la cha ne n est pas correctement imbriqu 536871003 La CRL n a pas pu tre remplac e 536871004 Le code PIN de l utilisateur a d j t initialis 805306369 Vous ne disposez pas des droits permettant d effectuer cette op ration Acc s refus 805306370 Op ration non valide 805306371 Param tre utilis non valide 805306372 L objet existe d j 805306373 L objet est introuvable 267 SafeGuard Enterprise 268 ID de l erreur Affichage 805306374 Exception de la base de donn es 805306375 L op ration a t annul e par l utilisateur 805306376 La cl cryptographique n est pas attribu e un utilisateur sp cifique 805306377 La cl cryptographique est attribu e plusieurs utilisateurs 805306378 La cl cryptographique
59. appels de r cup ration de connexion et ainsi les t ches de routine des membres du support en leur permettant de se concentrer sur des demandes plus complexes 183 SafeGuard Enterprise 184 24 Pour plus d informations voir R cup ration avec Local Self Help la page 184 E R cup ration avec Challenge R ponse Le m canisme Challenge R ponse est un syst me de r cup ration de connexion s curis et fiable qui vient en aide aux utilisateurs qui ne peuvent pas se connecter leur ordinateur ou acc der aux donn es chiffr es Lors de la proc dure Challenge R ponse l utilisateur communique le code de challenge g n r sur l ordinateur d extr mit au responsable du support qui g n rera son tour un code de r ponse Ce code autorisera l utilisateur ex cuter une action sp cifique sur l ordinateur Gr ce la r cup ration par Challenge R ponse propose plusieurs flux de travail pour les sc narios de r cup ration types n cessitant l aide du support Pour plus d informations voir R cup ration avec Challenge R ponse la page 190 E R cup ration du syst me SafeGuard Enterprise offre diff rentes m thodes et outils de r cup ration suite des probl mes de composants syst me essentiels et de composants SafeGuard Enterprise par exemple m MBR Master Boot Record corrompu Probl mes de noyau SafeGuard Enterprise Probl mes d acc s aux volumes Probl mes d initialisation Windows Pr
60. automatique vers Windows E Laisser l utilisateur choisir L utilisateur peut choisir en activant d sactivant cette option dans la bo te de dialogue de connexion POA d ex cuter ou non la connexion automatique Windows m Appliquer l authentification automatique Windows L utilisateur se connecte toujours automatiquement Windows m D sactiver l authentification automatique Windows Apr s la connexion POA la bo te de dialogue de connexion Windows s affiche L utilisateur doit se connecter manuellement Windows OPTIONS BITLOCKER Mode de connexion BitLocker Vous pouvez choisir le mode de connexion BitLocker parmi les options suivantes m TPM la cl de connexion est stock e sur la puce du TPM Trusted Platform Module 88 Aide administrateur Param tre de strat gie Explication m TPM PIN la cl de connexion est stock e sur la puce du TPM et un code PIN est galement n cessaire pour la connexion Les param tres du code PIN sont fournis sous le code PIN et le mot de passe E Carte m moire USB la cl de connexion est stock e sur une cl USB m TPM carte m moire USB la cl de connexion est stock e sur la puce du TPM et sur une cl USB La connexion peut s effectuer avec la puce du TPM ou la cl USB Mode de connexion de secours BitLocker Profil de validation de plate forme TPM En cas d chec de connexion SafeGuard Enterprise permet la
61. che tous les jours s lectionnez Quotidiennement suivi de Chaque jour samedi et dimanche compris ou Chaque jour de semaine lundi vendredi E Pour ex cuter la t che de fa on hebdomadaire s lectionnez Hebdomadairement et sp cifiez le jour requis de la semaine M Pour ex cuter la t che de fa on mensuelle s lectionnez Tous les mois et sp cifiez le jour requis du mois dans une plage de 1 31 Pour ex cuter la t che la fin de chaque mois s lectionnez Dernier dans la liste d roulante Apr s avoir rempli tous les champs obligatoires le bouton OK devient disponible 9 Cliquez sur OK La t che est enregistr e dans la base de donn es et appara t dans l aper u du Planificateur de t ches Elle est ex cut e sur le serveur s lectionn en fonction de la planification sp cifi e Affichage de l aper u du Planificateur de t ches Apr s avoir cr des t ches ex cuter sur un serveur SafeGuard Enterprise elles apparaissent dans la bo te de dialogue Planificateur de t ches que vous ouvrez en s lectionnant Outils gt Planificateur de t ches Cette bo te de dialogue affiche pour chaque t che les colonnes suivantes Colonne Description Nom de la t che Affiche le nom unique de la t che Serveur SGN Indique sur quel serveur la t che est ex cut e Planification Afficher le programme sp cifi pour la t che avec la r currence et l heure Heure de la prochaine ex cution Affiche quan
62. cr s pour une seule instance du SafeGuard Management Center Pour des raisons de s curit la cr ation d au moins un MSO suppl mentaire est fortement recommand e Les MSO suppl mentaires peuvent tre supprim s Toutefois il doit toujours rester un utilisateur b n ficiant du r le de MSO et cr de mani re explicite en tant que MSO dans la base de donn es SafeGuard Enterprise Un responsable principal de la s curit peut d l guer des t ches une autre personne Pour ce faire vous pouvez proc der de deux fa ons E Un nouveau responsable de la s curit peut tre cr dans Responsables de la s curit E Un utilisateur ou tous les membres d un conteneur import de l Active Directory et visibles dans le r pertoire racine du SafeGuard Management Center peuvent tre promus au rang de responsable de la s curit dans Utilisateurs et ordinateurs Un ou plusieurs r les peuvent alors tre attribu s aux responsables de la s curit Par exemple un utilisateur peut se voir attribuer le r le de responsable supervision et celui de responsable support Toutefois le responsable principal de la s curit peut galement cr er des r les personnalis s et les attribuer des utilisateurs particuliers R les pr d finis Dans le SafeGuard Management Center les r les de responsable de la s curit suivants sauf ceux du MSO sont pr d finis L attribution des droits ces r les pr d finis ne peut tre cha
63. cryptographique les utilisateurs attribu s et la date de g n ration sont affich s Vous pouvez galement voir si la cl cryptographique est bloqu e Blocage d une cl cryptographique ou d une carte puce Si vous tes responsable de la s curit vous pouvez bloquer des cl s cryptographiques Ceci est pratique par exemple si une cl cryptographique a t perdue 1 Dans le SafeGuard Management Center cliquez sur Cartes puce 2 Dans la zone de navigation de gauche s lectionnez Cartes puce g n r es gauche de la zone de navigation 3 S lectionnez la cl cryptographique bloquer et cliquez sur l ic ne Bloquer la carte puce de la barre d outils du SafeGuard Management Center La cl cryptographique est bloqu e pour l authentification et l utilisateur attribu ne peut plus l utiliser pour se connecter La cl cryptographique ne peut tre d bloqu e qu en utilisant le code PIN du SO Suppression des informations de la cl cryptographique carte puce En tant que responsable de la s curit vous pouvez supprimer les informations crites sur la cl cryptographique par SafeGuard Enterprise Condition pr alable la cl cryptographique doit tre connect e 1 Dans le SafeGuard Management Center cliquez sur Cartes puce 2 Dans la zone de navigation de gauche s lectionnez la carte puce concern e sous Cartes puce g n r es 3 Dans la barre d outils du SafeGuard Management
64. cryptographiques pour se connecter l authentification au d marrage Condition pr alable assurez vous que le support USB est activ dans le BIOS Le support de cl cryptographique doit tre initialis et la cl cryptographique doit tre g n r e 1 Connectez la cl cryptographique l interface USB 2 Mettez l ordinateur sous tension et attendez l arr t de l authentification au d marrage 3 Entrez le code PIN de la cl cryptographique Vous tes connect SafeGuard Enterprise Mode de connexion l authentification au d marrage Il existe deux m thodes de connexion l aide d une cl cryptographique Il est possible de combiner les deux m thodes de connexion E Connexion avec ID utilisateur mot de passe E Connexion avec cl cryptographique Lorsque vous vous connectez avec une cl cryptographique carte puce vous pouvez s lectionner la m thode non cryptographique ou la m thode Kerberos cryptographique Les proc dures Challenge R ponse sont impossibles avec Kerberos car aucune information de connexion n est disponible dans l authentification au d marrage En tant que responsable de la s curit vous sp cifiez la m thode utiliser pour les utilisateurs et les ordinateurs dans une strat gie du type Authentification Aide administrateur 19 9 Activation de la connexion automatique l authentification au d marrage avec des codes PIN de cl s cryptographiques par d faut Un code PIN
65. d chiffrer des fichiers D finit si un utilisateur peut acc der aux donn es non chiffr es d un volume Permet un utilisateur de d chiffrer des fichiers individuels ou des r pertoires entiers avec l extension de l Explorateur Windows lt clic droit gt L utilisateur peut d finir une phrase de passe de support pour les p riph riques Applications non g r es Permet l utilisateur de d finir une phrase de passe de support sur son ordinateur La phrase de passe de support permet d acc der facilement via SafeGuard Portable toutes les cl s locales utilis es sur des ordinateurs sur lesquels SafeGuard Data Exchange n est pas install Permet de d finir d autres applications devant tre ignor es par le pilote du filtre SafeGuard Enterprise et devant tre exclues du chiffrement d chiffrement transparent Pour plus d informations voir Exclusion d applications du chiffrement la page 49 Utilisez le nom complet du fichier ex cutable en incluant facultativement les informations du chemin pour sp cifier une application exempt e Le s parateur utiliser pour ces applications est Remarque comme il s agit de param tres sp cifiques la machine ils ne sont appliqu s que lorsque l ordinateur d extr mit est red marr Remarque Des applications non g r es ne peuvent tre d finies que pour des p riph riques de stockage locaux Pour une strat gie globale du type Protect
66. de strat gie de groupe sous Param tres Windows gt Param tres de s curit gt Strat gies locales gt D sactiver les options de s curit pour la connexion interactive CTRL ALT SUPPR n est pas n cessaire Connexion automatique de SafeGuard Lors de la premi re connexion la connexion automatique SafeGuard Enterprise s affiche apr s le d marrage de l ordinateur d extr mit Que se passe t il 1 Un utilisateur automatique est connect 2 Le client est enregistr automatiquement sur le serveur SafeGuard Enterprise 3 La cl machine est envoy e au serveur SafeGuard Enterprise et stock e dans la base de donn es SafeGuard Enterprise 4 Les strat gies de la machine sont envoy es l ordinateur d extr mit Connexion Windows La bo te de dialogue de connexion de Windows s affiche L utilisateur se connecte Que se passe t il 1 L ID utilisateur et un hachage des informations d identification de l utilisateur sont envoy s au serveur 2 Les strat gies certificats et cl s utilisateur sont cr s et envoy s l ordinateur d extr mit 3 POA est activ Connexion d authentification au d marrage Lorsque l ordinateur d extr mit red marre l authentification au d marrage appara t Que se passe t il 1 Les certificats et les cl s sont disponibles pour l utilisateur et il peut se connecter lors de l authentification au d marrage 2 Toutes les donn es sont chiffr es et s curis
67. de cl cryptographique par d faut distribu par la strat gie permet la connexion automatique de l utilisateur l authentification au d marrage Ceci permet d viter la g n ration de chaque cl cryptographique s par ment et permet aux utilisateurs de se connecter automatiquement lors de l authentification au d marrage sans inrtervention de l utilisateur Lorsqu une cl cryptographique est utilis e lors de la connexion et qu un code PIN par d faut est attribu l ordinateur l utilisateur est connect automatiquement l authentification au d marrage sans qu il ait besoin de saisir un code PIN En tant que responsable de la s curit vous pouvez d finir le code PIN sp cifique dans une strat gie du type Authentification et l attribuer diff rents ordinateurs ou groupes d ordinateurs par exemple tous les ordinateurs d un m me lieu Pour activer la connexion automatique avec un code PIN de cl cryptographique par d faut proc dez comme suit 1 Dans le SafeGuard Management Center cliquez sur Strat gies 2 S lectionnez une strat gie du type Authentification 3 Sous Options de connexion dans Mode de connexion s lectionnez Carte puce 4 Dans Code PIN utilis pour la connexion automatique avec une carte puce sp cifiez le code PIN par d faut utiliser pour la connexion automatique Dans ce cas il n est pas n cessaire de suivre les r gles relatives au code PIN Remarque Ce param tre
68. de dialogue S lection du ou des r les s lectionnez les r les requis et cliquez sur OK Pour enregistrer les modifications apport es la base de donn es cliquez sur l ic ne Enregistrer de la barre d outils L utilisateur est d sormais promu et appara t dans la zone Responsables de la s curit avec son nom d utilisateur Leurs propri t s peuvent tre affich es en s lectionnant le responsable concern dans la fen tre de navigation La cl priv e de l utilisateur est stock e dans la base de donn es et l option Pas de carte puce est activ e L option Facultatif est activ e si la cl priv e de l utilisateur r side sur la cl cryptographique ou la carte puce Si n cessaire vous pouvez faire glisser le responsable de la s curit la position requise dans l arborescence Responsables de la s curit Le responsable de la s curit peut se connecter au SafeGuard Management Center avec le nom affich 43 SafeGuard Enterprise 8 11 3 8 12 8 13 44 Promotion d un responsable de la s curit au rang de responsable principal de la s curit Condition pr alable pour promouvoir un responsable de la s curit vous devez poss der le droit d affichage et de modification de responsables de la s curit 1 Dans le SafeGuard Management Center s lectionnez Responsables de la s curit 2 Dans la fen tre de navigation cliquez avec le bouton droit sur le responsable de la s curit
69. de la sauvegarde du noyau Client 3008 chec de la restauration du noyau Client 3030 L utilisateur a modifi ses secrets LSH apr s la connexion Client 3035 Activation de LSH Client 3040 D sactivation de LSH Client 3045 LSH est disponible client Enterprise Client 3046 LSH est disponible client autonome Client 3050 D sactivation de LSH client Enterprise Client 3051 LSH n est pas disponible client autonome Client 3055 La liste QST questions LSH a t modifi e Client 3405 La d sinstallation du client de protection de configuration a chou Client 3070 La sauvegarde de cl a t enregistr e dans le partage r seau sp cifi Client 3071 La sauvegarde de cl n a pas pu tre enregistr e dans le partage r seau sp cifi Client 3110 Compte d acc s l authentification au d marrage 1 import dans POA Client 3111 Compte d acc s l authentification au d marrage 1 supprim de POA Client 3115 Compte d acc s l authentification au d marrage 1 modification du mot de passe via la touche F8 Client 3116 chec de l importation du compte d acc s l authentification au d marrage 1 dans la POA Client 3117 chec de la suppression du compte d acc s l authentification au d marrage 1 de la POA Client 3118 Compte d acc s l authentification au d marrage 1 chec de la modification du mot de passe via la touche F8 Aide administrateur
70. de les r activer Les cl s locales ne sont pas sauvegard es et ne peuvent pas tre utilis es pour la r cup ration Le cache local doit tre r par Le cache local stocke toutes les cl s et strat gies ainsi que les certificats utilisateur et les fichiers d audit Lorsque le cache local est corrompu la r cup ration de connexion est d sactiv e par d faut c est dire que sa restauration s effectue automatiquement partir de la sauvegarde Aucune proc dure Challenge R ponse n est donc requise pour r parer le cache local Cependant la r cup ration de connexion peut tre activ e par strat gie si le cache local doit effectivement tre r par avec une proc dure Challenge R ponse Dans ce cas l utilisateur est 207 SafeGuard Enterprise 25 8 2 26 26 1 208 automatiquement invit lancer une proc dure Challenge R ponse si le cache local est corrompu G n ration d une r ponse pour les ordinateurs non administr s l aide du fichier de r cup ration de cl Remarque Le fichier de r cup ration de cl g n r durant l installation du logiciel de chiffrement SafeGuard Enterprise doit tre stock dans un emplacement accessible au responsable support et son nom doit tre connu 1 Pour ouvrir l assistant de r cup ration dans le SafeGuard Management Center s lectionnez Outils gt R cup ration dans la barre de menus 2 Dans Type de r cup ration s lectionnez Clients Sopho
71. des serveurs consultez le manuel d installation de SafeGuard Enterprise v nements du journal du Planificateur de t ches Les v nements concernant l ex cution des t ches peuvent tre journalis s pour fournir des informations utiles par exemple pour la r solution des probl mes Vous pouvez d finir les v nements suivants journaliser M La t che du planificateur s est ex cut e avec succ s M La t che du planificateur a chou Aide administrateur 30 30 1 30 2 M Le fil du service du planificateur s est arr t cause d une exception Les v nements incluent les r sultats de la console de scripts pour faciliter la r solution des probl mes Pour plus d informations sur la journalisation voir Rapports la page 218 SafeGuard Enterprise et BitLocker Drive Encryption BitLocker Drive Encryption est une fonction de chiffrement de disque complet avec authentification de pr initialisation incluse dans les syst mes d exploitation Microsoft Windows Vista et Windows 7 Elle est con ue pour prot ger les donn es en permettant un chiffrement du volume d initialisation Comment SafeGuard Enterprise int gre t il BitLocker SafeGuard Enterprise active BitLocker Drive Encryption inclus dans une installation Windows Vista ou Windows 7 Enterprise ou Ultimate g r es depuis le SafeGuard Management Center comme tout autre client SafeGuard Enterprise natif Lors de l installation du client SafeGua
72. du service du planificateur Sous les colonnes les boutons suivants apparaissent Bouton Description Cliquez sur ce bouton pour cr er une nouvelle t che voir Cr ation d une nouvelle t che la page 230 232 Aide administrateur 29 3 Bouton Description Supprimer Cliquez sur ce bouton pour supprimer une t che s lectionn e voir Suppression de t ches la page 234 Propri t s Cliquez sur ce bouton pour afficher la bo te de dialogue Propri t s de lt nom de t che gt d une t che s lectionn e Dans cette bo te de dialogue vous pouvez modifier la t che voir Modification des t ches la page 233 ou importer exporter et modifier des scripts voir Utilisation de scripts dans le Planificateur de t ches la page 234 J Rafra chir Cliquez sur ce bouton pour rafra chir la liste des t ches dans la bo te de dialogue Planificateur de t ches Si un autre utilisateur a entre temps ajout ou supprim des t ches la liste est mise jour Tous les serveurs utilisent l heure courante du serveur de base de donn es pour d terminer quand d marrer les t ches Ainsi pour une meilleure surveillance des t ches l heure du serveur de base de donn es appara t ici Il appara t avec l heure locale de l ordinateur sur lequel fonctionne le SafeGuard Management Center Pour plus d informations voir Cr ation d une nouvelle t che la page 230 Modification de t ches
73. es avec la cl publique RSA de l utilisateur 173 SafeGuard Enterprise 21 1 1 21 1 2 21 2 174 3 Tous les autres utilisateurs qui souhaitent se connecter doivent au pr alable tre import s dans la POA Retard de connexion Sur un ordinateur prot g par SafeGuard Enterprise un d lai de connexion s applique si un utilisateur fournit des informations d identification incorrectes pendant l authentification Windows ou l authentification au d marrage Le retard de connexion augmente chaque chec de tentative de connexion Apr s un chec de connexion une bo te de dialogue appara t et affiche le d lai restant Remarque Si un utilisateur saisit un code PIN incorrect lors de la connexion sur la carte puce il ny a aucun retard de connexion Vous pouvez indiquer le nombre de tentatives de connexion autoris es dans une strat gie du type Authentification en vous aidant pour cela de l option Nbre maximum d checs de connexion Verrouillage de la machine Dans une strat gie du type Authentification vous pouvez galement sp cifier le verrouillage de l ordinateur apr s un certain nombre d checs de tentatives de connexion en param trant l option Verrouiller la machine sur Oui Pour d verrouiller leurs ordinateurs les utilisateurs doivent lancer une proc dure Challenge R ponse Importation d autres utilisateurs Le premier utilisateur se connecter Windows est enregistr automati
74. et via l option Contr le du stockage d crite l tape 6 D finir le contr le du stockage Pour les ports sans fil ceci est effectu via l option Contr le du r seau local sans fil WLAN d crite l tape 7 D finir le contr le du r seau local sans fil WLAN Remarque Le contr le du p riph rique et le contr le du r seau local sans fil WLAN d une strat gie ne s appliquent qu aux ports restreints Le contr le du stockage d une strat gie s applique aux ports restreints et autoris s Pour chaque port sp cifiez si le type d action est Autoriser Bloquer ou Restreindre en s lectionnant l option appropri e dans le menu d roulant Remarque Les ports internes comme des bus de stockage IDE SCSI ATA et S ATA par exemple utilis s pour connecter des lecteurs de disque dur interne ainsi que PCI et PCI X sont autoris s par d faut Remarque Les param tres SecureDigital dans la section Ports physiques sont applicables lorsque SecureDigital est utilis comme un port Lorsque SecureDigital est connect via un adaptateur USB il devient un p riph rique de stockage de masse USB Si SecureDigital est connect directement au PC ou au portable la reconnaissance d pend du mod le de PC ou de portable Autorisations de pontage de r seau hybride SafeGuard Configuration Protection permet aux administrateurs de contr ler et d emp cher l utilisation simultan e de divers protocoles r seau pouvant entra ner
75. hybride Aide administrateur 17 3 5 1 17 3 5 2 Autorisations de port SafeGuard Configuration Protection permet une s curit positive en autorisant l acc s tous les ports de tous les ordinateurs auxquels une strat gie est distribu e sauf si cette strat gie sp cifie que l acc s ce port est bloqu comme suit Pour chaque port USB FireWire PCMCIA Secure Digital S rie Parall le Modem WLAN IrDA ou Bluetooth vous pouvez sp cifier les options suivantes E Autoriser cette option sp cifie que le port peut tre utilis toutes fins sans restriction sur ce canal de communication E Bloquer cette option signifie qu aucun acc s n est possible via ce port Le port est indisponible comme si ses c bles taient coup s E Restreindre pour les ports USB FireWire PCMCIA et WLAN vous pouvez galement sp cifier que l acc s aux ports de ce type est restreint Un param tre Restreint vous permet de d finir plus particuli rement savoir plus pr cis ment les p riph riques ou connexions autoris s acc der au port Par exemple vous pouvez sp cifier que seul l acc s des p riph riques USB d un mod le sp cifique voire des p riph riques USB sp cifiques des p riph riques distincts avec un num ro de s rie unique est autoris Pour les ports physiques ceci peut tre effectu via l option Contr le des p riph riques d crite l tape 5 D finir le contr le des p riph riques
76. jour E active_start_time 010000 Cet exemple d finit que la t che est ex cut e 1 heure du matin Remarque La syntaxe du param tre active_start_time indiqu e ci dessus fonctionne sous SQL Server 2005 La syntaxe correcte pour SQL Server 2000 est active_start_time 1 00 00 Remarque Outre les valeurs d exemple indiqu es ci dessus vous pouvez d finir diff rentes options de planification avec sp_add jobschedule Par exemple la t che peut tre ex cut e toutes les deux minutes ou une fois par semaine seulement Pour plus d informations consultez la documentation de Microsoft Transact SQL Nettoyage des proc dures enregistr es des t ches et des tableaux Le script spShrinkFventTable_uninstall sql permet de supprimer la proc dure enregistr e et le tableau EVENT_BACKUP Le script ScheduledShrinkEventTable_uninstall sql permet d annuler l enregistrement de la t che planifi e Remarque Lorsque vous ex cutez spShrinkEventTable_uninstall sql le tableau EVENT BACKUP est supprim ainsi que toutes les donn es qu il contient Aide administrateur 28 14 Mod les de messages de rapport 29 Les v nements ne sont pas journalis s avec leurs textes d v nements complets dans la base de donn es SafeGuard Enterprise Seuls l ID et les valeurs de param tre correspondantes sont inscrits dans la table de la base de donn es Lorsque les v nements journalis s sont r cup r s dans le visualiseur d
77. la liste de comptes de service appliqu e l ordinateur l utilisateur est identifi comme un compte de service et trait comme utilisateur invit L op rateur en charge du d ploiement n est pas ajout la POA et celle ci ne sera pas active L op rateur en charge du d ploiement ne devient pas le propri taire de l ordinateur L utilisateur final peut se connecter et activer la POA Remarque Les listes de comptes de service sont affect es aux ordinateurs d extr mit dans les strat gies Elles doivent tre affect es dans le premier package de configuration SafeGuard Enterprise cr pour la configuration des ordinateurs d extr mit Cr ation de listes de comptes de service et ajout d utilisateurs 1 Dans la zone de navigation cliquez sur Strat gies 2 Dans la fen tre de navigation de la strat gie s lectionnez Listes de comptes de service 3 Dans le menu contextuel de l option Listes de comptes de service cliquez sur Nouveau gt Liste de comptes de service 4 Entrez un nom pour la liste de comptes de service puis cliquez sur OK 5 S lectionnez la nouvelle liste sous Listes de comptes de service dans la fen tre de navigation de la strat gie 6 Cliquez avec le bouton droit de la souris dans la zone d action pour ouvrir le menu contextuel de la liste de comptes de service Dans le menu contextuel s lectionnez Ajouter Une nouvelle ligne utilisateur est ajout e 7 Entrez le Nom d utilisateur et
78. le Condition pr alable pour obtenir un aper u des propri t s du responsable ou de l attribution du r le vous devez poss der le droit d affichage des responsables de la s curit et des r les de ces derniers Pour afficher les propri t s du responsable et du r le 1 Dans le SafeGuard Management Center cliquez sur Responsables de la s curit 2 Dans la zone de navigation de gauche cliquez deux fois sur l objet dont vous souhaitez obtenir un aper u Les informations disponibles dans la zone d action de droite sont fonction de l objet s lectionn Affichage des propri t s du MSO Les informations g n rales et de modification relatives au MSO s affichent Affichage des propri t s des responsables de la s curit Les informations g n rales et de modification relatives au responsable de la s curit s affichent 1 Dans Propri t s s lectionnez l onglet Actions afin d afficher un r sum des actions autoris es et des r les attribu s au responsable de la s curit Affichage des droits et des r les des responsables de la s curit Un r sum des actions de tous les r les attribu s au responsable de la s curit s affiche L arborescence affiche les actions n cessaires l ex cution d autres actions Les r les attribu s peuvent galement tre affich s 1 Dans Actions s lectionnez une action afin d afficher tous les r les attribu s contenant cette action 2 Cliquez deux fois s
79. le chiffrement initial Exemple Condition pr alable une cl par d faut a t d finie pour le chiffrement initial Le chiffrement initial d marre automatiquement lorsque l utilisateur connecte un p riph rique USB l ordinateur La cl d finie est utilis e L utilisateur ne doit pas intervenir Si l utilisateur souhaite rechiffrer les fichiers ou enregistrer de nouveaux fichiers sur le p riph rique USB il peut s lectionner une quelconque cl s il y est autoris et si disponible Si l utilisateur connecte un autre p riph rique USB la cl d finie pour le chiffrement initial est de nouveau utilis e Cette cl est galement utilis e pour tous les processus de chiffrement ult rieurs jusqu ce que l utilisateur s lectionne explicitement une autre 2 cl Remarque Cette option est d sactiv e lorsque la fonction de phrase de passe de support est activ e La Cl d finie pour le chiffrement sera utilis e Dossier en texte brut Le dossier sp cifi ici sera cr sur tous les supports amovibles et p riph riques de stockage de masse Les fichiers copi s dans ce dossier restent au format brut L utilisateur est autoris d cider de l op ration de chiffrement Avec ce param tre de strat gie vous pouvez autoriser l utilisateur d cider du chiffrement des fichiers sur les supports amovibles et sur les p riph riques de stockage de masse Si vous d finissez cette option s
80. le v tre M Visitez la base de connaissances du support de Sophos l adresse http www sophos fr support M T l chargez la documentation des produits l adresse http www sophos fr support docs M Envoyez un courriel support sophos fr y compris le ou les num ros de version s du logiciel Sophos le ou les syst mes d exploitation et le ou les niveaux de correctif ainsi que le texte de tout message d erreur Mentions l gales Copyright 1996 2011 Sophos Group Tous droits r serv s SafeGuard est une marque d pos e de Sophos Group Sophos est une marque d pos e de Sophos Limited Sophos Group et Utimaco Safeware AG selon le cas Tous les autres noms de produits et de soci t s mentionn s sont des marques ou des marques d pos es de leurs propri taires respectifs Aucune partie de cette publication ne peut tre reproduite stock e dans un syst me de recherche documentaire ou transmise sous quelque forme ou par quelque moyen que ce soit lectronique m canique photocopie enregistrement ou autre sauf si vous poss dez une licence valide auquel cas vous pouvez reproduire la documentation conform ment aux termes de cette licence ou si vous avez le consentement pr alable crit du propri taire du copyright Les informations de copyright des fournisseurs tiers sont disponibles dans le fichier appel Disclaimer and Copyright for 3rd Party Software rtf dans votre r pertoire des produits
81. lectionnez Aucune chiffrement 3 Dans le champ L utilisateur peut d chiffrer le volume s lectionnez Oui 4 Enregistrez vos changements dans la base de donn es 5 D ployez la strat gie sur l ordinateur d extr mit correspondant L utilisateur peut d verrouiller le disque dur compatible Opal sur l ordinateur d extr mit Les donn es sont toujours chiffr es lorsqu elles sont crites sur le disque dur Journalisation des v nements pour les ordinateurs d extr mit quip s de disques durs compatibles Opal Les v nements signal s par les ordinateurs d extr mit quip s de disques durs compatibles Opal chiffrement automatique sont journalis s comme pour tout autre ordinateur d extr mit prot g par SafeGuard Enterprise Les v nements ne mentionnent pas particuli rement le Aide administrateur 33 type d ordinateur Les v nements signal s sont identiques tout autre ordinateur d extr mit prot g par SafeGuard Enterprise Pour plus d informations voir Rapports la page 218 v nements disponibles pour les rapports Le tableau suivant fournit un aper u sur tous les v nements pouvant tre s lectionn s pour la journalisation Cat gorie ID Description n i Syst me 1005 Service d marr Syst me 1006 chec du d marrage du service Syst me Arr t du service Syst me chec du test d int grit des fichiers de donn es
82. les donn es sont chiffr es l exception du support d initialisation et des informations de r pertoire avec l avantage que m me les supports optiques tels que les CD DVD peuvent tre chiffr s et que les donn es peuvent tre chang es avec des ordinateurs externes sur lesquels SafeGuard Enterprise n est pas install si les strat gies l autorisent Pour plus d informations voir Chiffrement bas sur fichier la page 49 Remarque Pour les strat gies avec listes blanches seuls Aucun chiffrement ou Bas sur fichier peuvent tre s lectionn s Pour plus d informations voir Listes blanches pour les strat gies de protection des p riph riques pour le chiffrement bas sur fichier la page 101 Aide administrateur Param tre de strat gie Explication Algorithme utiliser pour le chiffrement D finit l algorithme de chiffrement Liste des algorithmes utilisables avec les normes respectives AES256 32 octets 256 bits AES128 16 octets 128 bits AES256 avec diffuseur AES128 avec diffuseur Cl utiliser pour le chiffrement D finit la cl utilis e pour le chiffrement Vous pouvez d finir des cl s sp cifiques cl machine ou une cl d finie par ex ou vous pouvez autoriser l utilisateur s lectionner une cl Vous pouvez galement limiter les cl s qu un utilisateur est autoris utiliser Les options suivantes sont disponibles E Toute cl du jeu
83. lesquels aucune licence n a t achet e et pour lequel la licence d valuation fichier de licence par d faut ou des licences de d monstration individuelles sont utilis es sont marqu s avec le type de licence d monstration Remarque Lorsqu un nouveau fichier de licence est import seuls les modules inclus dans ce fichier de licence sont affect s Toute autre information de licence de module est conserv e telle que pr sent e dans la base de donn es Ce comportement de l importation simplifie l valuation des modules suppl mentaires lorsque vous achetez un ou plusieurs modules Licence d pass e Une valeur de tol rance a t d finie dans votre fichier de licence quant au d passement du nombre de licences achet es et la p riode de validit de la licence Si le nombre de licences disponibles par module ou la p riode de validit est d pass un message d avertissement s affiche Ceci n affecte pas l utilisation du syst me et aucune restriction n affecte ses fonctionnalit s Vous pouvez r viser l tat de la licence et mettre niveau ou renouveler votre 27 SafeGuard Enterprise 7 6 1 7 6 2 28 licence La valeur de tol rance est g n ralement de 10 du nombre de licences achet es la valeur minimale est 5 la valeur maximale est 5 000 Un message d erreur s affiche si la valeur de tol rance est d pass e Dans ce cas les fonctionnalit s sont restreintes Le d ploiement des strat gies
84. listes de comptes de service sont affect es aux ordinateurs d extr mit dans les strat gies Elles doivent tre affect es dans le premier package de configuration SafeGuard Enterprise cr pour la configuration des ordinateurs d extr mit Pour plus d informations voir Listes de comptes de service pour la connexion Windows la page 69 E Comptes d acc s POA pour connexion POA Les comptes d acc s POA sont des comptes locaux pr d finis qui permettent aux utilisateurs de se connecter connexion POA des ordinateurs d extr mit une fois l authentification au d marrage activ e pour effectuer des t ches administratives Les comptes sont d finis dans la zone Utilisateurs et ordinateurs du SafeGuard Management Center nom d utilisateur et mot de passe et affect s aux ordinateurs d extr mit au moyen de groupes d acc s POA inclus dans les packages de configuration Pour plus d informations voir Comptes d acc s POA pour connexion POA la page 74 Listes de comptes de service pour la connexion Windows Exemple de sc nario type pour la plupart des mises en uvre une quipe de d ploiement installe de nouveaux ordinateurs dans un environnement sur lequel SafeGuard Enterprise est install Pour des raisons d installation ou de v rification les op rateurs en charge du d ploiement peuvent se connecter leur ordinateur respectif avant que l utilisateur final ne re oive sa nouvelle machine et n active l authentif
85. m me cl de groupe domaine Si Bob souhaite acc der des fichiers chiffr s d un p riph rique amovible sur un ordinateur sur lequel SafeGuard Data Exchange n est pas install il peut utiliser la phrase de passe de support dans SafeGuard Portable Joe peut acc der aux fichiers sp cifiques en saisissant la phrase de passe de la cl JoeKey sans acc der l ensemble des fichiers du support amovible Vous devez d finir les param tres dans une strat gie du type Protection du p riph rique Supports amovibles Mode de chiffrement du support Bas sur fichier Cl utiliser pour le chiffrement Toute cl du jeu de cl s utilisateur Permet l utilisateur de choisir diff rentes cl s pour chiffrer des fichiers de son support amovible Cl d finie pour le chiffrement lt cl de groupe domaine gt par exemple groupe_utilisateurs_Bob_Alice DC L utilisateur peut partager des donn es dans son groupe de travail et permettre un autre utilisateur d acc der de mani re transparente au support amovible lorsqu il le connecte son ordinateur professionnel L utilisateur peut d finir une phrase de passe de support pour les p riph riques Oui L utilisateur d finit une phrase de passe de support sur son ordinateur qui s applique tous les supports amovibles Copier portable SG vers support amovible Oui SafeGuard Portable permet l utilisateur d acc der tous les fichiers chiffr s du support amovibl
86. marrage pour ex cuter des t ches administratives sans avoir lancer de proc dure Challenge R ponse Il n y a pas de connexion automatique Windows Les utilisateurs se connectant avec leurs comptes d acc s POA doivent se connecter Windows avec leurs comptes Windows existants Vous pouvez cr er des comptes d acc s POA les regrouper dans des groupes de comptes d acc s POA et affecter ces groupes des ordinateurs d extr mit Les utilisateurs c est dire les comptes d acc s POA inclus dans le groupe de comptes d acc s POA sont ajout s la POA et peuvent se connecter l aide de leur nom d utilisateur et de leur mot de passe pr d finis Cr ation de comptes d acc s POA 1 Dans la zone de navigation du SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation Utilisateurs et ordinateurs sous POA s lectionnez Utilisateurs POA 3 Dansle menu contextuel des Utilisateurs POA cliquez sur Nouveau gt Cr er un utilisateur La bo te de dialogue Cr er un utilisateur s affiche 4 Dans le champ Nom complet saisissez un nom par exemple le nom de connexion du nouvel utilisateur POA 5 Vous pouvez galement saisir une description pour le nouvel utilisateur POA 6 Saisissez un mot de passe pour le nouveau compte d acc s POA et confirmez le Remarque Pour renforcer la s curit le mot de passe doit respecter des exigences de complexit minimales savo
87. minimale des codes PIN utilis s Mots de passe D finit la configuration minimale des mots de passe utilis s Protection du p riph rique Param tres de chiffrement bas sur volume ou sur fichier y compris des param tres pour SafeGuard Data Exchange et SafeGuard Portable algorithmes cl s les lecteurs sur lesquels les donn es doivent tre chiffr es etc Param tres machine sp cifiques Param tres d authentification au d marrage activer d sactiver d veil par appel r seau s curis d options d affichage etc Journalisation D finit les v nements journaliser et leurs destinations de sortie Protection de la configuration Param tres autoriser bloquer pour l utilisation des ports et des p riph riques PDA supports amovibles imprimantes etc 16 1 Param tres g n raux 80 Param tre de strat gie Explication CHARGEMENT DE PARAM TRES Aide administrateur Param tre de strat gie Explication Mode de r cursivit des strat gies Param tres machine de relecture Si Param tres de relecture de la machine est s lectionn pour une strat gie dans le champ Mode de r cursivit des strat gies et si la strat gie provient d une machine le param tre Param tres de relecture de la machine d une strat gie utilisateur n entra ne aucun effet cette strat gie est mise en uvre une nouvelle fois la fin Ceci remplace ensuite les param tres de l utilisateur et les param t
88. mit Le statut de connexion de l utilisateur invit est galement disponible via l ic ne de la barre d tat syst me Pour plus d informations consultez l aide utilisateur SafeGuard Enterprise au chapitre Ic ne de la barre d tat syst me et infobulles description du champ sur l tat de l utilisateur Journalisation des v nements Les actions accomplies concernant les listes de comptes de service sont signal es par les v nements du journal suivants SafeGuard Management Center M Liste de comptes de service lt nom gt cr e M Liste de comptes de service lt nom gt modifi e E Liste de comptes de service lt nom gt supprim e Ordinateur prot g par SafeGuard Enterprise E Utilisateur Windows lt nom domaine utilisateur gt connect lt horodatage gt sur le poste lt nom domaine poste de travail gt avec un compte de service SGN 73 SafeGuard Enterprise 15 15 1 74 E Nouvelle liste de comptes de service lt nom gt import e E Liste de comptes de service lt nom gt supprim e Comptes d acc s POA pour connexion POA Une fois SafeGuard Enterprise install et l authentification au d marrage POA activ e vous devez pouvoir acc der aux ordinateurs d extr mit pour ex cuter des t ches administratives Gr ce aux comptes d acc s POA les utilisateurs notamment des membres de l quipe informatique peuvent se connecter aux ordinateurs d extr mit partir de l authentification au d
89. mot de passe du fichier de cl s est transmis avec le code de r ponse Le fichier de cl s peut alors tre d chiffr avec le mot de passe et tous les volumes chiffr s avec les cl s disponibles sont de nouveau accessibles 1 Dans le SafeGuard Management Center cliquez sur Cl s et certificats 2 Dans la fen tre de navigation de gauche cliquez sur Clients virtuels puis sur Fichiers de cl s export s T SafeGuard Management Center MSO actif SGNSRY Safec Fichier diter Affichage Acc der Actions Outils Aide Cl s et certificats F Fichiers de cl s export s HA cl s Fitre Certificats HE Certificats Nom du fichier de cl s x SHE Clients virtuels 2 BEME Fichiers de cl s export s a Commentaires Cr par p F 0xEE153C19624C984CAB8B7FBD840B8CED Exporter les cl s dans un fichier de cl s xj R pertoire CASGN Nom du fichier Ox3955F68FF7407943AAD94E874BB0SC2E Commentaires Cl s JOx1 AFEFFE4621 AD54663 339680038 0x189702E73480D35454619ED8FDDD90084 D Utilisateurs amp ordinateurs Strat gies V ff cartes puce Responsables de la s curit Supprimer une cl Rapports ok Annuler al Lame 3 Dans la barre d outils cliquez sur Nouveau fichier de cl s d exportation 4 Dans Exporter les cl s dans un fichier de cl s entrez les informations suivantes a R pertoire Cliquez sur pour
90. mot de passe utilisateur Par contre dans ce cas apr s avoir entr le code de r ponse l ordinateur d marre sur le syst me d exploitation L utilisateur doit changer le mot de passe lors de la connexion Windows condition que le domaine soit accessible L utilisateur peut alors se connecter Windows ainsi qu l authentification au d marrage l aide du nouveau mot de passe Bon usage de r cup ration du mot de passe de l authentification au d marrage Nous vous conseillons d utiliser les m thodes suivantes pour r cup rer un mot de passe oubli par l utilisateur afin d viter que ce mot de passe ne soit r initialis de mani re centralis e E Utilisation de Local Self Help Avec la r cup ration avec Local Self Help le mot de passe actuel peut tre affich et l utilisateur peut continuer l utiliser sans devoir le r initialiser et sans requ rir l assistance 193 SafeGuard Enterprise 25 5 1 3 25 5 1 4 25 5 1 5 194 du support Pour plus d informations reportez vous la section R cup ration avec Local Self Help la page 184 E Utilisation de la proc dure challenge r ponse pour les clients SafeGuard Enterprise g r s Nous vous recommandons d viter de r initialiser le mot de passe dans Active Directory avant la proc dure Challenge R ponse Cela garantit que le mot de passe reste synchronis entre Windows et SafeGuard Enterprise Assurez vous que le support Windows en a bien
91. navigation sous le n ud Responsables principaux de la s curit Leurs propri t s peuvent tre affich es en s lectionnant le responsable de la s curit concern dans la fen tre de navigation Le MSO peut se connecter au SafeGuard Management Center avec le nom affich Cr ation d un responsable de la s curit Condition pr alable pour cr er un responsable de la s curit vous devez poss der le droit d affichage et de cr ation de responsables de la s curit 1 Dans le SafeGuard Management Center s lectionnez Responsables de la s curit Aide administrateur 2 Dans la fen tre de navigation cliquez avec le bouton droit de la souris sur le n ud du responsable de la s curit o vous souhaitez placer le nouveau responsable de la s curit puis s lectionnez Nouveau gt Nouveau responsable de la s curit 39 SafeGuard Enterprise 3 Proc dez de la fa on suivante dans la bo te de dialogue Nouveau responsable de la s curit Champ case cocher Description Activ Le responsable de la s curit peut tre d sactiv jusqu nouvel avis Le responsable de la s curit est dans le syst me mais ne peut pas encore se connecter au SafeGuard Management Center Il peut seulement le faire et effectuer ses t ches d administration lorsqu un autre responsable l active Nom Entrez le nom du responsable de s curit tel qu il est fourni dans les certificats cr s par SafeGuard Enterprise so
92. option Respecter la casse est d finie sur OUI et si l option Utilisation interdite du nom d utilisateur comme mot de passe est d finie sur NON l utilisateur EMa ier ne peut utiliser aucune variante de ce nom d utilisateur par exemple emaier ou eMaiER comme mot de passe Interdire la succession de touches horizontales 123 et aze sont des exemples de s quences de touches cons cutives Un maximum de deux caract res adjacents du clavier est autoris Les s quences de touches cons cutives ne concernent que la zone du clavier alphanum rique Interdire la succession de touches verticales Concerne les touches dispos es cons cutivement en colonne sur le clavier par exemple wqal xsz2 ou 3edc mais pas wsed xdr5 ou cft6 Un maximum de deux symboles adjacents d une m me colonne clavier est autoris Si vous Aide administrateur Param tre de strat gie Explication n autorisez pas les colonnes du clavier ces combinaisons sont rejet es comme mot de passe Les s quences de touches cons cutives ne concernent que la zone du clavier alphanum rique Au moins 3 caract res cons cutifs non autoris s L activation de cette option interdit les s quences de touches M qui sont des s ries cons cutives de symboles de code ASCII que ce soit par ordre croissant ou d croissant abc cba G etc E constitu es de trois symboles identiques ou plus aaa
93. ordinateur partir du disque dur d une disquette ou d un support externe USB CD etc Mode de connexion D termine comment un utilisateur doit s authentifier dans la POA m ID utilisateur Mot de passe Les utilisateurs doivent se connecter avec leurs noms d utilisateur et leurs mots de passe m Cl cryptographique L utilisateur ne peut se connecter dans la POA qu avec une cl cryptographique ou une carte puce Ce processus offre un niveau de s curit plus lev L utilisateur doit ins rer sa cl lors de la connexion L identit de l utilisateur est v rifi e par la possession de la cl et la pr sentation du code PIN Apr s la saisie d un code PIN correct SafeGuard Enterprise lit automatiquement les donn es pour la connexion de l utilisateur Remarque Lorsque ce processus de connexion a t s lectionn les utilisateurs ne peuvent se connecter qu en utilisant une cl pr alablement g n r e SafeGuard Enterprise 86 Param tre de strat gie Explication Vous pouvez combiner les param tres ID utilisateur Mot de passe et Carte puce Pour v rifier si la connexion fonctionne en utilisant une cl cryptographique s lectionnez tout d abord les deux param tres Ne d s lectionnez le mode de connexion ID utilisateur Mot de passe que si l authentification avec la cl cryptographique a r ussi D autre part si vous voulez autoriser Local Self Help pour la connexion par car
94. ordinateur Lorsque vous cliquez sur Suivant ce nom est recherch dans la base de donn es S il est trouv le nom d ordinateur unique s affiche E Saisissez directement le nom de l ordinateur au format de nom unique par exemple CN Postel OU D veloppement OU Si ge DC Utimaco DC uae 4 Cliquez sur Suivant Le programme d termine de fa on dynamique si un ordinateur SafeGuard Enterprise natif ou si un ordinateur chiffr BitLocker est utilis et r gle le flux de travail de r cup ration en cons quence S il s agit d un ordinateur chiffr BitLocker l tape suivante n cessite la s lection du volume requis 5 Dans la liste s lectionnez le volume auquel acc der puis cliquez sur Suivant 6 L assistant de r cup ration affiche la cl de r cup ration 48 chiffres correspondante 7 Lisez cette cl l utilisateur L utilisateur peut la saisir afin de r cup rer le volume chiffr BitLocker sur l ordinateur d extr mit R cup ration via la proc dure Challenge R ponse l aide de clients virtuels Gr ce la r cup ration des clients virtuels SafeGuard Enterprise permet de r cup rer des volumes chiffr s m me dans des situations d urgence complexes par exemple lorsque la POA est corrompue La r cup ration des clients virtuels s applique aussi bien aux clients virtuels qu aux ordinateurs autonomes Remarque La r cup ration des clients virtuels doit uniquement tre utilis e pour r soudre des
95. ou des symboles mais doit comporter une combinaison de ces 2 au moins par exemple 15 fleur etc Ce param tre n est pratique que si vous avez d fini une longueur minimum de phrase de passe sup rieure 2 Respecter la casse Ce param tre est effectif lorsque l option Utilisation interdite du nom d utilisateur en tant que phrase de passe est active Exemple EMaier est saisi comme nom d utilisateur Si l option Respecter la casse est d finie sur OUI et si Utilisation interdite du nom d utilisateur en tant que phrase de passe est d finie sur NON l utilisateur EMaier ne peut utiliser aucune variante de ce nom d utilisateur par exemple emaier ou eMaiER comme phrase de passe Interdire la succession de touches horizontales Les s quences de touches cons cutives sont par exemple 123 ou aze Un maximum de deux caract res adjacents du clavier est autoris Les s quences de touches cons cutives ne concernent que la zone du clavier alphanum rique Interdire la succession de touches verticales Concerne les touches dispos es cons cutivement en colonne sur le clavier par exemple wqal xsz2 ou 3edc mais pas wse4 xdr5 ou cft6 Un maximum de deux caract res adjacents d une m me colonne clavier est autoris Si vous n autorisez pas les colonnes du clavier ces combinaisons sont rejet es comme mots de passe Les s quences de touches cons cutives ne concernent que la zone d
96. par une POA Image d arri re plan dans image d arri re plan personnalis e Par exemple les clients la POA basse r solution peuvent utiliser le logo de l entreprise dans la POA et lors de la connexion de Windows Taille de fichier maximale pour toutes les images bitmap d arri re plan 500 Ko Normal E R solution 1024 x 768 mode VESA m Couleurs illimit Basse R solution 640 x 480 mode VGA E Couleurs 16 couleurs Image deconnexigndanslaEOA Remplacement de l image Safeguard Enterprise affich e lors de Image de connexion dansla POA la connexion POA par une image personnalis e par exemple le basse r solution logo de l entreprise Normal m R solution 413 x 140 pixels 84 Aide administrateur Param tre de strat gie Explication 16 2 Authentification Param tre de strat gie m Couleurs illimit Basse E R solution 413 x 140 pixels E Couleurs 16 couleurs Explication ACC S L utilisateur peut uniquement initialiser partir du disque dur OPTIONS DE CONNEXION D termine si les utilisateurs peuvent d marrer l ordinateur partir du disque dur et ou d un autre support OUI les utilisateurs peuvent initialiser partir du disque dur uniquement L authentification au d marrage POA n offre pas la possibilit de d marrer l ordinateur avec une disquette ou un autre support externe NON les utilisateurs peuvent d marrer l
97. param tre de strat gie Pour enregistrer la strat gie s lectionnez d abord un param tre autre que non configur Restauration des valeurs par d faut de param tres de strat gie Dans la barre d outils les ic nes suivantes servent la configuration des param tres de strat gie Aide administrateur Affiche les valeurs par d faut des param tres de strat gie qui n ont pas t configur s a param tre non configur D finit le param tre de strat gie marqu sur non configur D finit tous les param tres de strat gie d une zone sur non configur Ve D finit la valeur par d faut de la strat gie marqu e Ye D finit tous les param tres de strat gie d une zone sur la valeur par d faut LA Diff rences entre les strat gies sp cifiques d une machine et les strat gies sp cifiques d un utilisateur Strat gie de couleur bleue La strat gie s applique uniquement aux machines et non aux utilisateurs Strat gie de couleur noire La strat gie s applique aux machines et aux utilisateurs 11 3 Groupes de strat gies Les strat gies SafeGuard Enterprise peuvent tre combin es dans des groupes de strat gies Un groupe de strat gies peut contenir diff rents types de strat gies Si vous placez des strat gies du m me type dans un groupe les param tres sont fusionn s automatiquement Dans ce cas vous pouvez d finir des priorit s d utilisation des pa
98. pas partie de la solution SafeGuard Configuration Protection SafeGuard PortAuditor est un outil coop rant avec SafeGuard Configuration Protection et qui le compl te pour vous proposer une vue d ensemble des ports p riph riques et r seaux qui sont ou taient utilis s par les utilisateurs de votre organisation Utilisez le r sultat d une analyse SafeGuard PortAuditor pour s lectionner les p riph riques et r seaux dont vous souhaitez approuver l utilisation Pour plus de d tails consultez le manuel d utilisation de SafeGuard PortAuditor Strat gies de protection de la configuration Une strat gie de protection de la configuration sp cifie les ports autoris s bloqu s ou restreints Restreint signifie que seuls les types de p riph riques mod les de p riph riques p riph riques distincts ou connexions WLAN sp cifi s peuvent acc der via ce port Une strat gie sp cifie les autorisations d acc s des types de p riph riques de stockage des mod les de p riph riques de stockage et des p riph riques de stockage distincts ainsi que des 119 SafeGuard Enterprise 17 3 1 120 connexions WLAN vous permettant ainsi de sp cifier s ils sont autoris s bloqu s ou restreints comme pour les p riph riques Une strat gie peut galement bloquer des enregistreurs de frappe mat riels connect s un port USB ou PS 2 Les enregistreurs de frappe mat riels sont des p riph riques pouvant tre plac s par
99. pour cr er et planifier des t ches p riodiques bas es sur des scripts Les t ches sont automatiquement ex cut es par un service sur le serveur SafeGuard Enterprise pour ex cuter les scripts sp cifi es Les t ches p riodiques sont par exemple utiles pour M la synchronisation automatique entre Active Directory et SafeGuard Enterprise Pour plus d informations voir Importation de la structure organisationnelle partir d un Active Directory la page 14 E la suppression automatique des journaux d v nements Pour plus d informations sur la journalisation voir Rapports la page 218 Pour ces deux proc dures des mod les de script pr d finis sont disponibles dans SafeGuard Enterprise Vous pouvez utiliser ces scripts tels quels ou les modifier en fonction de vos besoins Pour plus d informations voir Scripts pr d finis pour les t ches p riodiques la page 236 En tant que responsable de la s curit avec les droits n cessaires vous pouvez sp cifier des scripts des r gles et des intervalles pour les t ches dans le Planificateur des t ches 229 SafeGuard Enterprise 29 1 Cr ation d une nouvelle t che 230 Pour cr er des t ches dans le Planificateur de t ches vous avez besoin des droits du responsable de la s curit Utiliser le planificateur de t ches et G rer les t ches 1 Dans la barre de menus du SafeGuard Management Center s lectionnez Outils gt Planificateur de t ches La b
100. pour l action Administration 2505 Autorisation suppl mentaire refus e Administration Importation de donn es depuis le r pertoire men e bien Administration Importation de donn es depuis le r pertoire annul e Administration Impossible d importer des donn es depuis le r pertoire Administration Utilisateur cr Administration Utilisateur modifi Administration Utilisateur supprim Administration chec de l application de l utilisateur Administration Impossible de supprimer l utilisateur Administration 2525 Machine appliqu e Administration 2529 Machine supprim e Administration 2532 chec de l application de la machine Administration 2536 Impossible de supprimer la machine Administration 2539 OU appliqu Administration 2543 OU supprim Administration 2546 chec de l application de l OU Administration 2547 chec de l importation de l OU Administration 2550 chec de suppression de l OU 249 SafeGuard Enterprise 250 Cat gorie ID Description s i Administration 2553 Groupe appliqu Administration 2555 Groupe modifi Administration Groupe renomm Administration Groupe supprim Administration chec de l application du groupe Administration Impossible de modifier le groupe Administration 2563 Impossible de renommer le groupe Administration 2564 Impossible de supprimer le groupe Administration 2573 Mem
101. pour l authentification au d marrage clavier virtuel inclus peut tre modifi e r trospectivement 1 S lectionnez D marrer gt Panneau de configuration gt Options r gionales et linguistiques gt Options avanc es 2 Dans l onglet Options r gionales s lectionnez la langue souhait e 3 Dans l onglet Options avanc es s lectionnez Appliquer tous les param tres au compte d utilisateur actuel et au profil utilisateur par d faut sous Param tres par d faut du compte d utilisateur 4 Cliquez sur OK La POA m morise la disposition du clavier utilis e au cours de la derni re connexion et l active automatiquement la connexion suivante Cette op ration n cessite que vous red marriez l ordinateur d extr mit deux fois Si la disposition du clavier m moris e est d sactiv e dans les Options r gionales et linguistiques elle est tout de m me utilis e jusqu ce que l utilisateur en s lectionne une autre Remarque Vous devez modifier la langue de la disposition du clavier pour les programmes non unicode Si la langue souhait e n est pas disponible sur l ordinateur Windows peut vous inviter l installer Apr s avoir effectu cette op ration vous devez red marrer l ordinateur deux fois pour que en premier lieu la nouvelle disposition du clavier puisse tre lue par l authentification au d marrage et en second lieu l authentification au d marrage puisse d finir la nouvelle disposition Vous pouv
102. pouvoir utiliser Local Self Help l utilisateur doit alors activer cette m thode de r cup ration en r pondant un nombre de questions sp cifi parmi les questions re ues ou en cr ant et en r pondant des questions personnalis es en fonction de ses autorisations cet effet l assistant de Local Self Help est disponible via une ic ne dans la barre des t ches Windows une fois la strat gie appliqu e et l ordinateur red marr Configuration de Local Self Help Vous pouvez d finir les options suivantes pour Local Self Help dans une strat gie du type Param tres g n raux E Longueur minimale des r ponses D finissez la longueur minimale en caract res des r ponses Le nombre par d faut est 1 m Texte de bienvenue sous Windows Vous pouvez sp cifier le texte d informations individuel afficher dans la premi re bo te de dialogue au d marrage de l assistant de Local Self Help sur l ordinateur Avant de sp cifier le texte ici il doit tre cr et enregistr E L utilisateur peut d finir des questions personnalis es Les sc narios suivants sont possibles concernant la d finition de questions pour Local Self Help E En tant que responsable de la s curit d finissez les questions et distribuez les aux utilisateurs Les utilisateurs ne sont pas autoris s d finir des questions personnalis es 185 SafeGuard Enterprise 24 2 24 3 186 E En tant que responsable de la s curit d f
103. principal Auto registered nouvellement ajout sous son ordinateur N uds du domaine connus Utilisateurs locaux ordinateurs domaines D j pr sents sous les n uds du domaine Utilisateurs ordinateurs pr sents N uds du domaine Auto registered nouvellement ajout sous les connus n uds du domaine Utilisateurs ordinateurs non pr sents Groupe de travail Groupe de travail connu D j pr sent sous le groupe de travail d ordinateur D j pr sent sous le groupe de travail J p groupe de travail Groupe de travail connu Nouvellement ajout sous le groupe de travail ondes E Auto registered travail d ordinateur pr sents sous Auto registered Avertissement Dans ce cas vous devez v rifier si les groupes de travail d ordinateur sont pr sents deux fois dans le groupe de travail Pour diff rencier des ordinateurs identiques acc dez Propri t s et saisissez la Description Toutefois nous vous recommandons de supprimer manuellement l ordinateur du r pertoire du groupe de travail Auto registered Aide administrateur Informations de tat de la base de Affich dans le SafeGuard Management Center connexion donn es concernant l objet local Groupe de travail connu Nouvellement ajout sous le groupe de travail Auto registered Utilisateurs ordinateurs non pr sents Groupe de travail inconnu D j pr sents sou
104. qui ne peuvent pas se connecter ou qui ne peuvent pas acc der aux donn es chiffr es Cette fonctionnalit est int gr e au SafeGuard Management Center en tant qu assistant de r cup ration Avantages de la proc dure challenge r ponse Le m canisme Challenge R ponse est un syst me de r cup ration s curis et fiable E Tout au long du processus aucune donn e confidentielle n est chang e sous une forme autre que chiffr e m Cette proc dure ne contient aucun point d coute lectronique de tiers car les donn es espionn es ne peuvent pas tre utilis es ult rieurement ni sur d autres p riph riques M Aucune connexion r seau en ligne n est n cessaire pour l ordinateur L assistant de code de r ponse de Helpdesk s ex cute galement sur un ordinateur non g r sans connexion de serveur SafeGuard Enterprise Aucune infrastructure complexe n est n cessaire m L utilisateur peut commencer retravailler rapidement L oubli du mot de passe n entra ne aucune perte de donn es chiffr es Situations classiques n cessitant l aide du support E Un utilisateur a oubli le mot de passe de connexion et l ordinateur a t verrouill m Un utilisateur a oubli ou perdu la cl cryptographique carte puce m Le cache local de l authentification au d marrage est partiellement endommag E Si un utilisateur est absent ses coll gues doivent pouvoir acc der aux donn es de son ordinateur m Un utilisateur sou
105. r gles d crites dans cette section Attribution et activation des strat gies Pour activer une strat gie devant tre mise en uvre pour un utilisateur ou un ordinateur vous devez d abord l attribuer un objet conteneur n uds racine domaine OU conteneur int gr ou groupe de travail Pour que la strat gie attribu e un utilisateur ou un ordinateur devienne effective lorsque vous attribuez une strat gie un point quelconque de la hi rarchie tous les ordinateurs ordinateurs authentifi s et tous les utilisateurs utilisateurs authentifi s sont activ s automatiquement l attribution sans activation ne suffit pas Tous les utilisateurs et tous les ordinateurs sont combin s dans ces groupes H ritage de strat gie Les strat gies ne peuvent tre transmises qu entre objets conteneurs Les strat gies peuvent tre activ es au sein d un conteneur supposer qu il ne contienne aucun autre objet conteneur au niveau du groupe L h ritage entre groupes est impossible Hi rarchie d h ritage de strat gie Lorsque des strat gies sont attribu es le long d une cha ne hi rarchique la strat gie la plus proche dans le cas d un objet cible utilisateur ordinateur a le niveau le plus lev Cela signifie que si la distance entre une strat gie et l objet cible s accro t elle sera remplac e par toute autre strat gie plus proche Attribution directe des strat gies L utilisateur ordinateur re oit une strat g
106. registre de l ordinateur tel que d crit dans le manuel d utilisation de SafeGuard PortAuditor Vous utiliserez ces informations lors de la d finition d une strat gie afin de sp cifier les ports et p riph riques autoris s bloqu s ou restreints E tape 2 Planifier votre strat gie d crit les informations collecter pour planifier correctement la meilleure strat gie de protection des syst mes d extr mit dans votre entreprise E tape 3 Cr er une strat gie d crit comment cr er une nouvelle strat gie Vous pouvez cr er autant de strat gies que n cessaire une pour l ensemble de l organisation et une autre pour chaque groupe d ordinateurs ou d utilisateurs E tape 4 D finir le contr le des ports d crit comment d finir le contr le des ports de votre strat gie savoir les ports autoris s bloqu s et restreints utilis s par certains p riph riques uniquement Cette section d crit galement comment emp cher un pontage de r seau hybride E tape5 D finir le contr le des p riph riques d crit comment d finir plus particuli rement les p riph riques autoris s se connecter via les ports restreints de vos syst mes d extr mit Aide administrateur 17 3 2 17 3 3 17 3 3 1 E tape6 D finir le contr le du stockage d crit comment d finir plus particuli rement les p riph riques de stockage autoris s se connecter aux syst mes d extr mit E tape7 D finir le contr l
107. rer plusieurs bases de donn es et domaines par le biais de configurations sp cifiques du titulaire Multi Tenancy Vous pouvez g rer plusieurs bases de donn es SafeGuard Enterprise et diff rentes configurations Ces configurations peuvent galement tre export es et import es pour simplifier la configuration Le SafeGuard Management Center ne doit pas tre install n cessairement sur un seul ordinateur uniquement Il peut tre install sur n importe quel ordinateur du r seau permettant d acc der aux bases de donn es Seuls les utilisateurs disposant des privil ges les responsables de la s curit peuvent acc der au SafeGuard Management Center Plusieurs responsables de la s curit peuvent travailler simultan ment sur les donn es Connexion au SafeGuard Management Center Lors de l installation et de la configuration de SafeGuard Enterprise tous les param tres de configuration essentiels sont d finis et un compte est cr pour un responsable principal de la s curit Ce compte est n cessaire la premi re fois que vous vous connectez au SafeGuard Management Center Pour d marrer le SafeGuard Management Center l utilisateur doit conna tre le mot de passe du magasin des certificats et disposer de la cl priv e du certificat Pour plus d informations consultez le manuel d installation La proc dure de connexion d pend de l ex cution du SafeGuard Management Center en mode Single Tenancy ou Multi Tenancy R
108. riques Oui L utilisateur d finit une phrase de passe de support sur son ordinateur qui s applique tous les supports amovibles Copier portable SG vers support amovible Oui SafeGuard Portable permet l utilisateur d acc der tous les fichiers chiffr s du support amovible en saisissant une phrase de passe de support unique sur un syst me sur lequel SafeGuard Data Exchange n est pas install Si les strat gies de l entreprise d finissent galement que tous les fichiers des supports amovibles doivent toujours tre chiffr s ajoutez les param tres suivants Chiffrement initial de tous les fichiers Oui V rifie que les fichiers des supports amovibles sont chiffr s lors de la premi re connexion du support au syst me 169 SafeGuard Enterprise 20 4 3 170 E L utilisateur peut annuler le chiffrement initial Non L utilisateur ne peut pas annuler le chiffrement initial pour le diff rer par exemple E L utilisateur est autoris acc der aux fichiers non chiffr s Non Si des fichiers au format brut sont d tect s sur le support amovible leur acc s est refus E L utilisateur peut d chiffrer des fichiers Non L utilisateur n est pas autoris d chiffrer des fichiers de supports amovibles Au bureau Bob et Alice acc dent de mani re transparente aux fichiers chiffr s du support amovible A domicile ou sur les ordinateurs tiers ils peuvent utiliser SafeGuard Portable pour ouvrir des fichiers
109. s la page 52 Aide administrateur 10 1 Pour afficher toutes les cl s d un utilisateur cliquez sur Utilisateurs et ordinateurs et s lectionnez l onglet Cl s Pour afficher toutes les cl s cliquez sur Cl s et certificats dans le SafeGuard Management Center Vous pouvez g n rer des listes de Cl s attribu es et de Cl s inactives 1 Cliquez sur Utilisateur et ordinateurs pour ouvrir l affichage 2 Les cl s d un objet s lectionn sont affich es dans la zone action et dans les vues respectives 3 L affichage dans la zone d action d pend des s lections dans la zone de navigation Toutes les cl s attribu es l objet s lectionn sont affich es 4 Sous Cl s disponibles toutes les cl s disponibles s affichent Les cl s d j attribu es l objet s lectionn sont gris es S lectionnez Filtre pour basculer entre des cl s d j attribu es un objet actives et des cl s non attribu es un objet inactives Apr s l importation chaque utilisateur re oit un certain nombre de cl s utilisables pour le chiffrement des donn es Cl s pour le chiffrement des donn es Des cl s sont attribu es aux utilisateurs pour le chiffrement de volumes sp cifiques lors de la d finition de strat gies du type Protection du p riph rique Les volumes suivants sont disponibles F Protection du p riph rique 1x Nom protection du p riph rique Description Cible de protection de p riph
110. s g n r es localement partir d un jeu de cl s sont affich es et l utilisateur peut s lectionner l une d entre elles E Cl d finie dans la liste L administrateur peut s lectionner n importe quelle cl disponible lorsqu il d finit des strat gies dans le Management Center La cl doit tre s lectionn e sous Cl d finie pour le chiffrement Remarque Si l option Cl machine d finie est utilis e Si seulement SafeGuard Data Exchange est install sur un ordinateur d extr mit pas de POA pas de chiffrement bas sur volume une strat gie d finissant la Cl machine d finie comme tant la cl utiliser pour le chiffrement bas sur fichier ne s appliquera pas sur cet ordinateur La cl machine d finie n est pas disponible sur un ordinateur de ce type Les donn es ne peuvent pas tre chiffr es Strat gies pour les ordinateurs d extr mit non administr s prot g s par SafeGuard Enterprise autonome Notez que seule l option Toute cl du jeu de cl s utilisateur peut tre utilis e lors de la cr ation de strat gies pour des ordinateurs d extr mit non administr s La cr ation de cl s locales doit en outre tre autoris e pour ce type d ordinateur d extr mit Si la fonction de phrase de passe de support est activ e pour des ordinateurs d extr mit non administr s la cl de chiffrement de support est utilis e automatiquement comme Cl d finie pour le chiffrement c
111. si vous souhaitez cr er la liste blanche manuellement ou si vous envisagez d utiliser le r sultat d une analyse des ordinateurs avec SafeGuard PortAuditor comme source Remarque Les r sultats de l analyse SafeGuard PortAuditor doivent tre disponibles fichier XML si vous envisagez de cr er la liste blanche avec cette source E Cr er manuellement une liste blanche Si vous s lectionnez cette option une liste blanche vide s ouvre dans le SafeGuard Management Center apr s avoir cliqu sur OK Vous pouvez cr er manuellement des entr es dans cette liste blanche vide E Importer le r sultat de SafeGuard PortAuditor Si vous s lectionnez cette option le r sultat de l analyse de SafeGuard PortAuditor est import Vous pouvez s lectionner le fichier fourni par SafeGuard PortAuditor l aide du bouton Lis Apr s avoir cliqu sur OK le contenu du fichier import s affiche dans le SafeGuard Management Center 17 4 2 Ajout d un p riph rique l aide d un fichier SafeGuard PortAuditor Condition pr alable Cr ation d un fichier d informations de p riph rique Pour cr er un fichier contenant les informations relatives aux p riph riques approuver utilisez SafeGuard PortAuditor pour analyser les ordinateurs requis SafeGuard PortAuditor analyse les ordinateurs s lectionn s et signale tous les p riph riques et r seaux WLAN actuellement ou pr c demment connect s ces ordinateurs Les r sultats d audi
112. situations d urgence complexes Si par exemple une seule cl manque pour la r cup ration d un volume la meilleure solution consiste affecter tout simplement la cl manquante au jeu de cl s de l utilisateur appropri Flux de travail de r cup ration l aide de clients virtuels Pour acc der l ordinateur chiffr voici le flux de travail g n ral qui s applique 1 Demandez au support technique de vous fournir le disque de r cup ration SafeGuard Enterprise Le support peut t l charger le disque de r cup ration Windows PE avec les derniers pilotes du filtre SafeGuard Enterprise sur le site du support Sophos Pour plus d informations consultez http www sophos fr support knowledgebase article 108805 html Aide administrateur 25 7 2 LENA Cr ez le client virtuel dans le SafeGuard Management Center voir Cr ation de clients virtuels la page 54 Exportez le client virtuel dans un fichier voir Exportation de clients virtuels la page 55 En option exportez plusieurs cl s de clients virtuels dans un fichier unique_106 id112LH01305Z D marrez l ordinateur d extr mit depuis le disque de r cup ration Importez le fichier du client virtuel dans l outil de r cup ration de cl KeyRecovery Initialisez le challenge dans l outil de r cup ration de cl KeyRecovery Confirmez le client virtuel dans le SafeGuard Management Center S lectionnez l action de r cup ration requise 10
113. son jeu de cl s Dans le pire des cas la partition est seulement chiffr e avec le Boot_Key de l autre ordinateur Dans une telle situation le responsable principal de la s curit ou le responsable r cup ration doit attribuer ce Boot_Key l utilisateur 209 SafeGuard Enterprise 26 4 26 4 1 26 4 2 26 5 210 Pour plus d informations voir Asservissement d un disque dur la page 211 Volumes SafeGuard Enterprise propose le chiffrement bas sur volume Cela inclut les informations de chiffrement de l enregistrement constitu es du secteur d initialisation de la KSA principale et de sauvegarde ainsi que du secteur d initialisation original sur chaque lecteur Si l une des conditions suivantes s applique le volume n est plus accessible E Les deux zones de stockage des cl s KSA Key Storage Area sont endommag es en m me temps E Le MBR d origine est endommag Secteur d initialisation Au cours du processus de chiffrement le secteur d initialisation d un volume est remplac par le secteur d initialisation de SafeGuard Enterprise Le secteur d initialisation de SafeGuard Enterprise contient des informations concernant M l emplacement de la KSA principale et de sauvegarde dans les clusters et les secteurs en relation au d but de la partition E la taille de la KSA M me si le secteur d initialisation de SafeGuard Enterprise est endommag les volumes chiffr s sont inaccessibles L
114. sur OK Le nouvel l ment de texte s affiche en tant que n ud secondaire sous Texte d informations dans la zone de navigation de strat gie Si vous s lectionnez un l ment de texte son contenu s affiche dans la fen tre de droite L l ment de texte peut d sormais tre s lectionn lors de la cr ation de strat gies R p tez la proc dure pour enregistrer d autres l ments de texte Tous les l ments de texte enregistr s s affichent en tant que n uds secondaires Remarque Gr ce au bouton Modifier le texte vous pouvez ajouter du texte au texte existant Une bo te de dialogue de s lection d un autre fichier texte s affiche lorsque vous cliquez sur ce bouton Le texte contenu dans ce fichier est ajout la fin du texte existant R gles de syntaxe des mots de passe Les mots de passe peuvent comporter des nombres des lettres et des caract res sp ciaux par exemple etc Toutefois lorsque vous g n rez un nouveau mot de passe n utilisez pas 95 SafeGuard Enterprise 96 de caract re avec la combinaison ALT lt caract re gt car ce mode de saisie n est pas disponible dans l authentification au d marrage POA Les r gles relatives aux mots de passe utilis s pour se connecter au syst me sont d finies dans des strat gies du type Mot de passe Remarque D finissez des r gles de mots de passe soit dans le SafeGuard Management Center soit dans Active Directory pas dans les deux
115. sur l ic ne de la loupe La vue Utilisateurs et ordinateurs est filtr e en fonction des crit res Journalisation Les inscriptions r ussies ou non des utilisateurs des ordinateurs ou des groupes de travail sont journalis es Vous pouvez consulter la liste de ces informations dans le SafeGuard Management Center sous Rapports dans le visualiseur d v nements Importation de la structure organisationnelle partir d un Active Directory Vous pouvez importer une structure organisationnelle existante dans la base de donn es SafeGuard Enterprise par exemple par l interm diaire d un Active Directory Nous vous recommandons de cr er un compte de service Windows d di qui sera utilis pour toutes les t ches d importation et de synchronisation ceci pour garantir une importation correcte et pour emp cher la suppression accidentelle d objets dans la base de donn es SafeGuard Enterprise Pour attribuer les droits n cessaires voir http www sophos fr support knowledgebase article 107979 html Remarque Aide administrateur Avec le Planificateur de t ches SafeGuard Management vous pouvez cr er des t ches p riodiques pour la synchronisation automatique entre Active Directory et SafeGuard Enterprise Votre produit livr contient cet effet un mod le de script pr d fini Pour plus d informations voir Cr ation de t ches ex cuter sur le serveur SafeGuard Enterprise avec le Planificateur de t ches la page 229 et
116. tre sur 1 pour cr er une sauvegarde des v nements supprim s Remarque Si vous utilisez le script pour d placer des v nements du tableau EVENT dans le tableau de journalisation de sauvegarde la concat nation des v nements ne s applique plus L activation de la concat nation tout en utilisant la proc dure enregistr e pour le nettoyage des v nements est inutile Pour plus d informations voir Concat nation des v nements journalis s la page 224 Restrictions concernant les serveurs enregistr s Lorsque vous enregistrez des serveurs dans l Outil de package de configuration du SafeGuard Management Center vous pouvez enregistrer plus d un mod le de serveur avec le m me certificat de machine Mais vous pouvez seulement installer un mod le la fois sur la machine r elle Si la case cocher Scripts autoris s est s lectionn e pour les deux serveurs le Planificateur de t ches affiche les deux serveurs pour s lection dans la liste d roulante Serveur SGN des bo tes de dialogue Nouvelle t che et Propri t s de lt nom de t che gt Le Planificateur de t ches ne peut pas d terminer lequel des deux mod les a t install sur la machine Pour viter cela ne s lectionnez pas la case cocher Scripts autoris s pour les mod les qui ne sont pas install s sur le serveur vitez aussi les mod les dupliqu s avec le m me certificat de machine Pour plus d informations sur l enregistrement
117. un groupe de strat gies partir d un fichier XML 1 Dans la fen tre de navigation s lectionnez El ments de strat gie Groupes de strat gies 2 Cliquez avec le bouton droit de la souris pour afficher le menu contextuel et s lectionnez Restaurer une strat gie Remarque La commande Restaurer une strat gie est galement accessible depuis le menu Actions 3 S lectionnez le fichier XML partir duquel la strat gie le groupe de strat gies doit tre restaur puis cliquez sur Ouvrir La strat gie ou groupe de strat gies est restaur 11 6 Attribution de strat gies 1 Cliquez sur Utilisateurs et ordinateurs S lectionnez l objet conteneur par exemple OU ou domaine dans la fen tre de navigation Cliquez sur l onglet Strat gies le cas ch ant 2 Dans la fen tre de navigation s lectionnez l objet conteneur requis par exemple OU ou domaine 3 Changez pour l onglet Strat gies Tous les l ments requis pour l attribution de la strat gie sont affich s dans la zone d action 61 SafeGuard Enterprise 11 6 1 11 7 62 4 Pour attribuer une strat gie faites la glisser de la liste dans l onglet Strat gies 5 Vous pouvez d finir une Priorit pour chaque strat gie en les organisant gr ce au menu contextuel Les param tres des strat gies de niveau sup rieur remplacent celles qui lui sont inf rieures Si vous s lectionnez Ne pas remplacer pour une strat gie ses param tres ne so
118. un pontage de r seau hybride involontaire ou volontaire comme le pontage WLAN et le pontage de carte 3G La configuration de clients SafeGuard Configuration Protection dans le but de bloquer l acc s 123 SafeGuard Enterprise 17 3 6 17 3 6 1 17 3 6 2 124 des liens WLAN Bluetooth Modems ou IrDA alors que l interface r seau TCP IP filaire principale est connect e un r seau permet aux utilisateurs d exploiter certains protocoles r seau lorsqu ils sont d connect s du r seau uniquement emp chant ainsi la cr ation et l utilisation abusive d un pont de r seau hybride Les autorisations de pontage de r seau hybride sont d finies dans la section Pontage de r seau anti hybride tape 5 D finir le contr le des p riph riques Dans la section Contr le du port pour les ports USB FireWire et PCMCIA vous pouvez sp cifier que l acc s aux ports de ces types est restreint ceci s applique aux ports WLAN galement comme le d crit l tape 8 D finir le contr le des r seaux locaux sans fil WLAN S lectionnez Restreindre pour d finir plus particuli rement via la section Contr le du p riph rique les p riph riques autoris s acc der ces ports La section Contr le du p riph rique vous permet de sp cifier les types de p riph riques dont l acc s est autoris et attribuer la Liste blanche correspondante utilis e pour sp cifier les mod les de p riph riques ou les p riph ri
119. une t che p riodique pour supprimer automatiquement les journaux d v nements Pour cette t che vous pouvez utiliser le script pr d fini EventLogDeletion vbs Le script supprime les v nements du tableau EVENT Si vous sp cifiez le param tre appropri il d place par ailleurs les v nements dans le tableau de journalisation de sauvegarde EVENT_BACKUP en laissant un nombre pr d fini d v nements r cents dans le tableau EVENT Avant que nous n utilisiez le script dans une t che p riodique vous pouvez modifier les param tres suivants Param tre Description maxDuration Avec ce param tre sp cifiez combien de temps en jours les v nements doivent tre conserv s dans le tableau EVENT Le nombre par d faut est 0 Si ce param tre est d fini sur 0 il n y a pas de d lai pour les v nements conserv s dans le tableau EVENT 237 SafeGuard Enterprise 29 6 29 7 238 Param tre Description maxCount Avec ce param tre sp cifiez combien d v nements doivent rester dans le tableau EVENT Le nombre par d faut est 5000 Si ce param tre est d fini sur 0 il n y a pas de limite au nombre d v nements conserver dans le tableau EVENT keepBackup Avec ce param tre sp cifiez si les v nements supprim s doivent tre sauvegard s dans le tableau EVENT Le nombre par d faut est 0 Si ce param tre est d fini sur 0 les v nements ne sont pas sauvegard s D finissez ce param
120. valide avertissement erreur du module concern Fonction Indique le module install Licences achet es Indique le nombre de licences achet es pour le module install Licences utilis es Indique le nombre de licences utilis es pour le module install Version attribu e la plus Indique la version de SafeGuard Enterprise la plus r cente pour r cente laquelle les licences sont valides Version utilis e la plus r cente Indique la version de SafeGuard Enterprise install e la plus r cente Expire Indique la date d expiration de la licence Type Indique le type de licence d monstration ou compl te normale Limite de tol rance Indique la limite de tol rance sp cifi e pour le d passement du nombre de licences achet es Si vous affichez l onglet Licences d un domaine OU l aper u indique le statut en fonction de l ordinateur de la branche concern e Des d tails sur les modules de cl cryptographique sous licence sont propos s sous cette pr sentation Dans la partie inf rieure un message avec une couleur d arri re plan sp cifique au statut vert valide jaune avertissement rouge erreur et une ic ne indiquent le statut global de la licence quel que soit le domaine ou l OU s lectionn Si cette partie indique un message d avertissement ou d erreur il affiche aussi des informations sur la restauration d un statut de licence valide Les ic nes affich es dans l ong
121. viter de r initialiser le mot de passe ou de recourir l assistance technique Pour plus d informations voir R cup ration via Local Self Help la page 184 Lors de la r cup ration d un mot de passe oubli via la proc dure Challenge R ponse une r initialisation de mot de passe est requise 1 La proc dure Challenge R ponse permet l ordinateur de d marrer partir de l authentification au d marrage Aide administrateur 2 Dans la bo te de dialogue de connexion Windows l utilisateur ne conna t pas le mot de passe correct et doit par cons quent le modifier au niveau Windows Cela n cessite d autres actions de r cup ration sortant du p rim tre de SafeGuard Enterprise via des moyens Windows standard Remarque Nous vous recommandons d viter la r initialisation centralis e du mot de passe avant la proc dure Challenge R ponse Cela garantit que le mot de passe reste synchronis entre Windows et SafeGuard Enterprise Assurez vous que le support Windows en a bien connaissance Nous recommandons les m thodes de r initialisation de mot de passe Windows suivantes M A l aide d un compte de service ou administrateur disponible sur l ordinateur d extr mit avec les droits Windows requis M A l aide d un disque de r initialisation de mot de passe Windows sur l ordinateur d extr mit En tant que responsable support vous pouvez conseiller l utilisateur la proc dure appliquer et lui fournir le
122. voir Comptes d acc s POA pour connexion POA la page 74 Configuration de l authentification au d marrage La bo te de dialogue POA comporte les composants suivants E Image de connexion E Texte des bo tes de dialogue E Langue de la disposition du clavier SOPHOS Nom d utilisateur John Mot de passe Domaine my_company Ok R cup ration Arr ter Options gt gt Vous pouvez modifier l apparence de la bo te de dialogue POA selon vos pr f rences l aide des param tres de strat gie du SafeGuard Management Center Image d arri re plan et de connexion Par d faut les images d arri re plan et de connexion qui s affichent dans l authentification au d marrage sont con ues selon SafeGuard Vous pouvez changer ces images pour afficher par exemple le logo de votre entreprise Les images d arri re plan et de connexion sont d finies dans une strat gie du type Param tres g n raux Utilis es dans SafeGuard Enterprise les images d arri re plan et de connexion doivent respecter certaines conditions Image d arri re plan Taille de fichier maximale pour toutes les images d arri re plan 500 Ko 175 SafeGuard Enterprise 21 3 1 1 176 SafeGuard Enterprise prend en charge deux variantes d images d arri re plan E 1024x768 mode VESA Couleurs aucune restriction Strat gie du type Param tres g n raux option Image d arri re plan dans la PO
123. voir Scripts pr d finis pour des t ches p riodiques la page 236 1 Dans le SafeGuard Management Center s lectionnez Outils gt Options 2 S lectionnez l onglet R pertoire et cliquez sur Ajouter 3 Dans Authentification LDAP proc dez comme suit a Dans le champ Nom ou adresse IP du serveur saisissez le nom NetBIOS du contr leur de domaine ou son adresse IP b Pour Autorisations utilisateur entrez votre nom et votre mot de passe Windows pour vous connecter l environnement test c Cliquez sur OK Remarque Pour les ordinateurs uniques Windows un r pertoire doit tre approuv pour activer une connexion via LDAP 4 Cliquez sur Utilisateurs et ordinateurs 5 Dans la fen tre de navigation de gauche cliquez sur le r pertoire racine Racine Filtre actif 6 Dans la zone d action de droite s lectionnez l onglet Synchroniser 7 S lectionnez le r pertoire requis dans la liste DSN r pertoire et cliquez sur l ic ne de la loupe en haut droite Une repr sentation graphique de la structure Active Directory des unit s organisationnelles de votre entreprise s affiche 8 Il n est pas n cessaire d importer l ensemble du contenu d Active Directory Cochez les unit s organisationnelles OU qui doivent tre synchronis es 9 Pour galement synchroniser les appartenances s lectionnez la case cocher Synchroniser les appartenances Pour galement synchroniser l tat activ par l utilisate
124. 121 SafeGuard Enterprise 17 3 4 17 3 5 122 une strat gie plus stricte en fonction de ses nom d utilisateur et mot de passe quel que soit l ordinateur sur lequel il se connecte M Par groupes d ordinateurs la d finition de vos strat gies par ordinateurs active la protection des points de terminaison des ordinateurs de votre organisation quel que soit l utilisateur connect SafeGuard Configuration Protection applique les strat gies comme suit il applique tout d abord une strat gie utilisateur si elle existe pour l utilisateur actuellement connect Dans le cas contraire SafeGuard Configuration Protection recherche une strat gie qui s applique l ordinateur et l utilise le cas ch ant Cela signifie que lorsqu aucun utilisateur n est connect la strat gie li e l ordinateur est utilis e Il est ainsi conseill de distribuer des strat gies bas es sur l utilisateur afin qu un utilisateur dispose de la m me strat gie quel que soit l ordinateur auquel il se connecte et de d finir des strat gies bas es sur l ordinateur plus restrictives Ces strat gies bas es sur l ordinateur doivent accorder l acc s aux p riph riques comme une souris et un clavier utiliser lorsqu aucun utilisateur ou un utilisateur externe au domaine ne se connecte La configuration initiale du client SafeGuard Configuration Protection autorise toutes les activit s de port et de p riph rique Aucun l ment n est donc bloqu
125. 1645 Zone de stockage des cl s KSA satur e 352321646 Le fichier est d j chiffr avec un autre algorithme 352321647 Le fichier est compress avec NTFS et ne peut pas tre chiffr 352321648 Le fichier est chiffr avec EFS 352321649 Propri taire du fichier non valide 352321650 Mode de chiffrement du fichier non valide 352321651 Erreur d op ration CBC 263 SafeGuard Enterprise 264 ID de l erreur Affichage 385875969 Int grit rompue 402653185 La cl cryptographique ne contient pas de codes d acc s 402653186 Impossible d crire les codes d acc s sur la cl cryptographique 402653187 Impossible de cr er la balise TDF 402653188 La balise TDF ne contient pas les donn es requises 402653189 L objet existe d j sur la cl cryptographique 402653190 Aucun slot valide trouv 402653191 Lecture impossible du num ro de s rie 402653192 Le chiffrement de la cl cryptographique a chou 402653193 Le d chiffrement de la cl cryptographique a chou 536870913 Le fichier de cl s ne contient pas de donn es valides 536870914 Des parties de la paire de cl s RSA sont incorrectes 536870915 Impossible d importer la paire de cl s 536870916 Le format du fichier de cl s n est pas valide 536870917 Aucune donn e disponible 536870918 chec de l importation du certificat 536870919 Le module a d j t initialis
126. 165 21 Authentification au d marrage POA een 172 22 veil par appel r seau s curis NOL nm dent sn dns 182 23 Options de r cup ration ae eaves ie eaae aE EE EASE Ea aE SEER EE IAEE A ER OEA TRENE 183 24 R cup ration avec Local Self Help sise 184 25 R cup ration avec Challenge R DONS sn en nn ne rsrinnies temp tee scie Re 190 26 R cup ration d Syst Meierin ereer Erea EE EOE EEA EEE OE REEERE RELE RE 208 27 Donn es d inventaire t d tat nn ent E E EEA EEA E 213 PRE 0100 E EEE E E E A E 218 29 Cr ation de t ches ex cuter sur le serveur SafeGuard Enterprise avec le Planificateur de 22 0 ET APRES ENS e eee Res OS RSR ee 229 30 SafeGuard Enterprise et BitLocker Drive Encryption ss 239 31 SafeGuard Enterprise et BitLocker Drive Encryption ss 243 32 SafeGuard Enterprise et disques durs compatibles Opal chiffrement automatique 244 33 v nements disponibles pour les tabports ss ee nn ne ne ee 247 34 D finition des codes SGMERR du journal des v nements de Windows 257 35 SUppOrt technique sente ann nine MN ME te Mn nr sien ent die MR rime 272 36 Mentions l gales nnn test han dise in QE ete at Se sn de ne nt ai 272 SafeGuard Enterprise 1 2 1 Le SafeGuard Management Center Le SafeGuard Management Center est l instrument central qui permet d effectuer toutes les activit s d administration Le SafeGuard Management Center permet de g
127. 2513 SGMAS Administration Utilisateur modifi cl s et certificats BE 2515 SGMAS Administration Utilisateur supprim i100 2522 SGMAS Administration Impossible de supprimer l utilisateur E ff cartes puce f gt gt f Conseil aj Responsables de la s curit x Rapports f zj 3 Pour sp cifier qu un v nement doit tre journalis dans la base de donn es SafeGuard Enterprise s lectionnez l v nement en cliquant sur la colonne contenant l ic ne de base de donn es Journaliser les v nements dans une base de donn es Pour les v nements journaliser dans l Observateur d v nements Windows cliquez sur la colonne contenant l ic ne de journal d v nements Journaliser dans le journal des v nements Cliquez plusieurs fois pour dess lectionner l v nement ou le rendre nul Si vous ne d finissez pas de param tre pour un v nement la valeur par d faut correspondante s applique Pour afficher les valeurs par d faut valides cliquez sur l ic ne de valeur par d faut Afficher les valeurs par d faut des param tres non configur s dans la barre d outils du SafeGuard Management Center 4 Pour tous les v nements s lectionn s une coche verte s affiche dans la colonne correspondante Enregistrez vos param tres 221 SafeGuard Enterprise Les v nements s lectionn s sont journalis s dans la destination de sortie correspondante une fois la strat gie attrib
128. 3 2 Licences de cl cryptographique Pour g rer des cl s cryptographiques ou des cartes puce les licences de cl cryptographique appropri es sont requises Si les licences appropri es ne sont pas disponibles vous ne pouvez pas cr er de strat gies de cl s cryptographiques dans le SafeGuard Management Center Licences d valuation et de d monstration Le fichier de licence par d faut licence d valuation ou les fichiers de licence de d monstration individuels peuvent tre utilis s pour l valuation ou le d ploiement initial Ces licences sont limit es dans le temps et ont une date d expiration mais n ont aucune restriction fonctionnelle Remarque Les licences d valuation et de d monstration ne doivent pas tre utilis es pour une utilisation directe normale Fichier de licence par d faut Un fichier de licence par d faut est charg automatiquement lors de l installation du SafeGuard Management Center Cette licence d valuation appel e licence d valuation de SafeGuard Enterprise contient cinq licences pour chaque module et est limit e pour une dur e de deux ans compter de la date de publication de la version SafeGuard Enterprise concern e Fichiers de licence de d monstration individuelle Si le fichier de licence par d faut ne suffit pas l valuation vous pouvez galement obtenir une licence de d monstration personnalis e en fonction de vos besoins Pour obtenir un fichier de licence
129. 4 Conditions pr alables m Le param tre de strat gie Options de connexion l aide d une carte puce dans la strat gie appropri e du type Authentification est d finie sur Kerberos m La nouvelle cl cryptographique est g n r e E Seul un certificat est attribu l utilisateur Pour changer le certificat d un utilisateur pour la connexion par cl cryptographique 1 Dans le SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Connectez la cl cryptographique l interface USB SafeGuard Enterprise lit la cl cryptographique 3 S lectionnez l utilisateur dont vous voulez changer le certificat et ouvrez l onglet Certificat dans la zone de travail droite 4 Cliquez sur l ic ne Attribuer un certificat partir d une carte puce de la barre d outils du SafeGuard Management Center 5 S lectionnez le certificat concern et saisissez le code PIN de la cl cryptographique 6 Cliquez sur OK 7 Remettez la nouvelle cl cryptographique l utilisateur Le certificat est attribu l utilisateur sous la forme d un certificat de veille Ceci est indiqu par une coche dans la colonne Veille de l onglet Certificats de l utilisateur Apr s synchronisation entre l ordinateur d extr mit et le serveur SafeGuard Enterprise la bo te de dialogue de statut qui peut tre affich e avec l ic ne SafeGuard Enterprise de la barre d tat syst me indique que l ordinateur d extr mit es
130. 4 Actualisation des donn es d inventaire 214 Les ordinateurs d extr mit envoient et mettent g n ralement jour les donn es d inventaire lorsqu elles sont modifi es La commande Demander une actualisation de l inventaire peut tre utilis e pour demander manuellement une actualisation des donn es d inventaire actuelles de l ordinateur Cette commande est disponible pour un ordinateur particulier ou pour tous les ordinateurs d un n ud pouvant inclure des n uds secondaires depuis le menu contextuel et le menu Actions Aide administrateur 27 5 de la barre de menus du SafeGuard Management Center La commande peut galement tre s lectionn e via le menu contextuel des entr es de la liste Si vous s lectionnez cette commande ou cliquez sur l ic ne Demander une actualisation de l inventaire dans la barre d outils les ordinateurs concern s envoient leurs donn es d inventaire actuelles Comme cela est le cas avec d autres zones du SafeGuard Management Center vous pouvez utiliser la commande Actualiser pour actualiser l affichage Vous pouvez s lectionner cette commande dans le menu contextuel pour les ordinateurs individuels ou tous les ordinateurs d un noeud et dans le menu Afficher de la barre de menus Vous pouvez galement utiliser l ic ne double fl che d actualisation dans la barre d outils pour actualiser l affichage Pr sentation Les colonnes individuelles dans la pr sentation proposent les informat
131. A E 640 x 480 mode VGA Couleurs 16 Strat gie du type Param tres g n raux option Image d arri re plan dans la POA basse r solution Image de connexion Taille de fichier maximale pour toutes les images de connexion 100 Ko SafeGuard Enterprise prend en charge deux variantes d images de connexion E 413 x 140 Couleurs aucune restriction Strat gie du type Param tres g n raux option Image de connexion dans la POA E 413 x 140 Couleurs 16 Strat gie du type Param tres g n raux option Image de connexion dans la POA basse r solution Les images doivent tre cr s en premier sous la forme de fichiers fichiers BMP PNG JPG puis enregistr s dans la fen tre de navigation Enregistrement d images 1 Dans la zone de navigation Strat gies cliquez avec le bouton droit de la souris sur Images et s lectionnez Nouveau gt Image 2 Entrez le nom de l image dans le champ Nom de l image 3 Cliquez sur pour s lectionner l image pr alablement cr e 4 Cliquez sur OK La nouvelle image appara t sous la forme d un n ud secondaire de Images dans la zone de navigation de strat gie Si vous s lectionnez l image elle s affiche dans la zone d action L image peut d sormais tre s lectionn e lors de la cr ation de strat gies R p tez la proc dure pour enregistrer d autres images Toutes les images enregistr es s affichent sous la forme de n uds secondaires Remarque Vous pouvez utilise
132. AD 3 Dans la zone d action de droite s lectionnez Synchroniser 4 S lectionnez le r pertoire requis dans la liste DSN du r pertoire et cliquez sur l ic ne de la loupe en haut droite Une repr sentation graphique de la structure Active Directory des unit s organisationnelles OU de votre entreprise s affiche 5 Cochez le domaine synchroniser et cliquez sur Synchroniser au bas de la zone de navigation Remarque Si des l ments ont t d plac s d une sous arborescence vers une autre dans Active Directory les deux sous arborescences doivent tre synchronis es avec la base de donn es SQL La synchronisation d une seule sous arborescence aboutit la suppression d objets au lieu de leur d placement Remarque La synchronisation AD ne synchronise pas le nom avant Windows 2000 NetBIOS du domaine si le contr leur de domaine est configur avec une adresse IP Configurez le contr leur de domaine pour utiliser le nom de serveur NetBIOS ou DNS la place Le client sur lequel la synchronisation AD fonctionne doit soit faire partie du domaine soit pouvoir r soudre le nom DNS vers le contr leur de domaine cible Recherche d utilisateurs d ordinateurs et de groupes dans la base de donn es SafeGuard Enterprise Dans Utilisateurs et ordinateurs vous pouvez rechercher des objets l aide de diff rents filtres Par exemple vous pouvez facilement identifier les doubles qui peuvent avoir t provoqu
133. Center cliquez sur Effacer la cl 4 Saisissez le code PIN du SO qui a t attribu la cl cryptographique et confirmez en cliquant sur OK Toutes les donn es g r es par SafeGuard Enterprise sont supprim es Les certificats restent sur la cl cryptographique Le code PIN de l utilisateur est r initialis 1234 Les cl s cryptographiques effac es sont ainsi automatiquement supprim es de la liste des cl s cryptographiques g n r es Lecture des informations de la cl cryptographique carte puce En tant que responsable de la s curit vous pouvez lire les donn es sur la cl cryptographique l aide du code PIN utilisateur Aide administrateur 20 20 1 20 2 Condition pr alable la cl cryptographique doit tre connect e Le responsable de la s curit doit conna tre le code PIN Ou il doit tre initialis voir Initialisation du code PIN utilisateur la page 162 1 Dans le SafeGuard Management Center cliquez sur Cl s cryptographiques 2 gauche de la zone de navigation s lectionnez la cl cryptographique concern e sous Slots de cartes puce et s lectionnez l onglet Informations d identification amp certificats 3 Cliquez sur l ic ne Obtenir les informations d identification utilisateur et saisissez le code PIN utilisateur de la cl cryptographique Les donn es de la cl cryptographique s affichent SafeGuard Data Exchange SafeGuard Data Exchange est utilis p
134. Dans la zone d action recherchez le client virtuel concern en cliquant sur la loupe Les clients virtuels disponibles apparaissent 4 S lectionnez l entr e requise dans la zone d action et cliquez sur Exporter le client virtuel dans la barre d outils 5 S lectionnez l emplacement de stockage du fichier recoverytoken tok et cliquez sur OK Un message indiquant que l op ration a r ussi appara t 6 Distribuez ce fichier de client virtuel recoverytoken tok aux utilisateurs de SafeGuard Enterprise concern s Conservez ce fichier en lieu s r sur une carte m moire par exemple Dans le cadre d une proc dure Challenge R ponse ce fichier doit se trouver dans le m me dossier que l outil de r cup ration 55 SafeGuard Enterprise 10 5 3 Cr ation et exportation de fichiers de cl s pour la r cup ration des clients virtuels Lorsque plusieurs cl s sont requises pour pouvoir de nouveau acc der des volumes chiffr s lors de la r cup ration d un client virtuel le responsable de la s curit peut les combiner dans un fichier export Ce fichier de cl s est chiffr l aide d un mot de passe al atoire qui est stock dans la base de donn es Ce mot de passe est propre chaque fichier de cl s cr Le fichier de cl s chiffr doit tre transmis l utilisateur et l utilisateur doit l avoir au d marrage d une session Challenge R ponse avec un outil de r cup ration Dans la session Challenge R ponse le
135. E S de fichier 50 Aucune op ration n a t effectu e 101 Erreur g n rale 102 Acc s refus 103 Le fichier existe d j 1201 Impossible d ouvrir l entr e du registre 1202 Impossible de lire l entr e du registre 1203 Impossible d crire l entr e du registre 1204 Impossible de supprimer l entr e du registre 1205 Impossible de cr er l entr e du registre 1206 Acc s impossible un pilote ou un service syst me 1207 Impossible d ajouter un pilote ou un service syst me dans le registre 1208 Impossible de supprimer un pilote ou un service syst me du registre 1209 Une entr e est d j pr sente dans le registre pour un pilote ou un service syst me 1210 Aucun acc s au Service Control Manager 258 Aide administrateur ID de l erreur Affichage 1211 Impossible de trouver une entr e dans le registre pour une session 1212 Une entr e du registre est non valide ou erron e 1301 chec de l acc s un lecteur 1302 Aucune information n est disponible sur un volume 1303 chec de l acc s un volume 1304 Option non valide d finie 1305 Type de syst me de fichiers non valide 1306 Le syst me de fichiers existant sur un volume et le syst me de fichiers d fini diff rent 1307 La taille de cluster existante utilis e par un syst me de fichiers et la taille de cluster d finie diff rent 1308 Taille de sec
136. Il suffit ensuite l utilisateur d informer le responsable support de la ou des cl s requises et de saisir le code de r ponse afin de pouvoir acc der nouveau aux volumes chiffr s La r cup ration est possible l aide d une seule cl ou d un fichier de cl s chiffr en contenant plusieurs La zone Cl s et certificats du SafeGuard Management Center vous permet d effectuer les t ches suivantes E Cr er et exporter des clients virtuels E Cr er et exporter des fichiers de cl s chiffr s contenant plusieurs cl s E Afficher et filtrer des clients virtuels et des fichiers de cl s export s E Supprimer des clients virtuels Cr ation de clients virtuels Les fichiers du client virtuel peuvent tre utilis s par diff rents ordinateurs et pour plusieurs sessions Challenge R ponse 1 Dans le SafeGuard Management Center cliquez sur Cl s et certificats 2 Dans la fen tre de navigation de gauche cliquez sur Clients virtuels T SafeGuard Management Center MSO actif SGNS _Eichier diter Affichage Acc der Actions Outils Aide 2 Je CI IAE ji Cl s et certificats 14 cl s Fitre SHE Certificats ai ee l z l E Fichiers de cl s export s Nom Cr par T Nouveau client virtuel xl Nom Virtual Client 2 Le amer 3 Dans la barre d outils cliquez sur Ajouter un client virtuel Aide administrateur 10 5 2 4 Saisissez un nom
137. Le mot de passe ressemble trop l ancien mot de passe 3758096393 Le mot de passe comporte une s quence clavier de plus de deux caract res 3758096394 Le mot de passe comporte une colonne clavier de plus de deux caract res 3758096395 Le mot de passe n est pas encore valide 3758096396 Un mot de passe a expir 3758096397 La p riode de validit minimum du mot de passe n est pas expir e 3758096398 La p riode de validit maximum du mot de passe est expir e 3758096399 Les informations concernant un changement de mot de passe imminent doivent tre affich es 3758096400 Doit tre chang lors de la premi re connexion 3758096401 Le mot de passe a t trouv dans l historique 3758096402 Erreur lors de la v rification par rapport la liste noire sp cifi e 4026531840 Aucune plate forme trouv e 4026531841 Aucun document 4026531842 Erreur d analyse XML 4026531843 Erreur Document Object Model XML 4026531844 Aucune balise lt DATAROOT gt trouv e 271 SafeGuard Enterprise 272 35 36 ID de l erreur Affichage 4026531845 Balise XML introuvable 4026531846 Erreur nostream 4026531847 Erreur printtree Support technique Vous pouvez obtenir du support technique pour les produits Sophos de l une des mani res suivantes M Visitez le forum SophosTalk l adresse http community sophos com et recherchez d autres utilisateurs rencontrant le m me probl me que
138. Microsoft Visio VST Mod le Microsoft Visio VTX Mod le Microsoft Visio PUB Microsoft Publisher ONE Sections Microsoft OneNote ADP Projet Microsoft Access ADE Extension de projet Microsoft Access Documents publi s PDF Document Adobe Acrobat PS Document Post Script EPS Format EPS Encapsulated Post Script Pages Web HTML Page Web HTML HTM Page Web HTML MHT Page Web archiv e MHTML Page Web archiv e PHP Script PHP HLP Fichier d aide Windows CHM Fichier d aide compil ASP Page Active Server ASPX Page Web ASP NET ASMX Services Web ASP NET 131 SafeGuard Enterprise Type de fichier Extensions Description JHTML Page Web HTML Java JSP Page Java Server Images JPG Image JPEG JPEG Image JPEG GIF Image GIF BMP Image Bitmap DIB Image ind pendante du p riph rique PNG Image PNG TIF Format TIFF Tagged Image Format TIFF Format TIFF Tagged Image Format MDI Fichier Document Imaging Microsoft Office JNG Image JNG MNG Image MNG ICO Ic ne Windows CUR Curseur Windows WMF Image M tafichier Windows EMF Image M tafichier Windows am lior FH9 Graphiques Macromedia Freehand 9 JP2 Image JPEG 2000 PBM Bitmap Portable PGM Bitmap Portable Graymap PPM Bitmap Portable Pixelmap PSD Graphiques Adobe Photoshop CDR Graphiques vectoriels Core DRAW SVG Graphiques vectoriels adaptables Multim dia WAV Fichiers audio WMA Audio Windows Media MP2 Audio MPEG
139. P du contr leur de domaine b Nom distinctif nom DNS par exemple DC nomordinateur3 DC domaine DC pays c Une description de domaine facultatif d Netbios du domaine nom du contr leur de domaine e Le type d objet est affich sous tat de la connexion dans ce cas Domaine f Pour emp cher l h ritage de strat gie vous pouvez s lectionner Bloquer l h ritage de strat gie g Cliquez sur OK Le nouveau domaine est cr Les utilisateurs et ou ordinateurs sont automatiquement attribu s ce domaine au cours de l enregistrement automatique Le r pertoire par d faut Auto registered est cr automatiquement sous le conteneur du domaine Il ne peut tre ni renomm ni supprim Changement de nom d un domaine Les responsables de la s curit dot s des droits requis peuvent renommer un domaine et d finir des propri t s suppl mentaires 1 Dans le SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation de gauche cliquez avec le bouton droit de la souris sur le domaine renommer puis s lectionnez Propri t s 3 Dans Informations communes sous Nom complet changez le nom du domaine et sa description 4 Vous pouvez changer le nom du contr leur de domaine dans NetBios du domaine 5 Vous pouvez galement d finir le mode veil par appel r seau pour le red marrage automatique dans l onglet Param tres de conteneur 6 Pour confirmer cliquez sur OK
140. POA sont s lectionn es de mani re al atoire partir des questions auxquelles l utilisateur a r pondu dans l assistant Local Self Help Le nombre sp cifi dans le champ Nombre minimum de questions r ponses disponibles doit tre sup rieur au nombre sp cifi dans le champ Nombre de questions pr sent es dans la POA Si ce n est pas le cas un message d erreur appara t lorsque vous enregistrez vos changements Les valeurs par d faut sont E Nombre minimum de questions r ponses disponibles 10 E Nombre de questions pr sent es dans la POA 5 3 Enregistrez vos changements dans la base de donn es Le nombre de questions s applique la configuration de Local Self Help d ploy e sur les ordinateurs d extr mit Utilisation du mod le Un sujet de question pr d fini est disponible pour Local Self Help Par d faut ce sujet de question est disponible en allemand et en anglais sous Questions Local Self Help dans la zone de navigation de strat gie Le sujet de question est galement disponible en option dans d autres langues comme le fran ais et l espagnol Vous pouvez importer ces versions de langue dans la zone de navigation de strat gie Remarque lorsque les utilisateurs finaux entrent les r ponses en japonais pour activer Local Self Help sur les ordinateurs d extr mit ils doivent utiliser les caract res Romaji Roman Sinon les r ponses ne correspondent pas lorsque l utilisateur les saisit dans l authen
141. Plus l attribution de la strat gie Ne pas remplacer est loign e de l objet cible plus cette strat gie a d effet sur tous les objets conteneurs de niveau inf rieur Cela signifie qu un conteneur de niveau sup rieur soumis Ne pas remplacer remplace les param tres de strat gie d un conteneur de niveau inf rieur Ainsi par exemple il est possible de d finir une strat gie de domaine dont les param tres ne peuvent pas tre remplac s m me si Bloquer l h ritage de strat gie a t d fini pour une OU Remarque Si une strat gie ayant une priorit inf rieure mais ayant t d sign e Ne pas remplacer est attribu e au m me niveau qu une strat gie d un niveau sup rieur cette strat gie sera prioritaire en d pit de son niveau inf rieur Param tres de strat gie Param tres machine de relecture Vous pouvez trouver ce param tre sous El ments de strat gie gt strat gie du type Param tres g n raux gt Chargement de param tres gt Mode de r cursivit des strat gies Si vous s lectionnez Param tres machine de relecture dans le champ Mode de r cursivit des strat gies d une strat gie du type Param tres g n raux et que la strat gie provient d un ordinateur Param tres machine de relecture n affecte pas les strat gies utilisateur cette strat gie est relue la fin de l analyse Ceci remplace ensuite les param tres de l utilisateur et les param tres de la machine s appliquent Tous les param tr
142. RES G N RAUX Explication Permet de prot ger les p riph riques PC ordinateurs portatifs et assistants num riques personnels ainsi que tous types de supports amovibles Remarque Ce param tre est obligatoire L objectif essentiel consiste chiffrer toutes les donn es stock es sur des p riph riques de stockage locaux ou externes La m thode de fonctionnement transparente permet aux utilisateurs de continuer utiliser leurs applications courantes par exemple Microsoft Office Le chiffrement transparent signifie que toutes les donn es chiffr es dans des r pertoires ou dans des volumes chiffr s sont automatiquement d chiffr es dans la m moire principale d s qu elles sont ouvertes dans un programme Un fichier est automatiquement chiffr de nouveau lorsqu il est enregistr Les options suivantes sont disponibles E Aucun chiffrement E Bas sur volume chiffrement transparent bas sur secteur Garantit que toutes les donn es sont chiffr es y compris les fichiers d initialisation les fichiers d change les fichiers inactifs d hibernation les fichiers temporaires les informations de r pertoire etc sans que l utilisateur doive modifier ses habitudes de travail ou tenir compte de probl mes de s curit Pour plus d informations voir Chiffrement bas sur volume la page 46 E Bas sur fichier chiffrement transparent bas sur fichier Chiffrement Smart Media Garantit que toutes
143. SL et c ble connect s via USB 6 P riph riques d imagerie principalement des p riph riques comme des scanners et des appareils photo num riques 7 P riph riques audio vid os p riph riques comme des microphones t l phones boutons de r glage du volume webcams cam scopes num riques syntoniseurs de t l viseur num rique et appareils photo num riques prenant en charge la vid otransmission en direct 8 Cartes puce p riph riques carte puce 9 P riph riques de s curit de contenu utilis s pour proposer des fonctions de s curit sp cifiques comme l authentification stricte l identification biom trique et la gestion de licences 143 SafeGuard Enterprise 17 5 2 17 6 17 6 1 144 Types de p riph riques de stockage La protection des p riph riques de stockage s applique tous les ports non bloqu s savoir aux p riph riques de stockage sp cifi s quel que soit le port auquel ils sont connect s tant que le port n est pas d fini comme tant bloqu Remarque Le contr le des p riph riques de stockage peut tre d fini pour tout type de port par exemple les ports parall les les ports USB FireWire et PCMCIA La liste suivante r pertorie les types de p riph riques int gr s et pris en charge par SafeGuard Configuration Protection E Supports amovibles ces p riph riques incluent aussi bien des p riph riques de stockage cartes m moire USB et cart
144. SOPHOS simple secure SateGuard Enterprise Aide administrateur Version du produit 5 60 Date du document avril 2011 Table des mati res 1 Le SafeGuard Management Center sise 4 2 Connexion au SafeGuard Management Center 4 3 tapes de travail dans le SafeGuard Management Center 5 4 Cr ation de la structure organisationnelle sn 7 5 Utilisation de plusieurs configurations de base de donn es 17 6 Exportation des certificats d entreprise et du responsable principal de la s curit 21 Ars EE E V LE RUN RS Se Te te nn te 24 8 Responsables de la s curit de SafeGuard Enterprise 29 9 Chiffrement de donn es aenar re ere ter etes teen ten STEE 46 10 Gestion des cl s de SafeGuard Enterprise sn 50 11 Utilisation de strat gies sssrierntetmnn int tene nine aan 57 12 Utilisation des packages de configuration 68 13 Options d acc s administratif sur les ordinateurs d extr mit 69 14 Listes de comptes de service pour la connexion Windows 69 15 Comptes d acc s POA pour connexion POA eee 74 16 Param tres de Strat gi ss ni hate iaa an erarnan Ee eoeta Tenes a ESE EEE ena EaR tn tsaari TEES 80 17 SafeGuard Configuration Protection 115 18 Attribution utilisateur ordinateur s esesessesessesresresesresterestesteresesreseestenesrerestentenrseeneseereeresreresee 145 19 Cl s cryptographiques et cartes puce sise 149 20 SafeGuard Data Exchange sine
145. SafeGuard Enterprise n est pas install Les utilisateurs peuvent partager des donn es en changeant simplement leurs p riph riques Lorsqu ils connectent les p riph riques leurs ordinateurs ils acc dent en toute transparence aux fichiers chiffr s Remarque Cette tude de cas est possible gr ce la fonction de chiffrement de p riph rique de SafeGuard Enterprise dans laquelle l ensemble du p riph rique amovible est chiffr par secteur Utilisation domicile ou personnelle sur des ordinateurs tiers E domicile Bob souhaite utiliser son support amovible chiffr sur son PC personnel sur lequel SafeGuard Enterprise n est pas install Sur son ordinateur personnel Bob d chiffre les fichiers avec SafeGuard Portable En d finissant une phrase de passe de support pour tous les supports amovibles de Bob il ouvre simplement SafeGuard Portable et saisit la phrase Aide administrateur de passe de support Il a ensuite acc s de mani re transparente tous les fichiers chiffr s quelle que soit la cl locale utilis e pour les chiffrer Utilisation personnelle sur des ordinateurs tiers Bob connecte le p riph rique amovible l ordinateur de Joe partenaire externe et saisit la phrase de passe de support pour acc der aux fichiers chiffr s stock s sur le p riph rique Bob peut alors copier les fichiers chiffr s ou non sur l ordinateur de Joe Comportement sur l ordinateur d extr mit Bob c
146. SafeGuard Management Center en tant qu utilisateur complet selon les termes de SafeGuard Enterprise Un utilisateur complet d signe un utilisateur pour lequel un certificat a t g n r apr s la premi re connexion et pour lequel un jeu de cl s a t cr Alors seulement les donn es de cet utilisateur peuvent tre dupliqu es sur d autres ordinateurs Apr s la duplication l utilisateur peut se connecter cet ordinateur lors de l authentification au d marrage 145 SafeGuard Enterprise Si le param tre par d faut s applique le premier utilisateur se connecter l ordinateur apr s l installation de SafeGuard Enterprise est saisi dans l UMA en tant que propri taire de cet ordinateur Cet attribut permet l utilisateur s tant authentifi lors de l authentification au d marrage d autoriser d autres utilisateurs se connecter cet ordinateur voir Importation d autres utilisateurs la page 174 Ils seront galement ajout s l UMA pour cet ordinateur Une liste automatique est g n r e et d termine quel utilisateur est autoris se connecter quel ordinateur Cette liste peut tre modifi e dans le SafeGuard Management Center 18 1 Attribution utilisateur ordinateur dans le SafeGuard Management 146 Center Les utilisateurs peuvent tre affect s des ordinateurs sp cifiques du SafeGuard Management Center Si un utilisateur est affect un ordinateur dans le SafeGuard Management
147. SafeGuardDataBase SafeGuard Vous pouvez galement pr ciser le nombre d v nements conserver dans le tableau EVENT Le nombre par d faut est 100000 Default keep the latest 100000 events change if required SELECT ShrinkCommand exec spShrinkEventTable 100000 Vous pouvez sp cifier si l ex cution de la t che doit tre journalis e dans le journal d v nements NT exec sp_add_job job_name AutoShrinkEventTable enabled 1 notify_level_eventlog 3 Les valeurs suivantes sont disponibles pour le param tre notify_level_eventlog ETES R sultat 3 Journalisation chaque ex cution de la t che 2 Journalisation en cas d chec de la t che 1 Journalisation si la t che est ex cut e avec succ s 227 SafeGuard Enterprise 28 13 3 228 Valeur R sultat 0 Pas de journalisation de l ex cution de la t che dans le journal d v nements NT Vous pouvez pr ciser la fr quence de r p tition de la t che en cas d chec exec sp_add_jobstep E retry_attempts 3 Cet exemple d finit 3 tentatives d ex cution de la t che en cas d chec E G retry_interval 60 Cet exemple d finit un intervalle de 60 minutes t Vous pouvez sp cifier l heure d ex cution de la t che exec sp_add_jobschedule E freq_type 4 Cet exemple d finit une ex cution quotidienne de la t che E freq_interval 1 Cet exemple d finit une ex cution de la t che une fois par
148. Surveillance des utilisateurs mobiles Les utilisateurs mobiles ne sont g n ralement pas connect s en permanence au r seau de l entreprise Par exemple les commerciaux d connectent leur portable pendant une r union D s qu ils se reconnectent au r seau les v nements SafeGuard Enterprise journalis s pendant la p riode hors ligne sont transf r s La fonction de journalisation propose une vue d ensemble pr cise des activit s de l utilisateur pendant la p riode de d connexion de l ordinateur Condition pr alable Les v nements sont g r s par le serveur SafeGuard Enterprise Sur un ordinateur sur lequel seul le SafeGuard Management Center est install vous devez vous assurer que les v nements sont envoy s au serveur SafeGuard Enterprise Vous devez donc installer un package de configuration client sur l ordinateur du SafeGuard Management Center indiquant ce dernier o est plac le serveur SafeGuard Enterprise Ainsi l ordinateur est activ en tant que client sur le serveur et les fonctionnalit s de journalisation Windows ou SafeGuard Enterprise sont activ es Pour plus d informations sur les packages de configuration client consultez le manuel d installation de SafeGuard Enterprise Destinations des v nements journalis s Il y a deux destinations possibles pour les v nements journalis s l Observateur d v nements Windows ou la base de donn es SafeGuard Enterprise Seuls les v nements li s un
149. TF 16 uniquement Si vous ne cr ez pas les fichiers texte dans un ce format ils seront automatiquement convertis lorsqu ils seront enregistr s Les caract res sp ciaux doivent par cons quent tre utilis s avec prudence dans les textes d informations cr s pour la POA Il est possible que certains de ces caract res n apparaissent pas correctement Pour enregistrer des textes d informations 1 Dans la zone de navigation Strat gies cliquez avec le bouton droit de la souris sur Texte d informations et s lectionnez Nouveau gt Texte 2 Entrez le nom du texte afficher dans le champ Nom de l l ment de texte 3 Cliquez sur pour s lectionner le fichier texte pr alablement cr Un message s affiche si le fichier doit tre converti 4 Cliquez sur OK Le nouvel l ment de texte s affiche en tant que n ud secondaire sous Texte d informations dans la zone de navigation de strat gie Si vous s lectionnez un l ment de texte son contenu s affiche dans la fen tre de droite L l ment de texte peut d sormais tre s lectionn lors de la cr ation de strat gies R p tez la proc dure pour enregistrer d autres l ments de texte Tous les l ments de texte enregistr s s affichent en tant que n uds secondaires Remarque 177 SafeGuard Enterprise 21 3 3 21 3 4 178 Vous pouvez utiliser le bouton Modifier le texte pour ajouter du texte au texte existant Une bo te de dialogue de s l
150. a barre d outils du SafeGuard Management Center 5 S lectionnez le certificat concern dans la liste et saisissez le code PIN de la cl cryptographique 6 Cliquez sur OK Le certificat est attribu un l utilisateur Placement d un certificat depuis un fichier sur la cl cryptographique Condition pr alable la cl cryptographique est g n r e Pour ajouter la partie priv e du certificat fichier p12 sur la cl cryptographique partir d une fichier 1 Dans le SafeGuard Management Center cliquez sur Cartes puce 2 Connectez la cl cryptographique l interface USB SafeGuard Enterprise lit la cl cryptographique 3 Cochez la cl cryptographique laquelle vous voulez ajouter la partie priv e du certificat et ouvrez l onglet Informations d identification amp certificats dans la zone de travail du c t droit 4 Cliquez sur l ic ne P12 carte puce de la barre d outils du SafeGuard Management Center S lectionnez le fichier de certificat concern 5 S lectionnez le fichier de certificat concern 6 Entrez le code PIN de la cl cryptographique et le mot de passe du fichier p12 et confirmez en cliquant sur OK La partie priv e du certificat est ajout e la cl cryptographique pr sent vous devez l attribuer un utilisateur voir Attribution de certificats de cl s cryptographiques un utilisateur la page 157 Remarque Vous devez s lectionner cette proc dure
151. act res sp ciaux Respecter la casse Ce param tre ne s applique qu avec Utiliser la liste des codes PIN interdits et Utilisation interdite du nom d utilisateur comme code PIN Exemple 1 vous avez saisi tableau dans la liste des codes PIN interdits Si l option Respecter la casse est d finie sur OUI les variantes suppl mentaires de code PIN telles que TABLEAU TablEAU ne seront pas accept es et la connexion sera refus e Exemple 2 EMaier est saisi comme nom d utilisateur Si l option Respecter la casse est d finie sur OUI et si l option Utilisation interdite du nom d utilisateur comme PIN est d finie sur NON l utilisateur EMaier ne peut utiliser aucune variante de ce nom d utilisateur par exemple emaier ou eMaiER comme mot de passe Interdire la succession de 123 et aze sont des exemples de s quences de touches touches horizontales cons cutives Un maximum de deux caract res adjacents du clavier est autoris Les s quences de touches cons cutives ne concernent que la zone du clavier alphanum rique Aide administrateur Param tre de strat gie Explication Interdire la succession de touches verticales Concerne les touches dispos es cons cutivement en colonne sur le clavier par exemple wqal xsz2 ou 3edc mais pas wse4 xdr5 ou cft6 Un maximum de deux symboles adjacents d une m me colonne clavier est autoris Si vous n autorisez pas les colonne
152. afeGuard Enterprise auquel elle peut se connecter Ensuite elle peut facilement utiliser des outils tels que l Explorateur Windows ou regedit exe pour r soudre la cause du probl me d initialisation Si dans le cas le moins favorable le probl me ne peut pas tre r solu elle peut enregistrer les donn es sur une autre unit reformater le volume et le reconfigurer enti rement Aide administrateur 27 Donn es d inventaire et d tat 27 1 SafeGuard Enterprise lit une quantit consid rable de donn es d inventaire et d tat provenant des ordinateurs d extr mit Ces donn es indiquent l tat g n ral en cours de chaque ordinateur Ces donn es s affichent dans le SafeGuard Management Center dans la zone Utilisateurs et ordinateur dans l onglet Inventaire En tant que responsable de la s curit vous pouvez afficher exporter et imprimer les donn es d inventaire et d tat Par exemple vous pouvez cr er des rapports de conformit pour prouver que des ordinateurs d extr mit ont t chiffr s Les fonctions de tri et de filtrage tendus sont disponibles pour vous aider s lectionner les donn es pertinentes L inventaire propose par exemple les donn es suivantes sur chaque machine E La strat gie appliqu e Le dernier contact du serveur L tat de chiffrement de tous les supports L tat et le type de la POA Les modules SafeGuard Enterprise install s L tat de l veil par appel r seau s cu
153. ange au dessus d une strat gie ayant une priorit inf rieure Remarque Si une strat gie ayant une priorit inf rieure mais ayant t d sign e Ne pas remplacer est attribu e au m me niveau qu une strat gie d un niveau sup rieur cette strat gie sera prioritaire en d pit de son niveau inf rieur Priorit s au sein d un groupe Au sein d un groupe la strat gie ayant la plus haute priorit 1 se range au dessus d une strat gie ayant une priorit inf rieure 65 SafeGuard Enterprise 11 8 11 11 8 12 11 8 12 1 11 8 12 2 66 Indicateurs d tat La d finition d indicateurs d tat permet de changer les r gles par d faut des strat gies E Bloquer l h ritage de strat gie D fini pour les conteneurs pour lesquels vous ne souhaitez pas que des strat gies de niveau sup rieur s appliquent cliquez avec le bouton droit sur l objet dans la fen tre de navigation Propri t s Si vous ne souhaitez pas qu un objet conteneur h rite d une strat gie d un objet plus lev s lectionnez Bloquer l h ritage de strat gie pour l en emp cher Si Bloquer l h ritage de strat gie a t s lectionn pour un objet conteneur il ne sera pas affect par les param tres d une strat gie d un niveau sup rieur exception Ne pas remplacer activ lorsqu une strat gie a t attribu e E Ne pas remplacer D finie au cours de l attribution cette strat gie ne peut pas tre remplac e par une autre
154. appliquer aux utilisateurs et aux machines pour lesquels il existe aussi une attribution de strat gie Ce qui signifie que l activation des strat gies ne peut pas aller au del des limites de conteneur s il n y a pas d attribution directe ou indirecte de la strat gie pour cet objet Une strat gie devient effective lorsqu elle a t activ e pour des groupes d utilisateurs ou des groupes d ordinateurs Les groupes d utilisateurs puis les groupes d ordinateurs sont analys s les utilisateurs authentifi s et les ordinateurs authentifi s sont galement des groupes Les deux r sultats sont reli s par une instruction OR Si ce lien OR donne une valeur positive pour la relation ordinateur utilisateur la strat gie s applique Remarque si plusieurs strat gies sont actives pour un objet les strat gies individuelles sont group es en respectant n anmoins les r gles d crites et fusionn es Ce qui signifie que les param tres r els d un objet peuvent tre compos s de plusieurs strat gies diff rentes Un groupe peut avoir les param tres d activation suivants M Activ Une strat gie a t attribu e Le groupe est affich dans la zone d activation du SafeGuard Management Center E Non activ Une strat gie a t attribu e Le groupe ne se trouve pas dans la zone d activation Si une strat gie est attribu e un conteneur le param tre d activation d un groupe activ d termine si cette strat gie pour ce contene
155. ar aucune cl de groupe n est disponible sur les ordinateurs d extr mit non administr s La s lection d une autre cl sous Cl d finie pour le chiffrement lors de la cr ation d une strat gie de support amovible pour des clients autonomes n a aucun effet Cl d finie pour le chiffrement Ce champ ne devient actif que si vous avez s lectionn l option Cl d finie dans la liste dans le champ Cl utiliser pour le chiffrement Cliquez sur pour afficher la bo te de dialogue Rechercher des cl s Cliquez sur Rechercher maintenant pour rechercher des cl s et en s lectionner une dans la liste qui appara t Dans le cas d une strat gie du type Protection du p riph rique avec la cible Supports amovibles cette cl est utilis e pour chiffrer la cl de chiffrement de support lorsque la fonction de phrase de passe de support est activ e L utilisateur peut d finir une phrase de passe pour un p riph rique d finie sur Oui Pour des strat gies Protection du p riph rique pour des supports amovibles les param tres E Cl utiliser pour le chiffrement 106 Aide administrateur Param tre de strat gie Explication M Cl d finie pour le chiffrement doivent tre sp cifi s s par ment Strat gies pour les ordinateurs d extr mit non administr s prot g s par SafeGuard Enterprise autonome Si la fonction de phrase de passe de support est activ e pour des ordinateurs d extr m
156. ard Enterprise est utilis avec la prise en charge BitLocker To Go activ e et si une strat gie de chiffrement SafeGuard Enterprise existe pour un volume chiffr BitLocker To Go l acc s au volume est refus Si aucune strat gie de chiffrement SafeGuard Enterprise n existe l utilisateur peut acc der au volume Remarque Si les param tres d ex cution automatique pour une cl USB chiffr e par BitLocker To Go sont d finis sur les valeurs par d faut il peut arriver que l acc s ne sera pas refus bien qu une strat gie de chiffrement SafeGuard Enterprise existe Ce param tre ne prend effet que sous Windows Vista Pour plus d informations sur BitLocker To Go voir SafeGuard Enterprise et BitLocker To Go la page 243 Chiffrement bas sur fichier Le chiffrement bas sur fichier garantit que toutes les donn es sont chiffr es part les informations Boot Medium et de r pertoire Avec le chiffrement bas sur fichier m me les supports optiques tels que les CD DVD peuvent tre chiffr s Par ailleurs les donn es peuvent tre chang es avec des ordinateurs externes sur lesquels SafeGuard Enterprise n est pas install si les strat gies le permettent voir SafeGuard Data Exchange la page 165 Remarque Les donn es chiffr es en utilisant le chiffrement bas sur fichier ne peuvent pas tre compress es De m me les donn es compress es ne peuvent pas tre chiffr es en utilisant le chiffrement bas sur fi
157. arismathics Smart Security Interface Estonian ID Card Gemalto Access Client Gemalto Classic Client Gemalto NET Card IT Solution trustWare CSP RSA Authentication Client 2 x RSA Smart Card Middleware 3 x Siemens CardOS API T Systems NetKey 3 0 Unizeto proCertum Informations de licence pour Siemens et Charismatics Sachez que l utilisation des middlewares respectifs pour le syst me d exploitation standard requiert un accord de licence avec Siemens IT Solutions and Services GmbH Charismatics Pour obtenir les licences veuillez vous renseigner aupr s de E Siemens IT Solutions und Services GmbH 114 Aide administrateur 16 11 17 Param tres de strat gie Explication Otto Hahn Ring 6 D 81739 M nchen Allemagne E http www charismathics com cryptoshop shop_content php ou sales charismathics com Services en attente de Ce param tre permet de r soudre les probl mes de certaines cartes puce Notre support fournira les param tres correspondants requis Journalisation Les v nements SafeGuard Enterprise ne sont pas dans l Observateur d v nements Windows ou dans la base de donn es SafeGuard Enterprise Pour indiquer les v nements journaliser et leur destination cr ez une strat gie du type Journalisation et s lectionnez les v nements souhait s en cliquant dessus Vous pouvez s lectionner plusieurs types d v nements de cat gories diff rentes par exe
158. ateur et l utilisateur l utilisateur de passe affichage de Windows l option du mot de passe 191 SafeGuard Enterprise Condition Condition Condition Condition R sultat proc dure C R proc dure C R contr leur de affichage du l utilisateur est g n r e avec g n r e avec domaine mot de passe contraint de connexion de connexion de disponible refus par changer son mot l utilisateur et l utilisateur l utilisateur de passe affichage de Windows l option du mot de passe Non disponible Non disponible 25 3 Lancement de l assistant de r cup ration Pour pouvoir effectuer une proc dure de r cup ration assurez vous de disposer des droits et des autorisations requis 1 Connectez vous au SafeGuard Management Center 2 Cliquez sur Outils gt R cup ration dans la barre de menus L assistant de r cup ration SafeGuard d marre Vous pouvez s lectionner le type de r cup ration que vous souhaitez utiliser 25 4 Types de r cup ration S lectionnez le type de r cup ration que vous souhaitez utiliser Les types de r cup ration suivants sont fournis E Proc dure Challenge R ponse pour clients SafeGuard Enterprise g r s Proc dure Challenge R ponse pour ordinateurs g r s de fa on centralis e par le SafeGuard Management Center Ces ordinateurs sont r pertori s dans la zone Utilisateurs et ordinateurs du SafeGuard Management Center E Challenge R ponse l aide de clients vir
159. ation cliquez avec le bouton droit de la souris sur l ments de strat gie puis s lectionnez Nouveau 4 S lectionnez le type de strat gie Une bo te de dialogue permettant de nommer la nouvelle strat gie s affiche 5 Saisissez un nom et ventuellement une description de la nouvelle strat gie Strat gies de protection des p riph riques Si vous cr ez une strat gie de protection du p riph rique sp cifiez d abord la cible de la protection du p riph rique Les cibles possibles sont les suivantes Stockage de masse volumes d initialisation autres volumes Supports amovibles Lecteurs optiques Mod les de p riph riques de stockage P riph riques de stockage distincts Une strat gie distincte doit tre cr e pour chaque cible Vous pouvez ult rieurement combiner les strat gies individuelles dans un groupe de strat gies nomm Chiffrement par exemple 6 Cliquez sur OK La nouvelle strat gie s affiche dans la fen tre de navigation sous l ments de strat gie Dans la zone d action tous les param tres du type de strat gie s lectionn s affichent et peuvent tre chang s dition de param tres de strat gie Lors de la s lection d une strat gie dans la fen tre de navigation vous pouvez diter les param tres de la strat gie dans la zone d action Remarque Une ic ne rouge en regard d un param tre non configur indique qu une valeur non configur doit tre d finie pour ce
160. ation Utilisateurs et ordinateurs Vous pouvez maintenant ajouter des utilisateurs comptes d acc s POA au groupe de comptes d acc s POA Ajout de comptes aux groupes de comptes d acc s POA 1 Dans la zone de navigation du SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation Utilisateurs et ordinateurs sous POA Groupes POA s lectionnez le groupe POA appropri Dans la zone d action du SafeGuard Management Center sur la droite l onglet Membres s affiche 3 Dans la barre d outils du SafeGuard Management Center cliquez sur l ic ne Ajouter signe vert La bo te de dialogue S lectionner un objet membre s affiche 4 S lectionnez l utilisateur compte d acc s POA que vous souhaitez ajouter au groupe 5 Cliquez sur OK Le compte d acc s POA est ajout au groupe puis affich dans l onglet Membres Remarque Vous pouvez galement ajouter des comptes aux groupes en s lectionnant l utilisateur POA c est dire le compte d acc s POA dans la fen tre de navigation et en ex cutant les tapes d crites ci dessus La seule diff rence est que la zone d action affiche l onglet Membre de apr s la s lection de l utilisateur Cet onglet affiche les groupes auxquels l utilisateur a t attribu Le flux de travail de base reste le m me Suppression de comptes aux groupes de comptes d acc s POA 1 Dans la zone de navigation du SafeGuard Management Center cliq
161. autoris e 30081 Identificateur non valide 30082 Fichier de configuration non valide 30083 Secteur introuvable 30084 Entr e introuvable 30085 Plus de sections 30086 Fin du fichier atteinte 262 Aide administrateur ID de l erreur Affichage 30087 L l ment sp cifi existe d j 30088 Le mot de passe fourni est trop court 30089 Le mot de passe fourni est trop long 30090 Un l ment par exemple un certificat a expir 30091 Le mot de passe n est pas verrouill 30092 Chemin introuvable 30093 Le r pertoire n est pas vide 30094 Aucune donn e suppl mentaire 30095 Le disque est plein 30096 Une op ration a t annul e 30097 Donn es en lecture seule une op ration d criture a chou 12451840 La cl n est pas disponible 12451842 La cl n est pas d finie 12451842 Acc s refus au support non chiffr 12451843 Acc s refus au support non chiffr sauf s il est vide 352321637 Le fichier n est pas chiffr 352321638 La cl n est pas disponible 352321639 La cl correcte n est pas disponible 352321640 Erreur de la somme de contr le dans l en t te du fichier 352321641 Erreur de la fonction CBI 352321642 Nom de fichier non valide 352321643 Erreur de lecture criture du fichier temporaire 352321644 L acc s aux donn es non chiffr es n est pas autoris 35232
162. aux donn es via l initialisation partir d un support externe La proc dure Challenge R ponse est prise en charge pour les ordinateurs natifs SafeGuard Enterprise et les ordinateurs d extr mit chiffr s BitLocker Lors de la proc dure Challenge R ponse le syst me d termine de mani re dynamique quel type d ordinateur est en cours d utilisation Le flux de travail de r cup ration est ajust en cons quence 25 5 1 Actions de r cup ration pour les clients SafeGuard Enterprise g r s 25 5 1 1 25 5 1 2 Le flux de travail de r cup ration d pend du type d ordinateur d extr mit pour lequel une r cup ration est demand e Remarque S il s agit d ordinateurs chiffr s BitLocker la seule action de r cup ration consiste r cup rer la cl utilis e pour chiffrer un volume sp cifique La r cup ration de mots de passe n est pas propos e R cup ration du mot de passe au niveau de l authentification au d marrage L un des sc narios les plus courants est l oubli du mot de passe par l utilisateur Par d faut SafeGuard Enterprise est install avec l authentification au d marrage POA activ e Le mot de passe POA permettant d acc der l ordinateur est identique au mot de passe Windows Si l utilisateur a oubli le mot de passe au niveau de la POA le responsable support SafeGuard Enterprise peut g n rer une r ponse pour Initialiser le client SGN avec une connexion utilisateur mais sans afficher le
163. aximale des fichiers de textes d informations est de 50 Ko SafeGuard Enterprise utilise les textes cod s en Unicode UTF 16 uniquement Si vous ne cr ez pas les fichiers texte dans ce format ils seront automatiquement convertis lorsqu ils seront enregistr s 1 Dans la zone de navigation Strat gies cliquez avec le bouton droit de la souris sur Texte d informations et s lectionnez Nouveau gt Texte 2 Entrez le nom du texte afficher dans le champ Nom de l l ment de texte 3 Cliquez sur pour s lectionner le fichier texte pr alablement cr Un message s affiche si le fichier doit tre converti 4 Cliquez sur OK Le nouvel l ment de texte s affiche en tant que n ud secondaire sous Texte d informations dans la zone de navigation Strat gies Si vous s lectionnez un l ment de texte son contenu 189 SafeGuard Enterprise 25 25 1 190 s affiche dans la fen tre de droite L l ment de texte peut d sormais tre s lectionn lors de la cr ation de strat gies R p tez la proc dure pour enregistrer d autres l ments de texte Tous les l ments de texte enregistr s s affichent en tant que n uds secondaires R cup ration avec Challenge R ponse Pour simplifier le flux de travail et r duire les co ts du support SafeGuard Enterprise fournit une solution de r cup ration challenge r ponse Gr ce au m canisme convivial Challenge R ponse SafeGuard Enterprise aide les utilisateurs
164. bitrairement entre les groupes 17 3 6 3 D finir le contr le des p riph riques 1 Dans l option Tous les p riph riques sp cifiez dans le menu d roulant si Tous les p riph riques sont autoris s restreints ou bloqu s Remarque S lectionnez Autoriser ou Bloquer lorsque vous ne souhaitez pas appliquer un contr le du p riph rique d taill ce moment pr cis Utilisez galement cette option lorsque vous souhaitez remplacer des d finitions d taill es existantes mais que vous souhaitez les restaurer ult rieurement 2 Si vous s lectionnez Autoriser ou Bloquer pour Tous les p riph riques aucune autre action n est n cessaire dans la section Contr le du p riph rique et vous pouvez passer l Etape 6 D finir le contr le du stockage 3 Si vous avez s lectionn Restreindre pour Tous les p riph riques sp cifiez si les enregistreurs de frappe mat riels sont autoris s ou bloqu s Remarque Si le client SafeGuard Configuration Protection suspecte qu un enregistreur de frappe mat riel USB est connect au clavier et que les enregistreurs de frappe sont bloqu s le clavier l est galement Pour activer le clavier conseillez l utilisateur de le connecter directement l ordinateur Remarque Lorsque vous bloquez les enregistreurs de frappe mat riels les enregistreurs de frappe USB et PS 2 sont bloqu s Lorsque le client SafeGuard Configuration Protection vous prot ge contre les enregistreur
165. bres ajout s au groupe Administration 2575 Membres supprim s du groupe Administration 2576 Impossible d ajouter les membres au groupe Administration 2578 Impossible de supprimer les membres du groupe Administration 2580 Groupe d plac d un OU vers un autre Administration 2583 Impossible de passer le groupe d un OU vers un autre Administration 2591 Objets ajout s au groupe Administration 2593 Objets supprim s du groupe Administration 2594 Impossible d ajouter les objets au groupe Administration 2596 Impossible de supprimer les objets du groupe Administration 2603 Cl g n r e Algorithme Administration 2607 Cl attribu e Administration Attribution de cl annul e Administration Impossible de g n rer la cl Administration Impossible d attribuer la cl Administration Impossible de supprimer l attribution de la cl Administration Certificat g n r Administration 2616 Certificat import Administration 2619 Certificat supprim Administration 2621 Certificat attribu l utilisateur Administration 2622 Annulation de l attribution de certificat l utilisateur Aide administrateur Cat gorie ID Description s i Administration 2623 Impossible de cr er le certificat Administration 2624 Impossible d importer le certificat Administration Impossible de supprimer le certificat Administration chec de l extension du certificat Admi
166. c s POA ne sont pas fusionn s Connexion un ordinateur d extr mit l aide d un compte d acc s POA 1 Mettez l ordinateur sous tension La bo te de dialogue de connexion de l authentification au d marrage s affiche 2 Saisissez le Nom d utilisateur et le Mot de passe du compte d acc s POA pr d fini Vous n tes pas connect Windows automatiquement La bo te de dialogue de connexion de Windows s affiche 3 Dans le champ Domaine s lectionnez le domaine lt POA gt 4 Connectez vous Windows l aide de votre compte utilisateur Windows existant 79 SafeGuard Enterprise 15 8 1 Changement du mot de passe local 16 Si le mot de passe d un utilisateur POA a t chang avec F8 le changement n est pas synchronis avec d autres ordinateurs d extr mit L administrateur doit changer de mani re centralis e le mot de passe pour cet utilisateur Param tres de strat gie Les strat gies de SafeGuard Enterprise comportent tous les param tres n cessaires pour mettre en uvre une strat gie de s curit l chelle de l entreprise sur les ordinateurs d extr mit Les strat gies de SafeGuard Enterprise peuvent comporter des param tres pour les domaines suivants types de strat gies Param tres g n raux Param tres de taux de transfert d images d arri re plan etc Authentification Param tres de mode de connexion verrouillage de p riph rique etc PIN D finit la configuration
167. ch sur l onglet Cl s SafeGuard Enterprise g n re automatiquement des cl s de groupe lorsque la base de donn es est synchronis e En bas de l onglet Synchronisation il est indiqu pour quels l ments des cl s sont g n r es lors de la synchronisation Les cl s ne peuvent pas tre supprim es Elles sont conserv es en permanence dans la base de donn es de SafeGuard Enterprise Lorsqu un ordinateur d extr mit est lanc pour la premi re fois SafeGuard Enterprise g n re une cl d ordinateur pour cet ordinateur cl machine d finie Remarque La cl machine d finie est seulement g n r e lorsque le chiffrement bas sur volume est install sur l ordinateur d extr mit Chaque utilisateur obtient toutes ses cl s lors de la connexion partir de son jeu de cl s Le jeu de cl s utilisateur comporte les l ments suivants E Une cl personnelle M Les cl s des groupes auxquels appartient l utilisateur M Les cl s des conteneurs OU globaux des groupes auxquels appartient l utilisateur Les cl s du jeu de cl s de l utilisateur d terminent les donn es auxquelles l utilisateur peut acc der L utilisateur ne peut acc der qu aux donn es pour lesquelles il poss de une cl sp cifique Remarque Pour viter que trop de cl s de groupes non utilis es apparaissent dans le jeu de cl s de l utilisateur vous pouvez sp cifier les cl s cacher Pour plus d informations voir Masquage des cl
168. che s par ment Pour afficher le r sultat cliquez sur l onglet R sultat M Un onglet distinct s affiche pour chaque type de strat gie Les param tres obtenus de la combinaison des strat gies individuelles dans un groupe s affichent Aide administrateur 11 4 11 5 M Pour les strat gies de protection du p riph rique un onglet s affiche pour chaque cible de strat gie volumes d initialisation lecteur X etc Sauvegarde de strat gies et de groupes de strat gies Vous pouvez cr er des sauvegardes de strat gies et de groupes de strat gies dans des fichiers XML Si n cessaire les strat gies groupes de strat gies correspondants peuvent ensuite tre restaur s partir de ces fichiers XML 1 Dans la fen tre de navigation s lectionnez la strat gie le groupe de strat gies sous l ments de strat gie ou Groupes de strat gies 2 Cliquez avec le bouton droit de la souris pour afficher le menu contextuel et s lectionnez Sauvegarder la strat gie Remarque La commande Sauvegarder la strat gie est galement accessible dans le menu Actions 3 Dans la bo te de dialogue Enregistrer sous entrez le nom du fichier XML puis s lectionnez un emplacement de stockage Cliquez sur Enregistrer La sauvegarde de la strat gie du groupe de strat gies est stock e sous forme de fichier XML dans le r pertoire sp cifi Restauration de strat gies et de groupes de strat gies Pour restaurer une strat gie
169. ches p riodiques la page 236 Dans le Planificateur de t ches vous pouvez importer exporter et modifier des scripts Pour plus d informations voir Utilisation de scripts dans le Planificateur de t ches la page 234 6 S lectionnez le script que vous voulez ex cuter avec la t che et cliquez sur OK Si le script s lectionn est vide le bouton OK dans la bo te de dialogue reste d sactiv e et un avertissement appara t Aide administrateur 29 2 7 Dans le champ Heure de d but sp cifiez quand la t che doit tre ex cut e sur le serveur s lectionn e L heure de d but affich e est rendue l aide de l heure locale de l ordinateur sur lequel fonctionne le SafeGuard Management Center En interne l heure de d but est stock e en temps universel coordonn UTC Coordinated Universal Time Ceci permet l ex cution de t ches au m me moment m me si les serveurs sont dans diff rents fuseaux horaires Tous les serveurs utilisent l heure courante du serveur de base de donn es pour d terminer quand d marrer les t ches Pour permettre une meilleure surveillance des t ches l heure de r f rence de la base de donn es appara t dans la bo te de dialogue Planificateur de t ches 8 Sous P riodicit sp cifiez quelle fr quence la t che doit tre ex cut e sur le serveur s lectionn M Pour ex cuter la t che une fois s lectionnez Une fois et sp cifiez la date requise E Pour ex cuter la t
170. chier Remarque Les volumes d initialisation ne sont jamais chiffr s d apr s la m thode bas e sur fichier Ils sont automatiquement exclus du chiffrement bas sur fichier m me si une r gle correspondante est d finie Pour appliquer le chiffrement bas sur fichier aux ordinateurs d extr mit cr ez une strat gie du type Protection du p riph rique et d finissez le Mode de chiffrement du support sur Bas sur fichier Pour plus d informations voir Protection du p riph rique la page 103 Aide administrateur 9 2 1 9 2 2 Comportement par d faut lors de l enregistrement des fichiers Etant donn que les applications se comportent diff remment lors de l enregistrement des fichiers SafeGuard Enterprise propose deux fa ons de g rer des fichiers chiffr s qui ont t modifi s Si un fichier est chiffr avec une cl diff rente de celle par d faut du volume et si vous modifiez le fichier et l enregistrez vous pouvez vous attendre ce que la cl de chiffrement d origine soit pr serv e puisque vous modifiez un fichier et n en cr ez pas de nouveau Mais de nombreuses applications enregistrent des fichiers en effectuant une combinaison d op rations d enregistrement de suppression et de changement de nom par exemple Microsoft Office Si elles font a le param tre SafeGuard Enterprise par d faut est d utiliser la cl par d faut pour cette t che de chiffrement et donc de changer la cl utilis e po
171. chier de configuration de base de donn es est enregistr l emplacement de stockage sp cifi Importation d une configuration partir d un fichier Pour utiliser ou modifier une configuration de base de donn es vous pouvez importer une configuration cr e pr c demment dans le SafeGuard Management Center Pour ce faire vous pouvez proc der de deux fa ons Ko viale SafeGuard Management Center Multi Tenancy Ko en cliquant deux fois sur le fichier de configuration Single et Multi Tenancy Importation d une configuration avec le SafeGuard Management Center 1 D marrez le SafeGuard Management Center La bo te de dialogue S lection d une configuration s affiche 2 Cliquez sur Importer recherchez le fichier de configuration souhait puis cliquez sur Ouvrir 3 Entrez le mot de passe du fichier de configuration d fini lors de l exportation puis cliquez sur OK La configuration s lectionn e s affiche 4 Pour activer la configuration cliquez sur OK 5 Pour vous authentifier dans le SafeGuard Management Center vous tes invit s lectionner le nom du responsable de la s curit de cette configuration et saisir son mot de passe de magasin de certificats Cliquez sur OK Le SafeGuard Management Center est ouvert et reli la configuration de base de donn es import e 19 SafeGuard Enterprise 20 5 6 9 7 Importation d une configuration en cliquant deux fois sur le
172. chiffr s Les utilisateurs saisissent seulement la phrase de passe de support et peuvent acc der tous les fichiers chiffr s Cette m thode simple mais fiable permet de chiffrer des donn es sur tous les supports amovibles Cette configuration vise r duire au maximum l interaction de l utilisateur tout en chiffrant chaque fichier d un support amovible et en permettant aux utilisateurs d acc der hors ligne aux fichiers chiffr s L utilisateur n est pas autoris d chiffrer des fichiers de supports amovibles Remarque Dans cette configuration les utilisateurs ne sont pas autoris s cr er des cl s locales car elles sont inutiles dans ce cas de figure Ceci doit tre sp cifi dans une strat gie du type Protection du p riph rique avec P riph riques de stockage locaux comme Cible de protection de p riph rique Param tres g n raux gt L utilisateur est autoris cr er une cl locale gt Non E Copier portable SG vers support amovible Num ro SafeGuard Portable n est pas n cessaire tant que les donn es de supports amovibles sont partag es dans un groupe de travail SafeGuard Portable permet galement d autoriser le d chiffrement de fichiers sur des ordinateurs sur lesquels SafeGuard Enterprise n est pas install Au bureau l utilisateur acc de de mani re transparente aux fichiers chiffr s d un support amovible son domicile il utilise SafeGuard Portable pour ouvrir des fichiers chiffr s L utili
173. compress e Cabinet FA Fichiers d installation compress s par exemple EX DL _ Images CD DVD ISO Image disque ISO 135 SafeGuard Enterprise 136 Type de fichier Extensions Description BIN Image disque BIN CIF Image disque EasyCD Creator ccp Image disque CloneCD IMG Image disque CloneCD MDF Image disque Alcohol 120 DAA Image disque PowerISO C2D Image disque WinOnCD Bases de donn es MDB Base de donn es Microsoft Access ACCDB Base de donn es Microsoft Access ACCDT Mod le de base de donn es Microsoft Access MDA Compl ment Microsoft Access MDW Groupe de travail Microsoft Access MDE Base de donn es compil e Microsoft Access MYD Base de donn es MySQL MyISAM MYI Index de base de donn es MySQL MyISAM FRM Dictionnaire g n rique MySQL MyISAM DBF Base de donn es dBase DBT Base de donn es Microsoft FoxPro GDB Base de donn es Borland InterBase PX Base de donn es Paradox Microsoft Outlook PST Dossiers personnels Outlook DBX Dossier de messagerie Outlook Express Chiffrement PGP PGP Chiffrement PGP Pretty Good Privacy ASC Chiffrement s curis PGP Pretty Good Privacy CTX Cryptogramme PGP Pretty Good Privacy Conception Assist e DWG Dessin AutoCAD par Ordinateur CAO DXF change de donn es AutoCAD Aide administrateur Type de fichier Extensions Description ASM Assemblage Pro ENGINEER PRT Mod le Pro ENGINEER
174. connexion avec une cl USB comme m canisme de secours ou g n re un message d erreur Remarque Si vous s lectionnez Carte m moire USB comme mode de connexion cette option n est pas propos e Si un TPM est d tect sur l ordinateur d extr mit le type de profil de validation de plate forme TPM utiliser peut tre configur Le profil de validation de plate forme TPM sp cifie les mesures utilis es pour prot ger les cl s de chiffrement pour BitLocker Un profil de validation de plate forme consiste en un jeu d indices PCR Platform Configuration Register Microsoft recommande l utilisation du profil de validation de plate forme TPM par d faut sous Windows Vista qui prot ge les l ments suivants m Cl de chiffrement contre tout changement du CRTM Core Root of Trust of Measurement BIOS et des extensions de plate forme PCR 0 Code ROM d option PCR 2 Code MBR Master Boot Record PCR 4 Secteur d initialisation NTFS PCR 8 Code d initialisation NTFS PCR 9 Gestionnaire d initialisation PCR 10 Contr le d acc s DE BitLocker PCR 11 Remarque Cette option n est disponible que si vous s lectionnez TPM comme mode de connexion Cette option n est pas propos e si Carte m moire USB est le mode de connexion s lectionn 89 SafeGuard Enterprise 90 Param tre de strat gie Explication Pour plus d informations sur le profil de validation TPM suivez le lien ci
175. consign s Authentification Administration Syst me Chiffrement Client Communication Contr le d acc s Sc narios d application La fonction de journalisation de SafeGuard Enterprise est une solution conviviale et compl te d enregistrement et d analyse d v nements Les exemples suivants illustrent des sc narios d application types des Rapports de SafeGuard Enterprise Aide administrateur 28 1 1 28 1 2 28 2 28 3 28 3 1 Contr le centralis des postes de travail d un r seau Le responsable de la s curit souhaite tre r guli rement inform des v nements critiques acc s non autoris aux donn es nombre d checs de tentatives de connexion sur une p riode sp cifi e par exemple Gr ce une strat gie de journalisation le responsable de la s curit peut configurer la journalisation dans un fichier journal local de processus afin de journaliser tous les v nements li s la s curit survenus sur les ordinateurs d extr mit Ce fichier journal est transf r dans la base de donn es SafeGuard Enterprise via SafeGuard Enterprise Server une fois atteint un certain nombre d v nements Le responsable de la s curit peut r cup rer afficher et analyser les v nements dans le Visualiseur d v nements du SafeGuard Management Center Les processus ex cut s sur diff rents ordinateurs d extr mit peuvent ainsi tre audit s sans intervention du personnel sur la journalisation
176. contr le du fichier de SafeGuard Configuration Protection comprend les l ments suivants M Contr le du type de fichier possibilit de contr ler le transfert de fichiers en fonction de leur type Le contr le du fichier s applique aux p riph riques de stockage amovibles aux disques durs externes et aux CD DVD Contr le de fichiers Param tres Cette section inclut les zones suivantes 1 Type de stockage dans cette zone vous pouvez Appliquer le contr le du type de fichier aux types de stockage ou Exclure des types de supports de stockage du contr le du type de fichier Les types de supports de stockage pouvant tre s lectionn s sont int gr s SafeGuard Configuration Protection et incluent les types suivants Lecture de supports amovibles critures sur supports amovibles Lecture de disques durs externes critures sur disques durs externes Lecture de CD DVD 2 Si vous s lectionnez Appliquer ou Exclure pour au moins l un des types de supports de stockage l autre partie de la section Types de fichiers est activ e Vous pouvez d finir les autorisations suivantes pour chaque type de fichier Autoriser Lire seulement crire seulement Bloquer 129 SafeGuard Enterprise 130 Les autorisations des types de fichiers s appliquent tous les types de supports de stockage auxquels vous avez appliqu le contr le du fichier dans la section Types de supports de stockage Le tableau ci dessous r per
177. cune et depuis la liste s lectionnez le r le requis Si un responsable cr e un r le sans poss der de droit de modification de l authentification suppl mentaire les param tres relatifs l authentification suppl mentaire seront pr renseign s en fonction de l authentification suppl mentaire d finie pour les r les du responsable Vous pouvez s lectionner une authentification suppl mentaire si celle ci a t d finie pour plusieurs r les du responsable 6 Cliquez sur OK Le nouveau r le est affich sous R les personnalis s dans la fen tre de navigation Lorsque vous cliquez sur le r le les actions autoris es sont affich es dans la zone d action de droite Attribution d un r le un responsable de la s curit Condition pr alable pour attribuer un r le vous devez poss der le droit d affichage et de modification des responsables de la s curit 1 S lectionnez le responsable appropri dans la fen tre de navigation Les propri t s s affichent dans la zone d action de droite 2 Attribuez les r les n cessaires en s lectionnant les cases correspondantes en regard des r les disponibles Les r les pr d finis s affichent en gras 3 Cliquez sur le symbole double fl che d actualisation dans la barre d outils Le r le est attribu au responsable de la s curit Aide administrateur 8 4 8 4 1 8 4 2 8 4 3 8 4 4 8 4 5 Affichage des propri t s du responsable et du r
178. cup ration Dans Type de r cup ration s lectionnez Client virtuel 3 Saisissez le nom du client virtuel que l utilisateur vous a indiqu Pour ce faire vous pouvez proc der de plusieurs fa ons M Saisissez directement le nom unique M S lectionnez un nom en cliquant sur dans la section Client virtuel de la bo te de dialogue Type de r cup ration Cliquez ensuite sur Rechercher maintenant La liste des clients virtuels s affiche S lectionnez le client virtuel requis puis cliquez sur OK Le nom du client virtuel s affiche alors sur la page Type de r cup ration sous Client virtuel 4 Cliquez sur Suivant pour confirmer le nom du fichier du client virtuel Ensuite s lectionnez l action de r cup ration requise Aide administrateur 25 7 7 25 7 8 S lection de la cl requise cl unique Condition pr alable S lectionnez au pr alable le client virtuel requis dans l assistant de r cup ration du SafeGuard Management Center et l action de r cup ration Cl requise 1 Dans l assistant de r cup ration sur la page Client virtuel s lectionne une des options suivantes E Pour les ordinateurs administr s s lectionnez S lectionner la cl de r cup ration partir de la base de donn es client SafeGuard Enterprise administr Cliquez sur Dans Rechercher des cl s vous pouvez afficher les cl s en fonction de leur ID ou de leur nom symbolique Cliquez sur Rechercher maintenant
179. curit lors de l importation Si l importation s effectue partir d un fichier de cl s p12 le mot de passe du certificat doit tre connu Si un conteneur de certificats PKCS 12 est s lectionn tous les certificats sont charg s dans la liste de certificats attribuables L attribution du certificat s effectue apr s l importation en le s lectionnant dans la liste d roulante R les Des r les pr d finis ou personnalis s peuvent tre attribu s au responsable de la s curit Les droits associ s chaque r le s affichent sous Action autoris e dans la zone d action en cliquant sur le r le respectif ou en cliquant avec le bouton droit de la souris sur le responsable de la s curit et en s lectionnant Propri t s Actions Il est possible d attribuer plusieurs r les un utilisateur 4 Pour confirmer cliquez sur OK Le nouveau responsable de la s curit appara t dans la fen tre de navigation sous le n ud Responsables de la s curit respectif Leurs propri t s peuvent tre affich es en s lectionnant le responsable de la s curit concern dans la fen tre de navigation Le responsable de la s curit 41 SafeGuard Enterprise 8 10 8 11 8 11 1 42 peut se connecter au SafeGuard Management Center avec le nom affich Vous devez ensuite attribuer les objets domaines de r pertoire au responsable de la s curit afin que celui ci puisse ex cuter ses t ches Attribution d objets
180. d extr mit SafeGuard Enterprise Les responsables de la s curit peuvent examiner la liste des listes blanches appliqu es dans la s rie de strat gies obtenue onglet RSOP dans Utilisateurs et ordinateurs Remarque L option Ne pas remplacer n affecte pas les listes blanches Vous pouvez utiliser cette option lorsque vous affectez des strat gies pour emp cher qu elles soient remplac es Dans tous les cas les listes blanches sont fusionn es Cette section d crit comment E cr er une liste blanche M ajouter des mod les approuv s ou des p riph riques distincts une liste blanche partir de la liste de p riph riques dont l utilisation a t d tect e dans votre organisation par SafeGuard PortAuditor ou manuellement Cr ation de listes blanches Pour enregistrer une liste blanche Aide administrateur Dans la zone de navigation Strat gies s lectionnez Liste blanche Dans le menu contextuel Liste blanche cliquez sur Nouveau gt Liste blanche Dans le champ Nom de la liste blanche entrez le nom de la liste blanche A N e S lection du type de liste blanche Des listes blanches peuvent tre cr es pour Mod les de p riph riques P riph riques distincts Mod les de p riph riques de stockage P riph riques de stockage distincts R seaux WLAN Les listes blanches individuelles peuvent tre s lectionn es lors de la d finition des param tres de strat gie 5 Sp cifiez
181. d la prochaine ex cution de la t che aura lieu date et heure S il n existe plus d heures d ex cution de cette t che cette colonne affiche Aucune 231 SafeGuard Enterprise Colonne Description Heure de la derni re ex cution Affiche quand la derni re ex cution de la t che aura lieu date et heure Si elle n a pas encore t ex cut e cette colonne affiche Aucune R sultat de la derni re ex cution Affiche le r sultat de la derni re t che ex cut e E Succ s Le script de la t che a t ex cut avec succ s E chec L ex cution de la t che a chou Un num ro d erreur appara t s il est disponible E En cours d ex cution Le script est en cours d ex cution E Droits insuffisants La t che a chou cause de droits insuffisants pour l ex cution de scripts E Abandonn L ex cution de la t che a t abandonn e car la dur e d ex cution a d pass 24 heures E Contr le perdu Le contr le de l ex cution du script de la t che a t perdu par exemple parce que le service du planificateur SGN a t arr t E Le script est corrompu Le script ex cuter est corrompu M Le script entre temps t supprim Alors que la t che tait plac e dans la file d attente pour ex cution le script correspondant a t supprim de la base de donn es SafeGuard Enterprise E Erreurs runtime Une erreur runtime a t d tect e lors du traitement
182. ddleware est install sur l ordinateur concern et la cl cryptographique a t initialis e Le package de configuration du client SafeGuard Enterprise doit galement tre install sur l ordinateur PC sur lequel le SafeGuard Management Center est ex cut 1 Dans le SafeGuard Management Center cliquez sur Strat gies 2 Cr ez une nouvelle strat gie du type Param tres de machine sp cifiques ou s lectionnez une strat gie existante de ce type 3 Dans la zone de travail c t droit s lectionnez le middleware appropri sous Param tres de support de carte puce gt Nom du module Enregistrez les param tres 4 Attribuez la strat gie pr sent SafeGuard Enterprise peut communiquer avec la cl cryptographique et l administrer La cl cryptographique peut maintenant tre g n r e G n ration d une cl cryptographique Lorsqu une cl cryptographique est g n r e dans SafeGuard Enterprise les donn es qui sont utilis es pour l authentification sont crites sur cette cl cryptographique Ces donn es sont constitu es d informations d identification et de certificats Dans SafeGuard Enterprise des cl s cryptographiques peuvent tre g n r es pour les r les d utilisateurs suivants M Cl s cryptographiques pour les utilisateurs classiques E Cl s cryptographiques pour les responsables de la s curit SO L utilisateur et les responsables de la s curit SO peuvent acc der la cl cry
183. de SafeGuard Enterprise de se connecter ou de supprimer de nouveaux volumes ou disques durs en d pit du chiffrement bas sur secteur La zone de stockage des cl s KSA d un volume contient toutes les informations n cessaires c est dire E La cl g n r e de mani re al atoire DEK E Un ID de l algorithme de chiffrement utilis pour chiffrer le volume E Laliste des GUID utilis s pour les KEK Key Encryption Keys pouvant chiffrer et d chiffrer la DEK 211 SafeGuard Enterprise 26 7 1 212 E Le volume lui m me contient sa taille Un volume chiffr avec SafeGuard Enterprise est accessible partir de tous les ordinateurs prot g s par SafeGuard Enterprise pourvu que l utilisateur ou l ordinateur poss de une KEK de la KSA du volume dans son jeu de cl s Les utilisateurs ou les ordinateurs doivent pouvoir d chiffrer la DEK chiffr par le KEK Un grand nombre d utilisateurs et d ordinateurs peuvent acc der un volume ayant t chiffr avec un KEK distribuable tel qu un O un groupe ou une cl de domaine car de nombreux utilisateurs ordinateurs d un domaine ont cette cl dans leurs jeux de cl s Toutefois un volume qui n est chiffr qu avec la cl d initialisation individuelle Boot_nomdelamachine de l ordinateur prot g par SafeGuard Enterprise n est accessible que par cet ordinateur particulier Si un volume ne s initialise pas sur son ordinateur d origine il peut tre asser
184. de cl s utilisateur Toutes les cl s du jeu de cl s d un utilisateur sont affich es et celui ci peut s lectionner l une d entre elles Remarque Cette option doit tre s lectionn e si vous d finissez une strat gie de chiffrement bas sur fichier pour un ordinateur d extr mit non administr prot g par SafeGuard Enterprise autonome E Toute cl du jeu de cl s utilisateur sauf la cl utilisateur Toutes les cl s sauf celles du jeu de cl s d un utilisateur sont affich es et celui ci peut s lectionner l une d entre elles E Toute cl de groupe du jeu de cl s utilisateur Toutes les cl s de groupe du jeu de cl s d un utilisateur sont affich es et celui ci peut s lectionner l une d entre elles E Cl machine d finie La cl de la machine est utilis e l utilisateur ne peut PAS s lectionner de cl Remarque Cette option doit tre s lectionn e si vous d finissez une strat gie de chiffrement bas sur volume pour un ordinateur d extr mit non administr prot g par SafeGuard Enterprise mode autonome Si vous s lectionnez n anmoins Toute cl du jeu de cl s utilisateur et si l utilisateur s lectionne une cl cr e localement pour le chiffrement bas sur volume l acc s ce volume sera refus E Toute cl du jeu de cl s utilisateur sauf les cl s cr es localement 105 SafeGuard Enterprise Param tre de strat gie Explication Toutes les cl s sauf les cl
185. de d monstration individuelle veuillez contacter votre interlocuteur commercial Ce type de d monstration de licence est galement limit dans le temps La licence est galement limit e au nombre de licences par module accord par votre partenaire commercial Lorsque vous d marrez le SafeGuard Management Center un message d avertissement indique que vous utilisez des licences de d monstration Si le nombre de licences disponibles sp cifi dans la licence de d monstration est d pass ou si la dur e limite est atteinte un message d erreur s affiche voir Licence d pass e la page 27 7 4 Aper u du statut de la licence Pour afficher un aper u du statut de la licence 1 Dans la zone de navigation du SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation gauche cliquez sur le n ud racine le domaine l unit organisationnelle l objet conteneur ou le groupe de travail 3 Dans la zone d action acc dez l onglet Licences droite Le statut de la licence appara t 25 SafeGuard Enterprise 26 L cran est divis en trois zones La zone sup rieure indique le nom du client pour lequel la licence a t g n r e ainsi que la date de g n ration La zone centrale propose des d tails sur la licence Les colonnes individuelles contiennent les informations suivantes Colonne Explication tat ic ne Une ic ne indique le statut de la licence
186. de passe sur l ordinateur cible 12 Cliquez sur Suivant 13 Un code de r ponse est g n r Lisez le l utilisateur Une aide orthographique est fournie Vous pouvez galement copier le code de r ponse dans le Presse papiers L utilisateur peut saisir le code de r ponse sur l ordinateur d extr mit et ex cuter l action autoris e R ponse pour les clients SafeGuard Enterprise chiffr s BitLocker S il s agit d ordinateurs chiffr s BitLocker un volume qui n est plus accessible peut tre r cup r Pour g n rer une r ponse lors de la proc dure Challenge R ponse pour un client SafeGuard Enterprise les noms de l ordinateur d extr mit et du domaine sont requis Remarque Ce nom doit toujours correspondre au nom unique de l ordinateur 1 Dans la fen tre Type de r cup ration s lectionnez Client SafeGuard Enterprise 2 Dans la liste s lectionnez le domaine requis 197 SafeGuard Enterprise 25 7 25 7 1 198 3 Saisissez le nom de l ordinateur requis Pour ce faire vous pouvez proc der de plusieurs fa ons E S lectionnez un nom en cliquant sur dans la section Informations ordinateur de la bo te de dialogue Type de r cup ration Cliquez alors sur Rechercher maintenant La liste des ordinateurs s affiche S lectionnez l ordinateur requis puis cliquez sur OK Le nom de l ordinateur s affiche dans la fen tre Type de r cup ration sous Domaine M Saisissez le nom abr g de l
187. de r pertoire un responsable de la s curit Afin que le responsable de la s curit puisse ex cuter ses t ches il doit poss der les droits d acc s aux objets de r pertoire L acc s peut tre autoris aux n uds de domaine et de groupe de travail ainsi qu au n ud Autoregistered situ sous le r pertoire racine Condition pr alable si vous voulez accorder refuser au responsable de la s curit le droit d acc der aux objets de r pertoire et de les g rer vous devez poss der les droits utilisateurs et ordinateurs d affichage des droits d acc s des responsables de la s curit et d autoriser de refuser l acc s au r pertoire 1 Dans le SafeGuard Management Center s lectionnez Utilisateurs et ordinateurs 2 Dans la fen tre de navigation de gauche s lectionnez les objets de r pertoire requis 3 Dans la zone d action de droite cliquez sur l onglet Acc s 4 Pour attribuer les droits pour les objets s lectionn s faites glisser le responsable requis depuis l extr mit droite dans le tableau Acc s Pour annuler l attribution faites glisser le responsable de la s curit dans le tableau Responsables 5 Pour enregistrer les modifications apport es la base de donn es cliquez sur l ic ne Enregistrer de la barre d outils Les objets s lectionn s sont disponibles pour le responsable de la s curit s lectionn Promotion des responsables de la s curit Proc dez comme suit E Pr
188. de renouvellement du certificat Administration Modification du certificat du responsable Administration Impossible de modifier le certificat du responsable Administration Cr ation de groupes de travail Administration Cr ation de groupes de travail impossible Administration Suppression de groupes de travail Administration Suppression de groupes de travail impossible Administration Cr ation d utilisateurs Administration Cr ation d utilisateurs impossible Administration Cr ation de machines Aide administrateur Cat gorie ID Description s i Administration 2699 Cr ation de machines impossible Administration 2700 Violation de la licence Administration Cr ation du fichier de cl s Administration Suppression de la cl du fichier de cl s Administration Le responsable de la s curit a d sactiv l authentification au d marrage dans la strat gie Administration Sujet de la question LSH cr Administration 2705 Sujet de la question LSH modifi Administration 2706 Sujet de la question LSH supprim Administration 2707 Question modifi e Administration 2810 Compte d acc s l authentification au d marrage 1 cr Administration Compte d acc s l authentification au d marrage 1 modifi Administration Compte d acc s l authentification au d marrage 1 supprim Administration chec de la cr ation du compte d acc s l a
189. dessous E Mod les cette option repr sente le mod le d un type de p riph rique sp cifique toutes les imprimantes HP ou toutes les cartes m moire USB M Systems par exemple E P riph riques distincts cette option fait r f rence une liste de p riph riques distincts chacun disposant d un num ro de s rie unique indiquant qu il s agit d un p riph rique sp cifique Par exemple le PDA du directeur g n ral peut tre autoris et tous les autres PDA bloqu s Protection contre les enregistreurs de frappe mat riels Les enregistreurs de frappe mat riels sont des p riph riques pouvant tre plac s par une entit hostile entre un clavier et son ordinateur h te afin de collecter et d enregistrer une saisie au clavier et de d rober des informations critiques notamment l identit et le mot de passe Gr ce SafeGuard Configuration Protection vous pouvez prot ger vos utilisateurs contre cette menace SafeGuard Configuration Protection peut d tecter des enregistreurs de frappe mat riels connect s un port USB ou PS 2 et votre strat gie peut sp cifier le blocage ou non des enregistreurs de frappe lorsqu ils sont d tect s Aide administrateur 17 2 4 17 2 5 17 2 6 17 2 7 17 3 Contr le du stockage Le contr le du stockage propose un niveau de d tails suppl mentaire dans lequel vous sp cifiez les exigences de s curit de votre organisation Ceci peut s appliquer tous les p riph riqu
190. dessous http msdn2 microsoft com en us library aa376469 aspx CHECS DE CONNEXION Nbre maximum d checs de connexion D termine le nombre de tentatives de connexion d un utilisateur avec un nom d utilisateur ou un mot de passe non valide Par exemple apr s trois tentatives successives de saisie d un nom d utilisateur ou d un mot de passe incorrect une quatri me tentative d clenche le param tre R action aux checs de connexion Messages d chec de connexion dans l authentification au d marrage POA D finit le niveau de d tail des messages d chec de connexion E Standard affiche une br ve description m D taill affiche des informations plus d taill es R action aux checs de connexion Verrouiller la machine D termine si l ordinateur est verrouill apr s l chec de plusieurs tentatives de connexion Le verrouillage de l ordinateur peut tre lev par un administrateur qui doit r initialiser l ordinateur et se connecter Tenez galement compte du verrouillage utilisateur Windows dans ce contexte OPTIONS DE CARTE PUCE Action si l tat de connexion la carte puce est perdu D finit le comportement apr s suppression de la cl cryptographique de l ordinateur Les actions possibles sont les suivantes E Verrouiller l ordinateur Em Pr senter la bo te de dialogue PIN E Aucune action Autoriser le d blocage de la carte puce D termine s
191. disponibles ou si la limite de tol rance est d pass des messages d avertissement erreur correspondants s affichent au d marrage du SafeGuard Management Center voir Licence d pass e la page 27 Dans la zone Utilisateurs et ordinateurs le SafeGuard Management Center propose une pr sentation de l tat de la licence du syst me SafeGuard Enterprise install L affichage de l tat de la licence est disponible dans l onglet Licences pour le n ud racine les domaines les OU les objets conteneurs et les groupes de travail C est l que les responsables de la s curit peuvent trouver des informations d taill es sur l tat de la licence S ils ont les droits n cessaires ils peuvent importer des licences dans la base de donn es SafeGuard Enterprise Fichier de licence Le fichier de licence que vous recevez pour tre import dans la base de donn es SafeGuard Enterprise est un fichier XML avec une signature Le fichier de licence inclut les informations suivantes Nom de la soci t Informations suppl mentaires d partement filiale par exemple Date de g n ration Versions de SafeGuard Enterprise pour lesquelles la licence est valide Nombre de licences par module Informations sur la licence de la cl cryptographique Date d expiration de la licence Type de licence d monstration ou compl te Signature avec certificat de signature de licence Aide administrateur 7 2 7 3 7 3 1 7
192. disques durs compatibles Opal la cl de la machine doit tre d finie pour au moins un volume sur le disque dur dans une strat gie de chiffrement Au cas o la strat gie de chiffrement inclut un volume d initialisation la cl de la machine est d finie automatiquement 1 Dans le SafeGuard Management Center cr ez une strat gie du type Protection du p riph rique voir Cr ation de strat gies la page 58 2 Dans le champ Mode de chiffrement du support s lectionnez Bas sur volume 3 Dans le champ Cl utiliser pour le chiffrement s lectionnez Cl machine d finie 4 Enregistrez vos changements dans la base de donn es 5 D ployez la strat gie sur l ordinateur d extr mit correspondant Le disque dur compatible Opal est verrouill et est seulement accessible en se connectant sur l ordinateur l authentification au d marrage Permettre aux utilisateurs de d verrouiller les disques durs compatibles Opal En tant que responsable de la s curit vous pouvez permettre aux utilisateurs de d verrouiller les disques durs compatibles Opal sur les ordinateurs d extr mit l aide de la commande D chiffrer du menu contextuel Windows Explorer 1 Dans le SafeGuard Management Center cr ez une strat gie du type Protection du p riph rique voir Cr ation de strat gies la page 58 et incluez tous les volumes pr sents sur le disque dur compatible Opal 2 Dans le champ Mode de chiffrement du support s
193. dministrateur ne pourra pas le d verrouiller et l utilisateur ne sera pas d connect automatiquement 87 SafeGuard Enterprise Param tre de strat gie Explication Remarque Ce param tre ne prend effet que sous Windows XP Activer la pr s lection OUI la POA enregistre les nom d utilisateur et domaine du utilisateur domaine dernier utilisateur connect Il n est donc pas n cessaire que les utilisateurs saisissent leur nom d utilisateur chaque fois qu ils se connectent NON la POA n enregistre pas les nom d utilisateur et domaine du dernier utilisateur connect Liste de comptes de service Pour viter que les op rations d administration sur un ordinateur prot g par SafeGuard Enterprise n activent l authentification au d marrage et n entra nent l ajout des op rateurs en charge du d ploiement comme autant d utilisateurs possibles de l ordinateur SafeGuard Enterprise vous permet de cr er des listes de comptes de service pour les ordinateurs d extr mit SafeGuard Enterprise Les utilisateurs de la liste sont trait s comme des utilisateurs invit s SafeGuard Enterprise Avant de s lectionner une liste vous devez cr er les listes dans la zone de navigation Strat gies sous Listes de comptes de service Authentification automatique Remarque Windows Pour que l utilisateur puisse autoriser d autres utilisateurs acc der son ordinateur il doit pouvoir d sactiver la connexion
194. droit de la souris sur la barre d en t tes de colonnes 2 Dans le menu contextuel s lectionnez Personnalisation de la colonne runtime La fen tre Personnalisation appara t avec les colonnes masqu es affich es 3 D placez la colonne requise depuis la fen tre Personnalisation vers la barre d en t tes de colonnes La colonne appara t dans l affichage des donn es d inventaire Pour la masquer de nouveau d placez la de nouveau dans la fen tre Personnalisation Filtrage des donn es d inventaire Lorsque vous utilisez un OU des filtres peuvent tre d finis pour limiter l affichage en fonction de crit res particuliers Les champs suivants sont disponibles pour d finir des filtres dans la zone Filtre de l onglet Inventaire Champ Description Nom de l ordinateur Pour afficher les donn es d inventaire et d tat d un ordinateur particulier entrez le nom de l ordinateur dans ce champ Sous conteneurs inclus Activez ce champ pour inclure les sous conteneurs l cran Afficher dernier modifi Utilisez ce champ pour sp cifier le nombre de derni res modifications afficher Vous pouvez galement utiliser l diteur de filtres pour cr er des filtres d finis par l utilisateur Vous pouvez ouvrir l diteur de filtres depuis le menu contextuel de chaque colonne Dans la fen tre G n rateur de filtres vous pouvez d finir des filtres personnalis s et les appliquer la colonne concern e 27
195. e pour une p riode d finie Le param tre par d faut est Non tape 10 Enregistrer et publier la strat gie Les strat gies sont enregistr es et publi es comme cela est d crit pour toutes les autres strat gies Listes blanches Approbation de p riph riques et de connexions WLAN Les explications des sections suivantes concernent l ajout de p riph riques approuv s la liste blanche Contr le du p riph rique et l ajout de p riph riques de stockage la liste blanche 137 SafeGuard Enterprise 17 4 1 138 Contr le du stockage Les diff rences entre l ajout de p riph riques de stockage et hors stockage sont mises en vidence et d crites Les explications sur l ajout de r seaux WLAN approuv s sont disponibles dans Ajout de connexions WLAN SafeGuard Configuration Protection propose trois niveaux d autorisations E Types de p riph riques et types de stockage cette option vous permet d autoriser ou de restreindre l acc s un ordinateur d extr mit en fonction du type de p riph rique qui y est connect Par exemple Supports amovibles Adaptateurs r seau P riph riques d interface humaine une souris par exemple ou P riph riques d imagerie Les types de p riph riques et les types de stockage pouvant tre s lectionn s sont int gr s SafeGuard Configuration Protection et accessibles dans les sections Contr le du p riph rique et Contr le du stockage Un type de p riph rique
196. e avec la phrase de passe de support Remarque SafeGuard Portable peut tre utilis pour utiliser partager des donn es chiffr es de supports amovibles sur avec des ordinateurs utilisateurs ne disposant pas de SafeGuard Enterprise SafeGuard Portable n cessite l utilisation de cl s locales ou d une phrase de passe de support Cl s locales SafeGuard Data Exchange prend en charge le chiffrement l aide de cl s locales Des cl s locales sont cr es sur les ordinateurs et peuvent tre utilis es pour chiffrer des donn es de supports 165 SafeGuard Enterprise 20 3 166 amovibles Elles sont cr es en saisissant une phrase de passe et sauvegard es dans la base de donn es de SafeGuard Enterprise Remarque par d faut l utilisateur est autoris cr er des cl s locales Si des utilisateurs n y sont pas autoris s vous devez d sactiver cette option de mani re explicite Ceci doit tre effectu dans une strat gie du type Protection du p riph rique avec P riph riques de stockage locaux comme Cible de protection de p riph rique Param tres g n raux gt L utilisateur est autoris cr er une cl locale gt Non Si des cl s locales sont utilis es pour chiffrer des fichiers sur des supports amovibles ces fichiers peuvent tre d chiffr s l aide de SafeGuard Portable sur un ordinateur sur lequel SafeGuard Data Exchange n est pas install l ouverture des fichiers avec SafeGuard Portable
197. e chiffrement WFP peut tre s lectionn 7 V rifiez que vous avez entr les donn es correctes dans tous les champs et enregistrez la liste blanche Types de p riph riques pris en charge Ce chapitre r pertorie les types de p riph riques pouvant tre s lectionn s pour SafeGuard Configuration Protection lors de la cr ation d une strat gie Pour les p riph riques hors stockage vous pouvez restreindre l utilisation des p riph riques sur les ports USB FireWire et PCMCIA SafeGuard Configuration Protection propose une s lection de types int gr s dans la fen tre Contr le du p riph rique pour vous permettre de Aide administrateur 17 5 1 d finir les types de p riph riques approuv s ou bloqu s Si vous souhaitez contr ler un type de p riph rique non r pertori vous pouvez utiliser la fonction de restriction de p riph rique distinct d crite dans Listes blanches Approbation de p riph riques et de connexions WLAN Pour les p riph riques de stockage SafeGuard PortAuditor sert principalement identifier si un p riph rique est un p riph rique de stockage ou non en d tectant son volume ou en utilisant ses donn es de classe int gr es Cette fonction permet de classer et d organiser des listes de p riph riques en p riph riques de stockage et en p riph riques simples hors stockage s lectionner vous permettant ainsi de d finir plus facilement votre strat gie SafeGuard Configuration Pr
198. e cr par SafeGuard Enterprise lui m me ou un certificat existant peut tre utilis Si la connexion avec une cl cryptographique est essentielle le certificat doit tre ajout la cl cryptographique du responsable de la s curit Cr er Le certificat et le fichier de cl s sont cr s et enregistr s dans un emplacement choisi Entrez et confirmez le mot de passe du fichier de cl s p12 Le fichier p12 doit tre la disposition du responsable de la s curit lorsqu il se connecte Le certificat cr est attribu automatiquement au responsable de la s curit et affich dans Certificat Si des r gles de mot de passe de SafeGuard Enterprise sont utilis es celles ci doivent tre d sactiv es dans Active Directory Remarque Longueur max du chemin d enregistrement et du nom de fichier 260 caract res Lors de la cr ation d un responsable de la s curit la partie publique du certificat suffit Lors de la connexion au SafeGuard Management Center cependant la partie priv e du certificat le fichier de cl s est galement requise Si elle n est pas disponible dans la base de donn es elle doit l tre pour le responsable de la s curit sur une carte m moire par exemple et peut tre stock e dans le magasin de certificats pendant la connexion Certificat R les du responsable de la s curit Importation Un certificat existant est utilis et attribu au responsable de la s
199. e des r seaux locaux sans fil WLAN d crit comment d finir les connexions WLAN approuv es E tape8 D finir le contr le des fichiers d crit comment d finir les autorisations des types de fichiers transf r s de vers des p riph riques de stockage E tape9 D finir les options d affichage d crit comment d finir si l utilisateur est autoris suspendre la strat gie SafeGuard Configuration Protection sur l ordinateur d extr mit E tape 10 Enregistrer et publier la strat gie d crit les options d enregistrement de la strat gie dans la base de donn es de strat gies et de publication afin que celle ci puisse tre associ e aux ordinateurs d extr mit correspondants tape 1 Analyser les ordinateurs et d tecter l utilisation des ports p riph riques r seaux locaux sans fil WLAN Bien que ne faisant pas partie de la solution SafeGuard Configuration Protection SafeGuard PortAuditor est un outil coop rant avec SafeGuard Configuration Protection et qui le compl te pour vous proposer une vue d ensemble des ports p riph riques et r seaux qui sont ou taient utilis s par les utilisateurs de votre organisation Utilisez le r sultat d une analyse SafeGuard PortAuditor pour s lectionner les p riph riques et r seaux dont vous souhaitez approuver l utilisation tape 2 Planifier votre strat gie Avant de d finir votre strat gie prenez le temps de la planifier pour qu elle soit la mieux adapt e v
200. e en saisissant une phrase de passe de support unique sur un syst me sur lequel SafeGuard Data Exchange n est pas install Si les strat gies de l entreprise d finissent galement que tous les fichiers des supports amovibles doivent toujours tre chiffr s ajoutez les param tres suivants Chiffrement initial de tous les fichiers Oui V rifie que les fichiers des supports amovibles sont chiffr s lors de la premi re connexion du support au syst me L utilisateur peut annuler le chiffrement initial Non L utilisateur ne peut pas annuler le chiffrement initial pour le diff rer par exemple L utilisateur est autoris acc der aux fichiers non chiffr s Non Si des fichiers au format brut sont d tect s sur le support amovible leur acc s est refus L utilisateur peut d chiffrer des fichiers Non 171 SafeGuard Enterprise 172 L utilisateur n est pas autoris d chiffrer des fichiers de supports amovibles Au bureau Bob et Alice acc dent de mani re transparente aux fichiers chiffr s du support amovible leur domicile ils peuvent utiliser SafeGuard Portable pour ouvrir des fichiers chiffr s en saisissant la phrase de passe de support Si Bob ou Alice souhaite partager le support amovible sur un ordinateur tiers sur lequel SafeGuard Data Exchange n est pas install ils peuvent utiliser des cl s locales pour s assurer que le tiers externe n acc de qu certains fichiers Cette configuration avanc
201. e peut pas se connecter la POA Aide administrateur 21 3 4 1 Remarque Toutes les dispositions de clavier non prises en charge utilisent la disposition de clavier am ricain par d faut Cela signifie galement que les seuls caract res reconnus et pouvant tre saisis au clavier sont ceux qui sont pris en charge dans la disposition de clavier am ricain De la sorte les utilisateurs ne peuvent se connecter lors de l authentification au d marrage que si leur nom d utilisateur et leur mot de passe sont compos s de caract res pris en charge dans la disposition de clavier de la langue correspondante Clavier virtuel SafeGuard Enterprise propose aux utilisateurs un clavier virtuel qu ils peuvent afficher masquer dans l authentification au d marrage et sur les touches l cran duquel ils peuvent cliquer pour entrer des informations d identification etc En tant que responsable de la s curit vous pouvez activer d sactiver l affichage du clavier virtuel l aide d une strat gie du type Param tres de machine sp cifiques avec l option Clavier virtuel La prise en charge du clavier virtuel doit tre activ e d sactiv e avec un param tre de strat gie Le clavier virtuel accepte diff rentes dispositions et il est possible de changer la disposition l aide des m mes options que pour la disposition du clavier de l authentification au d marrage Modification de la disposition du clavier La disposition du clavier
202. e qui permet de d terminer s il s agit d une strat gie d utilisateur ou d une strat gie de machine Un objet de l utilisateur appelle une strat gie d utilisateur et un ordinateur appelle une strat gie d ordinateur La m me strat gie peut tre une strat gie de machine ou d utilisateur selon le point de vue E Strat gie de l utilisateur 67 SafeGuard Enterprise 68 12 Toute strat gie fournie par l utilisateur pour l analyse Si une strat gie est mise en uvre via un seul utilisateur les param tres associ s la machine de cette strat gie ne sont pas appliqu s en d autres termes les param tres associ s l ordinateur ne s appliquent pas Les valeurs par d faut s appliquent E Strat gie de l ordinateur Toute strat gie fournie par la machine pour l analyse Si une strat gie est mise en uvre via un seul ordinateur les param tres sp cifiques l utilisateur pour cette strat gie sont galement appliqu s La strat gie de l ordinateur repr sente par cons quent une strat gie pour tous les utilisateurs Utilisation des packages de configuration Dans le SafeGuard Management Center vous pouvez cr er les types de packages de configuration suivants E Package de configuration pour ordinateurs administr s Les ordinateurs connect s au SafeGuard Enterprise Server re oivent leurs strat gies par ce serveur Pour garantir un bon fonctionnement une fois le logiciel SafeGuard Enterprise Clie
203. eGuard Configuration Protection contr le les ports USB PCMCIA FireWire Secure Digital S rie Parall le Modem par exemple num rotation 3G etc WLAN Ir DA et Bluetooth Un port bloqu est indisponible comme si ses c bles taient coup s L indication d un port bloqu est fournie au d marrage de l ordinateur ou lorsqu une strat gie appliqu e d sactive un port pr c demment autoris Contr le du p riph rique Outre le contr le de l acc s au port SafeGuard Configuration Protection propose un autre niveau de pr cision en vous permettant de d finir les p riph riques pouvant acc der un port En ce qui concerne les ports USB PCMCIA et FireWire vous pouvez d finir les types de p riph riques les mod les de p riph riques et ou les p riph riques distincts pouvant acc der un port comme suit E Types de p riph riques cette option vous permet de restreindre l acc s un port en fonction du type de p riph rique qui y est connect Les types de p riph riques sont par exemple les p riph riques d impression les adaptateurs r seau les p riph riques d interface humaine une souris par exemple ou les p riph riques d imagerie Les types de p riph riques pouvant tre s lectionn s sont int gr s SafeGuard Configuration Protection Pour autoriser un p riph rique ne figurant pas dans cette liste de types vous pouvez utiliser l option Mod les ou P riph riques distincts d crite ci
204. eau uniquement emp chant ainsi la cr ation et l utilisation abusive d un pont de r seau hybride Remarque Les ports internes comme des bus de stockage IDE SCSI ATA et S ATA par exemple utilis s pour connecter des lecteurs de disque dur interne ainsi que PCI et PCI X sont autoris s par d faut Bloquer les enregistreurs de frappe mat riels USB et PS 2 bloquer des enregistreurs de frappe mat riels USB qui peuvent collecter et enregistrer chaque frappe sur vos points de terminaison et rendre des enregistreurs de frappe mat riels PS 2 inutiles Messages utilisateur final lorsque le client SafeGuard Configuration Protection applique des strat gies sur un ordinateur d extr mit un message s affiche pour l utilisateur afin de l informer des ports et p riph riques bloqu s Suspension vous pouvez permettre l utilisateur de suspendre provisoirement SafeGuard Configuration Protection via une proc dure Challenge R ponse Protection via SafeGuard Configuration Protection SafeGuard Configuration Protection prot ge vos ordinateurs d extr mit comme suit 117 SafeGuard Enterprise 17 2 1 17 2 2 17 2 3 118 Contr le des ports SafeGuard Configuration Protection permet d autoriser de bloquer ou de restreindre intelligemment l utilisation de tout ou partie des ports d ordinateur de votre organisation en fonction de l ordinateur utilis de l utilisateur connect et ou du type de port Saf
205. ection d un autre fichier texte s affiche lorsque vous cliquez sur ce bouton Le texte contenu dans ce fichier est ajout la fin du texte existant Langue du texte de la bo te de dialogue d authentification au d marrage Apr s l installation du logiciel de chiffrement SafeGuard Enterprise le texte de la bo te de dialogue d authentification au d marrage est affich dans la langue par d faut d finie dans les Options r gionales et linguistiques de Windows sur l ordinateur d extr mit lors de l installation de SafeGuard Enterprise Vous pouvez changer la langue du texte de la bo te de dialogue d authentification au d marrage apr s l installation de SafeGuard Enterprise l aide de l une des deux m thodes suivantes E Changez la langue par d faut dans les Options r gionales et linguistiques Windows sur l ordinateur d extr mit Apr s deux red marrages de l ordinateur par l utilisateur le nouveau param tre de langue est actif dans la POA E Cr ez une strat gie du type Param tres g n raux choisissez la langue dans le champ Langue utilis e sur le client et d ployez la strat gie sur l ordinateur d extr mit Remarque si vous d finissez une strat gie et la d ployez sur l ordinateur d extr mit la langue choisie dans la strat gie s applique au lieu de celle sp cifi e dans les Options r gionales et linguistiques de Windows Disposition de clavier Chaque pays ou presque a une disposition de clavier qui
206. elles r pondre la page 186 En tant que responsable de la s curit avec les droits n cessaires vous pouvez enregistrer et modifier les questions Local Self Help dans le SafeGuard Management Center Pour plus d informations voir Cr ation d un nouveau sujet de question et ajout de questions la page 188 et voir Modification des sujets de question la page 188 D finition du nombre de questions qui attendent une r ponse Vous pouvez d finir le nombre de questions auxquelles il faut r pondre lors de la configuration de Local Self Help et dans la POA 1 Dans la zone de navigation Strat gies s lectionnez Questions Local Self Help Aide administrateur 24 4 2 Dans la zone d action sous Param tres Local Self Help vous pouvez sp cifier deux valeurs diff rentes pour le nombre de questions Local Self Help a Dans le champ Nombre minimum de questions r ponses disponibles sp cifiez le nombre de questions auxquelles l utilisateur doit r pondre dans l assistant Local Self Help pour activer Local Self Help sur l ordinateur d extr mit Pour que Local Self Help soit actif le nombre de questions sp cifi es dans ce champ doit tre disponible avec les r ponses sur l ordinateur d extr mit b Dans le champ Nombre de questions pr sent es dans la POA sp cifiez le nombre de questions auxquelles l utilisateur doit r pondre dans la POA lors de la connexion avec Local Self Help Les questions affich es dans la
207. emarque Deux responsables de la s curit ne doivent pas utiliser le m me compte Windows sur le m me ordinateur Sinon il est impossible de distinguer correctement leurs droits d acc s Connexion en mode Single Tenancy 1 D marrez le SafeGuard Management Center partir du dossier des produits du menu D marrer Une bo te de dialogue de connexion appara t 2 Connectez vous en tant que responsable principal de la s curit MSO et saisissez le mot de passe du magasin de certificats sp cifi pendant la configuration initiale Cliquez sur OK Le SafeGuard Management Center est ouvert Remarque Si vous saisissez un mot de passe incorrect un message d erreur s affiche et un d lai sera impos avant la tentative de connexion suivante Le d lai est augment chaque chec de tentative de connexion Les checs sont journalis s Aide administrateur 2 2 Connexion en mode Multi Tenancy 3 1 Le processus de connexion au SafeGuard Management Center est tendu lorsque plusieurs bases de donn es ont t configur es Multi Tenancy voir Utilisation de plusieurs configurations de bases de donn es la page 17 1 D marrez le SafeGuard Management Center partir du dossier des produits dans le menu D marrer La bo te de dialogue S lection d une configuration s affiche 2 S lectionnez la configuration de base de donn es que vous souhaitez utiliser dans la liste d roulante et cliquez sur OK La configurat
208. ent Center le responsable de la s curit peut E Avoir un aper u des cl s cryptographiques et des certificats qui ont t g n r s M Filtrer des aper us E Bloquer les cl s cryptographiques pour authentification E Lire ou supprimer les donn es sur une cl cryptographique 19 11 1 Affichage des informations de la cl cryptographique carte puce En tant que responsable de la s curit vous pouvez afficher des informations sur toutes les cl s cryptographiques ou sur certaines cl s cryptographiques ayant t g n r es Vous pouvez aussi filtrer les aper us Condition pr alable la cl cryptographique doit tre connect e 1 Dans le SafeGuard Management Center cliquez sur Cartes puce 2 Pour afficher des informations sur une cl cryptographique individuelle s lectionnez la cl correspondante dans la zone de navigation sous Slots de cartes puce Le fabricant le type le num ro de s rie les donn es mat rielles et les r gles des codes PIN sont affich s sous Informations sur la carte puce Vous pouvez galement voir quel utilisateur la cl cryptographique est attribu e 163 SafeGuard Enterprise 19 11 2 19 11 3 19 11 4 164 3 Pour afficher un aper u des cl s cryptographiques s lectionnez Cartes puce g n r es Vous pouvez afficher toutes les cartes puce ayant t g n r es ou filtrer la pr sentation par utilisateur Le num ro de s rie de la cl
209. ent d un code PIN du SO Condition pr alable le code PIN du SO pr c dent doit tre connu 1 Dans la barre d outils du SafeGuard Management Center cliquez sur l ic ne Changer le PIN SO 2 Saisissez l ancien code PIN du SO 3 Saisissez le nouveau code PIN du SO r p tez la saisie et cliquez sur OK Le code PIN du SO a t modifi Changement d un code PIN utilisateur Condition pr alable le code PIN de l utilisateur doit tre connu Aide administrateur 19 10 4 19 10 5 19 11 1 Dans la barre d outils du SafeGuard Management Center cliquez sur l ic ne Changer le PIN utilisateur 2 Saisissez l ancien et le nouveau code PIN de l utilisateur r p tez la saisie du nouveau code PIN de l utilisateur et confirmez en cliquant sur OK Le code PIN de l utilisateur est chang Si vous avez chang le code PIN d un autre utilisateur informez le de cette modification Changement de code PIN forc 1 Dans la barre d outils du SafeGuard Management Center cliquez sur Forcer le changement de PIN Lors de la prochaine connexion de l utilisateur avec la cl cryptographique il doit changer son code PIN Historique des codes PIN L historique des codes PIN peut tre supprim Pour cela cliquez sur l ic ne Supprimer l historique de PIN de la barre d outils du SafeGuard Management Center Gestion des cl s cryptographiques et des cartes puce Dans la zone Cl s cryptographiques du SafeGuard Managem
210. enter La bo te de dialogue S lection d une configuration s affiche 2 S lectionnez la configuration de base de donn es souhait e dans la liste d roulante et cliquez sur OK La configuration de base de donn es s lectionn e est reli e au SafeGuard Management Center et s active 3 Pour vous authentifier dans le SafeGuard Management Center vous tes invit s lectionner le nom du responsable de la s curit de cette configuration et saisir son mot de passe de magasin de certificats Cliquez sur OK Le SafeGuard Management Center est lanc et reli la configuration de base de donn es s lectionn e Exportation d une configuration dans un fichier Pour enregistrer ou r utiliser une configuration de base de donn es vous pouvez l exporter dans un fichier Aide administrateur 5 4 5 5 1 D marrez le SafeGuard Management Center La bo te de dialogue S lection d une configuration s affiche 2 S lectionnez la configuration de base de donn es respective dans la liste et cliquez sur Exporter 3 Pour s curiser le fichier de configuration vous tes invit saisir et confirmer un mot de passe qui chiffre le fichier de configuration Cliquez sur OK 4 Sp cifiez un nom de fichier et un emplacement de stockage pour le fichier de configuration export SGNConfig Si cette configuration existe d j vous tes invit confirmer le remplacement de la configuration existante Le fi
211. erne les r seaux locaux sans fil si vous choisissez Restreindre vous pouvez en outre sp cifier les r seaux approuv s Contr le du r seau local sans fil WLAN Liste blanche Liste blanche pour WLAN cette option repr sente les r seaux distincts notamment leurs propri t s d authentification et de chiffrement Remarque Cette section est d sactiv e si vous s lectionnez l option Autoriser pour les r seaux D finition du contr le du r seau local sans fil WLAN 1 Acc dez l option WLAN dans la section Ports sans fil D finissez WLAN sur Restreindre Ceci active les options situ es sous Types de connexions WLAN 2 Dans la section Types de connexions WLAN d finissez les autorisations pour les R seaux WLAN Infrastructure comme suit a Autoriser autorise la connexion tous les r seaux WLAN b Restreindre tous les r seaux sont bloqu s sauf s ils sont explicitement approuv s dans la Liste blanche comme d crit dans Listes blanches Approbation de p riph riques et de connexions WLAN 3 Dans la section Types de connexions WLAN d finissez les autorisations Peer to Peer Ad Hoc Poste poste ad hoc comme suit a Autoriser autorise toutes les connexions WLAN poste poste b Bloquer bloque toutes les connexions WLAN poste poste Pour cette option les autorisations plus pr cises ne sont pas disponibles tape 8 D finir le contr le des fichiers SafeGuard Configurati
212. ers p12 et les utiliser lorsque vous param trez une nouvelle base de donn es Ceci pour viter de restaurer l int gralit de la base de donn es Remarque Nous vous conseillons de r aliser cette t che imm diatement apr s la configuration initiale du SafeGuard Management Center Exportation des certificats d entreprise Remarque Seuls les responsables principaux de la s curit sont autoris s exporter les certificats d entreprise des fins de sauvegarde 21 SafeGuard Enterprise 22 6 2 6 3 1 Dans la barre de menus du SafeGuard Management Center s lectionnez Outils gt Options 2 Cliquez sur l onglet Certificats puis sur Exporter dans la section Certificat d entreprise 3 Vous tes invit saisir un mot de passe pour s curiser le fichier export Entrez un mot de passe confirmez le puis cliquez sur OK 4 Saisissez un nom et un emplacement de stockage pour le fichier puis cliquez sur OK Le certificat d entreprise est export sous la forme d un fichier p12 l emplacement d sign et peut tre utilis des fins de r cup ration Exportation du certificat du responsable principal de la s curit Pour sauvegarder le certificat du responsable principal de la s curit connect au SafeGuard Management Center 1 Dans la barre de menus du SafeGuard Management Center s lectionnez Outils gt Options 2 Cliquez sur l onglet Certificats puis sur Exporter dans la section Ce
213. es de stockage internes ou externes fixes ou amovibles Vous pouvez bloquer totalement les p riph riques de stockage Comme pour les p riph riques hors stockage d crits dans la section pr c dente les p riph riques de stockage peuvent galement tre approuv s en fonction de leur type mod le ou ID unique Contr le du lancement automatique Gr ce SafeGuard Configuration Protection vous pouvez permettre vos utilisateurs d extr mit d utiliser leurs nouveaux p riph riques de stockage tout en vous assurant que vos syst mes d extr mit ne sont pas expos s d ventuelles menaces et applications risques pouvant r sider sur ces p riph riques Vous pouvez bloquer facilement les t ches de lancement automatique dans le cadre de votre strat gie de s curit Gr ce notre technologie client pr cise et unique vous pouvez autoriser l utilisation de p riph riques de stockage intelligents et bloquer uniquement leur fonction de lancement automatique pouvant pr senter une menace Contr le du r seau local sans fil WLAN Le contr le du WLAN garantit que les utilisateurs ne se connectent qu aux r seaux approuv s Vous pouvez sp cifier les r seaux ou liens ad hoc dont l acc s est autoris Vous pouvez sp cifier l adresse MAC des points d acc s le SSID du r seau la m thode d authentification et les m thodes de chiffrement pour d finir les liens approuv s SafeGuard PortAuditor Bien que ne faisant
214. es de la machine h rit s directement ou indirectement par la machine y compris les strat gies qui n ont pas t appliqu es par le mode de r cursivit des strat gies Param tres machine de relecture sont remplac s Ignorer l utilisateur Vous pouvez trouver ce param tre sous Aide administrateur 11 8 12 3 El ments de strat gie gt strat gie du type Param tres g n raux gt Chargement de param tres gt Mode de r cursivit des strat gies Si vous s lectionnez Ignorer l utilisateur pour une strat gie d ordinateur dans le champ Mode de r cursivit des strat gies d une strat gie du type Param tres g n raux et si la strat gie provient d une machine seuls les param tres de la machine sont analys s Les param tres de l utilisateur ne sont pas analys s Aucun bouclage Vous pouvez trouver ce param tre sous El ments de strat gie gt strat gie du type Param tres g n raux gt Chargement de param tres gt Mode de r cursivit des strat gies Aucun blocage d crit le comportement standard Les strat gies de l utilisateur sont prioritaires sur celles de l ordinateur 11 8 12 4 Analyse des param tres Ignorer l utilisateur et Param tres machine de relecture 11 8 12 5 11 8 13 S il existe des attributions de strat gies actives les strat gies de la machine sont analys es et regroup es d abord Si avec le Mode de r cursivit des strat gies ce regroupement de strat gies indi
215. es flash SD par exemple que des p riph riques usage unique mais apparaissant sur l ordinateur comme des nouveaux p riph riques de stockage lecteurs de musique num riques portables appareils photo num riques et PDA par exemple E Disques durs externes p riph riques disque dur reli s de mani re externe via USB par exemple E Lecteurs de CD DVD reli s de mani re interne et externe E P riph riques de disquette reli s de mani re interne et externe E P riph riques bandes reli s de mani re interne et externe Proc dure Challenge R ponse pour la suspension de la strat gie de protection de la configuration La SafeGuard Configuration Protection peut tre suspendue sur l ordinateur d extr mit en utilisant la proc dure Challenge R ponse Cela implique les l ments suivants E L ordinateur d extr mit sur lequel le challenge sera demand E Le SafeGuard Management Center o en tant que responsable du support avec les droits correspondants vous cr ez un code de r ponse qui autorise l utilisateur suspendre la strat gie pour une p riode sp cifi e sur l ordinateur Suspension de la strat gie de protection de la configuration m L utilisateur doit disposer du droit de suspendre la strat gie de protection de la configuration strat gie Protection de la configuration param tre Options d affichage Autoriser les utilisateurs suspendre la protection de la configuration d fini sur O
216. es strat gies du type PIN vous d finissez les param tres des codes PIN de la carte puce Les codes PIN peuvent comporter des nombres des lettres et des caract res sp ciaux par exemple etc Toutefois lorsque vous g n rez un nouveau code PIN n utilisez aucun caract re avec la combinaison ALT lt caract re gt car ce mode de saisie n est pas disponible dans l authentification au d marrage POA Remarque D finissez des r gles PIN dans le SafeGuard Management Center ou dans Active Directory mais pas dans les deux Param tre de strat gie Explication R GLES Longueur min du code PIN Sp cifie le nombre de caract res que doit contenir un code PIN lorsque l utilisateur en change La valeur requise peut tre saisie directement ou augment e r duite l aide des touches fl ch es Longueur max du code PIN Sp cifie le nombre maximum de caract res que doit contenir un code PIN lorsque l utilisateur en change La valeur requise peut tre saisie directement ou augment e r duite l aide des touches fl ch es Nombre min de lettres Ces param tres sp cifient qu un code PIN ne peut pas contenir seulement des lettres des nombres ou des caract res sp ciaux mais doit comporter une combinaison de ces 2 au moins par exemple 15fleur etc Ces param tres ne sont pratiques que si vous avez d fini une longueur minimum de code PIN sup rieure 2 Nombre min de chiffres Nombre min de car
217. es volumes chiffr s avec la cl machine d finie sont accessibles Ce type de chiffrement de cl s peut tre d fini dans une strat gie de chiffrement du p riph rique dans le SafeGuard Management Center et affect l ordinateur Notez que l utilisation de supports externes par exemple WinPE pour acc der un lecteur chiffr autorise uniquement un acc s partiel au volume Restauration du cache de strat gies SafeGuard Enterprise Cette proc dure est n cessaire si le cache de strat gies SafeGuard est endommag Le cache local stocke toutes les cl s et strat gies ainsi que les certificats utilisateur et les fichiers d audit Lorsque le cache local est corrompu la r cup ration de connexion est d sactiv e par d faut Sa restauration s effectue automatiquement partir de la sauvegarde Aucune proc dure Challenge R ponse n est donc requise pour r parer le cache local Si le cache local doit tre r par l aide de la proc dure Challenge R ponse la r cup ration de connexion peut tre activ e par strat gie Dans ce cas l utilisateur est automatiquement invit lancer une proc dure Challenge R ponse si le cache local est corrompu SafeGuard Data Exchange r cup ration d un mot de passe oubli SafeGuard Data Exchange sans Device Encryption ne fournit pas la r cup ration Challenge R ponse lorsque l utilisateur a oubli son mot de passe Dans ce cas vous devez changer le mot de passe dans Active Directo
218. est introuvable dans la base de donn es 805306379 La cl cryptographique a t supprim e et retir e de la base de donn es 805306380 Impossible d identifier la cl cryptographique dans la base de donn es 805306381 La strat gie est attribu e un groupe de strat gies Supprimez l attribution avant de supprimer la strat gie 805306382 La strat gie est attribu e une OU Supprimez d abord l attribution 805306383 Le certificat n est pas valide pour ce responsable 805306384 Le certificat a expir pour ce responsable 805306385 Le responsable est introuvable dans la base de donn es 805306386 Le responsable s lectionn n est pas unique 805306387 Le responsable est bloqu et ne peut pas tre authentifi 805306388 Le responsable n est plus ou n est pas encore valide 805306389 Impossible d autoriser le responsable requ te en dehors des heures de bureau 805306390 Une partie responsable ne peut pas se supprimer 805306391 Le responsable principal de la s curit ne peut pas tre supprim car un second responsable principal de la s curit est n cessaire pour une authentification suppl mentaire 805306392 Le responsable de la s curit ne peut pas tre supprim car un second responsable de la s curit est requis pour une authentification suppl mentaire 805306393 Le responsable de la v rification ne peut pas tre supprim car un second responsable de la v rification est requis pour une authentification
219. est pas autoris se connecter l ordinateur concern L ordinateur est arr t automatiquement si l utilisateur se connecte lorsque la strat gie contenant ce param tre est activ e sur l ordinateur Groupes Dans le SafeGuard Management Center des groupes d ordinateurs peuvent tre attribu s un utilisateur compte et ou peuvent tre attribu s un ordinateur Pour cr er un groupe dans Utilisateurs et ordinateurs cliquez avec le bouton droit de la souris sur le noeud de l objet appropri o vous voulez cr er le groupe et s lectionnez Nouveau Cr er un groupe Dans Cr er un groupe dans Nom complet entrez le nom du groupe et ventuellement une description Cliquez sur OK Exemple Compte de service Il est par exemple possible d utiliser un seul compte de service pour entretenir un grand nombre d ordinateurs cette fin les ordinateurs concern s doivent se trouver dans un m me groupe Ce groupe est ensuite attribu un compte de service utilisateur Le propri taire du compte de service peut ensuite se connecter tous les ordinateurs de ce groupe Aide administrateur 18 2 19 En outre le fait d attribuer un groupe contenant diff rents utilisateurs permet ces derniers de se connecter ensuite un ordinateur sp cifique en une seule tape Attribution de groupes d utilisateurs et d ordinateurs Remarque vous pouvez attribuer des utilisateurs individuels un ordinateur ou r ciproque
220. eur est automatiquement connect Windows 83 SafeGuard Enterprise Param tre de strat gie Explication NON l cran de connexion Windows appara t Exemple Un utilisateur a oubli son mot de passe Apr s la proc dure de Challenge R ponse SafeGuard Enterprise connecte l utilisateur l ordinateur sans mot de passe SafeGuard Enterprise Dans ce cas la connexion automatique Windows est d sactiv e et l cran de connexion Windows s affiche L utilisateur ne peut pas se connecter car il ne conna t pas le mot de passe SafeGuard Enterprise mot de passe Windows OUT autorise la connexion automatique et l utilisateur peut se d placer partir de l cran de connexion de Windows Texte d informations Affiche un texte d informations lorsqu une proc dure Challenge R ponse est lanc e dans l authentification au d marrage Par exemple Contactez le bureau de support en appelant le 01234 56789 Avant d ins rer un texte ici vous devez le cr er sous forme de fichier texte dans la zone de navigation de strat gie sous Texte d informations IMAGES Condition pr alable les nouvelles images doivent tre enregistr es dans la zone de navigation des strat gies du SafeGuard Management Center sous Images Les images ne sont disponibles qu une fois enregistr es Formats pris en charge BMP PNG JPEG Image d arri re plan dans la Remplacement de l arri re plan SafeGuard Enterprise
221. eurs d extr mit SafeGuard Enterprise existants acceptent encore les strat gies provenant de la nouvelle installation et permet d viter d avoir param trer et restaurer l int gralit de la base de donn es m Les certificats de l entreprise et du responsable principal de la s curit pour la configuration de la base de donn es correspondante doivent avoir t export s sous la forme de fichiers p12 ainsi qu tre disponibles et valides m Vous devez galement conna tre les mots de passe de ces deux fichiers p12 ainsi que du magasin de certificats Pour restaurer une configuration de base de donn es corrompue 1 R installez le package d installation du SafeGuard Management Center Ouvrez le SafeGuard Management Center L Assistant de configuration d marre automatiquement 2 Dans Connexion la base de donn es cochez la case Cr er une base de donn es Sous Param tres de base de donn es configurez la connexion la base de donn es Cliquez sur Suivant 3 Dans Donn es du responsable de la s curit s lectionnez le responsable principal de la s curit correspondant puis cliquez sur Importer 4 Cliquez sur Importer le certificat d authentification pour rechercher le fichier de certificat sauvegard Sous Fichier de certificat logiciel entrez le mot de passe de ce fichier Cliquez sur OK 5 Le certificat du responsable principal de la s curit est alors import Cliquez sur Suivant 6 Dans Ce
222. euvent supprimer des groupes de travail Les membres appartenant au groupe de travail sont galement supprim s Ils sont r enregistr s automatiquement lors de la prochaine connexion 1 Dans le SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation de gauche cliquez avec le bouton droit de la souris sur le groupe de travail que vous voulez supprimer et s lectionnez Supprimer 3 Pour confirmer cliquez sur Oui Le groupe de travail est supprim Ses membres ventuels sont galement supprim s Cr ation d un domaine Les responsables de la s curit dot s des droits requis peuvent cr er un domaine sous le r pertoire racine Vous ne devez cr er un nouveau domain que si vous ne voulez pas ou ne pouvez pas importer un domaine depuis l Active Directory AD par exemple parce qu aucun AD n est disponible 1 Dans le SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation de gauche cliquez avec le bouton droit de la souris sur Racine Filtre actif et s lectionnez Nouveau gt Cr er un domaine enregistrement auto Aide administrateur 4 8 4 9 3 Sous Informations communes saisissez les informations suivantes concernant le contr leur de domaine Les trois entr es de noms doivent tre correctes Faute de quoi le domaine n est pas synchronis a Nom complet par exemple nom ordinateur domaine com ou l adresse I
223. ez changer la disposition du clavier requise pour l authentification au d marrage l aide de la souris ou du clavier Alt Maj 179 SafeGuard Enterprise 21 4 180 Pour voir les langues install es et disponibles sur le syst me s lectionnez D marrer gt Ex cuter gt regedit gt HKEY_USERS DEFAUILT Keyboard Layout Preload Raccourcis clavier pris en charge dans l authentification au d marrage Certains param tres et fonctionnalit s mat riels peuvent g n rer des probl mes lors du d marrage des ordinateurs d extr mit et provoquer le blocage du syst me L authentification 8 q 8 y au d marrage prend en charge plusieurs raccourcis clavier pour modifier les param tres mat riels et d sactiver des fonctionnalit s De plus des listes grise et noire contenant les fonctions connues pour provoquer des probl mes sont int gr es au fichier msi install sur l ordinateur Nous vous recommandons d installer une version mise jour du fichier de configuration de l authentification au d marrage avant de proc der au d ploiement de SafeGuard Enterprise Ce fichier b n ficie d une mise jour mensuelle et peut tre t l charg depuis l emplacement suivant ftp POACFG POACFG ftp ou utimaco de Vous pouvez personnaliser ce fichier en fonction du mat riel d un environnement sp cifique Remarque Lorsqu un fichier personnalis est utilis celui ci remplace le fichier int gr au fichier msi Le f
224. feGuard Management Center 1 Dans la zone de navigation du SafeGuard Management Center cliquez sur Strat gies 2 Dans la fen tre de navigation cliquez avec le bouton droit de la souris sur l ments de strat gie puis s lectionnez Nouveau 3 S lectionnez Protection du p riph rique Une bo te de dialogue permettant de nommer la nouvelle strat gie s affiche Aide administrateur 16 9 4 Saisissez un nom et ventuellement une description de la nouvelle strat gie 5 Sous Cible de protection de p riph rique s lectionnez la liste blanche correspondante E Si vous avez cr une liste blanche pour les mod les de p riph riques de stockage elle appara t sous Mod les de p riph riques de stockage E Si vous avez cr une liste blanche pour les p riph riques de stockage distincts elle appara t sous P riph riques de stockage distincts 6 Cliquez sur OK La liste blanche a t s lectionn e comme cible pour la strat gie de Protection du p riph rique Une fois que la strat gie a t transf r e sur les ordinateurs d extr mit le mode de chiffrement s lectionn dans la strat gie s applique Protection des p riph riques Les strat gies du type Protection du p riph rique couvrent les param tres pour le chiffrement des donn es sur diff rents p riph riques de stockage des donn es Le chiffrement peut tre bas sur volume ou sur fichier avec des cl s et des algorithmes diff re
225. feGuard Enterprise 15 7 2 78 Tous les membres du groupe POA attribu sont d ploy s sur tous les ordinateurs d extr mit dans le conteneur s lectionn Vous pouvez annuler l attribution d un groupe POA ou changer le groupe POA attribu en continuant comme indiqu et en d pla ant les groupes de l onglet Attribution de groupe d authentification au d marrage et de la zone Groupes POA depuis la zone d action et vers celle ci Apr s avoir enregistr vos changements dans la base de donn es la nouvelle attribution s applique Attribution de comptes d acc s POA aux ordinateurs d extr mit non administr s Les comptes d acc s POA sont attribu s aux ordinateurs d extr mit non administr s ordinateurs fonctionnant en mode autonome dans les packages de configuration 1 Dans le SafeGuard Management Center s lectionnez Outil de package de configuration dans le menu Outils 2 S lectionnez un package de configuration existant ou cr ez en un nouveau 3 Sp cifiez un Groupe POA pr alablement cr dans la zone Utilisateurs et ordinateurs du SafeGuard Management Center qui sera appliqu aux ordinateurs Le param tre par d faut pour le groupe POA est Aucun groupe Vous pouvez s lectionner un groupe vide par d faut Ce groupe peut tre utilis pour supprimer les attributions de groupes de comptes d acc s POA sur les ordinateurs d extr mit Pour plus d informations voir Annulation de l attribution de co
226. frement l utilisateur doit cr er une cl Si la fonction de phrase de passe de support est activ e dans une strat gie de support amovible pour ces ordinateurs la cl de chiffrement de support est cr e automatiquement sur l ordinateur client et peut tre utilis e pour un chiffrement imm diatement apr s l installation Il s agit d une cl pr d finie du jeu de cl s de l utilisateur qui s affiche sous la forme d un lt nom utilisateur gt dans les bo tes de dialogue de s lection de cl Le cas ch ant les cl s de chiffrement de support sont galement utilis es pour toutes les t ches de chiffrement initial Pratique recommand e Cette section d crit des tudes de cas classiques de SafeGuard Data Exchange et comment les mettre en uvre en cr ant les strat gies appropri es Bob et Alice sont deux employ s de la m me soci t et disposent de SafeGuard Data Exchange Joe est un partenaire externe et ne dispose pas de SafeGuard Enterprise sur son ordinateur Utilisation interne uniquement Bob souhaite partager des donn es chiffr es sur un support amovible avec Alice Ils font partie du m me groupe et disposent donc de la cl de groupe appropri e dans leur jeu de cl s 167 SafeGuard Enterprise 20 4 2 168 SafeGuard Enterprise tant donn qu ils utilisent la m me cl de groupe ils peuvent acc der en toute transparence aux fichiers chiffr s sans saisir de phrase de passe Vous devez d fin
227. frement initial rapide s lectionnez le param tre Chiffrement initial rapide dans une strat gie du type Protection du p riph rique voir Protection du p riph rique la page 103 Remarque Pour le d chiffrement des volumes le mode de chiffrement initial rapide sera toujours utilis quel que soit le param tre de strat gie sp cifi Pour le d chiffrement les conditions pr alables num r es s appliquent aussi Chiffrement bas sur volume et partition du syst me Windows 7 Pour Windows 7 Professionnel Entreprise et dition Int grale une partition syst me est cr e sur les ordinateurs d extr mit sans assignation de lettre de lecteur Cette partition syst me ne peut pas tre chiffr e par SafeGuard Enterprise Chiffrement bas sur volume et objets du syst me de fichiers non identifi s Les objets du syst me de fichiers non identifi s sont des volumes qui ne peuvent pas tre clairement identifi s comme texte brut ou chiffr s par SafeGuard Enterprise L acc s au volume est refus s il existe une strat gie de chiffrement d finie pour un objet du syst me de fichiers non identifi s Si aucune strat gie de chiffrement n existe l utilisateur peut acc der au volume Remarque Si une strat gie de chiffrement dont le param tre Cl utiliser pour le chiffrement est d fini de sorte permettre la s lection de cl par exemple Toute cl du jeu de cl s utilisateur existe pour un volume d objet
228. haite acc der un volume chiffr l aide d une cl qui n est pas disponible sur l ordinateur SafeGuard Enterprise propose diff rents flux de travail de r cup ration pour ces sc narios types ce qui permet aux utilisateurs d acc der de nouveau leurs ordinateurs Flux de travail de challenge r ponse La proc dure Challenge R ponse repose sur les deux composants suivants m L ordinateur d extr mit sur lequel le code de challenge est g n r Aide administrateur m Le SafeGuard Management Center o en tant que responsable du support poss dant les droits correspondants vous cr ez un code de r ponse qui autorisera l utilisateur effectuer l action requise sur l ordinateur 1 Sur l ordinateur d extr mit l utilisateur demande le code de challenge En fonction du type de r cup ration cette op ration s effectue soit dans l authentification au d marrage soit dans l outil de r cup ration de cl KeyRecovery Un code de challenge sous la forme d une cha ne de caract res ASCII est g n r puis affich 2 L utilisateur contacte le support Il lui fournit les donn es d identification n cessaires ainsi que le code de challenge 3 Le support lance l assistant de r cup ration dans le SafeGuard Management Center 4 Le support s lectionne le type de r cup ration appropri confirme les donn es d identification et le code de challenge puis s lectionne l action de r cup ration souhait e
229. i la cl cryptographique peut tre d bloqu e lors de la connexion OPTIONS DE VERROUILLAGE Verrouiller l cran apr s X minutes d inactivit D termine le d lai l issue duquel un bureau inutilis est automatiquement verrouill La valeur par d faut est de 0 minute auquel cas le bureau n est pas verrouill Aide administrateur Param tre de strat gie Explication Verrouiller l cran au retrait de D termine si l cran est verrouill lorsqu une cl cryptographique la carte puce est retir e au cours d une session Verrouiller l cran apr s miseen D termine si l cran est verrouill si l ordinateur est r activ du veille mode veille 16 3 Cr ation de listes de codes PIN interdits utiliser dans les strat gies Pour les strat gies de type PIN une liste de codes PIN interdits peut tre cr e afin de d finir quelles sont les s quences de caract res qui ne doivent pas tre utilis es dans les codes PIN Les codes PIN sont utilis s pour la connexion avec la cl cryptographique Pour plus d informations voir Cl s cryptographiques et cartes puce la page 149 Remarque Dans les listes les codes PIN interdits sont s par s par un saut de ligne Les fichiers texte contenant les informations requises doivent tre cr s avant de pouvoir les enregistrer dans le SafeGuard Management Center La taille maximale des fichiers texte est de 50 Ko SafeGua
230. ible pour une authentification suppl mentaire 805306402 Journal des v nements 805306403 L int grit du journal des v nements central a t v rifi e 805306404 Int grit rompue Un ou plusieurs v nements ont t supprim s du d but de la cha ne 805306405 Int grit rompue Un ou plusieurs v nements ont t supprim s de la cha ne Le message indiquant la d tection du point de rupture de la cha ne a t mis en surbrillance 805306406 Int grit rompue Un ou plusieurs v nements ont t supprim s de la fin de la cha ne 805306407 Impossible d exporter les v nements dans le fichier Raison 805306408 L affichage actuel comprend des donn es non enregistr es Voulez vous enregistrer les modifications avant de quitter cet affichage 805306409 Le fichier n a pas pu tre charg ou est endommag Raison 805306410 L int grit du journal a t rompue Un ou plusieurs v nements ont t supprim s 805306411 Voulez vous enregistrer les v nements dans un fichier avant de les supprimer 805306412 Affichage des t ches 805306413 Plusieurs CRL trouv es dans la base de donn es Impossible de supprimer les CRL 805306414 CRL non trouv e dans la base de donn es 805306415 L utilisateur auquel le certificat devrait avoir t attribu est introuvable dans la base de donn es 805306416 Un blob P7 est requis en urgence pour l attribution d un certificat 269 SafeGuard Ente
231. ible Opal est enregistr dans SafeGuard Enterprise des informations concernant l utilisateur l ordinateur le mode de connexion et l tat du chiffrement sont affich es En outre les v nements sont journalis s Dans SafeGuard Enterprise l administration des ordinateurs d extr mit quip s de disques durs compatibles Opal est transparente ce qui signifie que les fonctions d administration en g n ral fonctionnent de la m me fa on que pour les autres ordinateurs d extr mit prot g s par SafeGuard Enterprise Le type d un ordinateur appara t dans l Inventaire d un conteneur dans Utilisateurs et ordinateurs La colonne Type de POA vous indique si l ordinateur correspondant est chiffr par SafeGuard Enterprise ou utilise un disque dur compatible Opal chiffrement automatique Pour plus d informations voir Donn es d inventaire et d tat la page 213 Chiffrement de disques durs compatibles Opal Les disques durs compatibles Opal sont chiffrement automatique Les donn es sont chiffr es automatiquement lorsqu elles sont crites sur le disque dur 245 SafeGuard Enterprise 32 5 32 6 32 7 246 Les disques durs sont verrouill s par une cl AES 256 utilis e comme mot de passe Opal Ce mot de passe est g r par SafeGuard Enterprise via une strat gie de chiffrement voir Verrouillage des disques durs compatibles Opal la page 246 Verrouillage des disques durs compatibles Opal Pour verrouiller les
232. ibles sous forme de fichiers et pas seulement sous forme de cl cryptographique Ceci s applique galement aux CRL E Notez que lors de l importation d un certificat utilisateur la section publique et la section priv e de ce certificat sont import es toutes les deux Si uniquement la partie publique est import e seule l authentification par cl cryptographique est prise en charge 53 SafeGuard Enterprise 10 5 10 5 1 54 E Les certificats fournis par le client et import s dans SafeGuard Enterprise ne sont actuellement pas v rifi s conform ment RFC3280 Par exemple nous n emp chons pas l utilisation de certificats de signature des fins de chiffrement Clients virtuels Les clients virtuels sont des fichiers de cl s sp cifiques pouvant tre utilis s pour la r cup ration dans une proc dure Challenge R ponse lorsque les informations utilisateur requises ne sont pas disponibles et lorsque la proc dure Challenge R ponse n est g n ralement pas prise en charge lorsque la POA est corrompue par exemple Pour activer une proc dure Challenge R ponse dans cette situation de r cup ration complexe vous pouvez cr er des fichiers sp cifiques appel s clients virtuels Ils doivent tre distribu s l utilisateur avant que la session Challenge R ponse ne soit ex cut e A l aide des clients virtuels Challenge R ponse peut tre lanc e par un outil de r cup ration de cl sur l ordinateur d extr mit
233. ication au d marrage Le sc nario peut ainsi tre le suivant 1 SafeGuard Enterprise est install sur un ordinateur d extr mit 2 Apr s le red marrage de l ordinateur l op rateur en charge du d ploiement se connecte 3 L op rateur en charge du d ploiement est ajout l authentification au d marrage qui devient active L op rateur en charge du d ploiement devient le propri taire de l ordinateur 69 SafeGuard Enterprise 14 1 70 la r ception de son ordinateur l utilisateur final ne pourra pas se connecter la POA L utilisateur doit ex cuter une proc dure Challenge R ponse Pour viter que les op rations d administration sur un ordinateur prot g par SafeGuard Enterprise n activent l authentification au d marrage et n entra nent l ajout des op rateurs en charge du d ploiement comme autant d utilisateurs et de propri taires possibles de l ordinateur SafeGuard Enterprise vous permet de cr er des listes de comptes de service pour les ordinateurs prot g s par SafeGuard Enterprise Les utilisateurs inclus dans ces listes sont trait s comme des utilisateurs invit s SafeGuard Enterprise Avec les comptes de service le sc nario est le suivant 1 SafeGuard Enterprise est install sur un ordinateur d extr mit 2 Apr s le red marrage de l ordinateur un op rateur en charge du d ploiement et figurant sur une liste de comptes de service se connecte connexion Windows 3 D apr s
234. ichier par d faut s applique seulement lorsqu aucun fichier de configuration de la POA est d fini ou trouv Pour installer le fichier de configuration POA entrez la commande suivante MSIEXEC i lt package MSI client gt POACFG lt chemin du fichier de configuration POA gt Vous pouvez nous aider am liorer la compatibilit en ex cutant un outil que nous fournissous pour recueillir seulement les informations mat rielles correspondantes L outil est tr s simple utiliser Les informations recueillies sont ajout es au fichier de configuration mat rielle Pour plus d informations voir http www sophos fr support knowledgebase article 110285 html et http www sophos fr support knowledgebase article 65700 html Les raccourcis clavier suivants sont pris en charge dans la POA E Maj F3 support h rit USB actif inactif Maj F4 mode graphique VESA actif inactif Maj F5 support USB 1 x et 2 0 actif inactif Maj F6 contr leur ATA actif inactif Maj F7 support USB 2 0 seulement actif inactif Le support USB 1 x reste tel qu il est d fini par Maj F5 E Maj F9 ACPI APIC actif inactif Matrice de d pendance des raccourcis clavier USB Aide administrateur d sactiv d sactiv d sactiv H rit activ activ activ 3 activ d sactiv d sactiv d sactiv activ activ Par d faut d sactiv activ d sactiv activ d sactiv d sactiv
235. ie attribu e directement l objet conteneur dans lequel il se trouve l appartenance d un utilisateur de groupe plac dans un autre object conteneur n est pas suffisante L objet conteneur n a pas h rit de cette strat gie Attribution indirecte des strat gies L utilisateur ordinateur re oit une strat gie que l objet conteneur dans lequel il se trouve actuellement l appartenance en tant qu utilisateur d un groupe situ dans un autre objet conteneur n est pas suffisante a h rit d un objet conteneur de niveau sup rieur 63 SafeGuard Enterprise 11 8 6 11 8 7 64 Activation d sactivation de strat gies Pour qu une strat gie soit effective pour un ordinateur utilisateur elle doit tre activ e au niveau du groupe les strat gies ne peuvent tre activ es qu au niveau du groupe Que ce groupe se trouve ou non dans le m me objet conteneur n a pas d importance Le seul point important est que l utilisateur ou l ordinateur ait t attribu directement ou indirectement par h ritage la strat gie Si un ordinateur ou un utilisateur se trouve en dehors d une OU ou d une ligne d h ritage et fait partie d un groupe qui se trouve lui m me dans cette OU cette activation ne s applique pas cet utilisateur ordinateur En effet il n existe pas d attribution valide pour cet utilisateur ou cet ordinateur directement ou indirectement Le groupe tait en effet activ mais une activation peut seulement s
236. ie s applique d sormais exclusivement ce groupe Si des strat gies ont galement t attribu es l OU de niveau sup rieur cette strat gie s applique ce groupe en plus de celles d finies pour l OU enti re D sactivation du d ploiement de strat gies En tant que responsable de la s curit vous pouvez d sactiver le d ploiement des ordinateurs d extr mit Pour ce faire cliquez sur le bouton Activer d sactiver le d ploiement des strat gies dans la barre d outils du SafeGuard Management Center ou s lectionnez la commande Activer d sactiver le d ploiement des strat gies dans le menu diter Apr s d sactivation du d ploiement de strat gies aucune strat gie n est envoy e aux ordinateurs d extr mit Pour inverser la d sactivation du d ploiement de strat gies cliquez sur le bouton ou s lectionnez de nouveau la commande Remarque Aide administrateur 11 8 11 8 1 11 8 2 11 8 3 11 8 4 11 8 5 Pour d sactiver le d ploiement de strat gies un responsable de la s curit doit disposer du droit Activer d sactiver le d ploiement des strat gies Par d faut ce droit a t affect aux r les pr d finis de responsable principal de la s curit et de responsable de la s curit ma s il peut aussi tre affect de nouveaux r les d finis par l utilisateur R gles d attribution et d analyse des strat gies La gestion et l analyse des strat gies s effectuent selon les
237. if SGNSR SafeGuard 10 x Fichier diter Affichage Acc der Actions Outils Aide koraly Strat gies A l ments de strat gie I config B oupes de strat gies gl Images 1005 SGLog Service d marr TRUE Texte d informations 1007 S6Log ABC LORS 9 Listes blanches NES 1017 SGLog Syst me Destination de consignation non disponible le 2008 SGMAS Authentification R ponse cr e i 1e 2083 5GMAS Authentification R ponse avec action afficher le mot de passe utilisa f 2084 SGMAS Authentification R ponse pour le client virtuel cr le 2085 SGMAS Authentification R ponse pour le client autonome cr 2500 SGMAS Administration Lancement de SafeGuard Enterprise Administration t f IUa 2501 SGMAS Administration chec de la connexion SafeGuard Enterprise Admi 1 0 2502 SGMAS Administration Autorisation pour SafeGuard Enterprise Administrati 2504 SGMAS Administration Autorisation suppl mentaire accord e pour l action y y l 2505 SGMAS Administration Autorisation suppl mentaire refus e D 2506 SGMAS Administration Importation de donn es depuis le r pertoire men e B PE O EN 2507 SGMAS Administration Importation de donn es depuis le r pertoire annul e t 8 2508 SGMAS Administration Impossible d importer des donn es depuis le r pertoi E9
238. ificat et ouvrez le fichier de certificat correspondant La recherche s effectue d abord dans un fichier de certificat puis sur la cl cryptographique Les certificats peuvent rester dans l emplacement de stockage quel qu il soit 6 Sous R les activez les r les devant tre attribu s au SO 7 Confirmez les saisies en cliquant sur OK Le SO est cr la cl cryptographique est g n r e les informations de connexion sont crites sur la cl cryptographique en fonction du param tre et les informations de la cl cryptographique sont enregistr es dans la base de donn es SafeGuard Enterprise Vous pouvez afficher les donn es de la zone Carte puce de l onglet Informations sur la carte puce Placement des certificats sur une cl cryptographique ou sur une carte puce Les informations de connexion mais galement les certificats peuvent tre crits sur une cl cryptographique Seule la partie priv e du certificat fichier p12 peut tre enregistr e sur la cl cryptographique Toutefois les utilisateurs ne peuvent normalement acc der qu leur cl priv e lorsqu ils se connectent avec la cl cryptographique Nous vous recommandons d utiliser des certificats PKI Vous pouvez attribuer les donn es d authentification diff rents types de cl s cryptographiques E en g n rant des certificats directement sur la cl cryptographique E en attribuant des donn es qui sont d j sur la cl cryptographique
239. ilisateur dans le noyau Authentification 2082 chec de la suppression de l utilisateur du noyau Authentification 2083 R ponse avec afficher le mot de passe utilisateur cr e Authentification 2084 R ponse pour les clients virtuels cr e Authentification 2085 R ponse pour les clients autonomes cr e Authentification 2095 Impossible d activer l veil par appel r seau Aide administrateur Cat gorie ID Description s i Authentification 2096 Impossible de d sactiver l veil par appel r seau Authentification 2097 L utilisateur s est connect pour la premi re fois au client l aide de la cl cryptographique de veille La cl cryptographique de veille a t d finie comme cl standard Authentification L activation du certificat de veille r ussie a t signal e au serveur Authentification L utilisateur s est connect pour la premi re fois au client l aide de la cl cryptographique de veille Le certificat de veille n a pas pu tre activ cause d une erreur Authentification L activation du certificat de veille a chou sur le serveur Administration Lancement de SafeGuard Enterprise Administration Administration 2501 chec de la connexion SafeGuard Enterprise Administration Administration 2502 Autorisation pour SafeGuard Enterprise Administration refus e Administration 2504 Autorisation suppl mentaire accord e
240. ilisateurs complets avec un certificat et une cl existants Le propri taire de l ordinateur n a pas besoin d attribuer des droits d acc s dans ce cas Les param tres suivants permettent de sp cifier qui est autoris ajouter des utilisateurs l UMA M Propri t si ce param tre est s lectionn l utilisateur peut tre enregistr comme le propri taire d un ordinateur E Utilisateur propri taire ce param tre signifie que l utilisateur est saisi dans l UMA en tant que propri taire Aucun utilisateur suppl mentaire ne peut tre inclus dans l UMA Un seul utilisateur par ordinateur peut tre saisi dans l UMA en tant que propri taire Le param tre de strat gie Importation de nouveaux utilisateurs autoris e pour des Param tres machine sp cifiques d termine qui est autoris ajouter d autres utilisateurs dans l UMA Aide administrateur E Importation de nouveaux utilisateurs autoris e pour Personne M me l utilisateur saisi comme propri taire ne peut pas ajouter d autres utilisateurs l UMA L option permettant un propri taire d ajouter d autres utilisateurs est d sactiv e Propri taire param tre par d faut Remarque Un responsable de la s curit peut toujours ajouter des utilisateurs dans le SafeGuard Management Center Tout le monde L ve la restriction selon laquelle les utilisateurs ne peuvent tre ajout s que par le propri taire Exemple L exemple suivant montre c
241. ilisateurs authentifi s Les ordinateurs sont ajout s au groupe Ordinateurs authentifi s Les strat gies activ es pour ces groupes s appliquent en cons quence Cr ation d un nouveau groupe de travail Les responsables de la s curit dot s des droits requis peuvent cr er un conteneur sous le r pertoire racine qui repr sente un groupe de travail Windows Les groupes de travail n ont pas de cl Ils ne peuvent pas tre renomm s 1 Dans le SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation de gauche cliquez avec le bouton droit de la souris sur Racine Filtre actif et s lectionnez Nouveau gt Cr er un nouveau groupe de travail enregistrement auto 11 SafeGuard Enterprise 12 4 6 4 7 3 Sous Informations communes sp cifiez les l ments suivants a Entrez un Nom complet pour le groupe de travail b Vous pouvez ventuellement ajouter une description c Le type d objet est affich sous tat de la connexion dans ce cas Groupe de travail d Pour emp cher l h ritage de strat gie vous pouvez s lectionner Bloquer l h ritage de strat gie e Cliquez sur OK Le groupe de travail est cr Le r pertoire Auto registered par d faut est cr automatiquement sous le conteneur du groupe de travail Il ne peut tre ni renomm ni supprim Suppression de groupes de travail Les responsables de la s curit dot s des droits requis p
242. inissez les questions et distribuez les aux utilisateurs Les utilisateurs sont galement autoris s d finir des questions personnalis es Lorsqu ils r pondent au nombre minimum de questions n cessaire pour activer Local Self Help les utilisateurs peuvent choisir entre des questions pr d finies et des questions personnalis es ou une combinaison des deux E Vous autorisez les utilisateurs d finir des questions personnalis es Les utilisateurs activent Local Self Help sur leurs ordinateurs en d finissant des questions personnalis es et en y r pondant Pour autoriser les utilisateurs d finir des questions personnalis es s lectionnez l option Oui dans le champ L utilisateur peut d finir des questions personnalis es D finition de questions Pour pouvoir utiliser Local Self Help sur un ordinateur d extr mit l utilisateur doit r pondre un nombre pr d fini de questions et les enregistrer En tant que responsable de la s curit avec les droits n cessaires vous pouvez sp cifier le nombre de questions auxquelles l utilisateur doit r pondre pour activer Local Self Help sur l ordinateur d extr mit Vous pouvez galement pr ciser le nombre de questions qui seront al atoirement s lectionn es dans la POA Pour se connecter la POA avec Local Self Help l utilisateur doit r pondre correctement toutes les questions affich es dans la POA Pour plus d informations voir D finition du nombre de questions auxqu
243. ion Aide administrateur 4 3 4 4 4 5 Lors de la synchronisation suivante entre l AD et la base de donn es de SafeGuard Enterprise SampleComputer et SampleUser sont d plac s automatiquement dans les unit s organisationnelles OU appropri es Le responsable principal de la s curit MSO peut ajouter des strat gies au dossier Auto registered s il le souhaite mais ces strat gies ne s appliqueront SampleComputer et SampleUser que si ces objets font partie du dossier Auto registered Une fois d plac s dans leurs unit s organisationnelles OU via une synchronisation entre l AD et la base de donn es de SafeGuard Enterprise les strat gies d finies pour ces OU s appliqueront SampleComputer et SampleUser Cl s et certificats pour les objets enregistr s automatiquement Pour chaque objet enregistr automatiquement un certificat est g n r par le serveur en fonction des besoins Un utilisateur local obtient deux cl s E la cl du conteneur Auto registered E la cl priv e g n r e en fonction des besoins par le serveur Les utilisateurs locaux n obtiennent aucune autre cl pour leur conteneur attribu ni une cl racine Les groupes de travail n obtiennent pas de cl Strat gies pour les objets enregistr s automatiquement Pour les objets enregistr s automatiquement les strat gies peuvent tre cr es sans aucune restriction Les utilisateurs locaux sont ajout s au groupe Ut
244. ion En entrant des informations du r seau WLAN vous d finissez les param tres d un r seau selon son ordre d approbation de connexion Vous pouvez identifier un r seau par son nom et ou son adresse MAC Une fois le nom ou l adresse MAC du r seau entr vous pouvez galement sp cifier des param tres d authentification et de chiffrement de donn es respecter Seuls les r seaux r pondant tous les param tres sont approuv s Pour ajouter un lien WLAN manuellement 1 Ouvrez la liste blanche de connexions WLAN 2 Cliquez sur l ic ne Ajouter de la barre d outils de SafeGuard Enterprise pour ajouter une nouvelle entr e la liste blanche 3 Entrez un Nom du r seau une Adresse MAC ou les deux L ajout d informations au moins un des deux champs est obligatoire 4 Pour sp cifier le Nom du r seau uniquement entrez le nom et passez l tape 6 5 Pour sp cifier l Adresse MAC uniquement entrez l adresse et passez l tape 6 6 Pour d finir les param tres de s curit sp cifiez les param tres Authentification et Chiffrement des donn es requis dans la liste d roulante L ajout d informations ces champs est facultatif Remarque Les options Chiffrement des donn es disponibles dans la liste d roulante d pendent du type d authentification s lectionn Par exemple pour l authentification WPA les options de chiffrement sont TKIP ou AES alors que dans le cas de l authentification 802 1X seul l
245. ion de base de donn es s lectionn e est reli e au SafeGuard Management Center et s active 3 Pour vous authentifier dans le SafeGuard Management Center vous tes invit s lectionner le nom du responsable de la s curit de cette configuration et saisir son mot de passe de magasin de certificats Cliquez sur OK Le SafeGuard Management Center est ouvert et reli la configuration de base de donn es s lectionn e Remarque Si vous saisissez un mot de passe incorrect un message d erreur s affiche et un d lai est impos avant la tentative de connexion suivante Le d lai est augment chaque chec de tentative de connexion Les checs sont journalis s Etapes de travail dans le SafeGuard Management Center Les tapes suivantes sont essentielles pour utiliser SafeGuard Enterprise afin de garantir que les strat gies de s curit l chelle de l entreprise peuvent tre appliqu es aux ordinateurs d extr mit Cr ation ou importation de la structure organisationnelle Cr ation de responsables de la s curit suppl mentaires D finition des strat gies initiales de base Enregistrement des param tres dans la base de donn es Exportation et importation de configurations Utilisation quotidienne Apr s la premi re connexion des param tres peuvent tre ajout s en fonction des besoins Les diff rents responsables de la s curit peuvent effectuer leurs op rations conform ment aux r
246. ion du p riph rique la cible P riph riques de stockage locaux doit tre s lectionn e Pour toutes les autres cibles l option Applications non g r es n est pas disponible Aide administrateur Param tre de strat gie Explication Supports amovibles seulement Copier portable SG vers support amovible Si cette option est activ e SafeGuard Portable est copi sur tous les supports amovibles connect s l ordinateur d extr mit SafeGuard Portable permet l change des donn es chiffr es avec le support amovible sans que SafeGuard Enterprise ne soit install sur le destinataire Le destinataire peut d chiffrer et rechiffrer les fichiers chiffr s en utilisant SafeGuard Portable et le mot de passe correspondant Le destinataire peut rechiffrer les fichiers avec SafeGuard Portable ou utiliser la cl d origine pour le chiffrement Il n est pas n cessaire que SafeGuard Portable soit install ou copi sur l ordinateur du destinataire il peut tre utilis directement partir du support amovible Cl de chiffrement initial par d faut Ce champ propose une bo te de dialogue de s lection d une cl utilis e pour le chiffrement initial bas sur fichier Si vous s lectionnez une cl ici l utilisateur ne peut pas s lectionner de cl au d marrage du chiffrement initial Le chiffrement initial d marre sans interaction de l utilisateur La cl s lectionn e est toujours utilis e pour
247. ion du sch ma Active Directory utilis est requise En outre des droits d administrateur de domaine sont n cessaires pour r cup rer les informations stock es 241 SafeGuard Enterprise 30 5 2 Algorithmes BitLocker dans SafeGuard Enterprise 30 5 3 BitLocker prend en charge les algorithmes AES Advanced Encryption Standard suivants E AFS 128 E AES 256 M AES 128 avec diffuseur M AES 256 avec diffuseur Le diffuseur est sp cifique BitLocker et ne peut pas tre utilis en mode de chiffrement bas sur volume de SafeGuard Enterprise Si un algorithme avec diffuseur est s lectionn pour le chiffrement tous les modules non BitLocker de SafeGuard Enterprise utilisent automatiquement l algorithme sans diffuseur Lorsqu une strat gie est attribu e aux ordinateurs BitLocker et aux ordinateurs SafeGuard Enterprise natifs ces derniers utilisent l algorithme sans diffuseur et les ordinateurs BitLocker utilisent l algorithme avec diffuseur Strat gies de chiffrement pour BitLocker Drive Encryption Le responsable de la s curit peut cr er une strat gie de chiffrement initial dans le SafeGuard Management Center et la distribuer aux ordinateurs d extr mit BitLocker lors de l ex cution Les clients BitLocker tant g r s de mani re transparente dans le SafeGuard Management Center le responsable de la s curit ne doit proc der aucun param trage BitLocker sp cifique pour le chiffrement SafeGuard Enterprise con
248. ions d taill es existantes mais que vous souhaitez les restaurer ult rieurement tape 7 D finir le contr le des r seaux locaux sans fil WLAN Outre les p riph riques SafeGuard Configuration Protection contr le et surveille vos connexions WLAN pour garantir que les ordinateurs d extr mit n utilisent que des connexions autoris es et s curis es Dans la section Contr le du port vous pouvez sp cifier que l acc s un port WLAN est restreint S lectionnez Restreint pour d finir plus particuli rement via la section Types de connexions WLAN les r seaux autoris s acc der ce port 127 SafeGuard Enterprise 17 3 8 1 17 3 8 2 17 3 8 3 17 3 9 128 Remarque Lors de la restriction d utilisation du r seau local sans fil en tant que port SafeGuard Configuration Protection contr le et r gule les connexions WLAN sur l infrastructure Microsoft WZC Tout pilote de p riph rique tentant d acc der la carte r seau sans utiliser WZC sera bloqu Remarque Si vous utilisez plusieurs cartes WLAN appliquant des pilotes propri taires vous pouvez uniquement autoriser ou bloquer le r seau local sans fil en tant que port Contr le du r seau local sans fil WLAN Param tres Types de connexions WLAN cette option vous permet d autoriser ou de restreindre l acc s aux r seaux locaux sans fil et d autoriser ou de bloquer des connexions poste poste de r seau local sans fil En ce qui conc
249. ions suivantes Remarque Certains colonnes sont masqu es par d faut Vous pouvez personnaliser l affichage pour les montrer Pour plus d informations voir Affichage des colonnes cach es la page 214 Colonne Explication Nom de la machine Indique le nom de l ordinateur Domaine Indique le nom du domaine de l ordinateur Domaine Pre 2000 Indique le nom du domaine avant Windows 2000 Nom utilisateur Indique le nom utilisateur du propri taire de l ordinateur s il est propri taire disponible Pr nom Indique le pr nom du propri taire s il est disponible Surnom Indique le surnom du propri taire s il est disponible Adresse lectronique Indique l adresse lectronique du propri taire s il est disponible Autres utilisateurs Affiche les noms des autres utilisateurs enregistr s de l ordinateur enregistr s s ils sont disponibles Syst me d exploitation Indique le syst me d exploitation de l ordinateur Dernier contact du serveur Indique quand date et heure l ordinateur a communiqu avec le serveur pour la derni re fois Derni re strat gie re ue Indique quand date et heure l ordinateur a re u la derni re strat gie Lecteurs chiffr s Indique les lecteurs chiffr s de l ordinateur Lecteurs non chiffr s Indique les lecteurs non chiffr s de l ordinateur Type POA Sp cifie si l ordinateur est un client SafeGuard Enterprise natif un client BitLocker ou un ordina
250. iques Une description des types de p riph riques pris en charge est propos e dans Types de p riph riques pris en charge Pour obtenir une proc dure de d finition des options de cette section consultez D finition du contr le du stockage Contr le du stockage Liste blanche Cette section propose d attribuer une liste blanche pour les mod les de p riph riques de stockage et ou une liste blanche pour les p riph riques de stockage distincts 1 Liste blanche pour les mod les de p riph riques de stockage cette option fait r f rence au mod le d un type de p riph rique de stockage sp cifique comme un mod le de carte m moire USB sp cifique 2 Liste blanche pour les p riph riques de stockage distincts p riph riques de stockage distincts avec un num ro de s rie unique savoir un p riph rique existant et sp cifique Par exemple la carte m moire USB personnelle du directeur g n ral peut tre autoris e se connecter alors que d autres cartes m moire USB ne le sont pas Remarque Cette section est d sactiv e lorsque vous s lectionnez l option Autoriser ou Bloquer pour Tous les p riph riques de stockage Remarque S lectionnez Autoriser ou Bloquer lorsque vous ne souhaitez pas appliquer un contr le du p riph rique de stockage d taill ce moment pr cis mais que vous envisagez d en d finir un ult rieurement Utilisez galement cette option lorsque vous souhaitez remplacer des d finit
251. ir d un fichier exporter une configuration de base de donn es r utiliser ult rieurement 17 SafeGuard Enterprise 18 5 1 5 2 5 3 Cr ation de configurations de base de donn es suppl mentaires Pour cr er une autre configuration de base de donn es SafeGuard Enterprise la suite de la configuration initiale 1 D marrez le SafeGuard Management Center La bo te de dialogue S lection d une configuration s affiche 2 Cliquez sur Nouveau L assistant de configuration du SafeGuard Management Center d marre automatiquement L assistant vous guide tout au long des tapes n cessaires de cr ation d une nouvelle configuration de base de donn es 3 Sp cifiez vos param tres tels que requis La nouvelle configuration de base de donn es est cr e 4 Pour vous authentifier dans le SafeGuard Management Center vous tes invit s lectionner le nom du responsable de la s curit de cette configuration et saisir son mot de passe de magasin de certificats Cliquez sur OK Le SafeGuard Management Center est ouvert et reli la nouvelle configuration de base de donn es Au prochain lancement du SafeGuard Management Center la nouvelle configuration de base de donn es peut tre s lectionn e dans la liste Association une configuration de base de donn es existante Pour travailler avec une configuration de base de donn es SafeGuard Enterprise 1 D marrez le SafeGuard Management C
252. ir les param tres dans une strat gie du type Protection du p riph rique Supports amovibles E Mode de chiffrement du support Bas sur fichier E Cl utiliser pour le chiffrement Cl d finie dans la liste Cl d finie dans la liste lt cl de groupe domaine gt par exemple groupe_utilisateurs_Bob_Alice DC pour s assurer qu ils partagent la m me cl Si les strat gies de l entreprise stipulent galement que tous les fichiers des supports amovibles doivent toujours tre chiffr s ajoutez les param tres suivants E Chiffrement initial de tous les fichiers Oui V rifie que les fichiers des supports amovibles sont chiffr s lors de la premi re connexion du support au syst me E L utilisateur peut annuler le chiffrement initial Non L utilisateur ne peut pas annuler le chiffrement initial pour le diff rer par exemple E L utilisateur est autoris acc der aux fichiers non chiffr s Non Si des fichiers au format brut sont d tect s sur le support amovible leur acc s est refus E L utilisateur peut d chiffrer des fichiers Non L utilisateur n est pas autoris d chiffrer des fichiers de supports amovibles E Copier portable SG vers support amovible Non SafeGuard Portable n est pas n cessaire tant que les donn es de supports amovibles sont partag es dans un groupe de travail SafeGuard Portable permet galement d autoriser le d chiffrement de fichiers sur des ordinateurs sur lesquels
253. ir une longueur minimale de 8 caract res un m lange de caract res num riques et alphanum riques etc Si le mot de passe que vous avez entr est trop court un message d avertissement s affiche 7 Cliquez sur OK Le nouveau compte d acc s POA a t cr et l utilisateur POA compte d acc s POA s affiche sous Utilisateurs POA dans la zone de navigation Utilisateurs et ordinateurs Aide administrateur 15 2 15 3 15 4 Modification du mot de passe d un compte d acc s POA 1 Cliquez sur Utilisateurs et ordinateurs dans la zone de navigation du SafeGuard Management Center 2 Dans la fen tre de navigation Utilisateurs et ordinateurs sous POA Utilisateurs POA s lectionnez un utilisateur POA 3 Dans le menu contextuel de cet utilisateur POA s lectionnez Propri t s La bo te de dialogue Propri t s de l utilisateur POA s affiche 4 Dans l onglet G n ral sous Mot de passe utilisateur saisissez le nouveau mot de passe et confirmez le 5 Cliquez sur OK Le nouveau mot de passe est attribu au compte d acc s POA correspondant Suppression de comptes d acc s POA 1 Dans la zone de navigation du SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation Utilisateurs et ordinateurs sous POA Utilisateurs POA s lectionnez un compte d acc s POA 3 Cliquez avec le bouton droit de la souris sur le compte d acc s POA et s lectionnez Supprimer da
254. ire l utilisateur doit s lectionner l option Disquette Support externe dans le champ Poursuivre l initialisation partir de de la bo te de dialogue de connexion POA et initaliser le challenge Lors de la r ception de la r ponse l utilisateur peut saisir les informations d identification dans la POA de fa on habituelle et poursuivre l initialisation partir d un support externe Les conditions suivantes doivent tre remplies pour que vous puissiez acc der un volume chiffr M Le p riph rique utiliser doit contenir le pilote du filtre SafeGuard Enterprise La description d taill e de la cr ation d un CD de pilote de ce type est indiqu e dans notre base de connaissances http www sophos fr support knowledgebase article 108805 html E L utilisateur doit ex cuter l initialisation partir d un support externe et doit disposer de l autorisation appropri e Vous pouvez lui octroyer ce droit en d finissant une strat gie dans le SafeGuard Management Center et en l attribuant l ordinateur le type de strat gie Authentification gt L utilisateur peut uniquement initialiser partir du disque dur doit tre d fini sur Oui Par d faut le droit d initialisation partir d un support externe n est pas affect Aide administrateur 25 5 1 6 25 5 1 7 25 5 2 E En g n ral l ordinateur d extr mit doit prendre en charge l initialisation partir de supports autres qu un disque dur fixe M Seuls l
255. iste de comptes de service se r v le tout particuli rement utile et importante durant l installation initiale au cours de la phase de d ploiement d une mise en uvre C est pourquoi nous recommandons le transfert des param tres de liste de comptes de service sur l ordinateur d extr mit sit t l installation effectu e Pour rendre disponible la liste des comptes de service sur l ordinateur d extr mit ce moment pr cis ajoutez une strat gie de type Authentification lors de la cr ation du package de configuration initiale pour pouvoir configurer l ordinateur d extr mit apr s l installation Vous pouvez tout moment changer les param tres de la liste des comptes de service cr er une nouvelle strat gie et la transf rer sur les ordinateurs d extr mit Connexion un ordinateur d extr mit l aide d un compte de service Lors de la premi re connexion Windows apr s le red marrage de l ordinateur un utilisateur figurant sur une liste de comptes de service se connecte l ordinateur en tant qu utilisateur invit SafeGuard Enterprise Cette premi re connexion Windows l ordinateur ne d clenche pas de proc dure d authentification au d marrage de m me qu elle n ajoute pas l utilisateur l ordinateur L infobulle de l ic ne de la barre d tat syst me SafeGuard Enterprise de Synchronisation utilisateur initiale termin e ne s affiche pas Affichage de l tat du compte de service sur l ordinateur d extr
256. it 3 Modifiez les propri t s selon vos besoins Modifiez les propri t s d authentification suppl mentaire en cliquant sur la valeur de cette colonne et en s lectionnant le r le requis 4 Cliquez sur l ic ne Enregistrer de la barre d outils pour enregistrer vos modifications dans la base de donn es Le r le a t modifi Copie d un r le Pour cr er un r le dont les propri t s sont identiques celles d un r le existant vous pouvez utiliser le r le existant comme mod le pour le nouveau r le Vous pouvez s lectionner un r le pr d fini ou personnalis comme mod le Condition pr alable vous pouvez utiliser des r les existants comme mod les uniquement si le responsable de la s curit actuellement authentifi poss de tous les droits contenus dans le mod le de r le sp cifique Par cons quent cette fonction peut ne pas tre disponible pour les responsables ne poss dant qu un nombre d actions limit 1 Dans le SafeGuard Management Center s lectionnez Responsables de la s curit 2 Dans la fen tre de navigation cliquez avec le bouton droit de la souris sur le r le copier et s lectionnez Nouveau gt Nouvelle copie du r le Dans Nouveau r le personnalis toutes les propri t s du r le existant sont pr s lectionn es 3 Entrez un nouveau nom pour ce r le et modifiez les propri t s selon les besoins 4 Cliquez sur l ic ne Enregistrer de la barre d outils pour enregistrer vo
257. it non administr s la cl de chiffrement de support est utilis e automatiquement comme Cl d finie pour le chiffrement car aucune cl de groupe n est disponible sur les ordinateurs d extr mit non administr s L utilisateur est autoris cr er une cl locale Ce param tre d termine si l utilisateur peut g n rer ou non une cl locale sur son ordinateur Les cl s locales sont g n r es sur l ordinateur d extr mit selon une phrase de passe saisie par l utilisateur La configuration minimale de la phrase de passe est d finie dans des strat gies du type phrase de passe Ces cl s sont galement enregistr es dans la base de donn es L utilisateur peut les utiliser sur n importe quel ordinateur auquel il est connect Des cl s locales peuvent tre utilis es pour l change de donn es s curis avec SafeGuard Data Exchange SG DX PARAM TRES BAS S SUR VOLUME L utilisateur peut ajouter des cl s au volume chiffr ou en supprimer OUI les utilisateurs de l ordinateur d extr mit peuvent ajouter ou supprimer des cl s d un jeu de cl s La bo te de dialogue s affiche dans l onglet Chiffrement Chiffrement de la commande du menu contextuel NON les utilisateurs de l ordinateur d extr mit ne peuvent pas ajouter de cl s R action aux volumes non chiffr s D finit de quelle mani re SafeGuard Enterprise g re les supports non chiffr s Les options suivantes sont dispo
258. ker sont journalis s comme pour tout autre client SafeGuard Enterprise Il n est pas express ment indiqu que l v nement est li un client BitLocker Les v nements signal s sont identiques pour tout client SafeGuard Enterprise SafeGuard Enterprise et BitLocker Drive Encryption Avec BitLocker To Go la fonctionnalit BitLocker Drive Encryption a t tendue dans Microsoft Windows 7 permettant ainsi l utilisateur de chiffrer des volumes internes ainsi que des volumes sur support amovible sur les ordinateurs d extr mit partir du menu contextuel de Windows Explorer M Lorsque le client SafeGuard Enterprise Device Encryption a t d ploy avec la prise en charge BitLocker activ e BitLocker To Go est pris en charge M Lorsque le client SafeGuard Enterprise Device Encryption a t d ploy sans activer la prise en charge BitLocker ou lorsque le client SafeGuard Data Exchange a t d ploy le chiffrement avec BitLocker To Go n est pas compatible et doit tre d sactiv dans ce cas Par contre le chiffrement des volumes internes et des supports amovibles peut tre correctement configur de mani re centralis e dans les strat gies de s curit SafeGuard Enterprise Les volumes et les supports amovibles qui ont t chiffr s avec BitLocker To Go avant le d ploiement de SafeGuard Enterprise restent lisibles D sactivation du chiffrement BitLocker To Go 1 Dans l diteur de strat gies de groupes Wind
259. l de fonction non valide 1516 Une erreur interne s est produite 1517 Une violation d acc s s est produite 1518 La fonction ou le mode n est pas pris en charge 1519 chec de la d sinstallation 1520 Une erreur d exception s est produite 1550 Le secteur MBR du disque dur n a pas pu tre remplac 2850 Le service du planificateur s est arr t cause d une exception 2851 La t che du planificateur s est ex cut e avec succ s 2852 chec de la t che du planificateur 2853 T che du planificateur cr e ou modifi e 2854 T che du planificateur supprim e 20001 Inconnu 20002 Processus termin 20003 Fichier non v rifi 20004 Strat gie non valide 30050 Impossible d ouvrir la commande 30051 M moire insuffisante 30052 chec g n ral de la communication de traitement 30053 Une ressource est temporairement indisponible Cet tat est temporaire Des tentatives d acc s ult rieures peuvent fonctionner normalement 30054 chec g n ral de communication 30055 Valeur renvoy e inattendue 30056 Aucun lecteur de carte n est connect 30057 D passement de m moire tampon 30058 La carte n est pas aliment e 30059 Un d passement de d lai s est produit 30060 Type de carte incorrect 30061 La fonctionnalit demand e n est pas prise en charge l heure actuelle par ce SE dans cette situation etc 261 SafeGuard Enterprise ID de l erreur Affichage 30062 Pilote no
260. l utilisateur est invit saisir la phrase de passe sp cifi e lors de la cr ation de la cl L utilisateur peut ouvrir le fichier s il conna t la phrase de passe Gr ce SafeGuard Portable chaque utilisateur connaissant la phrase de passe peut acc der un fichier chiffr sur un support amovible Il est ainsi galement possible de partager des donn es chiffr es avec des partenaires ne disposant pas de SafeGuard Enterprise SafeGuard Portable et la phrase de passe des fichiers auxquels ils doivent acc der doivent leur tre fournis Si diff rentes cl s locales sont utilis es pour chiffrer des fichiers de supports amovibles vous pouvez galement restreindre l acc s aux fichiers Par exemple vous chiffrez les fichiers contenus sur une carte m moire USB l aide d une cl avec la phrase de passe my_localkey et chiffrez un fichier nomm ForMyPartner doc l aide de la phrase de passe partner_localkey Si vous donnez la carte USB un partenaire et fournissez la phrase de passe partner_localkey ce dernier il n aura acc s qu au fichier ForMyPartner doc Remarque Par d faut SafeGuard Portable est copi automatiquement sur tous les supports amovibles connect s au syst me Si vous ne souhaitez pas que SafeGuard Portable soit copi automatiquement sur les supports amovibles d sactivez l option Copier portable SG vers support amovible dans une strat gie du type Chiffrement de p riph rique Phrase de passe du s
261. le Nom du domaine dans les colonnes correspondantes puis appuyez sur Entr e R p tez cette tape pour ajouter d autres utilisateurs 8 Enregistrez vos modifications en cliquant sur l ic ne Enregistrer de la barre d outils La liste de comptes de service est pr sent enregistr e et peut tre s lectionn e d s lors que vous cr ez une strat gie Aide administrateur 14 2 Informations suppl mentaires pour la saisie de noms d utilisateur et de domaine Il existe plusieurs m thodes servant sp cifier des utilisateurs dans les listes de comptes de service Deux champs sont alors utilis s Nom d utilisateur et Nom du domaine voir Pr sentation des diff rentes combinaisons de connexion la page 71 Les restrictions s appliquent aussi pour les entr es valides dans ces champs voir Restrictions la page 72 Pr sentation des diff rentes combinaisons de connexion Les deux champs distincts Nom d utilisateur et Nom du domaine par entr e de liste vous permettent de couvrir toutes les combinaisons disponibles de connexion par exemple utilisateur domaine ou domaine utilisateur Pour g rer plusieurs combinaisons nom d utilisateur nom de domaine vous pouvez utiliser des ast risques comme caract res g n riques Une ast risque peut remplacer le premier signe le dernier signe ou tre le seul signe autoris Par exemple E Nom d utilisateur Administrateur E Nom du domaine Cette combinaison indi
262. les modules essentiels de SafeGuard Enterprise ne sont pas disponibles ou ne fonctionnent pas Les sections suivantes couvrent les probl mes et les m thodes de r cup ration envisageables R cup ration des donn es via l initialisation partir d un support externe Ce type de r cup ration s applique lorsque l utilisateur peut toujours se connecter partir de l authentification au d marrage mais ne peut plus acc der au volume chiffr Dans ce cas l acc s aux donn es chiffr es peut tre r cup r en d marrant l ordinateur partir d un disque de r cup ration Windows PE personnalis pour SafeGuard Enterprise Aide administrateur 26 2 26 3 Conditions pr alables m L utilisateur qui ex cute l initialisation partir d un support externe doit disposer de l autorisation appropri e Ce droit peut tre soit configur dans le SafeGuard Management Center dans une strat gie de type Authentification L utilisateur peut uniquement d marrer partir du disque dur sur Oui soit obtenu pour une utilisation unique avec une proc dure Challenge R ponse m L ordinateur doit prendre en charge l initialisation partir de supports autres qu un disque dur fixe Pour r cup rer l acc s aux donn es chiffr es sur l ordinateur proc dez comme suit 1 Demandez au support technique de vous fournir le disque SafeGuard Enterprise Windows PE Le support peut t l charger le disque de r cup ration Windows PE a
263. let Licences ont les significations suivantes Licence valide e Licence non valide Avertissement Aide administrateur 7 5 7 6 Licence non valide Erreur X Pour plus d informations voir Licence d pass e la page 27 Pour actualiser l aper u du statut de la licence cliquez sur Recompter les licences utilis es Importation de fichiers de licence Condition pr alable pour importer un fichier de licence dans la base de donn es SafeGuard Enterprise un responsable de la s curit doit disposer du droit Importer fichier de licence 1 Dans le SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation de gauche cliquez sur le n ud racine le domaine ou l unit organisationnelle 3 Dans la zone d action changez pour l onglet Licences 4 Cliquez sur le bouton Importer fichier de licence Une fen tre s ouvre dans laquelle vous pouvez s lectionner le fichier de licence 5 S lectionnez le fichier de licence que vous souhaitez importer puis cliquez sur Ouvrir La bo te de dialogue Application de la licence appara t avec le contenu du fichier de licence 6 Cliquez sur Appliquer la licence Le fichier de licence est import dans la base de donn es SafeGuard Enterprise Apr s avoir import le fichier de licence les licences de module achet es sont indiqu es par le type de licence standard Tous les modules pour
264. licence non valide D s que vous redistribuez des licences ou que vous importez un fichier de licence valide la restriction fonctionnelle est annul e et le syst me fonctionne normalement Responsables de la s curit de SafeGuard Enterprise SafeGuard Enterprise peut tre administr par un ou plusieurs responsables de la s curit La gestion bas e sur le r le de SafeGuard Enterprise permet de r partir l administration entre plusieurs utilisateurs Un utilisateur peut se voir attribuer un ou plusieurs r les Pour am liorer la s curit l autorisation suppl mentaire d une action peut tre affect e au r le d un responsable Administrateur de niveau sup rieur le responsable principal de la s curit MSO Master Security Officer poss dant tous les droits et un certificat est cr par d faut au cours de la configuration initiale du SafeGuard Management Center Le certificat du MSO n expire pas D autres responsables de la s curit peuvent tre attribu s des t ches sp cifiques comme le support ou l audit Dans la zone de navigation du SafeGuard Management Center vous pouvez r organiser les responsables de la s curit de fa on hi rarchique pour refl ter la structure organisationnelle de votre entreprise Toutefois cette hi rarchie ne tient pas compte des droits et des r les Remarque Deux responsables de la s curit ne doivent pas utiliser le m me compte Windows sur le m me ordinateur Dans le ca
265. lients BitLocker La gestion des clients BitLocker dans SafeGuard Enterprise est transparente ce qui signifie que les fonctions de gestion fonctionnent en g n ral de fa on identique pour les clients BitLocker et SafeGuard Enterprise natifs Vous pouvez conna tre le type d un ordinateur dans Aide administrateur 30 5 30 5 1 l Inventaire d un conteneur dans Utilisateurs et ordinateurs La colonne Type de POA vous indique si l ordinateur correspondant est un client BitLocker ou un client natif SafeGuard Enterprise Chiffrement avec BitLocker l aide de SafeGuard Enterprise Avec la prise en charge de BitLocker Drive Encryption dans SafeGuard Enterprise vous pouvez chiffrer les l ments suivants E volume d initialisation avec le chiffrement BitLocker et des cl s BitLocker E autres volumes avec le chiffrement BitLocker et des cl s BitLocker E toute donn e de support amovible par exemple avec le chiffrement bas sur fichier de SafeGuard Enterprise et des cl s SafeGuard Enterprise Notez qu avec la prise en charge SafeGuard Enterprise BitLocker les disques durs externes sont g r s comme les autres volumes et non comme des supports amovibles Ils peuvent ainsi tre chiffr s sur volume Cl s de chiffrement pour BitLocker Lors d un chiffrement du volume d initialisation ou d autres volumes avec BitLocker via SafeGuard Enterprise les cl s de chiffrement sont toujours g n r es par BitLocker Une cl est g n
266. logue Propri t s de lt nom de t che gt affiche montrant les propri t s de la t che Aide administrateur 29 5 2 Cliquez sur le bouton Importer pr s du champ Script La bo te de dialogue S lectionner le fichier script importer appara t Remarque Deux scripts pr d finis sont disponibles dans le r pertoire Script Templates de l installation de votre SafeGuard Management Center La bo te de dialogue S lectionner le fichier script importer appara t Pour plus d informations voir Scripts pr d finis pour les t ches p riodiques la page 236 S lectionnez le script que vous voulez importer et cliquez sur OK Le nom du script appara t dans le champ Script Cliquez sur OK Si le script a d j t import vous tes invit confirmer que vous voulez remplacer l ancien script Si la taille du fichier importer d passe 10 Mo un message d erreur appara t et le processus d importation est rejet Le script est enregistr dans la base de donn es Modification de scripts 6 Dans la barre de menus du SafeGuard Management Center s lectionnez Outils gt Planificateur de t ches La bo te de dialogue Planificateur de t ches appara t montrant un aper u des t ches planifi es S lectionnez la t che requise et cliquez sur le bouton Propri t s La bo te de dialogue Propri t s de lt nom de t che gt appara t montrant les propri t s de la t che Cliquez sur le bo
267. lp est disponible pour guider les utilisateurs finaux en fournissant les r ponses initiales et en modifiant les questions Aide administrateur 24 1 La r cup ration avec Local Self Help est disponible pour les m thodes de connexion suivantes dans l authentification au d marrage E Connexion avec ID utilisateur et mot de passe E Connexion avec empreinte digitale E Connexion avec une cl non cryptographique dans la mesure o la connexion avec ID utilisateur et mot de passe a aussi t activ e dans une strat gie du type Authentification Pour plus d informations voir Authentification la page 85 Pour une description d taill e de Local Self Help sur l ordinateur d extr mit consultez l aide utilisateur de SafeGuard Enterprise chapitre R cup ration avec Local Self Help D finition des param tres de Local Self Help dans une strat gie D finissez les param tres de Local Self Help dans une strat gie du type Param tres g n raux sous R cup ration de connexion Local Self Help Vous pouvez activer ici la fonction utiliser sur l ordinateur d extr mit et d finir d autres droits et param tres Activation de Local Self Help Pour activer Local Self Help et l utiliser sur l ordinateur d extr mit s lectionnez Oui dans le champ Activer Local Self Help Une fois la strat gie appliqu e l ordinateur ce param tre permet l utilisateur d exploiter Local Self Help pour r cup rer la connexion Pour
268. lui est propre La disposition de clavier dans la POA est importante lorsque vous saisissez des noms d utilisateur des mots de passe et des codes de r ponse Par d faut SafeGuard Enterprise adopte la disposition de clavier de la POA qui a t d finie dans les Options r gionales et linguistiques de Windows pour l utilisateur Windows par d faut au moment o SafeGuard Enterprise a t install Si Allemand est la disposition de clavier d finie sous Windows la disposition allemande du clavier sera utilis e dans la POA La langue de la disposition de clavier utilis e est affich e dans l authentification au d marrage par exemple FR pour fran ais Outre la disposition de clavier par d faut la disposition de clavier am ricain anglais peut galement tre utilis e Il existe un certain nombre d exceptions E La disposition de clavier est effectivement prise en charge mais l absence d une police de caract res par exemple pour le bulgare signifie que seuls les caract res sp ciaux sont affich s dans le champ Nom d utilisateur E Aucune disposition de clavier n est disponible par exemple pour la R publique Dominicaine Dans ces situations la POA revient la disposition de clavier d origine Pour la R publique Dominicaine il s agit de l espagnol E Lorsque le nom utilisateur et le mot de passe comportent des caract res non reconnus par la disposition de clavier choisie ou par celle de secours l utilisateur n
269. m Cette option n est disponible que si vous s lectionnez Carte puce comme mode de connexion E Si cette option est s lectionn e Connexion automatique vers Windows doit tre d fini sur D sactiver la connexion automatique vers Windows Afficher les checs de connexion pour cet utilisateur Affiche param tre OUI apr s la connexion la POA et Windows une bo te de dialogue indiquant des informations relatives au dernier chec de connexion nom d utilisateur date heure Afficher la derni re connexion utilisateur D sactiver la d connexion forc e dans le verrouillage du poste de travail Affiche param tre OUT apr s la connexion POA et Windows une bo te de dialogue indiquant des informations relatives E la derni re connexion r ussie nom d utilisateur date heure E les derni res informations d identification de l utilisateur connect Si un utilisateur souhaite quitter l ordinateur d extr mit pendant une courte dur e il peut cliquer sur Verrouiller le poste de travail pour emp cher d autres utilisateurs de l utiliser et le d verrouiller avec le mot de passe utilisateur NON l utilisateur qui a verrouill l ordinateur ainsi qu un administrateur peuvent le d verrouiller Si un administrateur d verrouille l ordinateur l utilisateur connect est automatiquement d connect OUI change ce comportement Dans ce cas seul l utilisateur peut d verrouiller l ordinateur L a
270. male 128 caract res Facultatif Valeur maximale 256 caract res Connexion sur la carte puce La connexion peut s effectuer de la fa on suivante Pas de carte puce Le responsable de la s curit ne peut pas se connecter avec une cl cryptographique Il doit se connecter en saisissant les informations de connexion nom d utilisateur mot de passe Facultatif La connexion peut s effectuer avec une cl cryptographique ou en saisissant les informations de connexion Le responsable de la s curit a le choix Obligatoire Une cl cryptographique doit tre utilis e pour la connexion Pour ce faire la cl priv e appartenant au certificat du responsable de la s curit doit se trouver sur la cl cryptographique 37 SafeGuard Enterprise 38 8 9 Champ case cocher Certificat Description Un responsable de la s curit a toujours besoin d un certificat pour se connecter au SafeGuard Management Center Le certificat peut tre cr par SafeGuard Enterprise lui m me ou un certificat existant peut tre utilis Si la connexion avec une cl cryptographique est essentielle le certificat doit tre ajout la cl cryptographique du responsable de la s curit Cr er Le certificat et le fichier de cl s sont cr s et enregistr s dans un emplacement choisi Entrez et confirmez le mot de passe du fichier de cl s p12 Le fichier p12 doit tre la disposition du respon
271. ment en utilisant la m me proc dure que pour les groupes 1 Cliquez sur Utilisateurs et ordinateurs 2 Pour attribuer un groupe d ordinateurs un utilisateur unique s lectionnez ce dernier 3 Cliquez sur l onglet Ordinateur dans la zone d action Tous les ordinateurs et groupes d ordinateurs sont affich s sous Ordinateurs disponibles 4 Faites glisser les groupes s lectionn s de la liste des Groupes disponibles jusqu la zone d activation 5 Une bo te de dialogue s affiche demandant si l utilisateur doit tre le propri taire de tous les ordinateurs Si aucun propri taire n est sp cifi dans le SafeGuard Management Center le premier utilisateur se connecter cet ordinateur en devient automatiquement le propri taire Cet utilisateur peut autoriser d autres utilisateurs acc der cet ordinateur La condition est que l utilisateur soit d fini sur Can be owner Peut tre propri taire E Si vous r pondez Oui le premier utilisateur se connecter cet ordinateur en devient le propri taire et peut en autoriser l acc s d autres utilisateurs M Si vous r pondez Non l utilisateur ne sera pas le propri taire de cet ordinateur Il n est g n ralement pas n cessaire pour le propri taire d un compte de service d tre en m me temps le propri taire de l ordinateur Ce param tre peut tre modifi apr s l attribution initiale Tous les ordinateurs du groupe attribu sont affich s dans la zo
272. ministration 2654 Impossible de modifier la strat gie 251 SafeGuard Enterprise 252 Cat gorie ID Description s i Administration 2657 chec d attribution et d activation d une strat gie dans l OU Administration 2658 chec de la suppression de la strat gie attribu e de l OU Administration Groupe de strat gies cr Administration Groupe de strat gies modifi Administration Groupe de strat gies supprim Administration Impossible de cr er le groupe de strat gies Administration 2663 Impossible de modifier le groupe de strat gies Administration 2665 La strat gie suivante a t ajout e au groupe de strat gies Administration 2667 La strat gie suivante a t supprim e du groupe de strat gies Administration 2668 Impossible d ajouter la strat gie au groupe de strat gies Administration 2670 Impossible de supprimer la strat gie du groupe de strat gies Administration 2678 v nement enregistr export Administration 2679 chec d exportation des v nements enregistr s Administration 2680 v nements enregistr s supprim s Administration 2681 Impossible de supprimer les v nements enregistr s Administration 2684 Le responsable de la s curit autorise le renouvellement du certificat Administration 2685 Le responsable de la s curit refuse le renouvellement du certificat Administration 2686 Impossible de modifier les param tres
273. mp Nom du module Le package de configuration correspondant doit galement tre install sur l ordinateur sur lequel fonctionne le SafeGuard Management Center Cl s cryptographiques USB De m me que les cartes puce les cl s cryptographiques USB comportent un lecteur de cartes puce et une carte puce ces deux unit s se trouvant dans un m me bo tier Cl s cryptographiques prises en charge avec l authentification au d marrage SafeGuard Enterprise prend en charge une vaste gamme de cl s cryptographiques USB Comme condition pr alable la carte puce utilis e doit tre prise en charge par l authentification au d marrage de SafeGuard Enterprise et les lecteurs correspondants doivent galement tre pris en charge Les cl s cryptographiques USB doivent galement tre prises en charge par le middleware correspondant La prise en charge des cl s cryptographiques faisant l objet d am liorations d une version la suivante les cl s cryptographiques et cartes puce pour chaque version de SafeGuard Enterprise sont r pertori es dans les notes de publication Aide administrateur 19 2 2 19 3 19 4 19 4 1 Cl s cryptographiques Kerberos Avec une cl cryptographique l utilisateur est identifi l authentification au d marrage par le certificat stock sur la cl cryptographique Pour ce type de connexion vous devez mettre disposition de l utilisateur une cl cryptographique g n r e en int
274. mple authentification chiffrement etc Nous vous recommandons de d finir une strat gie pour la journalisation et de d terminer quels sont les v nements n cessaires en fonction de vos exigences en mati re de rapports et d audits Pour plus d informations voir Rapports la page 218 SafeGuard Configuration Protection Les r seaux d entreprise actuels sont caract ris s par une prolif ration de ports informatiques facilement accessibles comme USB FireWire et PCMCIA Une vari t d adaptateurs de communication comme Bluetooth IrDA et WLAN et de types de p riph riques comme des dispositifs de stockage des imprimantes des appareils photo num riques des smartphones et des PDA permettent galement d acc der facilement aux points de terminaison via ces ports et p riph riques Ces p riph riques permettent d obtenir une accessibilit et une productivit optimales mais laissent les points de terminaison ouverts et sujets toute infiltration La quantit de donn es d entreprise r sidant sur les points de terminaison tant estim e plus de 60 ceux ci peuvent constituer la partie la plus essentielle mais galement la plus vuln rable du r seau de l entreprise L informatique d entreprise actuelle vise tablir un compromis entre productivit et s curit Les besoins des entreprises en termes de productivit les poussent adopter de nouveaux p riph riques et concepts de s curit Elles doivent ce
275. mptes d acc s POA aux ordinateurs d extr mit non administr s la page 79 4 Sp cifiez un chemin de sortie pour le package de configuration 5 Cliquez sur Cr er un package de configuration 6 D ployez le package de configuration sur les ordinateurs d extr mit L installation du package de configuration entra ne l ajout des utilisateurs comptes d acc s POA inclus dans le groupe la POA sur les ordinateurs d extr mit Les comptes d acc s POA sont disponibles pour la connexion POA Remarque Lorsque vous mettez niveau en administr s des ordinateurs d extr mit non administr s les utilisateurs POA restent actifs s ils ont aussi t attribu s dans le SafeGuard Management Center Les mots de passe d finis dans les groupes des comptes d acc s POA d ploy s dans les packages de configuration sont d finis sur ceux sp cifi s dans la SafeGuard Management Center Les mots de passe chang s avec F8 sont remplac s Pour plus d informations sur la mise niveau en administr s des ordinateurs d extr mit non administr s reportez vous au manuel d installation de SafeGuard Enterprise Aide administrateur 15 7 3 15 7 4 15 8 Annulation de l attribution de comptes d acc s POA aux ordinateurs d extr mit non administr s Les comptes d acc s POA peuvent tre supprim s des ordinateurs d extr mit non administr s en leur attribuant un groupe de comptes d acc s POA vide 1 Dans le SafeGuard
276. n consultez le manuel d installation de SafeGuard Enterprise Remarque V rifiez votre r seau et vos ordinateurs intervalles r guliers pour d tecter les packages de configuration obsol tes ou non utilis s De m me pour des raisons de s curit n oubliez pas de les supprimer Assurez vous de toujours d sinstaller les anciens packages de configuration avant d installer tout nouveau package de configuration sur l ordinateur le serveur Aide administrateur 13 14 Options d acc s administratif sur les ordinateurs d extr mit SafeGuard Enterprise utilise deux types de comptes pour permettre aux utilisateurs de se connecter aux ordinateurs d extr mit et d ex cuter des t ches administratives apr s l installation de SafeGuard Enterprise E Comptes de service pour la connexion Windows Gr ce aux comptes de service les utilisateurs peuvent se connecter connexion Windows aux ordinateurs d extr mit apr s l installation de SafeGuard Enterprise sans avoir activer l authentification au d marrage et sans tre ajout s en tant qu utilisateurs sur les ordinateurs Les listes de comptes de service sont d finies dans la zone Strat gies du SafeGuard Management Center et affect es aux ordinateurs d extr mit via des strat gies Les utilisateurs figurant sur une liste de comptes de service sont consid r s comme des utilisateurs invit s lorsqu ils se connectent l ordinateur d extr mit Remarque Les
277. n message d accueil etc M La prise en charge de nombreux lecteurs de cartes et d un grand nombre de cartes puce La prise en charge des comptes utilisateur Windows et des mots de passe d s l tape de pr initialisation ce qui vite l utilisateur de devoir m moriser des informations d identification distinctes E La prise en charge du format Unicode et par cons quent des mots de passe et des interfaces utilisateur en langue trang re Aide administrateur 21 1 Connexion SafeGuard Enterprise fonctionne avec la connexion bas e sur certificat Les utilisateurs ont besoin de cl s et de certificats pour se connecter lors de l authentification au d marrage La cl et les certificats sp cifiques un utilisateur ne sont cependant cr s qu apr s une connexion Windows Seuls les utilisateurs connect s Windows peuvent tre authentifi s partir de l authentification au d marrage Pour clarifier la mani re dont un utilisateur se connecte SafeGuard Enterprise vous trouverez ci apr s une br ve introduction Pour une description d taill e des proc dures de connexion d authentification au d marrage consultez l aide utilisateur de SafeGuard Enterprise Remarque Sous Windows Vista les utilisateurs doivent tout d abord appuyer sur les touches CTRL ALT SUPPR pour d marrer la connexion automatique et la connexion L administrateur peut d sactiver ce param tre dans la console MMC de l diteur d objet
278. n est disponible que si vous s lectionnez Carte puce comme Mode de connexion possible 5 Dans Authentification automatique Windows d finissez D sactiver l authentification automatique Windows Si vous ne s lectionnez pas cette option lorsqu un code PIN par d faut est sp cifi vous ne pourrez pas enregistrer la strat gie Si vous souhaitez activer l option Authentification automatique Windows vous pouvez cr er ult rieurement une autre strat gie du type Authentification dans laquelle cette option est activ e et l attribuer au m me groupe d ordinateurs afin que les deux strat gies soient actives dans le RSOP 6 Vous pouvez galement sp cifier d autres param tres de cl cryptographique 7 Enregistrez vos param tres et attribuez la strat gie aux ordinateurs ou groupes d ordinateurs concern s Windows d marre si la connexion automatique sur l ordinateur d extr mit r ussit En cas d chec de la connexion automatique sur l ordinateur d extr mit l utilisateur est invit entrer le code PIN de cl cryptographique lors de l authentification au d marrage 161 SafeGuard Enterprise 19 10 19 10 1 19 10 2 19 10 3 162 Initialisation changement et blocage des codes PIN En tant que responsable de la s curit vous pouvez changer le code PIN de l utilisateur et celui du SO et aussi forcer le changement du code PIN de l utilisateur Ceci est g n ralement n cessaire lors de la g n
279. n valide 30063 Ce logiciel ne peut pas utiliser le microprogramme du mat riel connect 30064 Impossible d ouvrir le fichier 30065 Fichier introuvable 30066 La carte n est pas ins r e 30067 Argument non valide 30068 Le s maphore est en cours d utilisation 30069 Le s maphore est temporairement en cours d utilisation 30070 chec g n ral 30071 Actuellement vous ne disposez pas des droits permettant d effectuer l op ration demand e G n ralement un mot de passe doit tre fourni au pr alable 30072 Actuellement le service n est pas disponible 30073 Un l ment par exemple une cl portant un nom sp cifique est introuvable 30074 Le mot de passe fourni est incorrect 30075 Le mot de passe fourni plusieurs fois est incorrect l acc s est par cons quent verrouill Il est g n ralement possible d utiliser un outil d administration appropri pour le d verrouiller 30076 L identit ne correspond pas une identit d finie ayant fait l objet d un contr le crois 30077 Plusieurs erreurs se sont produites Utilisez ce code d erreur si c est le seul moyen d obtenir un code d erreur lorsque des erreurs diff rentes se sont produites 30078 Il reste des l ments par cons quent la structure du r pertoire ne peut par exemple pas tre supprim e 30079 Erreur lors du contr le de coh rence 30080 L ID se trouve sur une liste noire par cons quent l op ration demand e n est pas
280. naccessible Condition pr alable la cl cryptographique est g n r e 1 Dans le SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Connectez la cl cryptographique l interface USB SafeGuard Enterprise lit la cl cryptographique 3 Cochez l utilisateur pour lequel un certificat doit tre g n r et ouvrez l onglet Certificat dans la zone de travail du c t droit 4 Cliquez sur G n rer et attribuer un certificat par carte puce Notez que la longueur de la cl doit correspondre la taille de la cl cryptographique 5 S lectionnez le slot et saisissez le code PIN de la cl cryptographique 6 Cliquez sur Cr er La cl cryptographique g n re le certificat et l attribue l utilisateur 19 6 2 Attribution de certificats de cl cryptographique un utilisateur Condition pr alable la cl cryptographique est g n r e Pour attribuer un certificat disponible sur une cl cryptographique un utilisateur 1 Dans le SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Connectez la cl cryptographique l interface USB SafeGuard Enterprise lit la cl cryptographique 157 SafeGuard Enterprise 19 6 3 19 6 4 158 3 S lectionnez l utilisateur qui vous voulez attribuer un certificat et ouvrez l onglet Certificat dans la zone de travail droite 4 Cliquez sur l ic ne Attribuer un certificat partir d une carte puce de l
281. nait le statut du client et s lectionne en cons quence le chiffrement BitLocker Lorsqu un client BitLocker est install avec SafeGuard Enterprise et que le chiffrement de volumes est activ les volumes sont chiffr s par BitLocker Drive Encryption 30 6 Authentification avec BitLocker Drive Encryption 242 BitLocker Drive Encryption propose toute une gamme d options d authentification Les utilisateurs BitLocker peuvent s authentifier avec un TPM Trusted Platform Module ou une carte m moire USB ou une combinaison des deux Le responsable de la s curit peut d finir les diff rents modes de connexion dans une strat gie dans le SafeGuard Management Center et la distribuer aux ordinateurs d extr mit BitLocker Les modes de connexion suivants sont propos s aux utilisateurs SafeGuard Enterprise BitLocker E TPM uniquement E TPM PIN E TPM carte m moire USB E Carte m moire USB uniquement sans TPM Aide administrateur 30 6 1 30 6 2 30 7 31 31 1 TPM Trusted Platform module Le TPM est un module semblable une carte puce sur la carte m re qui ex cute des fonctions cryptographiques et des op rations de signature num rique Il permet de cr er stocker et g rer des cl s utilisateur Il est prot g contre les attaques Carte m moire USB Les cl s externes peuvent tre stock es sur une carte m moire USB non prot g e Journalisation Les v nements signal s par le client BitLoc
282. nateur d extr mit concern dans le r pertoire suivant auditing SGMTranslog Les fichiers journaux sont soumis un m canisme de transport qui les transf re dans la base de donn es via le SafeGuard Enterprise Server Par d faut le fichier est soumis d s que le m canisme de transport a tabli une connexion avec le serveur Pour limiter la taille d un fichier journal vous pouvez d finir un nombre maximal d entr es du journal dans une strat gie du type Param tres g n raux Le fichier journal est soumis dans la file d attente de transport de SafeGuard Enterprise Server une fois le nombre d entr es sp cifi atteint Les v nements journalis s dans la base de donn es centrale peuvent tre affich s dans le Visualiseur d v nements SafeGuard Enterprise En tant que responsable de la s curit vous devez disposer des droits appropri s pour afficher analyser et g rer les v nements journalis s dans la base de donn es D finition des param tres de journalisation Les param tres de rapport sont d finis l aide de deux strat gies E Strat gie Param tres g n raux Dans une strat gie Param tres g n raux vous pouvez sp cifier un nombre maximum d entr es journalis es au del duquel le fichier journal contenant les v nements destin s la base de donn es centrale doit tre transf r dans la base de donn es de SafeGuard Enterprise Ceci permet de r duire la taille des fichiers journaux individuels
283. nchronise tous les conteneurs existants dans la base de donn es SafeGuard Enterprise avec un Active Directory Avant que nous n utilisiez le script dans une t che p riodique vous pouvez modifier les param tres suivants Param tre Description logFileName Sp cifiez un chemin pour le fichier journal du script Ce param tre est obligatoire S il est laiss vide ou incorrect la synchronisation ne fonctionne pas et un message d erreur appara t Par d faut ce param tre est vide Si un fichier journal existe d j de nouveaux journaux sont ajout s la fin du fichier synchronizeMembership D finissez ce param tre sur 1 pour galement synchroniser les appartenances Si ce param tre est d fini sur 0 les appartenances ne sont pas synchronis es Le param tre par d faut est 1 synchronize AccountState D finissez ce param tre sur 1 pour galement synchroniser l tat activ par l utilisateur Si ce param tre est d fini sur 0 l tat activ par l utilisateur est seulement synchronis la premi re synchronisation Le param tre par d faut est 0 29 5 4 2 Script pr d fini pour la suppression automatique des journaux d v nements Les v nements journalis s dans la base de donn es SafeGuard Enterprise sont stock s dans le tableau EVENT Pour plus d informations sur la journalisation voir Rapports la page 218 Avec le Planificateur de t ches vous pouvez cr er
284. ne d action L utilisateur peut se connecter tous les ordinateurs attribu s de cette mani re Un groupe d utilisateurs peut tre attribu un seul ordinateur en utilisant la m me proc dure Cl s cryptographiques et cartes puce Les cl s cryptographiques et les cartes puce sont des composants mat riels qui aident un utilisateur autoris dans la proc dure d authentification sur un syst me informatique Elles permettent de stocker des certificats des signatures num riques et des informations biom triques Ces donn es ne peuvent pas tre manipul es De nos jours il est fr quent que l authentification avec un nom d utilisateur et un mot de passe ne r ponde plus aux besoins des clients qui souhaitent b n ficier de la meilleure protection possible contre les acc s externes Alternative destin e am liorer la s curit SafeGuard Enterprise permet de se connecter en utilisant des cl s cryptographiques et des cartes puce La connexion par cl cryptographique est bas e sur le principe d une authentification en deux tapes l utilisateur poss de une cl cryptographique propri t mais il ne peut l utiliser que s il en conna t le mot de passe connaissance Lorsqu une cl cryptographique ou une carte puce sont utilis es leur pr sence et un code PIN suffisent l utilisateur pour s authentifier 149 SafeGuard Enterprise 19 1 19 1 1 150 Remarque les cartes puce et les cl s crypt
285. ne de la barre d tat syst me et infobulles Remarque Si une strat gie sp cifie une cl masqu e utiliser pour le chiffrement le param tre Masquer la cl n affecte pas le chiffrement sur l ordinateur d extr mit Certificats E SafeGuard Enterprise peut tre v rifi par des certificats sign s SHA1 MD2 et MD55 E Sides certificats de l autorit de certification CA Certification Authority sont supprim s dans la base de donn es et si vous ne souhaitez plus les utiliser vous devez les supprimer manuellement de tous les PC d administration du magasin local M SafeGuard Enterprise ne peut ensuite communiquer avec les certificats ayant expir que si les cl s nouvelles et anciennes sont pr sentes sur la m me carte E La combinaison de certificats de la CA et de listes de r vocation des certificats CRL Certificate Revocation List d une carte puce doit correspondre Dans le cas contraire les utilisateurs ne peuvent pas se connecter leurs ordinateurs respectifs V rifiez que la combinaison est correcte SafeGuard Enterprise n effectue pas cette v rification M Les certificats de connexion des responsables de la s curit doivent se trouver dans MY E Les certificats de la CA ne peuvent pas provenir d une cl cryptographique et tre stock s dans la base de donn es ou dans le magasin de certificats Si vous souhaitez ou avez besoin d utiliser des certificats de la CA ces derniers doivent tre dispon
286. ne re oit que ceux attribu s son ou ses r les Un responsable r trograd ne poss de aucun droit sur les domaines Vous devez accorder individuellement des droits d acc s dans la zone Utilisateurs et ordinateurs sous l onglet Acc s Modification du certificat de responsable de la s curit Condition pr alable pour modifier le certificat d un responsable de la s curit ou d un responsable principal de la s curit vous devez poss der le droit d affichage et de modification des responsables de la s curit 1 Dans le SafeGuard Management Center s lectionnez Responsables de la s curit 2 Dans la fen tre de navigation cliquez avec le bouton droit de la souris sur le responsable de la s curit dont vous souhaitez modifier le certificat Le certificat actuellement attribu appara t dans la zone d action de droite situ e sous Certificats 3 Dans la zone d action cliquez sur la liste d roulante Certificats et s lectionnez un certificat diff rent Aide administrateur 8 14 8 15 8 16 4 Pour enregistrer les modifications apport es la base de donn es cliquez sur l ic ne Enregistrer de la barre d outils Organisation des responsables de la s curit dans l arborescence Vous pouvez organiser les responsables de la s curit de mani re hi rarchique dans la fen tre de navigation Responsables dela s curit et ce afin de repr senter la structure organisationnelle de votre soci t L arb
287. ng e Par exemple si un r le pr d fini poss de le droit de cr ation d l ments de strat gie et de groupes de strat gies ce droit ne peut pas tre supprim du r le De m me un nouveau droit ne peut pas tre ajout un r le pr d fini Toutefois vous pouvez attribuer tout moment une authentification responsable des r les pr d finis E Responsable supervision Les responsables supervision peuvent acc der leurs propres n uds dans la zone Responsables de la s curit De m me ils sont autoris s g rer les responsables de la s curit inclus dans leurs n uds respectifs E Responsable de la s curit Les responsables de la s curit poss dent des droits tendus y compris des droits de configuration de SafeGuard Enterprise de gestion des strat gies et des cl s ainsi que des autorisations relatives au contr le et la r cup ration E Responsable support Les responsables support ont le droit d effectuer des actions de r cup ration Ils peuvent galement afficher la plupart des zones de fonctions du SafeGuard Management Center E Responsable audit Pour contr ler SafeGuard Enterprise les responsables audit peuvent afficher la plupart des zones de fonctions du SafeGuard Management Center Aide administrateur 8 1 3 8 1 4 E Responsable r cup ration Les responsables r cup ration ont le droit de r parer la base de donn es SafeGuard Enterprise R les personnalis s
288. nibles E Rejeter le support en texte n est pas chiffr E N accepter que les supports vierges et chiffrer M Accepter tous les supports et chiffrer L utilisateur peut d chiffrer un volume Permet l utilisateur de d chiffrer le volume avec une commande du menu contextuel dans l Explorateur Windows Chiffrement initial rapide S lectionnez ce param tre pour activer le mode de chiffrement initial rapide pour le chiffrement bas sur volume Ce mode r duit le temps n cessaire pour le chiffrement initial sur les ordinateurs d extr mit Remarque 107 SafeGuard Enterprise 108 Param tre de strat gie Explication Ce mode peut conduire un tat moins s curis Pour plus d informations voir Chiffrement initial rapide la page 46 Poursuivre sur les secteurs incorrects Indique si le chiffrement doit se poursuivre ou tre arr t si des secteurs incorrects sont d tect s Le param tre par d faut est OUI PARAMETRES SUR FICHIER Chiffrement initial de tous les fichiers D marre automatiquement le chiffrement initial d un volume apr s la connexion de l utilisateur Il se peut que l utilisateur doive s lectionner une cl du jeu de cl s au pr alable L utilisateur peut annuler le chiffrement initial Permet l utilisateur d annuler le chiffrement initial L utilisateur n est pas autoris acc der aux fichiers non chiffr s L utilisateur peut
289. nistration Impossible d attribuer le certificat l utilisateur Administration Impossible de supprimer l attribution du certificat l utilisateur Administration 2631 Cl cryptographique connect e Administration 2632 Cl cryptographique supprim e Administration 2633 Cl cryptographique g n r e pour l utilisateur Administration 2634 Changer le code PIN utilisateur sur la cl cryptographique Administration 2635 Changer le code PIN SO sur la cl cryptographique Administration 2636 Cl cryptographique verrouill e Administration 2637 Cl cryptographique d verrouill e Administration 2638 Cl cryptographique supprim e Administration Attribution de cl cryptographique supprim e pour l utilisateur Administration Impossible de g n rer une cl cryptographique pour l utilisateur Administration Impossible de modifier le code PIN utilisateur sur la cl cryptographique Administration Impossible de modifier le code PIN SO sur la cl cryptographique Administration 2643 Impossible de verrouiller la cl cryptographique Administration 2644 Impossible de d verrouiller la cl cryptographique Administration Impossible de supprimer la cl cryptographique Administration Strat gie cr e Administration Strat gie modifi e Administration Strat gie supprim e Administration Strat gie attribu e et activ e sur l OU Administration Strat gie attribu e supprim e de l OU Administration Impossible de cr er la strat gie Ad
290. niveau voir Licence non valide erreur la page 28 Error la page 28 Licence non valide erreur Si la valeur de tol rance du nombre de licences ou la p riode de validit d finie dans la licence est d pass e le SafeGuard Management Center affiche un message d erreur Dans le SafeGuard Management Center le d ploiement de strat gies sur les ordinateurs d extr mit est d sactiv Un message d erreur s affiche dans la zone Utilisateurs et ordinateurs de l onglet Licences A l aide des informations d taill es sur le fichier de licence vous pouvez d terminer le module pour lequel le nombre de licences disponibles est d pass Pour restaurer la restriction de fonctionnalit vous pouvez Redistribuer des licences Pour mettre disposition les licences vous pouvez d sinstaller le logiciel sur les ordinateurs non utilis s et supprimer ainsi les ordinateurs de la base de donn es SafeGuard Enterprise E Mettre niveau renouveler des licences Contactez votre partenaire commercial pour mettre niveau ou renouveler votre licence Un nouveau fichier de licence importer dans la base de donn es SafeGuard Enterprise vous sera donn Aide administrateur 8 1 8 1 1 E Importer un nouveau fichier de licence Si vous avez renouvel ou mis niveau votre licence vous pouvez importer le fichier de licence dans la base de donn es SafeGuard Enterprise Le nouveau fichier import remplace le fichier de
291. nnez un autre nom 805306431 Aucun r le n est affect au responsable de la s curit La connexion est impossible 805306432 La licence a t viol e 805306433 Aucune licence trouv e 805306435 Chemin du fichier journal manquant ou incorrect 2415919104 Aucune strat gie trouv e 2415919105 Aucun fichier de configuration n est disponible 2415919106 Aucune connexion au serveur 2415919107 Aucune donn e suppl mentaire 2415919108 Priorit non valide utilis e pour l envoi au serveur 2415919109 Donn es suppl mentaires en attente 2415919110 Enregistrement automatique en attente Aide administrateur ID de l erreur Affichage 2415919111 chec de l authentification de la base de donn es 2415919112 ID de session erron 2415919113 Paquet de donn es ignor 3674210305 Domaine introuvable 3674210306 Machine introuvable 3674210307 Utilisateur introuvable 3758096385 Le mot de passe ne contient pas assez de lettres 3758096386 Le mot de passe ne contient pas assez de chiffres 3758096387 Le mot de passe ne contient pas assez de caract res sp ciaux 3758096388 Le mot de passe est identique au nom d utilisateur 3758096389 Le mot de passe contient des caract res cons cutifs 3758096390 Le mot de passe ressemble trop au nom d utilisateur 3758096391 Le mot de passe figure dans la liste des mots de passe interdits 3758096392
292. ns POA veil par appel r seau s curis Les param tres veil par appel r seau s curis WOL WOL permettent aux ordinateurs d extr mit de se pr parer aux d ploiements de logiciels dans lesquels les param tres n cessaires tels que la d sactivation temporaire de la POA et un intervalle d veil par appel r seau peuvent tre import s directement dans l ordinateur d extr mit et analys s par celui ci Remarque La d sactivation de la POA m me pour un nombre limit de processus d initialisation r duit le niveau de s curit de votre syst me Pour plus d informations sur l veil par appel r seau s curis voir veil par appel r seau s curis WOL la page 182 110 Aide administrateur Param tres de strat gie Explication Nombre de connexions automatiques D finit le nombre de red marrages lorsque l authentification au d marrage est inactive pour l veil par appel r seau Ce param tre remplace temporairement le param tre Activer l authentification au d marrage jusqu ce que le nombre pr d fini de connexions automatiques soit atteint L authentification au d marrage est ensuite r activ e Si vous d finissez le nombre de connexions automatiques sur deux et si Activer l authentification au d marrage est actif l ordinateur d extr mit d marre deux fois sans authentification via la POA Pour le mode veil par appel r seau nous recommandons de toujours aut
293. ns l arborescence Utilisateurs et ordinateurs Si vous recherchez des doubles par exemple vous pouvez d sormais facilement les supprimer Utilisation de plusieurs configurations de base de donn es Le SafeGuard Management Center permet d utiliser plusieurs configurations de base de donn es plusieurs titulaires Pour utiliser cette fonction vous devez l activer pendant l installation Pour plus d informations reportez vous au manuel d installation de SafeGuard Enterprise Le mode Multi Tenancy vous permet de configurer diff rentes configurations de base de donn es SafeGuard Enterprise et de les g rer pour une instance du SafeGuard Management Center Ceci est tout particuli rement utile si vous souhaitez disposer de configurations diff rentes pour des domaines des unit s organisationnelles ou des lieux diff rents Condition pr alable la fonctionnalit Multi Tenancy doit avoir t install e via une installation de type Compl te La configuration initiale du SafeGuard Management Center doit avoir t r alis e Pour plus d informations reportez vous au manuel d installation de SafeGuard Enterprise Pour simplifier la configuration vous pouvez M cr er plusieurs configurations de base de donn es M s lectionner des configurations de base de donn es cr es pr c demment E supprimer des configurations de base de donn es de la liste E importer une configuration de base de donn es cr e pr c demment part
294. ns le param tre de strat gie D sinstallation autoris e vous pouvez d finir ce param tre de strat gie sur Oui pour garantir que les tentatives de d sinstallation sont v rifi es par la protection antialt ration Sophos pour emp cher la suppression accidentelle du logiciel Si la protection antialt ration Sophos n autorise pas la d sinstallation les tentatives de d sinstallation seront annul es Si l option Activer la protection antialt ration Sophos est d finie sur Non la d sinstallation de SafeGuard Enterprise ne sera pas v rifi e ou emp ch e par la protection antialt ration Sophos 113 SafeGuard Enterprise Param tres de strat gie Explication Remarque ce param tre ne s applique qu aux ordinateurs d extr mit utilisant Sophos Endpoint Security and Control version 9 5 ou ult rieure PARAM TRES D INFRASTRUCTURE DE BASE CRYPTOGRAPHIQUE Bo tes outils cryptographiques Options possibles Wi nb m Moteur cryptographique SafeGuard m Support TPM AFT SafeSign g n rateur mat riel de nombres al atoires n cessite une carte principale sp ciale dans le PC PARAM TRES DE SUPPORT DE CL CRYPTOGRAPHIQUE POUR LE MODULE PKCS 11 Nom du module Enregistre le module PKCS 11 d une cl cryptographique Les options suivantes sont disponibles Activeldentity ActivClient Activeldentity ActivClient PIV AET SafeSign Identity Client Aladdin eToken PKI Client a sign Client Ch
295. ns le menu contextuel Le compte d acc s POA l utilisateur POA est supprim Il n appara t plus dans la fen tre de navigation Utilisateurs et ordinateurs Remarque Si l utilisateur appartient un ou plusieurs groupes POA le compte d acc s POA est galement supprim de ces groupes Le compte d acc s POA reste cependant disponible sur l ordinateur d extr mit jusqu ce que le groupe POA ait t attribu Pour en savoir plus sur les groupes POA voir Cr ation de groupes de comptes d acc s POA la page 75 Cr ation de groupes de comptes d acc s POA Pour pouvoir attribuer des comptes d acc s POA aux ordinateurs d extr mit les comptes doivent tre r organis s en groupes Pour plus d informations voir Attribution de comptes d acc s POA aux ordinateurs d extr mit la page 77 1 Dans la zone de navigation du SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la zone de navigation Utilisateurs et ordinateurs sous POA s lectionnez Groupes POA 3 Dans le menu contextuel des Groupes POA cliquez sur Nouveau gt Cr er un groupe La bo te de dialogue Cr ation d un groupe s affiche 75 SafeGuard Enterprise 15 5 15 6 76 4 Dans le champ Nom complet saisissez le nom du nouveau groupe POA 5 Ajoutez ventuellement une description 6 Cliquez sur OK Le nouveau groupe de comptes d acc s POA est cr Il appara t sous Groupes POA dans la zone de navig
296. nse sont bas es sur le fichier de r cup ration des cl s Sur chaque ordinateur d extr mit ce fichier de r cup ration des cl s est g n r lors du d ploiement du logiciel de chiffrement SafeGuard Enterprise Si ce fichier de r cup ration des cl s est accessible au support par exemple par l interm diaire d un chemin r seau partag une proc dure Challenge R ponse pour un ordinateur prot g par SafeGuard Enterprise peut tre fournie 205 SafeGuard Enterprise Afin de faciliter la recherche et le regroupement des fichiers de r cup ration ils portent le nom de l ordinateur nomordinateur GUID xmlI dans leur nom de fichier Vous pouvez ainsi effectuer des recherches de caract res g n riques avec des ast risques par exemple GUID xml Remarque Lorsqu un ordinateur est renomm le cache local de l ordinateur n applique pas le changement de nom Le cache local stocke toutes les cl s et strat gies ainsi que les certificats utilisateur et les fichiers d audit Le nouveau nom de l ordinateur doit donc tre supprim du cache local afin de ne conserver que le nom pr c dent bien que l ordinateur ait t renomm sous Windows 25 8 1 Actions de r cup ration pour les clients Sophos SafeGuard autonomes 206 La proc dure Challenge R ponse pour un ordinateur d extr mit intervient dans les situations suivantes E L utilisateur a saisi trop fr quemment le mot de passe de fa on incorrecte
297. nt affich s Remettez ces informations l utilisateur Vous pouvez soit utiliser l aide orthographique soit copier les informations dans le Presse papiers pour les envoyer par courriel ou par texto 7 Cliquez sur Terminer 8 Sur l ordinateur d extr mit dans Suspendre la protection de la configuration l utilisateur saisit ou copie la r ponse qui lui a t fournie par le support L utilisateur doit s assurer que la p riode correspond celle qui lui a t fournie par le support L utilisateur clique sur OK La strat gie de protection de la configuration est suspendue pour la p riode sp cifi e Elle peut tre relanc e de deux mani res m Lors de la p riode de suspension sp cifi e sur l ordinateur d extr mit l utilisateur clique sur l ic ne de la barre d tat syst me et s lectionne Reprendre la protection de la configuration m Une fois que la p riode de suspension sp cifi e s est coul e la strat gie de protection de la configuration est reprise automatiquement 18 Attribution utilisateur ordinateur SafeGuard Enterprise g re les informations concernant les utilisateurs autoris s se connecter une machine donn e figurant sur une liste nomm e ci dessous attribution utilisateur machine UMA User Machine Assignment Pour qu un utilisateur soit inclus dans l UMA il doit s tre connect une fois un ordinateur sur lequel SafeGuard Enterprise a t install et tre enregistr dans le
298. nt 123 sera interdite comme mot de passe Remarque M Si la liste ne contient qu un seul caract re g n rique l utilisateur ne sera plus en mesure de se connecter au syst me apr s un changement obligatoire de mot de passe M Les utilisateurs ne doivent pas tre autoris s acc der ce fichier 97 SafeGuard Enterprise Param tre de strat gie Explication E L option Utiliser la liste des mots de passe interdits doit tre activ e Synchronisation du mot de passe Ce champ d termine la proc dure de synchronisation des mots de l utilisateur avec les autres de passe lorsque des utilisateurs utilisant plusieurs ordinateurs clients SGN d extr mit utilisateur SafeGuard Enterprise et d finis comme les utilisateurs de ces ordinateurs changent leurs mots de passe Les options suivantes sont disponibles E Lent attendre que l utilisateur se connecte Si un utilisateur change son mot de passe sur un ordinateur d extr mit SafeGuard Enterprise et s il tente de se connecter un autre ordinateur sur lequel il est galement enregistr il doit tout d abord se connecter avec son ancien mot de passe l authentification au d marrage La synchronisation du mot de passe n est effectu e qu apr s la connexion avec l ancien mot de passe E Rapide attendre la connexion de la machine Si un utilisateur change son mot de passe sur un ordinateur d extr mit SafeGuard Enterprise la synchronisation du mo
299. nt de Local Self Help sur l ordinateur d extr mit Avant de pouvoir sp cifier le texte ici il doit tre cr et enregistr L utilisateur peut d finir des questions personnalis es En tant que responsable de la s curit vous pouvez d finir de mani re centralis e les questions auxquelles r pondre et les distribuer sur l ordinateur d extr mit dans la strat gie Toutefois vous pouvez galement accorder aux utilisateurs le droit de d finir des questions personnalis es Pour autoriser les utilisateurs d finir leurs propres questions s lectionnez Oui Challenge R ponse C R Activer la r cup ration de la connexion via C R D termine si un utilisateur est autoris g n rer un challenge dans l authentification au d marrage POA afin de pouvoir acc der de nouveau son ordinateur avec une proc dure Challenge R ponse OUI L utilisateur est autoris g n rer un challenge Dans ce cas l utilisateur peut de nouveau acc der son ordinateur avec une proc dure C R en cas d urgence NON L utilisateur n est pas autoris g n rer un challenge Dans ce cas l utilisateur ne peut pas ex cuter une proc dure C R pour acc der de nouveau son ordinateur en cas d urgence Autoriser la connexion Windows automatique Permet l utilisateur de se connecter automatiquement Windows apr s s tre authentifi avec la proc dure Challenge R ponse OUI l utilisat
300. nt install vous devez cr er un package de configuration pour les ordinateurs administr s et le d ployer sur ceux ci Une fois la premi re configuration de l ordinateur d extr mit effectu e par le package de configuration l ordinateur re oit des strat gies par le serveur SafeGuard Enterprise apr s que vous avez attribu celles ci dans la zone Utilisateurs et ordinateurs du SafeGuard Management Center E Package de configuration pour ordinateurs non administr s Les ordinateurs non administr s ne sont connect s au serveur SafeGuard Enterprise aucun moment et fonctionnent en mode autonome Ces ordinateurs re oivent leurs strat gies par packages de configuration Pour garantir un bon fonctionnement vous devez cr er un package de configuration contenant les groupes de strat gies appropri s puis le distribuer sur les ordinateurs d extr mit par les m canismes de distribution de l entreprise D s que vous modifiez des param tres de strat gie vous devez cr er de nouveaux packages de configuration et les distribuer sur les ordinateurs d extr mit E Package de configuration pour le serveur SafeGuard Enterprise Pour garantir un bon fonctionnement vous devez cr er un package de configuration pour le serveur SafeGuard Enterprise qui d finira la base de donn es et la connexion SSL activera l API de script etc Pour obtenir une description d taill e de la cr ation des diff rents types de package de configuratio
301. nt pas remplac s par ceux d autres strat gies Remarque Si vous s lectionnez Ne pas remplacer pour une strat gie de priorit inf rieure celle ci acquiert une priorit plus lev e que celle d une strat gie de niveau sup rieur 6 Les utilisateurs Authenticated et les ordinateurs Authenticated sont affich s dans la zone d activation La strat gie s applique tous les groupes au sein de l OU et ou du domaine Activation des strat gies pour des groupes individuels Les strat gies sont toujours attribu es une OU un domaine ou un groupe de travail Elles s appliquent par d faut tous les groupes de ces objets conteneurs les utilisateurs authentifi s et les ordinateurs authentifi s sont affich s dans la zone d activation Toutefois vous pouvez galement d finir des strat gies et les activer pour un ou plusieurs groupes Ces strat gies s appliquent ensuite exclusivement ces groupes 1 Attribuez la strat gie l OU contenant le groupe 2 Les utilisateurs authentifi s et les ordinateurs authentifi s sont affich s dans la zone Activation 3 Faites glisser ces deux groupes de la zone d activation jusqu la liste des Groupes disponibles Dans cette constellation la strat gie n est pas effective pour les utilisateurs ou les ordinateurs 4 pr sent faites glisser le groupe requis ou plusieurs groupes de la liste des Groupes disponibles jusqu la zone d activation Cette strat g
302. nts Les strat gies du type Protection du p riph rique incluent galement des param tres pour SafeGuard Data Exchange et SafeGuard Portable Pour plus d informations sur SafeGuard Data Exchange voir SafeGuard Data Exchange la page 165 Pour plus d informations sur SafeGuard Data Exchange et SafeGuard Portable sur l ordinateur d extr mit consultez l aide de l utilisateur de SafeGuard Enterprise Lors de la cr ation d une strat gie de protection du p riph rique vous devez d abord sp cifier la cible de la protection du p riph rique Les cibles possibles sont les suivantes Stockage de masse volumes d initialisation autres volumes Supports amovibles Lecteurs optiques Mod les de p riph riques de stockage P riph riques de stockage distincts Pour chaque cible cr ez une strat gie distincte Remarque Supports amovibles cibles une strat gie qui sp cifie le chiffrement bas sur volume des lecteurs amovibles permettant l utilisateur de choisir une cl dans une liste par exemple toutes les cl s d un jeu de cl s peut tre contourn e par l utilisateur en ne choississant aucune cl Pour s assurer que les lecteurs amovibles sont toujours chiffr s utilisez une strat gie de chiffrement bas e sur fichier ou d finissez explicitement une cl dans la strat gie de chiffrement bas e sur volume 103 SafeGuard Enterprise 104 Param tre de strat gie Mode de chiffrement du support PARAM T
303. o te de dialogue Planificateur de t ches appara t montrant un aper u des t ches planifi es le cas ch ant Pour plus d informations voir Affichage de l aper u du Planificateur de t ches la page 231 2 Cliquez sur Cr er La bo te de dialogue Nouvelle t che appara t 3 Dans le champ Nom saisissez un nom de t che unique Si le nom de t che n est pas unique un avertissement appara t lorsque vous cliquez sur OK pour enregistrer la t che 4 Dans la liste d roulante du champ Serveur SGN s lectionnez le serveur sur lequel la t che doit fonctionner La liste d roulante affiche seulement les serveurs pour lesquels la cr ation de scripts est autoris e Vous autorisez la cr ation de scripts pour une serveur donn lorsque vous l enregistrez dans l Outil de package de configuration dans le SafeGuard Management Center Pour plus d informations sur l enregistrement des serveurs consultez le manuel d installation de SafeGuard Enterprise Si vous s lectionnez Aucune la t che n est pas ex cut e 5 Cliquez sur le bouton Importer pr s du champ Script La bo te de dialogue S lectionner le fichier script importer appara t Remarque Deux scripts pr d finis sont disponibles dans le r pertoire Script Templates de l installation de votre SafeGuard Management Center La bo te de dialogue S lectionner le fichier script importer appara t Pour plus d informations voir Scripts pr d finis pour les t
304. obl mes GINA Pour plus d informations voir R cup ration du syst me la page 208 R cup ration avec Local Self Help SafeGuard propose Local Self Help afin de permettre l utilisateur ayant oubli son mot de passe de se connecter son ordinateur sans recourir au support technique Local Self Help r duit le nombre d appels de r cup ration de connexion et ainsi les t ches de routine des membres du support en leur permettant de se concentrer sur des demandes plus complexes Gr ce Local Self Help les utilisateurs peuvent acc der de nouveau leur ordinateur portable dans les situations o aucune connexion par t l phone ou r seau n est disponible et o ils ne peuvent donc pas utiliser de proc dure Challenge R ponse par exemple bord d un avion L utilisateur peut se connecter son ordinateur en r pondant un nombre pr d fini de questions dans l authentification au d marrage POA En tant que responsable de la s curit vous pouvez d finir de mani re centralis e les questions auxquelles il faudra r pondre et les distribuer sur l ordinateur dans une strat gie titre d exemple nous vous proposons un sujet de question pr d fini Vous pouvez utiliser ce sujet tel quel ou le modifier Dans la strat gie correspondante vous pouvez galement accorder aux utilisateurs le droit de d finir des questions personnalis es Lorsque Local Self Help a t activ par la strat gie un assistant Local Self He
305. ogiciels Si une strat gie correspondante s applique aux ordinateurs d extr mit les param tres n cessaires par exemple la d sactivation de la POA et un intervalle d veil par appel r seau sont transf r s directement sur les ordinateurs d extr mit lorsque les param tres sont analys s L quipe de d ploiement peut concevoir un script de programmation en utilisant les commandes fournies pour garantir la protection maximale de l ordinateur d extr mit malgr la d sactivation de la POA Remarque La d sactivation de la POA m me pour un nombre limit de processus d initialisation r duit le niveau de s curit de votre syst me D finissez les param tres de l veil par appel r seau WOL dans une strat gie du type Param tres de machine sp cifique Pour plus d informations sur les param tres individuels voir Param tres de machine sp cifique param tres de base la page 110 En guise d exemple de d finition des param tres d veil par appel r seau pour un d ploiement logiciel voir Exemple d veil par appel r seau la page 182 Exemple d veil par appel r seau s curis L quipe de d ploiement des logiciels informe le responsable de la s curit SafeGuard Enterprise d un d ploiement de logiciels pr vu pour le 25 septembre 2011 entre 03 00 et 06 00 heures du matin Deux r initialisations sont requises L agent local en charge du d ploiement des logiciels doit tre en mesure de se connecte
306. ogramme JAVA M4 Code de programme Meta4 BCPL Code de programme BCPL CS Code de programme Visual C NET PL Code de programme Perl PM Module de code de programme Perl PY Code de programme Python PDB Base de donn es de programme Visual C NET BAS Code de programme BASIC VB Code de programme Visual Basic VBS Script VBScript JS Code source JavaScript Ex cutables EXE Ex cutable DLL Biblioth que de liens dynamiques PIF Fichier d information de programme Windows BAT Lot COM Commande OCX Extension de contr le OLE Object Linking and Embedding ActiveX 134 Aide administrateur Type de fichier Extensions Description CMD Commande CPL Extension du panneau de configuration Windows SCR conomiseur d cran Windows VXD Pilote de p riph rique virtuel SYS Pilote de p riph rique syst me CLASS Code binaire Java PYC Script compilateur Python code binaire LIB Biblioth que de programme COFF Common Object File Format INS Script InstallShield OBJ Fichier objet O Fichier objet Archives ZIP Archive compress e ZIP compress es ARJ Archive compress e ARJ RAR Archive compress e WinRAR GZIP Archive compress e GZIP TAR Archive sur bande JAR Archive compress e JAR ACE Archive compress e WinAce HQX Archive compress e Macintosh BinHex 4 LZH Archive compress e LHA LHA Archive compress e LHA AR Archive index e AIX ARC Archive compress e LH ARC CAB Archive
307. ographiques sont trait es de la m me mani re dans SafeGuard Enterprise Les termes cl cryptographique et carte puce recouvrent la m me notion dans le produit et le manuel Les cl s cryptographiques sont prises en charge E dans l authentification au d marrage E au niveau du syst me d exploitation M pour se connecter au SafeGuard Management Center Lorsqu une cl cryptographique est g n r e pour un utilisateur des informations telles que le fabricant le type le num ro de s rie les donn es de connexion et les certificats sont stock es dans la base de donn es SafeGuard Enterprise Les cl s cryptographiques sont identifi es par un num ro de s rie puis reconnues dans SafeGuard Enterprise Les avantages sont importants E L identification des cl s cryptographiques en circulation et des utilisateurs auxquels elles sont attribu es est ais e E Leur date et heure de g n ration sont galement connues E En cas de perte d une cl cryptographique le responsable de la s curit peut l identifier et la bloquer Ces mesures vitent toute utilisation frauduleuse de donn es E Toutefois le responsable de la s curit peut utiliser la proc dure Challenge R ponse pour autoriser temporairement la connexion sans cl cryptographique par exemple si un utilisateur a oubli son code PIN Cartes puce Pour pouvoir utiliser une carte puce avec SafeGuard Enterprise un lecteur de cartes et un pilote de ca
308. omment attribuer des droits de connexion dans le SafeGuard Management Center trois utilisateurs seulement Utilisateur_a Utilisateur_b Utilisateur_c pour Ordinateur_ABC Premi rement sp cifiez la r ponse dont vous avez besoin dans le SafeGuard Management Center SafeGuard Enterprise est install sur tous les ordinateurs d extr mit au cours de la nuit Le matin les utilisateurs doivent pouvoir se connecter leurs ordinateurs avec leurs informations d identification 1 Dans le SafeGuard Management Center attribuez Utilisateur_a Utilisateur_b et Utilisateur_c Ordinateur_ABC Utilisateurs amp ordinateurs S lectionnez Ordinateur_ABC Attribuez l utilisateur par Glisser d poser Vous avez ainsi sp cifi une UMA 2 Dans une strat gie d ordinateur d finissez le param tre Importation de nouveaux utilisateurs autoris e pour sur Personne Puisque l Utilisateur_a l Utilisateur_b et l Utilisateur_c ne sont pas autoris s ajouter de nouveaux utilisateurs il n est pas n cessaire de sp cifier un utilisateur comme propri taire 3 Attribuez la strat gie l ordinateur et ou un point de la structure du r pertoire auquel elle sera active pour l ordinateur Lorsque le premier utilisateur se connecte Ordinateur_ABC voir Connexion la page 173 une connexion automatique est mise en uvre pour la POA Les strat gies de l ordinateur sont envoy es l ordinateur d extr mit Puisque l Utilisateur_a est inclu
309. omouvez un utilisateur au rang de responsable de la s curit dans la zone Utilisateurs et ordinateurs E Promouvez un responsable de la s curit au rang de responsable principal de la s curit dans la zone Responsables de la s curit Conditions pr alables la promotion d un utilisateur Un responsable de la s curit avec les droits n cessaires peut promouvoir des utilisateurs au rang de responsables de la s curit et leur attribuer des r les Les responsables de la s curit ainsi cr s peuvent se connecter au SafeGuard Management Center avec leurs informations d identification Windows ou leur code PIN de cl cryptographique carte puce Ils peuvent travailler et tre g r s comme tout autre responsable de la s curit Les conditions pr alables suivantes doivent tre remplies E Les utilisateurs promouvoir doivent avoir t import s depuis un Active Directory et tre visibles dans la zone Utilisateurs et ordinateurs du SafeGuard Management Center Aide administrateur E Pour permettre un utilisateur promu de se connecter au SafeGuard Management Center en tant que responsable de la s curit un certificat utilisateur est n cessaire Vous pouvez cr er ce certificat lorsque vous promouvez l utilisateur voir Promotion d un utilisateur au rang de responsable de la s curit la page 43 Pour rendre possible la connexion avec les informations d identification Windows le fichier p12 contenant la cl
310. on Protection vous permet de d finir des autorisations non seulement pour les p riph riques de stockage mais galement pour les fichiers transf r s de et vers ces Aide administrateur 17 3 9 1 p riph riques Cette op ration s effectue par le contr le du type de ces fichiers lorsqu ils sont transf r s de vers des p riph riques de stockage externes Cette technologie permet d obtenir un classement tr s pr cis des fichiers par le biais du contr le du contenu de l en t te du fichier plut t que par l utilisation d extensions emp chant ainsi les utilisateurs d outrepasser la protection en modifiant l extension du fichier Le contr le des fichiers t l charg s sur des p riph riques de stockage externes et de ceux charg s sur le syst me d extr mit prot g pr sente de nombreux avantages E Un niveau de protection suppl mentaire pour emp cher toute fuite de donn es E La pr vention contre l introduction de virus programmes malveillants via des p riph riques de stockage externes E La pr vention contre l introduction de contenu inappropri via des p riph riques de stockage externes par exemple un logiciel sans licence du contenu sans licence musique et vid os par exemple du contenu non li au travail comme des photos priv es etc Gr ce cette fonction vous pouvez d finir des strat gies qui approuvent bloquent des types de fichiers sp cifiques sur les canaux d entr e et de sortie Le
311. on de r cup ration la cl requise est transf r e dans l environnement utilisateur dans le code de r ponse Lorsque vous avez s lectionn Mot de passe du fichier de cl s requis comme action de r cup ration le mot de passe du fichier de cl s chiffr est transf r dans le code de r ponse Ce fichier de cl s est ensuite supprim Saisie du code de r ponse dans l outil de r cup ration de cl KeyRecovery 1 Sur l ordinateur d extr mit dans l outil de r cup ration de cl KeyRecovery entrez le code de r ponse fourni par le support La cl ou le mot de passe requis pour le fichier de cl s figure dans ce code de r ponse 2 Cliquez sur OK Le disque s lectionn pour la proc dure Challenge R ponse a t d chiffr R cup rer les cl s Sophos SafeGuard SOPHOS S lection de la langue Volumes chiffr s French 1036 Volume chiffr s avec Importer par fichier O f Import Annuler Terminer Aide administrateur 25 8 3 Pour v rifier si le d chiffrement a r ussi s lectionnez le lecteur d chiffr dans le gestionnaire de fichiers Windows PE T nn EE a Fie Edt New Favorites Go view Toos Hep 2 AIT soel S Eel a e a a Nii TEE r x Name 2 o joe I File F Sophos L_ Sophos txt 0 bytes BE 0 o di Sophos He CD Drive E CD_ROM El X m Overwrite I Zip Password J Relati
312. onisation automatique entre Active Directory et SafeGuard Enterprise Pour plus d informations voir Script pr d fini pour la synchronisation avec Active Directory la page 236 E EventLogDeletion vbs Vous pouvez utiliser ce script pour supprimer automatiquement les journaux d v nements Pour plus d informations voir Script pr d fini pour la suppression automatique des journaux d v nements la page 237 Les scripts sont install s automatiquement dans le sous dossier Script Templates de l installation du SafeGuard Management Center Pour utiliser ces scripts lors de t ches p riodiques importez les dans le Planificateur de t ches voir Importation de scripts la page 234 et apportez les changements de param tres n cessaires avant de les utiliser voir Modification de scripts la page 235 Script pr d fini pour la synchronisation avec Active Directory Vous pouvez importer une structure organisationnelle existante dans la base de donn es SafeGuard Enterprise depuis un Active Directory Pour plus d informations voir Importation de la structure organisationnelle partir d un Active Directory la page 14 Apr s avoir import la structure du r pertoire vous pouvez planifier une t che p riodique de synchronisation automatique entre l Active Directory et SafeGuard Enterprise Pour cette t che vous pouvez utiliser le script pr d fini ActiveDirectorySynchronization vbs Aide administrateur Le script sy
313. onnecte pour la premi re fois le p riph rique amovible La cl de chiffrement de support unique chaque p riph rique est cr e automatiquement Bob est invit saisir la phrase de passe de support pour l utiliser hors ligne via SafeGuard Portable L utilisateur n a pas besoin de conna tre les cl s utilis es ou le jeu de cl s La cl de chiffrement de support est toujours utilis e pour le chiffrement de donn es sans aucune interaction de l utilisateur La cl de chiffrement de support n est pas visible y compris pour l utilisateur Seule la cl de groupe domaine d finie de mani re centralis e est visible Bob et Alice du m me groupe ou domaine acc dent de mani re transparente car ils partagent la m me cl de groupe domaine Si Bob souhaite acc der des fichiers chiffr s d un p riph rique amovible sur un ordinateur sur lequel SafeGuard Data Exchange n est pas install il peut utiliser la phrase de passe de support dans SafeGuard Portable Vous devez d finir les param tres dans une strat gie du type Protection du p riph rique Supports amovibles Mode de chiffrement du support Bas sur fichier Cl utiliser pour le chiffrement Cl d finie dans la liste Cl d finie dans la liste lt cl de groupe domaine gt par exemple groupe_utilisateurs_ Bob_Alice DC pour s assurer qu ils partagent la m me cl L utilisateur peut d finir une phrase de passe de support pour les p riph
314. ordinateur sur lequel l v nement journalis s est produit Domaine de l ordinateur Affiche le domaine de l ordinateur sur lequel l v nement journalis s est produit Utilisateur Affiche l utilisateur connect lorsque l v nement s est produit Domaine utilisateur Affiche le domaine de l utilisateur connect lorsque l v nement s est produit Heure de connexion Affiche la date et l heure syst me auxquelles l v nement a t journalis sur l ordinateur d extr mit Aide administrateur 28 6 28 7 Cliquez sur les en t tes de colonnes pour trier les v nements par Niveau Cat gorie etc Le menu contextuel des colonnes propose galement de nombreuses fonctions de tri de regroupement et de personnalisation du visualiseur d v nements Cliquez deux fois sur une entr e du visualiseur d v nements pour afficher des d tails sur l v nement journalis Application de filtres au visualiseur d v nements SafeGuard Enterprise Le SafeGuard Management Center propose des fonctions de filtrage compl tes Gr ce ces fonctions vous pouvez r cup rer rapidement les v nements appropri s parmi ceux affich s La zone Filtre du Visualiseur d v nements propose les champs suivants pour d finir des filtres Description Cat gories Gr ce ce champ vous pouvez filtrer le visualiseur d v nements en fonction de la classification source par exemple Chiffrement
315. orescence peut tre organis e pour l ensemble des responsables de la s curit l exception des responsables principaux de la s curit Les MSO sont affich s dans une liste un niveau sous le n ud du MSO Le n ud des responsables de la s curit comporte une arborescence dans laquelle chaque n ud repr sente un responsable de la s curit Toutefois cette hi rarchie ne tient pas compte des droits et des r les Condition pr alable pour d placer un responsable de la s curit dans l arborescence vous devez poss der le droit d affichage et de modification de responsables de la s curit 1 Dans le SafeGuard Management Center s lectionnez Responsables de la s curit 2 Dans la fen tre de navigation faites glisser le responsable que vous souhaitez d placer vers le n ud appropri Tous les enfants du responsable s lectionn seront galement d plac s Basculement rapide de responsables de la s curit titre pratique vous pouvez red marrer rapidement le SafeGuard Management Center afin de vous connecter sous le nom d un autre responsable 1 Dans le SafeGuard Management Center s lectionnez Fichier gt Changer de responsable Le SafeGuard Management Center red marre et la bo te de dialogue de connexion s affiche 2 S lectionnez le responsable de la s curit que vous souhaitez connecter au SafeGuard Management Center puis entrez son mot de passe Si vous travaillez en mode Multi Tenancy vous
316. oriser trois red marrages de plus que n cessaire pour faire face aux probl mes impr vus Connexion Windows autoris e pendant le WOL D but de la plage horaire pour le lancement du WOL externe Fin de la plage horaire pour le lancement du WOL externe D termine si la connexion Windows est autoris e pendant l veil par appel r seau par exemple pour une mise jour de logiciel Ce param tre est interpr t par POA La date et l heure peuvent tre s lectionn es ou saisies pour le d but et la fin de l veil par appel r seau WOL Format de date MM JJ AAAA Format d heure HH MM Les combinaisons suivantes de saisie sont possibles m d but et fin de l veil par appel r seau d finis m fin de l veil par appel r seau d finie d but ouvert m aucune entr e aucun intervalle n a t d fini Pour un d ploiement planifi de logiciels le responsable de la s curit doit d finir la plage de l veil par appel r seau de sorte que le script de programmation puisse d marrer suffisamment t t pour que les ordinateurs d extr mit aient le temps de s initialiser WOLstart D but WOL le point de d part de l veil par appel r seau dans le script de programmation doit se trouver dans l intervalle d fini dans la strat gie Si aucun intervalle n est d fini l veil par appel r seau n est pas activ localement sur l ordinateur d extr mit prot g par SafeGuard Enterprise WOLstop Fin WOL
317. ot ger les donn es transf r es SafeGuard Configuration Protection contr le chaque point de terminaison et chaque p riph rique quel que soit le r seau ou l interface Il contr le le trafic en temps r el et applique des strat gies de s curit personnalis es et tr s d taill es sur toutes les interfaces de p riph riques sans fil et de stockage notamment 1 Interfaces physiques USB FireWire PCMCIA Secure Digital SD Parall le S rie Modem 2 Sans fil R seau local sans fil WLAN Bluetooth Infrarouge Ir DA 3 Stockage P riph riques de stockage amovibles Disques durs externes Lecteurs de CD DVD Lecteurs de disquettes Lecteurs de bandes SafeGuard Configuration Protection d tecte et active une restriction de p riph rique par type mod le voire num ro de s rie de p riph rique En ce qui concerne les p riph riques de stockage SafeGuard Configuration Protection permet un responsable de la s curit de Aide administrateur 17 1 1 17 2 bloquer totalement tous les p riph riques de stockage Les commandes WLAN sont bas es sur l adresse MAC le SSID ou le niveau de s curit du r seau Fonctions Contr le du port SafeGuard Configuration Protection permet d autoriser de bloquer ou de restreindre intelligemment l utilisation de tout ou partie des ports d ordinateur de votre organisation en fonction de l ordinateur utilis de l utilisateur connect et ou du ty
318. otection propose une s lection de types int gr s dans la fen tre Contr le du stockage pour vous permettre de d finir les types de p riph riques approuv s ou bloqu s Les listes de types de p riph riques suivantes sont divis es en p riph riques hors stockage et p riph riques de stockage Types de p riph riques hors stockage La liste suivante r pertorie les types de p riph riques int gr s hors stockage pour lesquels une strat gie peut tre d finie dans SafeGuard Configuration Protection Remarque Le contr le du p riph rique pour des p riph riques hors stockage ne peut tre d fini que pour des ports USB FireWire et PCMCIA 1 P riph riques d interface humaine p riph riques utilis s pour contr ler le fonctionnement des syst mes informatiques Des exemples type incluent les claviers et dispositifs de pointage comme la souris les boules de pointage et les joysticks 2 P riph riques d impression imprimantes connect es via USB PCMCIA ou FireWire 3 PDA assistant num rique personnel ils incluent les p riph riques Windows Mobile Pocket PC les p riph riques Blackberry les p riph riques Palm OS 4 T l phones mobiles nouveaux mod les de t l phones cellulaires class s en tant que p riph riques USB sans fil 5 Adaptateurs r seau p riph riques de communication tels que les adaptateurs r seau Ethernet les adaptateurs de r seau local sans fil WLAN et les modems AD
319. otre organisation La meilleure strat gie SafeGuard Configuration Protection pour votre organisation est celle r pondant ses besoins sp cifiques tout en respectant les exigences des personnes ayant acc s via les ports aux ordinateurs de votre organisation La premi re chose planifier concerne les types d OU unit s organisationnelles et de groupes auxquels les strat gies s appliqueront Strat gies utilisateur et ordinateur Par d faut SafeGuard Configuration Protection utilise des groupes d utilisateurs et des groupes d ordinateurs contr l s par Active Directory Chaque option pr sente des avantages propres comme d crit ci dessous M Par groupes d utilisateurs la d finition de vos strat gies par groupes d utilisateurs vous permet de sp cifier les autorisations de chaque utilisateur Les strat gies s appliquant aux utilisateurs remplacent celles s appliquant aux ordinateurs Si vous choisissez de g rer votre organisation en attribuant des strat gies aux groupes d utilisateurs nous recommandons de d finir une ou plusieurs strat gies g n rales pour les ordinateurs Ceci permet de prot ger chaque port d ordinateur m me si aucun utilisateur n y est connect La combinaison de strat gies utilisateur et ordinateur signifie que par exemple vous pouvez bloquer des p riph riques de stockage USB sur tous les ordinateurs du service client le mais que vous pouvez autoriser le responsable du service appliquer
320. our chiffrer des donn es stock es sur des supports amovibles connect s un ordinateur afin d changer ces donn es avec d autres utilisateurs Tous les processus de chiffrement et de d chiffrement sont ex cut s de mani re transparente et impliquent une interaction utilisateur minimale Seuls les utilisateurs disposant des cl s appropri es peuvent lire le contenu des donn es chiffr es Tout processus de chiffrement ult rieur est ex cut de mani re transparente Dans le cadre d une administration centralis e vous d finissez la gestion des donn es de supports amovibles En tant que responsable de la s curit vous d finissez les param tres sp cifiques dans une strat gie du type Protection du p riph rique avec Supports amovibles comme Cible de protection de p riph rique Le chiffrement bas sur fichier doit tre utilis pour SafeGuard Data Exchange Cl s de groupe Pour changer des donn es chiffr es entre utilisateurs des cl s de groupe SafeGuard Enterprise doivent tre utilis es Si la cl de groupe se trouve dans les jeux de cl s des utilisateurs ces derniers peuvent acc der en toute transparence aux supports amovibles connect s leurs ordinateurs Sur les ordinateurs sur lesquels SafeGuard Enterprise n est pas install il est impossible d acc der aux donn es chiffr es de supports amovibles l exception de la cl de domaine groupe d finie de mani re centralis e qui peut tre utilis
321. ous devez poss der le droit d affichage des r les du responsable de la s curit et de modification des param tres d authentification suppl mentaire 1 Dans le SafeGuard Management Center s lectionnez Responsables de la s curit 2 Dans la fen tre de navigation sous R les personnalis s cliquez sur le r le modifier Dans la zone d action de droite cliquez sur le param tre requis dans la colonne Authentification responsable suppl mentaire et s lectionnez un r le diff rent partir de la liste Les r les pr d finis s affichent en gras 3 Cliquez sur l ic ne Enregistrer de la barre d outils pour enregistrer vos modifications dans la base de donn es L authentification responsable suppl mentaire a t modifi e pour ce r le 34 Aide administrateur 8 5 2 8 6 8 7 Modification de toutes les propri t s d un r le Condition pr alable pour modifier un r le personnalis vous devez poss der le droit d affichage et de modification des r les de responsable de la s curit Pour r attribuer une authentification suppl mentaire vous devez poss der le droit de modification des param tres d authentification suppl mentaire 1 Dans le SafeGuard Management Center s lectionnez Responsables de la s curit 2 Dans la fen tre de navigation sous R les personnalis s cliquez avec le bouton droit sur le r le modifier et s lectionnez Modifier des r les de responsable de la s cur
322. ows s lectionnez Strat gie de domaine par d faut gt Configuration ordinateur gt Strat gies gt Mod les d administration ordinateur local gt Composants Windows gt Chiffrement de lecteur BitLocker gt Supports amovibles 2 Sous Supports amovibles s lectionnez la strat gie suivante G rer l utilisation de BitLocker sur les supports amovibles D finissez les options comme suit a S lectionnez Activ b Sous Options dess lectionnez Les utilisateurs peuvent appliquer la protection BitLocker sur les supports amovibles c Sous Options s lectionnez Les utilisateurs peuvent arr ter et d chiffrer la protection BitLocker sur les supports amovibles 243 SafeGuard Enterprise 32 32 1 244 3 Cliquez sur OK Le chiffrement BitLocker To Go est d sactiv sur les ordinateurs d extr mit Les utilisateurs ne peuvent plus chiffrer les nouveaux volumes avec BitLocker To Go Les volumes chiffr s avec BitLocker To Go avant le d ploiement du client SafeGuard Enterprise Device Encryption natif restent lisibles Les param tres du registre obtenus c t client sont comme suit HKEY_LOCAL_MACHINE SOFTWARE Policies Microsoft FVE RDVConfigureBDE dword 00000001 RDVAl lowBDE dword 00000000 RDVDisableBDE dword 00000001 Ces cl s de registre sont aussi param tr es lors de l installation du client SafeGuard Enterprise Device Encryption afin que Bitlocker To Go soit aussi d sactiv sur les ordinateurs
323. p riode d finie expir e 98 Aide administrateur Param tre de strat gie Explication Avertir d un changement obligatoire avant jours Un message d avertissement s affiche n jours avant l expiration du mot de passe pour rappeler l utilisateur de changer son mot de passe dans n jours L utilisateur peut galement le changer imm diatement G N RAL Longueur de l historique de mot de passe D termine quel moment des mots de passe d j utilis s peuvent l tre nouveau Il est judicieux de d finir la longueur d historique conjointement au param tre Expiration du mot de passe apr s jours Exemple La longueur d historique du mot de passe pour l utilisateur Miller est d finie 4 et le nombre de jours l issue desquels l utilisateur doit changer son mot de passe est de 30 M Miller se connecte actuellement en utilisant le mot de passe Informatik Lorsque la p riode de 30 jours expire il est invit modifier son mot de passe M Miller saisit Informatik comme nouveau mot de passe et re oit un message d erreur indiquant que ce mot de passe a d j t utilis et qu il doit en s lectionner un nouveau M Miller ne peut pas utiliser le mot de passe Informatik avant la quatri me invitation de changement du mot de passe en d autres termes longueur d historique du mot de passe 4 16 7 Phrase de passe pour SafeGuard Data Exchange L utilisateur doi
324. p riph riques pour le chiffrement bas sur fichier la page 101 Vous pouvez d finir des listes blanches pour des mod les de p riph riques de stockage sp cifiques par exemple un iPod des p riph riques USB provenant d un fournisseur particulier etc ou pour des p riph riques de stockage distincts en fonction du num ro de s rie Vous pouvez ajouter manuellement les p riph riques aux listes blanches ou utiliser les r sultats d un contr le SafeGuard Port Auditor Pour plus d informations reportez vous au guide utilisateur SafeGuard Port Auditor Ensuite vous pouvez s lectionner la liste blanche comme cible quand vous cr ez une strat gie Protection du p riph rique voir S lection de listes blanches comme cibles pour les strat gies de protection des p riph riques pour le chiffrement bas sur fichier la page 102 Remarque Si vous s lectionnez une liste blanche comme cible pour une strat gie du type Protection du p riph rique vous pouvez seulement s lectionner Bas sur fichier ou Aucun chiffrement comme Mode de chiffrement du support Si vous s lectionnez Aucun chiffrement pour une strat gie Protection du p riph rique avec une liste blanche cette strat gie n exclut aucun p riph rique du chiffrement si une autre strat gie est appliqu e qui sp cifie le chiffrement bas sur volume Pour plus d informations voir Protection des p riph riques la page 103 Remarque Concernant les p riph riq
325. p riph riques pris en charge E P riph riques inconnus zone inf rieure cette option vous permet de d terminer si l acc s aux p riph riques inconnus est accord ou non Contr le des p riph riques Liste blanche Cette section permet d attribuer une liste blanche pour les mod les de p riph riques et ou une liste blanche pour les p riph riques distincts E Liste blanche pour les mod les de p riph riques cette option fait r f rence au mod le d un type de p riph rique sp cifique comme un mod le sp cifique d imprimante HP la LaserJet 4050N par exemple Sp cifiez un fichier de liste blanche contenant ces p riph riques Aide administrateur E Liste blanche pour les p riph riques distincts cette option fait r f rence aux p riph riques distincts avec un num ro de s rie unique savoir un r el p riph rique sp cifique Sp cifiez un fichier de liste blanche contenant ces p riph riques Par exemple l imprimante personnelle du directeur g n ral peut tre autoris e se connecter alors que d autres p riph riques d impression ne le sont pas Remarque Cette section est d sactiv e lorsque vous s lectionnez Autoriser ou Bloquer dans l option Tous les p riph riques Voir D finition du contr le des p riph riques Remarque Lorsqu un p riph rique fait partie de plusieurs groupes et que ces groupes disposent des m mes autorisations SafeGuard Configuration Protection choisit ar
326. passement de d lai de l op ration 536870967 Cette version d IE n est pas prise en charge 536870968 chec d authentification 536870969 Le certificat de base n est pas s curis 536870970 Aucune CRL trouv e 536870971 Aucune connexion Internet active 536870972 Erreur de valeur de temps du certificat 536870973 Impossible de v rifier le certificat s lectionn 536870974 Le statut d expiration du certificat est inconnu 536870975 Le module s est ferm Aucune autre demande 536870976 Une erreur s est produite pendant la requ te d une fonction r seau 536870977 Une requ te de fonction non valide a t re ue 536870978 Impossible de trouver un objet 536870979 Une session terminal server a t interrompue 536870980 Op ration non valide 536870981 L objet est en cours d utilisation Aide administrateur ID de l erreur Affichage 536870982 Le g n rateur de nombres al atoire n a pas t initialis CBIRNDInit non requis 536870983 Commande inconnue voir CBIControl 536870984 UNICODE n est pas pris en charge 536870985 Davantage de valeurs de d part sont n cessaires pour le g n rateur de nombres al atoire 536870986 L objet existe d j 536870987 Combinaison d algorithme incorrecte Voir CBIRecrypt 536870988 Le module Cryptoki PKCS 11 n a pas t initialis 536870989 Le module Cryptoki PKCS 11
327. pe de port SafeGuard Configuration Protection contr le les ports USB PCMCIA FireWire Secure Digital S rie Parall le Modem par exemple num rotation 3G etc WLAN IrDA et Bluetooth Contr le du p riph rique identification et approbation tr s pr cises des p riph riques incluant une liste compl te des types de p riph riques et une liste blanche fiable de mod les de p riph riques voire de p riph riques distincts par num ro de s rie Contr le du stockage contr le sp cial des p riph riques de stockage externes et internes notamment les supports amovibles disques durs externes CD DVD lecteurs de disquettes et de bandes La strat gie peut bloquer l utilisation de types mod les de p riph riques voire de p riph riques distincts par num ro de s rie Bloquer le pontage de r seau hybride SafeGuard Configuration Protection permet aux responsables de la s curit de contr ler et d emp cher l utilisation simultan e de divers protocoles r seau pouvant entra ner un pontage de r seau hybride involontaire ou volontaire comme le pontage WLAN et le pontage de carte 3G La configuration de clients SafeGuard Configuration Protection dans le but de bloquer l acc s des liens WLAN Bluetooth Modems ou IrDA alors que l interface r seau TCP IP filaire principale est connect e un r seau permet aux utilisateurs d exploiter divers protocoles r seau lorsqu ils sont d connect s du r s
328. pendant maintenir des mesures de pr caution extr mes contre les fuites vols fraudes infections de virus et l utilisation inappropri e des informations et des ressources de mani re g n rale 115 SafeGuard Enterprise 17 1 116 Selon la recherche Vista 70 des failles de s curit informatique sont internes l entreprise Les entreprises font ainsi de la s curit interne notamment l acc s interne aux ressources r seau la priorit absolue m me si des solutions de passerelle comme les antivirus et les pare feu sont appliqu es Le principal d fi actuel relatif la s curit des entreprises consiste fournir un acc s aux informations cl s sans les exposer des risques et galement de faire confiance aux utilisateurs internes tout en contr lant leurs actions afin de v rifier leur fiabilit Une v ritable protection ne peut tre obtenue qu en d veloppant une enceinte num rique autour de chaque ordinateur et en prot geant intelligemment ses ports tout en autorisant judicieusement l acc s aux p riph riques approuv s La solution SafeGuard Configuration Protection Associ SafeGuard PortAuditor consultez le manuel d utilisation de SafeGuard PortAuditor SafeGuard Configuration Protection propose une solution compl te qui permet aux entreprises de conna tre les ports et p riph riques utilis s en leur sein visibilit afin de d finir une strat gie qui contr le leur utilisation et de pr
329. permet de contr ler l acc s en autorisant un acc s total ou en bloquant tout p riph rique identifi comme un p riph rique de stockage Ceci inclut les supports amovibles comme les cartes m moire USB les appareils photo num riques etc ainsi que les p riph riques traditionnels comme les lecteurs de disquettes les lecteurs de CD DVD les disques durs externes et les lecteurs de bandes La notion de contr le du stockage d une strat gie est appliqu e sur tous les ports auxquels un p riph rique de stockage peut se connecter Ceci inclut les ports autoris s ou restreints ainsi que les ports non prot g s par SafeGuard Configuration Protection Sur un port bloqu tous les p riph riques de stockage sont bloqu s tant donn que bloquer un port quivaut d brancher ses c bles Remarque Les attaques et les fuites directes via des disques durs internes n tant pas fr quentes SafeGuard Configuration Protection ne g re pas le blocage ou la restriction de ces lecteurs afin de ne pas interrompre les t ches en cours Contr le du stockage Param tres Cette section inclut les zones suivantes 1 Tous les p riph riques de stockage dans cette zone vous pouvez Autoriser Restreindre ou Bloquer l acc s tous les p riph riques de stockage Si vous s lectionnez Autoriser ou Bloquer pour Tous les p riph riques de stockage la partie restante de la section est d sactiv e Vous pouvez galement choisir d autorise
330. peut tre autoris par d faut bloqu ou restreint Si vous restreignez un type de p riph rique tous les p riph riques de ce type sont bloqu s sauf s ils sont explicitement approuv s dans une liste blanche E Liste blanche pour les mod les de p riph riques cette option repr sente les mod les approuv s de p riph riques ou de p riph riques de stockage toutes les imprimantes HP ou toutes les cartes m moire USB M Systems par exemple E Liste blanche pour les p riph riques distincts cette option fait r f rence l approbation de p riph riques distincts ou de p riph riques de stockage chacun disposant d un num ro de s rie unique indiquant qu il s agit d un p riph rique sp cifique Par exemple pour approuver l utilisation de la carte m moire USB du directeur g n ral et bloquer toutes les autres cartes m moire USB vous devez d finir le type de stockage Supports amovibles sur Restreindre puis entrer les param tres d identification de la carte m moire USB du directeur g n ral dans une liste blanche de p riph riques de stockage distincts sp cifiques En tant que responsable de la s curit vous pouvez cr er plusieurs listes blanches Toutes les listes blanches appliqu es seront fusionn es Vous pouvez ainsi cr er diff rentes listes blanches dans diff rentes strat gies de protection de la configuration et pouvez tre s r que la s rie compl te de listes blanches sera appliqu e sur l ordinateur
331. plet selon les termes de SafeGuard Enterprise et apr s la premi re connexion il peut s authentifier lors de l authentification au d marrage et sera connect automatiquement Bien que la strat gie de l ordinateur sp cifie que personne ne peut importer d utilisateurs dans cet ordinateur du fait que ces utilisateurs se trouvent d j dans l UMA l Utilisateur_b et l Utilisateur_c obtiennent n anmoins l tat d utilisateur complet lors de la connexion Windows et sont activ s dans la POA Aucun autre utilisateur ne sera ajout l UMA ou ne pourra s authentifier lors de l authentification au d marrage Les utilisateurs se connectant Windows qui ne sont pas l Utilisateur_a l Utilisateur_b ou l Utilisateur_c sont exclus de l UMA dans une telle situation et ne seront jamais actifs dans la POA Les utilisateurs peuvent toujours tre ajout s par la suite au SafeGuard Management Center Cependant leur jeu de cl s ne sera pas disponible apr s la premi re connexion la synchronisation n tant pas d clench e par la premi re connexion Apr s une deuxi me connexion le jeu de cl s sera disponible et les utilisateurs pourront acc der leur ordinateur selon les strat gies appliqu es S ils n ont jamais r ussi se connecter un ordinateur d extr mit il est possible de les ajouter comme indiqu ci dessus Blocage de l utilisateur Si vous s lectionnez la case dans la colonne Bloquer l utilisateur l utilisateur n
332. pour l utilisation c est dire initialis e conform ment aux instructions fournies par son fabricant Lorsqu elle est initialis e des informations de base par exemple le code PIN standard sont crites sur cette cl Cette op ration s effectue avec le logiciel d initialisation du fabricant de cl s cryptographiques Pour plus d informations reportez vous au fabricant de cl s cryptographiques concern Installation du middleware Ensuite installez le middleware correct la fois sur l ordinateur sur lequel le SafeGuard Management Center est install ainsi que sur l ordinateur d extr mit appropri Pour les middlewares pris en charge voir Middlewares pris en charge la page 151 153 SafeGuard Enterprise 19 4 2 19 5 19 5 1 154 Red marrez les ordinateurs sur lesquels vous avez install le nouveau middleware Activation du middleware module PKCS 11 Avant de g n rer la cl cryptographique vous devez attribuer le middleware appropri sous la forme du module PKCS 11 en d finissant une strat gie dans le SafeGuard Management Center Vous devez le faire la fois sur l ordinateur sur lequel le SafeGuard Management Center est ex cut et sur l ordinateur d extr mit C est la condition n cessaire pour que SafeGuard Enterprise communique avec la cl cryptographique Vous pouvez d finir le param tre du module PKCS 11 en utilisant une strat gie de la fa on suivante Condition pr alable le mi
333. pour une cl cryptographique avec la prise en charge Kerberos Le certificat doit tre reconnu par SafeGuard Enterprise et ajout la cl cryptographique S il existe d j un certificat g n r automatiquement le certificat import le remplacera Modification du certificat d un utilisateur pour l authentification par cl cryptographique bas e sur certificat Pour les utilisateurs qui se connectent avec des cl s cryptographiques voir Cl s cryptographiques Kerberos la page 153 vous pouvez changer ou renouveler le certificat requis pour la connexion en attribuant un nouveau certificat dans le SafeGuard Management Center Le certificat est attribu sous la forme d un certificat de veille en compagnie de celui Aide administrateur existant En se connectant avec le nouveau certificat l utilisateur change le certificat sur l ordinateur d extr mit Remarque Si les utilisateurs ont perdu leurs cl s cryptographiques ou si celles ci ont t compromises ne les changez pas comme d crit ici Sinon des probl mes peuvent se poser Par exemple l ancien certificat de cl cryptographique peut tre encore valide pour la connexion Windows Tant que l ancien certificat est encore valide la connexion Windows est toujours possible et l ordinateur peut tre d verrouill la place bloquez la cl cryptographique pour emp cher la connexion voir Blocage de la cl cryptographique ou de la carte puce la page 16
334. pression voir Suppression de tous les v nements ou des v nements s lectionn s la page 225 Remarque Si vous ne supprimez pas tous les v nements ant rieurs de la base de donn es la concat nation n est pas ex cut e correctement puisque la concat nation n est pas activ e pour les v nements ant rieurs restants 3 D finissez la cl de registre suivante sur 0 ou supprimez la HKEY_LOCAL_MACHINE SOFTWARE Utimaco SafeGuard Enterprise DWORD DisableLogEventChaining 0 4 Red marrez le service Web La concat nation des v nements journalis s est activ e Remarque Pour d sactiver de nouveau la concat nation des v nements d finissez la cl de registre sur 1 V rification de l int grit des v nements journalis s Condition pr alable pour v rifier l int grit des v nements journalis s la concat nation des v nements dans le tableau EVENT doit tre activ e Aide administrateur 28 10 28 11 28 12 1 Dans le SafeGuard Management Center cliquez sur Rapports 2 Dans la barre de menus du SafeGuard Management Center s lectionnez Actions gt V rifier l int grit Un message affiche des informations sur l int grit des v nements journalis s Remarque Si la concat nation des v nements est d sactiv e une erreur est renvoy e Suppression de tous les v nements ou d une s lection d v nements 1 Dans le SafeGuard Management Center cliq
335. produit SafeGuard sont inscrits la destination correspondante Les destinations de sortie des v nements journaliser sont sp cifi es dans la strat gie de journalisation Observateur d v nements Windows Les v nements pour lesquels vous d finissez l Observateur d v nements Windows comme destination dans la strat gie de journalisation sont journalis s dans l Observateur d v nements Windows L Observateur d v nements Windows peut tre utilis e pour afficher et g rer les 219 SafeGuard Enterprise 28 3 2 28 4 28 4 1 220 journaux des v nements li s au syst me la s curit et l application Vous pouvez galement enregistrer ces journaux d v nements Un compte administrateur sur l ordinateur d extr mit concern est requis pour ces proc dures Dans l Observateur d v nements Windows un code 2 d erreur s affiche la place d un texte descriptif de l v nement Remarque 2 Ce chapitre d crit les processus d affichage de gestion et d analyse des journaux d v nements dans le SafeGuard Management Center Pour plus d informations sur l Observateur d v nements Windows consultez votre documentation Microsoft Base de donn es SafeGuard Enterprise Les v nements pour lesquels vous d finissez la base de donn es SafeGuard Enterprise comme destination dans la strat gie de journalisation sont collect s dans un fichier journal local dans le cache local de l ordi
336. programmes de sauvegarde comme exempt s afin qu ils puissent toujours lire et enregistrer les donn es chiffr es Les applications susceptibles de d clencher des dysfonctionnements lorsqu elles sont utilis es avec SafeGuard Enterprise mais qui ne n cessitent pas de chiffrement peuvent g n ralement tre exempt es de chiffrement 49 SafeGuard Enterprise 50 10 Vous pouvez d finir des applications exclure du chiffrement d chiffrement dans une strat gie du type Protection du p riph rique avec la cible P riph riques de stockage locaux Le nom complet du fichier ex cutable contenant ventuellement les informations du chemin d acc s est utilis pour sp cifier des Applications non g r es Pour plus d informations voir Protection du p riph rique la page 103 Gestion des cl s de SafeGuard Enterprise Lors de l importation de la structure du r pertoire la version standard de SafeGuard Enterprise g n re automatiquement des cl s pour E Domaines E Conteneurs OU et les attribue aux objets correspondants Des cl s d ordinateur et d utilisateur sont g n r es selon les besoins Cl s pour les groupes La version standard de SafeGuard Enterprise ne g n re pas automatiquement les cl s pour les groupes Ce comportement est d sactiv par d faut En tant que responsable de la s curit vous pouvez changer ce comportement sur l onglet Cl s en s lectionnant Outils gt Options Si Groupes est co
337. ption du cache local est d sactiv e par d faut En d autres termes le cache local Windows sera restaur automatiquement partir de sa sauvegarde Aucune proc dure Challenge R ponse n est donc requise pour r parer le cache local Windows Si le cache local Windows doit tre r par explicitement via une proc dure Challenge R ponse d finissez ce champ sur OUI Local Self Help 82 Aide administrateur Param tre de strat gie Explication Activer Local Self Help D termine si les utilisateurs sont autoris s se connecter leurs ordinateurs avec Local Self Help en cas d oubli de leur mot de passe Avec Local Self Help l utilisateur peut se connecter en r pondant un nombre sp cifique de questions pr d finies dans l authentification au d marrage Il peut de nouveau acc der son ordinateur m me si aucune connexion t l phonique ou Internet n est disponible Pour plus d informations voir R cup ration avec Local Self Help la page 184 Remarque La connexion automatique Windows doit tre activ e pour que l utilisateur puisse utiliser Local Self Help Dans le cas contraire Local Self Help ne fonctionne pas Longueur minimale des r ponses Texte de bienvenue sous Windows D finit une longueur minimale de caract res pour les r ponses Local Self Help Sp cifie le texte personnalis afficher dans la premi re bo te de dialogue au d marrage de l assista
338. ptographique Authentification la POA et Windows bas e sur les informations d identification utilisateur E Kerberos Authentification bas e sur les informations d identification utilisateur la POA et Windows Le responsable de la s curit met un certificat dans une infrastructure cl s publiques PKI Public Key Infrastructure et la stocke sur la cl cryptographique Ce certificat est import sous forme de certificat utilisateur dans la base de donn es SafeGuard Enterprise Si un certificat g n r automatiquement existe Aide administrateur Param tre de strat gie Explication d j dans une base de donn es il est remplac par le certificat import Remarque Avec les cl s cryptographiques cartes puce prises en charge par Kerberos aucune proc dure Challenge R ponse n est possible car aucune information d identification utilisateur utilisable pour une proc dure Challenge R ponse n est fournie dans la POA Code PIN utilis pour la connexion automatique avec une carte puce Sp cifiez un code PIN par d faut pour autoriser la connexion automatique de l utilisateur l authentification au d marrage l aide d une cl cryptographique ou d une carte puce L utilisateur doit ins rer sa cl lors de la connexion et est orient vers l authentification au d marrage Windows d marre Il n est pas n cessaire de suivre les r gles relatives au code PIN Remarque
339. ptographique L utilisateur est celui qui doit utiliser la cl cryptographique L utilisateur n a acc s qu aux objets et aux cl s priv s Le SO ne peut acc der qu aux objets publics mais il peut r initialiser le code PIN de l utilisateur G n ration d une cl cryptographique ou d une carte puce pour un utilisateur Condition pr alable la cl cryptographique doit tre initialis e et le module PKCS 11 appropri doit tre activ Le package de configuration du client SafeGuard Enterprise doit Aide administrateur 19 5 2 galement tre install sur l ordinateur PC sur lequel le SafeGuard Management Center est ex cut 1 Dans le SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Connectez la cl cryptographique l interface USB SafeGuard Enterprise lit la cl cryptographique 3 S lectionnez l utilisateur pour lequel une cl cryptographique doit tre g n r e et ouvrez l onglet Donn es de la carte puce dans la zone de travail du c t droit 4 Dans la bo te de dialogue Donn es de la carte puce proc dez comme suit a S lectionnez l ID utilisateur et le domaine de l utilisateur s lectionn et entrez votre mot de passe Windows b Cliquez sur G n rer une carte puce La bo te de dialogue G n ration d une carte puce s affiche 5 S lectionnez le slot de carte puce appropri dans la liste d roulante Connecteurs disponibles 6 G n rez un nou
340. que tous les utilisateurs ayant pour nom d utilisateur Administrateur et se connectant un poste en local ou en r seau quel qu il soit Le nom du domaine pr d fini LOCALHOST disponible dans la liste d roulante du champ Nom du domaine indique une connexion n importe quel ordinateur en local Par exemple E Nom d utilisateur admin E Nom du domaine LOCALHOST Cette combinaison indique tous les utilisateurs dont le nom d utilisateur se termine par admin et se connectant un poste en local quel qu il soit Les utilisateurs peuvent se connecter de diff rentes mani res par exemple E utilisateur test domaine monentreprise ou E utilisateur test domaine monentreprise com tant donn que les sp cifications de domaine dans les listes de comptes de service ne sont pas automatiquement r solues trois m thodes servant indiquer correctement le domaine sont disponibles E Vous savez exactement comment l utilisateur va se connecter et saisir le domaine en cons quence m Vous cr ez plusieurs entr es de liste de comptes de service E Vous utilisez les caract res g n riques pour couvrir l ensemble des cas utilisateur test domaine monentreprise Remarque 71 SafeGuard Enterprise 14 3 Afin d viter les probl mes li s au fait que Windows peut utiliser des noms tronqu s et non la m me s quence de caract res nous vous recommandons de saisir le NomComplet et Le nom NetBIOS
341. quement dans l authentification au d marrage Aucun autre utilisateur Windows ne peut alors se connecter l authentification au d marrage Les autres utilisateurs doivent tre import s avec l aide du premier Pour obtenir une description d taill e de l importation d autres utilisateurs consultez l aide utilisateur de SafeGuard Enterprise Un param tre de strat gie sp cifie qui est autoris importer un nouvel utilisateur Vous pouvez trouver cette strat gie dans le SafeGuard Management Center sous l ments de strat gie E Type Sp cifique l ordinateur E Champ Importation de nouveaux utilisateurs autoris e pour Param tre par d faut Propri taire Le propri taire d un ordinateur d extr mit est sp cifi dans le SafeGuard Management Center sous Utilisateurs et ordinateurs E S lectionnez lt nom de l ordinateur d extr mit gt Aide administrateur 21 3 21 3 1 E Onglet Utilisateurs Remarque SafeGuard Enterprise offre des comptes d acc s POA comptes locaux pr d finis qui permettent aux utilisateurs de se connecter connexion POA des ordinateurs d extr mit une fois l authentification au d marrage activ e pour effectuer des t ches administratives Les comptes sont d finis dans la zone Utilisateurs et ordinateurs du SafeGuard Management Center nom d utilisateur et mot de passe et affect s aux ordinateurs d extr mit via des groupes d acc s POA Pour plus d informations
342. ques distincts dont l acc s est autoris Si un p riph rique n est pas d fini comme autoris tel que d crit ci dessous il est alors bloqu La notion de contr le du p riph rique d une strat gie s applique tous les ports restreints Contr le des p riph riques Param tres M Tous les p riph riques zone sup rieure dans cette zone vous pouvez Autoriser Restreindre ou Bloquer l acc s tous les types de p riph riques Si vous s lectionnez Autoriser ou Bloquer pour Tous les p riph riques la partie restante de la section est d sactiv e Vous pouvez galement Autoriser ou Bloquer les enregistreurs de frappe mat riels E Types de p riph riques zone du milieu si vous avez s lectionn l option Restreindre pour Tous les p riph riques comme le d crit le paragraphe pr c dent cette option vous permet d autoriser ou de restreindre l acc s un p riph rique en fonction de son type Par exemple P riph riques d impression Adaptateurs r seau ou P riph riques d imagerie Les types de p riph riques pouvant tre s lectionn s sont int gr s SafeGuard Configuration Protection Pour autoriser un p riph rique dont le type ne figure pas dans la liste ajoutez le la liste de p riph riques approuv s la Liste blanche l aide de l option Mod le approuv ou P riph riques distincts comme d crit ci dessous Une description des types de p riph riques pris en charge est propos e dans Types de
343. r Windows Dans le SafeGuard Management Center le responsable de la s curit cr e une strat gie du type Param tres de machine sp cifiques avec les param tres suivants et l attribue aux ordinateurs d extr mit souhait s Param tre de strat gie VELGI Nombre de connexions automatiques 0 pas de 5 WOL cran de connexion Windows autoris pendant l veil Oui par appel r seau Aide administrateur 23 Param tre de strat gie VET D but de la plage horaire pour le lancement du WOL 24 sept 2011 12 00 externe Fin de la plage horaire pour le lancement du WOL 25 sept 2011 06 00 externe Pour plus d informations sur les param tres individuels voir Param tres de machine sp cifique param tres de base la page 110 Etant donn que le nombre de connexions automatiques est d fini sur 5 l ordinateur d extr mit d marre 5 fois sans authentification la POA Remarque Pour le mode veil par appel r seau nous recommandons d autoriser trois red marrages de plus que n cessaire pour faire face aux probl mes impr vus Le responsable de la s curit d finit l intervalle sur 12 heures ou midi le jour pr c dant le d ploiement de logiciels Ainsi le script de planification SGMCMDIntn exe d marre l heure et l veil par appel r seau ne se lance qu partir du 25 septembre 3 heures du matin L quipe de d ploiement des logiciels cr e deux commandes pour le
344. r Les strat gies de s curit peuvent tre mises jour distribu es et appliqu es automatiquement E L tat du chiffrement BitLocker est affich M Le mode d authentification BitLocker peut tre d fini 239 SafeGuard Enterprise 30 3 30 4 240 E Les fonctions d activation et de sauvegarde de cl BitLocker sont plus simples que dans les environnements Vista natifs M Un m canisme de r cup ration BitLocker de mots de passe et de fichiers de cl s est activ pour les volumes d initialisation et de non initialisation Quand utiliser SafeGuard Enterprise sans BitLocker Drive Encryption La m thode de chiffrement bas sur volume de SafeGuard Enterprise offre des avantages suppl mentaires par rapport BitLocker Drive Encryption par exemple E I prend galement en charge Windows XP et Vista Business BitLocker prend en charge Vista Enterprise et Ultimate uniquement E Aucune partition de disque dur sp cifique n est n cessaire pour l installation BitLocker requiert une partition propre E Ilprend en charge diff rentes cartes puce et cl s cryptographiques pour l authentification de pr initialisation BitLocker ne prend en charge aucune carte puce uniquement des cartes m moire contenant un fichier de cl s pouvant tre copi E Il prend en charge et distingue diff rents utilisateurs pendant l authentification de pr initialisation BitLocker ne distingue pas les diff rents utilisateurs
345. r e par BitLocker pour chaque volume et ne peut pas tre r utilis e Elle doit tre stock e en lieu s r L avantage li l utilisation de BitLocker avec SafeGuard Enterprise r side dans le fait que pour chaque cl g n r e par BitLocker une cl de sauvegarde est stock e dans la base de donn es de SafeGuard Enterprise Ceci permet de d finir un m canisme d assistance et de r cup ration similaire au m canisme de challenge r ponse de SafeGuard Enterprise non disponible Il n est cependant pas possible de s lectionner globalement des cl s et de les r utiliser avec des clients SafeGuard Enterprise natifs Les cl s n apparaissent pas dans le SafeGuard Management Center Si un volume est d j chiffr avec BitLocker avant d installer la prise en charge de BitLocker pour SafeGuard Enterprise l administrateur doit sauvegarder les cl s du volume pr c demment chiffr l aide des m canismes de sauvegarde propos s par Microsoft Remarque Si un volume est chiffr alors que la prise en charge SafeGuard Enterprise BitLocker est d j install e l administrateur peut enregistrer les cl s de sauvegarde prot g es par un mot de passe de r cup ration dans Active Directory en plus du stockage dans la base de donn es SafeGuard Enterprise L administrateur doit le faire manuellement avec l outil Windows Manage BDE et en les enregistrant dans une strat gie de groupe Pour Windows 2003 Server en revanche une extens
346. r le bouton Modifier l image pour changer l image attribu e Aide administrateur 21 3 2 Texte d informations d fini par l utilisateur dans l authentification au 21 3 2 1 d marrage POA Vous pouvez personnaliser l authentification au d marrage POA en affichant les textes d informations d finis par l utilisateur E Texte d informations affich lors du lancement d une proc dure Challenge R ponse pour la r cup ration de connexion par exemple Contactez le bureau de support en appelant au 01234 56789 Vous pouvez d finir un texte d information en utilisant l option Texte d informations dans la strat gie du type Param tres g n raux E Mentions l gales affich es apr s la connexion la POA Vous pouvez d finir un texte d informations en utilisant l option Texte de la mention l gale dans la strat gie du type Param tres de machine sp cifiques E Texte d informations suppl mentaires affich apr s la connexion POA Vous pouvez d finir un texte d informations suppl mentaire en utilisant l option Texte d informations suppl mentaire dans la strat gie du type Param tres de machine sp cifiques Enregistrement des textes d informations Les fichiers texte contenant les informations requises doivent tre cr s avant d tre enregistr s dans le SafeGuard Management Center La taille maximale des fichiers de textes d informations est de 50 Ko SafeGuard Enterprise utilise les textes cod s en Unicode U
347. r ou de bloquer la fonction d ex cution automatique de certains p riph riques de stockage comme les CD DVD 2 Types de stockage si vous avez s lectionn l option Restreindre pour Tous les p riph riques de stockage cette option vous permet d autoriser ou de restreindre l acc s un p riph rique de stockage en fonction de son type Par exemple p riph riques amovibles ou lecteurs de CD DVD Les types de p riph riques pouvant tre s lectionn s sont int gr s SafeGuard Configuration Protection et incluent les options et types suivants Aide administrateur 17 3 7 2 17 3 8 Supports amovibles s applique tous les p riph riques de stockage plug and play comme les cartes m moire USB appareils photos num riques lecteurs MP3 portables etc Autoriser les fonctions intelligentes des supports amovibles d finissez cette option sur Autoriser pour permettre l utilisation de supports amovibles mettant en uvre la fonction intelligente D finissez cette option sur Bloquer pour emp cher la mise en uvre de la fonction intelligente de tels p riph riques Disques durs externes Lecteurs de CD DVD Lecteurs de disquettes Lecteurs de bandes Les supports amovibles disques durs externes lecteurs de CD DVD et lecteurs de disquettes peuvent galement tre d finis en Lecture seule Utilisez la Liste blanche pour approuver l utilisation de Mod les de stockage ou de P riph riques de stockage distincts sp cif
348. r un groupe de machines la valeur 3 est utilis e car la valeur 1 minute est un param tre machine ayant t d fini dans une strat gie pour les utilisateurs Strat gies de chiffrement contradictoires Deux strat gies P1 et P2 sont cr es Le chiffrement bas sur fichier de l unit E a t d fini pour P1 et le chiffrement bas sur volume de l unit E a t d fini pour P2 P1 se voit attribuer T OU FBE User et P2 l OU VBE User Cas 1 un utilisateur de l OU FBE User se connecte le premier au client XP 100 ordinateur du conteneur Le chiffrement de l unit E est bas sur fichier Si un utilisateur de l OU FBE User se connecte ensuite au client XP 100 le chiffrement de l unit E est bas sur le volume Si les deux utilisateurs ont la m me cl tous deux peuvent acc der aux unit s ou aux fichiers Cas 2 un utilisateur de l OU VBE User se connecte le premier l ordinateur XP 100 ordinateur du conteneur Le lecteur est chiffr bas sur volume pr sent si un utilisateur de l OU FBE User se connecte et a la m me cl que des utilisateurs de l OU VBE User l unit E sera chiffr e bas sur fichier au sein du chiffrement du volume le chiffrement bas sur volume est conserv Toutefois si l utilisateur de l OU FBE User n a pas la m me cl il ne peut pas acc der l unit E Priorit s au sein d une attribution Au sein d une attribution la strat gie ayant la plus haute priorit 1 se r
349. ram tres Les param tres d une strat gie ayant une priorit sup rieure remplacent ceux d une strat gie de priorit inf rieure Un param tre de strat gie d fini remplace les param tres des autres strat gies si M la strat gie avec ce param tre a une priorit sup rieure E le param tre de strat gie n a pas encore t d fini non configur Remarque Les strat gies se chevauchant attribu s un groupe peuvent aboutir un calcul incorrect des priorit s Assurez vous d utiliser des param tres de strat gie disjonctifs Exception relative la protection du p riph rique 59 SafeGuard Enterprise 11 3 1 11 3 2 60 Les strat gies de protection des p riph riques sont fusionn es uniquement si elles ont t d finies pour la m me cible volume d initialisation par exemple Les param tres sont ajout s si elles d signent des cibles diff rentes Combinaison de strat gies dans des groupes Condition pr alable les strat gies individuelles de diff rents types doivent tre tout d abord cr es 1 Dans la zone de navigation cliquez sur Strat gies 2 Dans la fen tre de navigation cliquez avec le bouton droit de la souris sur Groupes de strat gies et s lectionnez Nouveau 3 Cliquez sur Nouveau groupe de strat gies Une bo te de dialogue pour nommer le groupe de strat gies s affiche 4 Entrez le nom et ventuellement la description du groupe de strat gies Cliquez sur OK
350. rd Enterprise la fonction de prise en charge BitLocker doit tre explicitement s lectionn e pour activer l int gration de BitLocker La gestion centralis e et totalement transparente de BitLocker via SafeGuard Enterprise permet ainsi de l utiliser dans des environnements informatiques h t rog nes Non seulement SafeGuard Enterprise int gre parfaitement BitLocker Drive Encryption mais il l optimise galement de mani re significative Les strat gies de s curit de BitLocker peuvent tre appliqu es de mani re centralis e via SafeGuard Enterprise M me des processus critiques comme la gestion et la r cup ration de cl s sont disponibles lorsque BitLocker est g r par l interm diaire de SafeGuard Enterprise Pour la prise en charge SafeGuard Enterprise de l am lioration BitLocker To Go dans Windows 7 voir SafeGuard Enterprise et BitLocker To Go la page 243 Am lioration des fonctionnalit s de BitLocker avec SafeGuard Enterprise Les clients profitent des avantages suivants lorsque BitLocker est g r par l interm diaire de SafeGuard Enterprise M Des volumes suppl mentaires du disque local en plus de la partition d initialisation peuvent tre chiffr s par BitLocker M Le chiffrement bas sur fichier de SafeGuard Enterprise peut galement tre appliqu tous les volumes supports amovibles inclus E Les ordinateurs BitLocker peuvent tre g r s en toute simplicit dans le SafeGuard Management Cente
351. rd Enterprise journalise toutes les activit s de l ordinateur d extr mit et les informations d tat ainsi que les actions de l administrateur et les v nements li s la s curit puis les enregistre de mani re centralis e La fonction de journalisation enregistre les v nements d clench s par des produits SafeGuard install s Le type de journaux est d fini dans les strat gies du type Journalisation C est aussi o vous sp cifiez le r sultat et l emplacement de sauvegarde des v nements journalis s le journal des v nements Windows de l ordinateur d extr mit ou la base de donn es SafeGuard Enterprise En tant que responsable de la s curit diposant des droits n cessaires vous pouvez afficher imprimer et archiver les informations d tat et les rapports de journaux affich s dans le SafeGuard Management Center Le SafeGuard Management Center propose des fonctions de tri et de filtrage compl tes tr s utiles lors de la s lection d v nements pertinents partir des informations disponibles Des analyses automatiques de la base de donn es de journaux par exemple avec Crystal Reports ou Microsoft System Center Operations Manager sont galement possibles SafeGuard Enterprise prot ge les entr es des journaux contre toute manipulation non autoris e l aide de signatures sur le client et sur le serveur En fonction de la strat gie de journalisation les v nements des cat gories suivantes peuvent tre
352. rd Enterprise utilise les textes cod s en Unicode UTF 16 uniquement Si vous cr ez les fichiers texte dans un autre format ils seront automatiquement convertis lorsqu ils seront enregistr s Pour enregistrer les fichiers texte 1 Dans la zone de navigation de strat gie cliquez avec le bouton droit de la souris sur Texte d informations et s lectionnez Nouveau gt Texte 2 Entrez le nom du texte afficher dans le champ Nom de l l ment de texte 3 Cliquez sur pour s lectionner le fichier texte pr alablement cr Un message s affiche si le fichier doit tre converti 4 Cliquez sur OK Le nouvel l ment de texte s affiche en tant que n ud secondaire sous Texte d informations dans la zone de navigation de strat gie Si vous s lectionnez un l ment de texte son contenu s affiche dans la fen tre de droite L l ment de texte peut d sormais tre s lectionn lors de la cr ation de strat gies R p tez la proc dure pour enregistrer d autres l ments de texte Tous les l ments de texte enregistr s s affichent en tant que n uds secondaires Remarque Gr ce au bouton Modifier le texte vous pouvez ajouter du texte au texte existant Une bo te de dialogue de s lection d un autre fichier texte s affiche lorsque vous cliquez sur ce bouton Le texte contenu dans ce fichier est ajout la fin du texte existant 91 SafeGuard Enterprise 16 4 R gles de syntaxe des codes PIN 92 Dans l
353. re attribu s dans l onglet Attribution des groupes POA dans Utilisateurs et ordinateurs voir Attribution de comptes d acc s POA aux ordinateurs d extr mit administr s la page 77 M Pour les ordinateurs d extr mit non administr s qui fonctionnent en mode autonome et ne sont pas connect s au serveur SafeGuard Enterprise un package de configuration avec un groupe POA doit tre cr et d ploy voir Attribution de comptes d acc s POA aux ordinateurs d extr mit non administr s la page 78 15 7 1 Attribution de comptes d acc s POA aux ordinateurs d extr mit administr s Remarque L attribution de comptes d acc s POA est seulement valide pour les ordinateurs d extr mit SafeGuard Enterprise partir de la version 5 60 1 Dans la zone de navigation du SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation Utilisateurs et ordinateurs s lectionnez le conteneur requis 3 Dans la zone d action du SafeGuard Management Center s lectionnez l onglet Attribution de groupe d authentification au d marrage Sous Groupes POA droite tous les groupes POA disponibles apparaissent 4 Faites glisser le groupe POA requis des Groupes POA dans la zone d action Attribution de groupe d authentification au d marrage Le GroupName et le Group DSN du groupe POA apparaissent dans la zone de travail 5 Enregistrez vos changements dans la base de donn es 77 Sa
354. res de la machine s appliquent Ignorer l utilisateur Si vous s lectionnez Ignorer l utilisateur pour une strat gie strat gie de machine dans le champ Mode de r cursivit des strat gies et si la strat gie provient d une machine seuls les param tres de la machine sont analys s Les param tres de l utilisateur ne sont pas analys s Aucun bouclage Aucun bouclage est le comportement standard dans lequel les strat gies de l utilisateur sont prioritaires sur celles de la machine Comment les param tres Ignorer l utilisateur et Param tres machine de relecture sont ils analys s S il existe des attributions de strat gies actives les strat gies de la machine sont analys es et regroup es d abord Si le regroupement des diff rentes strat gies se traduit par l attribut Ignorer l utilisateur dans l option Mode de r cursivit des strat gies les strat gies qui auraient t appliqu es pour l utilisateur ne sont plus analys es Cela signifie que les m mes strat gies s appliquent l utilisateur et la machine Si la valeur Param tres de relecture de la machine est appliqu e dans le cas du mode de r cursivit des strat gies lorsque les strat gies individuelles de la machine ont t regroup es les strat gies de l utilisateur sont ensuite combin es celles de la machine Apr s le regroupement les strat gies de la machine sont r crites et remplacent les param tres de strat gie de l utilisa
355. rique cS p ri a ICS Stockage de masse 4 volumes d initialisation c autres volumes Zd 9 Supports amovibles c Lecteurs optiques Lettres des lecteurs ca 48 Ac An N LE Dans une strat gie de type Protection du p riph rique vous pouvez sp cifier le param tre Cl utiliser pour le chiffrement pour chaque support Ici vous pouvez d cider quelles sont les cl s que l utilisateur peut ou doit utiliser pour le chiffrement E Toute cl du jeu de cl s utilisateur Apr s s tre connect s Windows les utilisateurs peuvent s lectionner les cl s qu ils souhaiteraient utiliser pour chiffrer un volume particulier Une bo te de dialogue s affiche pour permettre aux utilisateurs de s lectionner la cl de leur choix M Toute cl du jeu de cl s utilisateur sauf la cl utilisateur Les utilisateurs ne sont pas autoris s utiliser leurs cl s personnelles pour chiffrer des donn es 51 SafeGuard Enterprise E Toute cl de groupe du jeu de cl s utilisateur Les utilisateurs ne peuvent s lectionner qu une des cl s de groupe pr sentes dans leur jeu de cl s Cl machine d finie C est la cl unique g n r e exclusivement pour cet ordinateur par SafeGuard Enterprise lors du premier d marrage L utilisateur n a pas d autre option Une cl machine d finie est g n ralement utilis e par la partition d initialisation et syst me et pour les unit s sur lesquelles
356. ris WOL Les donn es utilisateur Visualisation des donn es d inventaire 1 Dans la zone de navigation du SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation cliquez sur le conteneur concern domaine groupe de travail ou ordinateur gauche 3 Dans la zone d action acc dez l onglet Inventaire droite 4 Dans la zone Filtre s lectionnez le filtre appliquer l cran d inventaire voir Filtrage des donn es d inventaire la page 214 Remarque Si vous s lectionnez un ordinateur donn les donn es d inventaire sont re ues d s que vous acc dez l onglet Inventaire La zone Filtre n est pas disponible ici 5 Dans la zone Filtre cliquez sur la loupe Les donn es d inventaire et d tat s affichent sous forme de tableau r capitulatif de toutes les machines du conteneur s lectionn Les onglets Lecteurs Utilisateurs et Fonctions sont galement disponibles pour chaque machine Cliquez sur l en t te de la colonne pour trier les donn es de l inventaire par les valeurs de la colonne s lectionn e Le menu contextuel de chaque colonne propose de nombreuses fonctions de tri de regroupement et de personnalisation de l affichage 213 SafeGuard Enterprise 27 2 Affichage des colonnes masqu es 27 3 Dans l affichage des donn es d inventaire certaines colonnes sont masqu es par d faut 1 Dans cet affichage cliquez avec le bouton
357. rprise 270 ID de l erreur Affichage 805306417 L utilisateur auquel le certificat devrait avoir t attribu n a pas un nom unique 805306418 Il est malheureusement impossible de trouver l attribution du certificat 805306419 L attribution du certificat n est pas unique Le certificat devant tre supprim n est pas clair 805306420 L utilisateur pour lequel le certificat doit tre produit est introuvable dans la base de donn es 805306421 L utilisateur auquel le certificat doit tre attribu ne peut pas avoir un nom unique 805306422 Le certificat a d j t attribu un autre utilisateur Un certificat ne peut tre attribu qu un seul utilisateur 805306423 La machine laquelle le certificat doit tre attribu est introuvable dans la base de donn es 805306424 La machine laquelle le certificat doit tre attribu n a pas pu tre identifi e de fa on unique 805306425 Les certificats import s ne peuvent pas tre tendus par SGN 805306426 Donn es de certificat incoh rentes 805306427 L extension du certificat n a pas t approuv e par un responsable de la s curit 805306428 Erreur de suppression de la cl cryptographique 805306429 Le certificat ne peut pas tre supprim par la cl cryptographique car il a t autoris par l utilisateur pr sent 805306430 Un acc s syst me du m me nom existe d j S lectio
358. rs Racine _ Authenticated Computers _ Authenticated Users _ Auto registered _SampleWorkgroup entr e ajout e manuellement _ Auto registered _SampleComputer001 entr e cr e la connexion _SampleComputer002 entr e cr e la connexion s Les objets utilisateur et ordinateur restent dans le dossier Auto registered Ils peuvent cependant tre g r s via le SafeGuard Management Center ajout ou suppression de strat gies etc tude de cas 2 Base de donn es de SafeGuard Enterprise et Active Directory non synchronis s Un utilisateur et un ordinateur client SafeGuard Enterprise font d j partie de AD Active Directory de l entreprise Mais la base de donn es de SafeGuard Enterprise et AD ne sont pas synchronis s l utilisateur et l ordinateur ne sont pas r pertori s dans le SafeGuard Management Center L utilisateur se connecte l ordinateur client SafeGuard Enterprise avec les codes d acc s suivants E SampleUser E SamplePassword E Sample Domain Ces informations sont transmises au serveur SafeGuard Enterprise Dans le SafeGuard Management Center les entr es suivantes sont cr es Arborescence Utilisateurs amp ordinateurs Racine _ Authenticated Computers _ Authenticated Users _ Auto registered _SampleDomain entr e cr e en synchronisation avec l AD _ Auto registered _SampleComputer entr e cr e la connexion _SampleUser entr e cr e la connex
359. rs indique les donn es d inventaire et d tat des utilisateurs sur l ordinateur Colonne Explication Nom d utilisateur Indique le nom de l utilisateur Indique si l utilisateur est d fini comme tant le propri taire de l ordinateur Utilisateur propri taire Utilisateur verrouill Indique si l utilisateur est verrouill Aide administrateur 27 8 27 9 27 9 1 27 9 2 Onglet Fonctions L onglet Fonctions propose une pr sentation de tous les modules SafeGuard Enterprise install s sur l ordinateur Colonne Explication Nom du module Indique le nom du module SafeGuard Enterprise install Version Indique la version logicielle du module SafeGuard Enterprise install Cr ation de rapports de donn es d inventaire En tant que responsable de la s curit vous pouvez cr er des rapports de donn es d inventaire dans diff rents formats Par exemple vous pouvez cr er des rapports de conformit pour prouver que des ordinateurs d extr mit ont t chiffr s Les rapports peuvent tre imprim s ou export s dans un fichier Impression de rapports d inventaire 1 Dans la barre de menus du SafeGuard Management Center cliquez sur Fichier 2 Vous pouvez soit imprimer le rapport directement soit afficher un aper u avant impression L aper u avant impression fournit plusieurs fonctions par exemple pour la modification de la mise en page en t te et pied de page etc
360. rte pour l ordinateur sont n cessaires en plus de la carte puce elle m me En outre pour que les cartes puce et les lecteurs de carte puissent communiquer avec SafeGuard Enterprise certains middlewares sous la forme d un module PKCS 11 sont n cessaires Cartes puce et lecteurs pilotes de cartes puce SafeGuard Enterprise prend en charge les proc dures de connexion non cryptographiques et cryptographiques avec l authentification au d marrage Avec les cartes puce non cryptographiques l ID utilisateur et le mot de passe sont stock s sur la carte Les cartes puce cryptographiques sont utilis es pour authentifier les paires de cl s RSA certificats E Windows Dans le syst me d exploitation Windows les lecteurs de cartes compatibles PC SC sont pris en charge L interface PC SC r git la communication entre le PC et la carte puce Nombre de ces lecteurs de cartes sont d j int gr s dans l installation de Windows Pour tre prises en charge par SafeGuard Enterprise les cartes puce requi rent des pilotes compatibles PKCS 11 E Authentification au d marrage Aide administrateur 19 1 2 19 1 3 Reportez vous aux notes de publication pour obtenir une liste d taill e de toutes les cartes puce lecteurs de cartes puce et pilotes de cartes puce pris en charge Avec l authentification au d marrage c est l interface PC SC qui r git la communication entre le PC et la carte puce Les pilote
361. rtificat lt Administrateur gt 3 Vous tes invit saisir un mot de passe pour s curiser le fichier export Entrez un mot de passe confirmez le puis cliquez sur OK 4 Saisissez un nom et un emplacement de stockage pour le fichier exporter et cliquez sur OK Le certificat du responsable principal de la s curit actuellement connect est export sous la forme d un fichier p12 l emplacement d fini et peut tre utilis des fins de r cup ration Restauration de l installation corrompue du SafeGuard Management Center Si l installation du SafeGuard Management Center est corrompue mais la base de donn es est toujours intacte l installation peut tre restaur e en r installant le SafeGuard Management Center et en utilisant la base de donn es existante ainsi que le certificat sauvegard du responsable de la s curit E Le certificat du responsable principal de la s curit de la configuration de la base de donn es correspondante doit avoir t export sous la forme de fichiers p12 ainsi qu tre disponibles et valides m Vous devez galement conna tre les mots de passe de ce fichier p12 ainsi que du magasin de certificats Pour restaurer l installation corrompue du SafeGuard Management Center 1 R installez le package d installation du SafeGuard Management Center Ouvrez le SafeGuard Management Center L assistant de configuration d marre automatiquement 2 Dans Connexion la base de donn
362. rtificat d entreprise cochez la case Restaurer l aide d un certificat d entreprise existant Cliquez sur Importer pour rechercher le fichier de certificat sauvegard qui contient le certificat d entreprise valide Vous tes invit saisir le mot de passe d fini pour le magasin de certificats Entrez un mot de passe et cliquez sur OK pour le confirmer Cliquez sur Oui dans le message affich Le certificat d entreprise est alors import 23 SafeGuard Enterprise 24 7 1 7 Cliquez sur Suivant puis sur Terminer La configuration de la base de donn es est restaur e Licences Vous avez besoin d une licence valide pour utiliser SafeGuard Enterprise avec le SafeGuard Management Center comme syst me direct Par exemple dans la base de donn es SafeGuard Enterprise une licence valide est une condition pr alable l envoi de strat gies aux ordinateurs d extr mit Les licences de cl cryptographique appropri es sont galement n cessaires la gestion des cl s cryptographiques Les fichiers de licence sont disponibles aupr s de votre partenaire commercial Ces fichiers doivent tre import s dans la base de donn es SafeGuard Enterprise apr s l installation Le fichier de licence inclut entre autres informations E Le nombre de licences achet es par module E Le nom du d tenteur de la licence E Une limite de tol rance sp cifi e pour le d passement du nombre de licences Si le nombre de licences
363. ry Connectez vous l ordinateur sans le fournisseur d informations Sophos Sophos Credential Provider et restaurez la configuration utilisateur sur le client R ponse pour les clients SafeGuard Enterprise Pour g n rer une r ponse lors de la proc dure Challenge R ponse pour un client SafeGuard Enterprise les noms de l ordinateur d extr mit et du domaine sont requis Remarque Ce nom doit toujours correspondre au nom unique de l ordinateur 1 Dans la fen tre Type de r cup ration s lectionnez Client SafeGuard Enterprise g r 2 Dans la liste s lectionnez le domaine requis 3 Saisissez le nom de l ordinateur requis Pour ce faire vous pouvez proc der de plusieurs fa ons M S lectionnez un nom en cliquant sur dans la section Informations ordinateur de la bo te de dialogue Type de r cup ration Cliquez alors sur Rechercher maintenant La liste des ordinateurs s affiche S lectionnez l ordinateur requis puis cliquez sur OK Le nom de l ordinateur s affiche d sormais dans la fen tre Type de r cup ration sous Domaine M Saisissez le nom abr g de l ordinateur Lorsque vous cliquez sur Suivant ce nom est recherch dans la base de donn es S il est trouv le nom d ordinateur unique s affiche M Saisissez directement le nom de l ordinateur au format de nom unique par exemple CN Postel OU D veloppement OU Si ge DC Utimaco DC uae 195 SafeGuard Enterprise 196 Cliquez sur Suivan
364. s lectionner l emplacement du fichier de cl s b Nom du fichier Le fichier de cl s est chiffr l aide d un mot de passe al atoire qui s affiche dans Nom du fichier Vous ne pouvez pas modifier ce nom c Cliquez sur Ajouter une cl ou sur Supprimer une cl pour ajouter ou supprimer des cl s Une fen tre contextuelle s affiche pour rechercher et s lectionner les cl s requises Cliquez sur OK pour confirmer la s lection d Cliquez sur OK pour confirmer toutes les saisies 56 Aide administrateur 10 5 4 10 5 5 10 5 6 10 5 7 11 5 Distribuez le fichier de cl s dans l environnement des ordinateurs d extr mit concern s Il doit tre disponible avant que le code de r ponse ne soit saisi sur l ordinateur d extr mit Affichage et filtrage des vues par client virtuel Pour rechercher plus facilement le client virtuel ou des cl s requis pendant une session Challenge R ponse il existe plusieurs possibilit s de filtrage et de recherche dans le SafeGuard Management Center sous Cl s et certificats Vues des clients virtuels 1 Cliquez sur Clients virtuels dans la fen tre de navigation de gauche 2 Cliquez sur la loupe pour g n rer la liste compl te de tous les clients virtuels 3 Filtrez les clients virtuels par Nom symbolique ou par GUID de cl Vues des fichiers de cl s export s 1 Dans le SafeGuard Management Center cliquez sur Clients virtuels puis sur Fichiers de cl s export s
365. s planifi es 2 S lectionnez la t che requise Le bouton Supprimer devient disponible 3 Cliquez sur le bouton Supprimer et confirmez que vous voulez supprimer la t che La t che est supprim e de la bo te de dialogue de l aper u du Planificateur de t ches et ne sera plus ex cut e sur le serveur SafeGuard Enterprise Remarque Si la t che a t d marr e entre temps elle est supprim e de la bo te de dialogue de l aper u du Planificateur de t ches mais sera tout de m me achev e Utilisation de scripts dans le Planificateur de t ches Avec le Planificateur de t ches vous pouvez importer modifier et exporter des scripts Pour utiliser les scripts dans le Planificateur de t ches vous avez besoin des droits du responsable de la s curit Utiliser le planificateur de t ches et G rer les t ches Importation de scripts Pour sp cifier un script ex cuter par une t che le script doit tre import Vous pouvez importer le script lorsque vous cr ez la t che pour la premi re fois voir Cr ation d une nouvelle t che la page 230 Vous pouvez aussi importer des scripts pour les t ches existantes 1 Dans la barre de menus du SafeGuard Management Center s lectionnez Outils gt Planificateur de t ches La bo te de dialogue Planificateur de t ches appara t montrant un aper u des t ches planifi es 2 S lectionnez la t che requise et cliquez sur le bouton Propri t s La bo te de dia
366. s Affiche une zone de texte avec un contenu pouvant tre suppl mentaires configur qui appara t apr s la mention l gale si elle est activ e Vous pouvez d finir si les informations suppl mentaires sont affich es E Jamais E chaque d marrage syst me m chaque connexion Texte des informations Le texte afficher en tant qu informations suppl mentaires suppl mentaires n PP Dans ce champ vous pouvez s lectionner un l ment de texte enregistr dans Texte d informations dans la zone de navigation de strat gie Afficher pendant s Dans ce champ vous pouvez d finir la dur e en secondes pendant laquelle les informations suppl mentaires doivent tre affich es Vous pouvez sp cifier le nombre de secondes apr s lesquelles la zone de texte d informations suppl mentaires est ferm e automatiquement L utilisateur peut fermer la zone de texte tout moment en cliquant sur OK Activer et afficher l ic ne de la L ic ne de la barre d tat syst me de SafeGuard Enterprise barre d tat syst me permet l utilisateur d acc der rapidement et facilement l ensemble des fonctions de l ordinateur d extr mit En outre des informations concernant l tat de l ordinateur d extr mit 112 Aide administrateur Param tres de strat gie Explication nouvelles strat gies re ues etc peuvent tre affich es dans des infobulles Oui l ic ne de la barre d ta
367. s SafeGuard autonomes 3 Cliquez sur Parcourir pour localiser le fichier de r cup ration de cl requis Pour faciliter l identification des fichiers de r cup ration leur nom est identique celui de l ordinateur nomordinateur GUID xml 4 Saisissez le code de challenge que l utilisateur vous a indiqu puis cliquez sur Suivant Ce code est v rifi Si le code de challenge a t saisi correctement l action de r cup ration demand e par l ordinateur ainsi que les actions de r cup ration possibles s affichent S il a t saisi de fa on incorrecte le terme Non valide s affiche au dessous du bloc contenant l erreur 5 S lectionnez l action que l utilisateur doit entreprendre puis cliquez sur Suivant 6 Un code de r ponse est g n r Communiquez le l utilisateur Une aide orthographique est fournie Vous pouvez galement copier le code de r ponse dans le Presse papiers L utilisateur peut saisir le code de r ponse ex cuter l action requise puis reprendre son travail R cup ration du syst me SafeGuard Enterprise chiffre les fichiers et les lecteurs de fa on transparente Les lecteurs d initialisation peuvent galement tre chiffr s et les fonctions de d chiffrement telles que le code les algorithmes de chiffrement et la cl de chiffrement doivent tre disponibles tr s t t au cours de la phase d initialisation C est la raison pour laquelle les informations chiffr es ne sont pas accessibles si
368. s contraire il est impossible de distinguer correctement leurs droits d acc s Une authentification suppl mentaire ne peut tre utile que lorsque les responsables de la s curit doivent s authentifier l aide de cl s cryptographiques cartes puce R les du responsable de la s curit Pour plus de simplicit SafeGuard Enterprise propose des r les pr d finis pour les responsables de la s curit dot s de diverses fonctions Un responsable de la s curit poss dant les droits n cessaires peut galement d finir de nouveaux r les partir d une liste d actions de droits et les attribuer des responsables de la s curit particuliers Les types de r le suivants sont fournis M R le du responsable principal de la s curit E R les pr d finis E R les personnalis s Responsable principal de la s curit Apr s avoir install SafeGuard Enterprise un responsable principal de la s curit MSO Master Security Officer est cr par d faut au cours de la configuration initiale du SafeGuard Management Center Le responsable principal de la s curit est un responsable de la s curit 29 SafeGuard Enterprise 8 1 2 30 de niveau sup rieur Il b n ficie de tous les droits et peut acc der tous Les objets semblable un administrateur Windows Les droits du responsable principal de la s curit ne peuvent pas tre modifi s Plusieurs responsables principaux de la s curit peuvent tre
369. s dans l UMA il deviendra un utilisateur complet lors de sa connexion Windows Les strat gies de l utilisateur les certificats et les cl s sont envoy s l ordinateur d extr mit La POA est activ e Remarque L utilisateur peut v rifier le message d tat dans l ic ne de barre d tat de SafeGuard infobulle lorsque ce processus est termin L Utilisateur_a est pr sent un utilisateur complet selon les termes de SafeGuard Enterprise et apr s la premi re connexion il peut s authentifier lors de l authentification au d marrage et est connect automatiquement L Utilisateur_a quitte pr sent l ordinateur et l Utilisateur_b souhaite se connecter La POA tant activ e il n y a plus de connexion automatique 147 SafeGuard Enterprise 18 1 1 18 1 2 148 L Utilisateur_b et l Utilisateur_c ont deux possibilit s pour acc der cet ordinateur E L Utilisateur_a d sactive l option Authentification automatique Windows dans la bo te de dialogue de connexion POA et se connecte E L Utilisateur_b utilise la proc dure challenge r ponse pour se connecter la POA Dans les deux cas la bo te de dialogue de connexion de Windows s affiche L Utilisateur_b peut saisir ses informations d identification Windows Les strat gies de l utilisateur les certificats et les cl s sont envoy s l ordinateur d extr mit L utilisateur est activ dans la POA L Utilisateur_b est pr sent un utilisateur com
370. s de cartes puce pris en charge sont fix s de sorte que les utilisateurs ne peuvent pas en ajouter Les pilotes de cartes puce appropri s doivent tre activ s au moyen d une strat gie dans SafeGuard Enterprise L interface des lecteurs de cartes puce est standardis e et un grand nombre de ces lecteurs poss dent une interface USB ou une interface ExpressCard 54 et mettent en uvre la norme CCID Dans SafeGuard Enterprise il s agit d une condition pr alable la prise en charge avec l authentification au d marrage De plus du c t du pilote le module PKCS 11 doit tre pris en charge Cartes puce prises en charge avec l authentification au d marrage SafeGuard Enterprise prend en charge un grand nombre de cartes puce et de lecteurs de cartes puce ainsi que les pilotes de cartes puce courants avec l authentification au d marrage Avec SafeGuard Enterprise les cl s cryptographiques cartes puce compatibles avec les op rations 2048 bits RSA sont prises en charge La prise en charge des cartes puce faisant l objet d am liorations d une version la suivante les cl s cryptographiques et cartes puce pour la version actuelle de SafeGuard Enterprise sont r pertori s dans les notes de publication Middlewares pris en charge Les middlewares dans la liste ci dessous sont pris en charge par le module PKCS 11 correspondant PKCS 11 est une interface standardis e pour connecter des cl s cryptographiques car
371. s de frappe PS 2 aucun message utilisateur ne s affiche L enregistreur de frappe est n anmoins inutile tant donn que les informations qu il capture sont brouill es Notez galement que lorsqu un enregistreur de frappe PS 2 est bloqu et que vous utilisez un commutateur cran clavier souris PS 2 le changement de commutateur entre ordinateur ne fonctionne pas partir du clavier Vous pouvez changer d ordinateur en appuyant directement sur le commutateur 125 SafeGuard Enterprise 17 3 7 17 3 7 1 126 4 Si vous avez s lectionn Restreindre pour Tous les p riph riques d finissez les autorisations de chaque Type de p riph rique dans la section Types de p riph riques comme suit a Autoriser autorise tous les p riph riques de ce type b Restreindre tous les p riph riques sont bloqu s sauf s ils sont explicitement approuv s dans la Liste blanche d crite dans Approbation de p riph riques et de connexions WLAN 5 S lectionnez la Liste blanche pour les mod les de p riph riques et la Liste blanche pour les p riph riques distincts pour les ajouter aux p riph riques autoris s dans la Liste blanche comme d crit dans Listes blanches Approbation de p riph riques et de connexions WLAN tape 6 D finir le contr le du stockage Les p riph riques de stockage sont g n ralement les principales sources de fuite d informations dans une organisation SafeGuard Configuration Protection vous
372. s du clavier ces combinaisons sont rejet es comme codes PIN Les s quences de touches cons cutives ne concernent que la zone du clavier alphanum rique Au moins 3 caract res cons cutifs non autoris s L activation de cette option interdit les s quences de touches M qui sont des s ries cons cutives de symboles de code ASCII que ce soit par ordre croissant ou d croissant abc cba G etc E constitu es de trois symboles identiques ou plus aaa ou 111 Utilisation interdite du nom d utilisateur comme code PIN D termine si le nom d utilisateur et le code PIN peuvent tre identiques OUI le nom d utilisateur Windows et le code PIN doivent tre diff rents NON l utilisateur peut utiliser son nom d utilisateur Windows comme code PIN Utiliser la liste des codes PIN interdits D termine si certaines s quences de caract res ne doivent pas tre utilis es pour les codes PIN Les s quences de caract res sont stock es dans la liste des codes PIN interdits par exemple un fichier txt Liste de PIN non autoris s D finit les s quences de caract res ne pas utiliser pour les codes PIN Si un utilisateur utilise un code PIN non autoris un message d erreur s affiche Condition pr alable Une liste fichier de codes PIN non autoris s doit tre enregistr e dans le Management Center dans la zone de navigation de strat gie sous Texte d informations
373. s du syst me de fichiers non identifi s un intervalle de temps s coule entre l affichage de la bo te de dialogue de s lection de la cl et le refus de l acc s Pendant cet intervalle le volume reste accessible Le volume est accessible tant que la bo te de dialogue de s lection de cl n est pas confirm e Pour viter cela sp cifiez une cl pr s lectionn e pour le chiffrement Pour plus d informations sur les param tres de strat gie correspondants voir Protection du p riph rique la page 103 Cet intervalle de temps existe galement pour les volumes d objets du syst me de fichiers non identifi s qui sont connect s un ordinateur d extr mit notamment lorsque l utilisateur a d j ouvert des fichiers sur le 47 SafeGuard Enterprise 9 1 4 9 1 5 48 9 2 volume lorsque la strat gie de chiffrement prend effet Dans ce cas il n est pas garanti que l acc s au volume sera refus car cela risque de provoquer une perte de donn es Chiffrement des volumes avec la fonctionnalit Autorun activ e Si vous appliquez une strat gie de chiffrement aux volumes pour lesquels Autorun est activ voici ce qui peut se produire E Le volume n est pas chiffr E Si le volume est un objet du syst me de fichiers non identifi voir Chiffrement bas sur volume et objets du syst me de fichiers non identifi la page 47 l acc s n est pas refus Acc s aux volumes chiffr s BitLocker To Go Si SafeGu
374. s est activ e dans une strat gie du type Protection du p riph rique Lorsque ce param tre est activ sur l ordinateur l utilisateur est invit automatiquement saisir une phrase de passe de support lors de la premi re connexion au support amovible La phrase de passe de support est valide sur chaque ordinateur auquel l utilisateur peut se connecter L utilisateur peut galement changer la phrase de passe de support La synchronisation est alors automatique lorsque la phrase de passe reconnue sur l ordinateur et la phrase de passe de support amovible ne correspondent pas En cas d oubli de la phrase de passe de support l utilisateur peut la r cup rer sans recourir au support Remarque Pour activer la phrase de passe de support activez l option L utilisateur peut d finir une phrase de passe de support pour les p riph riques dans une strat gie du type Chiffrement de p riph rique Ceci n est disponible que si vous avez s lectionn Support amovible comme Cible de protection de p riph rique Phrase de passe de support et ordinateurs d extr mit non administr s Sur un ordinateur d extr mit non administr autrement dit un ordinateur fonctionnant en mode autonome sur lequel la fonction de phrase de passe de support est d sactiv e aucune cl n est disponible une fois l installation termin e car les ordinateurs d extr mit non administr s utilisent des cl s locales uniquement Avant de pouvoir utiliser le chif
375. s informations d identification Windows suppl mentaires ou le disque requis 3 L utilisateur saisit le nouveau mot de passe Windows fourni par le support L utilisateur modifie ensuite ce mot de passe imm diatement en choisissant une valeur connue de lui seul 4 SafeGuard Enterprise d tecte que le nouveau choix de mot de passe ne correspond pas au mot de passe SafeGuard Enterprise utilis actuellement au niveau de l authentification au d marrage L utilisateur est invit saisir son ancien mot de passe SafeGuard Enterprise et puisqu il a oubli son mot de passe il doit cliquer sur Annuler 5 Un nouveau certificat est n cessaire afin de pouvoir d finir un nouveau mot de passe sans avoir fournir l ancien L utilisateur doit confirmer cette proc dure 6 Un nouveau certificat utilisateur est cr en fonction du nouveau choix de mot de passe Windows Cela permet l utilisateur de se reconnecter l ordinateur ainsi qu l authentification au d marrage l aide du nouveau mot de passe Remarque Cl s pour SafeGuard Data Exchange lorsque l utilisateur a oubli le mot de passe Windows et doit en saisir un nouveau un nouveau certificat utilisateur est galement cr L utilisateur ne pourra donc plus utiliser les cl s d j cr es pour SafeGuard Data Exchange Pour continuer utiliser les cl s existantes pour SafeGuard Data Exchange l utilisateur doit se souvenir des phrases de passe SafeGuard Data Exchange afin
376. s le r pertoire racine Auto registered Groupes de travail d ordinateur connus sous le r pertoire racine Auto registered Groupe de travail Nouvellement ajout sous le r pertoire racine inconnu Auto registered Groupes de travail d ordinateur inconnus sous le r pertoire racine Auto registered Domaines Domaine connu D j pr sent sous le domaine d ordinateur Domaines d ordinateur domaines pr sents Domaine inconnu Nouvellement ajout sous le r pertoire racine Auto registered Domaine pas encore Nouvellement ajout sous le domaine Auto synchronis registered 4 2 tudes de cas de l enregistrement automatique Vous trouverez ci apr s deux tudes de cas du comportement d objets enregistr s automatiquement tude de cas 1 Gestion d utilisateurs ordinateurs ne faisant pas partie d un Active Directory Dans une entreprise tous les objets utilisateur ou ordinateur ne font pas n cessairement partie d un Active Directory AD les utilisateurs locaux par exemple Une entreprise peut disposer d un ou de quelques groupes de travail un AD n est donc pas n cessaire Cette entreprise souhaite d ployer SafeGuard Enterprise puis ajouter des strat gies ses objets utilisateur ordinateur La structure organisationnelle de l entreprise doit donc tre cr e manuellement dans le SafeGuard Management Center comme suit SafeGuard Enterprise 10 Arborescence Utilisateurs amp ordinateu
377. s modifications dans la base de donn es Le nouveau r le est cr Suppression d un r le Remarque Les r les pr d finis ne peuvent pas tre supprim s Condition pr alable pour supprimer un r le vous devez poss der le droit d affichage et de suppression des r les de responsable de la s curit 1 Dans le SafeGuard Management Center s lectionnez Responsables de la s curit 35 SafeGuard Enterprise 36 8 8 2 Dans la fen tre de navigation sous R les personnalis s cliquez avec le bouton droit sur le r le supprimer et s lectionnez Supprimer En fonction des propri t s du r le un message d avertissement sp cifique s affichera Remarque Lorsque vous supprimez un r le tous les responsables de la s curit auxquels ce r le est attribu perdent ce dernier Si le r le est le seul attribu un responsable de la s curit ce dernier ne peut plus se connecter au SafeGuard Management Center sauf s il se voit attribuer un nouveau r le par un responsable de la s curit sup rieur Si le r le est utilis des fins d authentification suppl mentaire le MSO devra effectuer une authentification suppl mentaire 3 Pour supprimer le r le cliquez sur Oui dans le message d avertissement 4 Cliquez sur l ic ne Enregistrer de la barre d outils pour enregistrer vos modifications dans la base de donn es Le r le est supprim de la fen tre de navigation et de la base de donn es
378. s par un processus de synchronisation AD avec le filtre Utilisateurs et ordinateurs dupliqu s Ce filtre affiche tous les ordinateurs portant le m me nom dans un domaine et tous les utilisateurs avec le m me nom nom de connexion ou nom de connexion avant 2000 dans un domaine Aide administrateur Pour rechercher les objets 1 Dans la zone de navigation du SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la zone de navigation Utilisateurs et ordinateurs s lectionnez le conteneur requis 3 Dans la barre de menus du SafeGuard Management Center cliquez sur diter gt Rechercher La bo te de dialogue Rechercher des utilisateurs ordinateurs et groupes s affiche 4 S lectionnez le filtre requis dans la liste d roulante Rechercher 5 Dans le champ Dans le conteneur s lectionn appara t Vous pouvez changer ceci en s lectionnant une option diff rente de la liste d roulante 6 Si vous recherchez un objet sp cifique entrez le nom recherch dans le champ Rechercher le nom 7 Avec la case cocher Supprimer les r sultats apr s chaque recherche sp cifiez si les r sultats doivent tre effac s apr s chaque processus de recherche 8 Cliquez sur Rechercher maintenant Les r sultats apparaissent dans la bo te de dialogue Rechercher des utilisateurs ordinateurs et groupes Si vous cliquez sur un des r sultats dans cette bo te de dialogue l entr e correspondante est marqu e da
379. sable de la s curit lorsqu il se connecte Le certificat cr est attribu automatiquement au responsable de la s curit et affich dans Certificat Si des r gles de mot de passe de SafeGuard Enterprise sont utilis es celles ci doivent tre d sactiv es dans Active Directory Remarque Longueur max du chemin d enregistrement et du nom de fichier 260 caract res Lors de la cr ation d un responsable de la s curit la partie publique du certificat suffit Lors de la connexion au SafeGuard Management Center cependant la partie priv e du certificat le fichier de cl s est galement requise Si elle n est pas disponible dans la base de donn es elle doit l tre pour le responsable de la s curit sur une carte m moire par exemple et peut tre stock e dans le magasin de certificats pendant la connexion Certificat Importation Un certificat existant est utilis et attribu au responsable de la s curit lors de l importation Si l importation s effectue partir d un fichier de cl s p12 le mot de passe du certificat doit tre connu Si un conteneur de certificats PKCS 12 est s lectionn tous les certificats sont charg s dans la liste de certificats attribuables L attribution du certificat s effectue apr s l importation en le s lectionnant dans la liste d roulante 4 Pour confirmer cliquez sur OK Le nouveau responsable principal de la s curit appara t dans la fen tre de
380. sans administration de domaine comme les ordinateurs de groupe de travail ou autonomes SafeGuard Enterprise et disques durs compatibles Opal chiffrement automatique Les disques durs chiffrement automatique offrent un chiffrement de type mat riel des donn es lorsqu ils sont crits sur le disque dur Le Trusted Computing Group TCG a publi la norme Opal ind pendante des fournisseurs pour les disques durs chiffrement automatique Diff rents fournisseurs de mat riels proposent des disques durs compatibles Opal SafeGuard Enterprise prend en charge la norme Opal et assure la gestion des ordinateurs d extr mit quip s de disques durs compatibles Opal chiffrement automatique Comment SafeGuard Enterprise int gre t il les disques durs compatibles Opal SafeGuard Enterprise permet aux ordinateurs d extr mit de g rer les disques durs compatibles Opal chiffrement automatique depuis le SafeGuard Management Center comme tout autre poste d extr mit prot g par SafeGuard Enterprise La gestion centralis e et pleinement transparente des disques durs compatibles Opal par SafeGuard Enterprise permet l utilisation d environnements informatiques h t rog nes En prenant en charge la norme Opal nous offrons la s rie compl te des fonctions SafeGuard Enterprise aux utilisateurs professionnels des disques durs compatibles Opal chiffrement automatique En combinaison avec SafeGuard Enterprise les disques durs compatibles
381. sateur saisit simplement la phrase de passe de support et acc de tous les fichiers chiffr s quelle que soit la cl de chiffrement utilis e Partage d un support amovible avec un tiers externe Bob souhaite partager un p riph rique chiffr avec Joe tiers externe qui ne dispose pas de SafeGuard Data Exchange et qui doit donc utiliser SafeGuard Portable Si on suppose que Bob ne souhaite pas que Joe acc de tous les fichiers chiffr s du support amovible il peut cr er une cl locale et chiffrer les fichiers avec cette cl Joe peut alors utiliser SafeGuard Portable et ouvrir les fichiers chiffr s l aide de la phrase de passe de la cl locale et Bob peut toujours utiliser la phrase de passe de support pour acc der aux fichiers chiffr s du support amovible Comportement sur l ordinateur E Bob connecte pour la premi re fois le p riph rique amovible La cl de chiffrement de support unique chaque p riph rique est cr e automatiquement M Bob est invit saisir la phrase de passe de support pour l utiliser hors ligne Aide administrateur La cl de chiffrement de support est utilis e pour le chiffrement de donn es sans aucune interaction de l utilisateur mais Bob peut maintenant cr er ou s lectionner une cl locale par exemple JoeKey pour chiffrer des fichiers sp cifiques changer avec Joe Bob et Alice du m me groupe ou domaine acc dent de mani re transparente car ils partagent la
382. script de programmation E D marrage 24 sept 2011 12 15 SGMCMDlIntn exe WOLstart E D marrage 26 sept 2011 09 00 SGMCMDIntn exe WOLstop Le script de d ploiement des logiciels est dat du 25 09 2011 03 00 L veil par appel r seau peut tre nouveau explicitement d sactiv la fin du script en utilisant SGMCMDIntn exe WOLstop Tous les ordinateurs d extr mit qui se connectent avant le 24 septembre 2011 et qui se connectent aux serveurs de d ploiement recevront la nouvelle strat gie et les commandes de programmation Tout ordinateur d extr mit sur lequel la programmation d clenche la commande SGMCMDIntn WOLstart entre le 24 sept 2011 midi et le 25 sept 2011 6 heures du matin se trouve dans l intervalle de l veil par appel r seau et ce dernier sera par cons quent activ Options de r cup ration SafeGuard Enterprise propose plusieurs options de r cup ration adapt es diff rents sc narios E R cup ration de connexion avec Local Self Help Local Self Help permet aux utilisateurs ayant oubli leur mot de passe de se connecter leur ordinateur sans l aide du support Les utilisateurs peuvent acc der de nouveau leur ordinateur m me si aucune connexion t l phonique ou r seau n est disponible bord d un avion par exemple Pour se connecter ils doivent r pondre un certain nombre de questions pr d finies dans l authentification au d marrage Local Self Help r duit le nombre d
383. se trouve le r pertoire Documents and Settings Cl d finie dans la liste Cette option permet de d finir une cl particuli re que l utilisateur doit utiliser pour le chiffrement Pour sp cifier une cl d un utilisateur de cette mani re vous devez d finir une cl sous Cl d finie pour le chiffrement Cette option s affiche une fois que vous s lectionnez Cl d finie sur la liste Cliquez sur le bouton situ en regard Cl d finie pour le chiffrement pour afficher une bo te de dialogue dans laquelle vous pouvez sp cifier une cl Assurez vous que l utilisateur a aussi la cl correspondante Marquez la cl s lectionn e et cliquez sur OK La cl s lectionn e sera utilis e pour le chiffrement sur l ordinateur client 10 2 Attribution de cl s dans Utilisateurs et ordinateurs 10 3 52 Pour attribuer une nouvelle cl aux utilisateurs 1 2 5 Dans le SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs Dans la zone de navigation s lectionnez l objet requis par exemple utilisateur groupe ou conteneur Cliquez avec le bouton droit de la souris sur l onglet Cl s et s lectionnez Attribuer une nouvelle cl dans le menu contextuel Dans la bo te de dialogue Attribution d une nouvelle cl a Saisissez un Nom symbolique et une Description pour la cl b Pour masquer la cl dans le jeu de cl s de l utilisateur s lectionnez la case cocher Masquer la cl Pour pl
384. serez connect selon la m me configuration de base de donn es Le SafeGuard Management Center red marre et la vue attribu e au responsable connect s affiche Suppression d un responsable de la s curit Condition pr alable pour supprimer un responsable de la s curit ou un responsable principal de la s curit vous devez poss der le droit d affichage et de suppression de responsables de la s curit 1 Dans le SafeGuard Management Center s lectionnez Responsables de la s curit 2 Dans la fen tre de navigation cliquez avec le bouton droit sur le responsable de la s curit ou le responsable principal de la s curit supprimer et s lectionnez Supprimer Vous ne pouvez pas supprimer le responsable de la s curit sous le nom duquel vous tes connect 45 SafeGuard Enterprise 9 1 9 1 1 46 3 Sile responsable poss de des enfants vous tes invit s lectionner un nouveau n ud parent pour les enfants Le responsable est supprim de la base de donn es Remarque Un responsable principal de la s curit explicitement cr en tant que responsable et non seulement promu au rang de responsable de la s curit doit cependant tre conserv dans la base de donn es Si un utilisateur promu au rang de responsable de la s curit est supprim de la base de donn es son compte utilisateur l est galement Remarque Si le responsable supprimer s est vu attribuer un r le incluan
385. sont transf r s au m canisme de transport qui les envoie ensuite la base de donn es via le serveur SGN Le transfert s effectue d s que le m canisme de transport a r ussi cr er une connexion au serveur Le fichier journal augmente par cons quent en taille jusqu ce qu une connexion soit tablie Pour limiter la taille de chaque fichier journal il est possible de sp cifier un nombre maximal d entr es du journal dans la strat gie Lorsque le nombre d entr es pr d fini a t atteint le syst me de journalisation place le fichier journal dans la file d attente de transport du serveur SGN et d marre un nouveau fichier journal PERSONNALISATION Langue utilis e sur le client Langue dans laquelle les param tres de SafeGuard Enterprise sont affich s sur l ordinateur d extr mit Outre les langues prises en charge les utilisateurs peuvent s lectionner le param tre de langue du syst me d exploitation de l ordinateur R CUP RATION DE LA CONNEXION Activer la r cup ration de Le cache local Windows repr sente le point de d part et de fin connexion apr s la corruption de l change de donn es entre l ordinateur d extr mit et le du cache local Windows serveur Il stocke la totalit des cl s strat gies certificats utilisateur et fichiers d audit Les donn es stock es dans le cache local sont sign es et ne peuvent pas tre modifi es manuellement La r cup ration de connexion apr s corru
386. ste blanche La liste blanche peut maintenant tre utilis e dans une strat gie de protection de la configuration Aide administrateur 17 4 2 4 Ajout manuel d un p riph rique Si vous avez cr une liste blanche vide vous devez ajouter les entr es manuellement Si vous voulez ajouter des p riph riques une liste blanche existante comme dans le cas de p riph riques non connect s un syst me d extr mit de votre organisation et n apparaissant donc pas dans les r sultats d audit de SafeGuard PortAuditor vous devez galement les ajouter manuellement Les instructions suivantes s appliquent l ajout de p riph riques de stockage Contr le du stockage et l ajout de p riph riques hors stockage Contr le du p riph rique Remarque Lorsque vous ajoutez un p riph rique figurant d j dans une autre liste blanche de p riph riques de cette strat gie et que les autorisations de liste blanche sont diff rentes les autorisations les plus strictes s appliquent Nous vous recommandons fortement de conserver le nombre de p riph riques autoris s un niveau g rable dans une liste blanche L ajout de plus de 1000 p riph riques dans une liste blanche peut avoir des cons quences n fastes sur les performances de l ordinateur lors de l valuation de la strat gie Pour ajouter un p riph rique manuellement 1 Cliquez sur l ic ne Ajouter de la barre d outils de SafeGuard Enterprise pour ajouter une no
387. suppl mentaire 805306394 Le responsable r cup ration ne peut pas tre supprim car un second responsable r cup ration est requis pour une authentification suppl mentaire 805306395 Le responsable conseil ne peut pas tre supprim car un second responsable conseil est requis pour une authentification suppl mentaire 805306396 La fonction de responsable principal de la s curit ne peut pas tre supprim e car un second responsable principal de la s curit est n cessaire pour une authentification suppl mentaire Aide administrateur ID de l erreur Affichage 805306397 La fonction de responsable de la s curit ne peut pas tre supprim e car un second responsable de la s curit est n cessaire pour une authentification suppl mentaire 805306398 La fonction de responsable de la v rification ne peut pas tre supprim e car un second responsable de la v rification est n cessaire pour une authentification suppl mentaire 805306399 La fonction de responsable r cup ration ne peut pas tre supprim e car un second responsable r cup ration est n cessaire pour une authentification suppl mentaire 805306400 La fonction de responsable r cup ration ne peut pas tre supprim e car un second responsable r cup ration est n cessaire pour une authentification suppl mentaire 805306401 Aucun responsable suppl mentaire ayant la fonction requise n est dispon
388. sur les ordinateurs d extr mit est d sactiv Cette d sactivation ne peut pas tre invers e manuellement dans le SafeGuard Management Center La licence doit tre mise niveau ou renouvel e pour pouvoir de nouveau b n ficier de toutes les fonctionnalit s Outre la d sactivation du d ploiement des strat gies la restriction fonctionnelle n affecte pas les ordinateurs d extr mit Les strat gies affect es restent actives Par ailleurs les clients peuvent toujours tre d sinstall s Les sections suivantes d crivent le comportement du syst me lorsque les licences sont d pass es ainsi que l action n cessaire pour restaurer la restriction fonctionnelle Licence non valide avertissement Si le nombre de licences disponibles ou la version SafeGuard Enterprise la plus r cente autoris e par exemple en raison d une mise jour logicielle est d pass un message d avertissement s affiche au d marrage du SafeGuard Management Center Le SafeGuard Management Center s ouvre et affiche la pr sentation de l tat de la licence dans la zone Utilisateurs et ordinateurs de l onglet Licences Un message d avertissement vous informe que la licence n est pas valide A l aide des informations d taill es sur le fichier de licence vous pouvez d terminer le module pour lequel le nombre de licences disponibles est d pass Cet tat de la licence peut tre restaur en faisant voluer en renouvelant ou en mettant la licence
389. t Le programme d termine alors de fa on dynamique si un ordinateur SafeGuard Enterprise natif ou si un ordinateur chiffr BitLocker est utilis et r gle le flux de travail de r cup ration en cons quence S il s agit d un ordinateur SafeGuard Enterprise natif l tape suivante requiert la s lection des informations utilisateur Une fois termin e la recherche de l ordinateur appropri dans la base de donn es le nom d utilisateur et le domaine correspondants sont requis afin d effectuer la r cup ration d un client SafeGuard Enterprise S lectionnez le domaine requis de l utilisateur Saisissez le nom de l utilisateur requis Pour ce faire vous pouvez proc der de plusieurs fa ons E S lectionnez un nom en cliquant sur dans la section Informations utilisateur de la bo te de dialogue R cup ration de connexion Cliquez alors sur Rechercher maintenant La liste des utilisateurs s affiche S lectionnez le nom requis puis cliquez sur OK Le nom s affiche maintenant dans la fen tre Type de r cup ration sous Domaine M Saisissez directement le nom de l utilisateur Assurez vous de l orthographier correctement Cliquez sur Suivant Une fen tre s affiche dans laquelle vous pouvez saisir le code de challenge Saisissez le code de challenge que l utilisateur vous a indiqu puis cliquez sur Suivant Ce code est v rifi S il a t saisi de fa on incorrecte le terme Non valide s affiche au dessous du bloc con
390. t tre activ Vous devez disposer des droits n cessaires pour effectuer des s lections pour le SO 1 Dans le SafeGuard Management Center cliquez sur Responsables de la s curit 155 SafeGuard Enterprise 19 6 156 2 Connectez la cl cryptographique l interface USB SafeGuard Enterprise lit la cl cryptographique 3 Dans la fen tre de navigation de gauche cochez Responsable de la s curit et s lectionnez Nouveau gt Nouveau responsable de la s curit dans le menu contextuel La bo te de dialogue Nouveau responsable de la s curit s affiche 4 Avec le champ Connexion sur la carte puce sp cifiez le type de connexion pour le SO E Pour permettre au SO de s authentifier avec ou sans une cl cryptographique s lectionnez Facultatif M Pour rendre obligatoire la connexion sur la carte puce pour le SO s lectionnez Obligatoire Avec ce param tre la cl priv e reste sur la cl cryptographique La cl cryptographique doit toujours tre connect e sinon le syst me doit tre r initialis 5 Ensuite vous sp cifiez le certificat du SO M Pour cr er un nouveau certificat cliquez sur le bouton Cr er pr s de la liste d roulante Certificat Entrez un mot de passe pour le certificat deux fois et cliquez sur OK pour le confirmer Indiquez l emplacement d enregistrement du certificat M Pour importer les certificats cliquez sur le bouton Importer pr s de la liste d roulante Cert
391. t gie de chiffrement existe pour un volume ou un type de volume et que le chiffrement du volume choue l utilisateur n est pas autoris y acc der Pour appliquer le chiffrement bas sur volume aux ordinateurs d extr mit cr ez une strat gie du type Protection du p riph rique et d finissez le Mode de chiffrement du support sur Bas sur volume Pour plus d informations voir Protection du p riph rique la page 103 Chiffrement initial rapide SafeGuard Enterprise propose un chiffrement initial en guise de mode sp cial pour le chiffrement bas sur volume Cela r duit le temps n cessaire pour le chiffrement initial ou Aide administrateur 9 1 2 9 1 3 le d chiffrement final des volumes sur les ordinateurs d extr mit par l acc s seulement l espace disque r ellement en cours d utilisation Pour un chiffrement initial rapide les conditions pr alables suivantes s appliquent E Le chiffrement initial rapide fonctionne seulement sur les volumes format s NTFS E Les volumes format s NTFS avec une taille de clusters de 64 Ko ne peuvent pas tre chiffr s avec le mode de chiffrement inital rapide Remarque Ce mode conduit un tat moins s curis si un disque a t utilis avant son utilisation courante avec SafeGuard Enterprise Les secteurs non utilis s peuvent tout de m me contenir des donn es Le chiffrement inital rapide est par cons quent d sactiv par d faut Pour activer le chif
392. t Pr t pour la modification du certificat L utilisateur doit maintenant lancer la modification du certificat sur l ordinateur d extr mit Pour plus d informations reportez vous l aide utilisateur de SafeGuard Enterprise Une fois que l utilisateur a chang le certificat sur l ordinateur d extr mit le certificat est galement renouvel sur le serveur SafeGuard Enterprise lors de la synchronisation suivante Cela supprime l ancienne cl cryptographique de l onglet Certificats de l utilisateur dans le SafeGuard Management Center La nouvelle cl cryptographique devient celle standard pour l utilisateur Remarque 159 SafeGuard Enterprise Dans le SafeGuard Management Center les deux certificats peuvent tre supprim s s par ment Si seul un certificat de veille est disponible le certificat suivant est attribu sous la forme d un certificat de veille 19 7 Attribution de strat gies pour les cl s cryptographiques 19 8 19 8 1 160 Lorsque vous attribuez des strat gies vous pouvez sp cifier d autres options de cl cryptographique Elles concernent E Les codes PIN E Le mode de connexion M La d finition de codes PIN de cl s cryptographiques pour la connexion automatique l authentification au d marrage M Ce qui se produit lorsque l tat de la cl cryptographique n est plus reconnu E Le d blocage de la cl cryptographique E Le middleware utiliser module PKCS 11 Utilisation de cl s
393. t de passe avec d autres ordinateurs sur lesquels l utilisateur est galement enregistr est effectu e d s que l autre ordinateur a tabli une connexion avec le serveur C est le cas par exemple lorsqu un autre utilisateur galement enregistr en tant qu utilisateur de l ordinateur se connecte simultan ment l ordinateur MODIFICATIONS Modification du mot de passe D termine la p riode pendant laquelle un mot de passe ne peut autoris e apr s un min de jours tre modifi Ce param tre emp che l utilisateur de changer trop souvent de mot de passe au cours d une p riode donn e Si l utilisateur est forc changer son mot de passe par Windows ou s il modifie son mot de passe apr s l affichage du message d avertissement indiquant que le mot de passe expirera dans X jours ce param tre ne sera pas valu Exemple L utilisateur Miller d finit un nouveau mot de passe par exemple 13jk56 L intervalle minimum de changement pour cet utilisateur ou pour le groupe auquel il appartient est d fini cinq jours Apr s deux jours seulement l utilisateur d cide de changer le mot de passe en 13jk56 Le changement de mot de passe est refus car l utilisateur Miller ne peut d finir un nouveau mot de passe qu apr s un d lai de cinq jours Expiration du mot de passe apr s Si la p riode de validit maximum est activ e l utilisateur doit jours d finir un nouveau mot de passe une fois la
394. t entrer une phrase de passe qui est utilis e pour g n rer des cl s locales pour un change s curis des donn es avec SafeGuard Data Exchange Les cl s g n r es sur les ordinateurs d extr mit sont galement stock es dans la base de donn es SafeGuard Enterprise Dans les strat gies du type Phrase de passe vous d finissez les conditions requises correspondantes Pour plus d informations sur SafeGuard Data Exchange voir SafeGuard Data Exchange la page 165 Pour plus d informations sur SafeGuard Data Exchange et sur SafeGuard Portable sur l ordinateur d extr mit consultez l aide utilisateur de SafeGuard Enterprise chapitre SafeGuard Data Exchange Param tre de strat gie Explication R GLES Longueur min phrase de passe D finit le nombre minimum de caract res de la phrase de passe partir de laquelle la cl est g n r e La valeur requise peut tre saisie directement ou augment e r duite l aide des touches fl ch es 99 SafeGuard Enterprise Param tre de strat gie Explication Longueur max phrase de passe D finit le nombre maximum de caract res de la phrase de passe La valeur requise peut tre saisie directement ou augment e r duite l aide des touches fl ch es Nombre min de lettres Nombre min de chiffres Nombre min de caract res sp ciaux Ce param tre sp cifie qu une phrase de passe ne peut pas contenir seulement des lettres des nombres
395. t initial F amp F sur le lecteur r ussie Chiffrement 3516 chec et cl ture du chiffrement initial F amp F sur le lecteur Chiffrement 3517 Annulation du d chiffrement F amp F sur le lecteur Chiffrement D marrage du chiffrement F amp F Chiffrement Cl ture du chiffrement F amp F r ussie Chiffrement chec et cl ture du d chiffrement F amp F Chiffrement Annulation du d chiffrement F amp F sur le lecteur Chiffrement D marrage du chiffrement F amp F Chiffrement 3525 Fin du chiffrement F amp F r ussie Chiffrement 3526 chec du chiffrement F amp F 255 SafeGuard Enterprise 256 Cat gorie ID Description s i Chiffrement 3540 D marrage du d chiffrement F amp F Chiffrement 3541 Fin du d chiffrement F amp F r ussie Chiffrement 3 chec du d chiffrement F amp F Chiffrement Sauvegarde de la cl d initialisation r ussie Chiffrement Nombre maximum d algorithmes d initialisation d pass Chiffrement Erreurs de lecture sur la KSA Chiffrement 3546 D sactivation des volumes en fonction des strat gies d finies Chiffrement 3547 Avertissement La sauvegarde du secteur de d marrage NTFS manque sur le volume 1 Chiffrement 3560 Contr le d acc s Chiffrement 3600 Erreur g n rale de chiffrement Chiffrement Erreur de chiffrement moteur volume manquant Chiffrement Erreur de chiffrement moteur volume hors ligne Chiffrement Erreur de chiffrement moteur volume s
396. t sont enregistr s dans un fichier XML Pour en savoir plus sur SafeGuard PortAuditor consultez le Guide utilisateur de SafeGuard PortAuditor 3 2 139 SafeGuard Enterprise 17 4 2 1 17 4 2 2 17 4 2 3 140 tape 1 Obtenir des informations sur le p riph rique Dans cette tape vous sp cifiez le fichier partir duquel collecter les informations sur les p riph riques ajouter savoir l emplacement du fichier XML SafeGuard PortAuditor contenant les informations sur le p riph rique requises Une fois le fichier requis s lectionn l aide de cliquez sur OK pour continuer tape 2 S lectionner des p riph riques L tape 2 affiche un tableau des p riph riques d tect s au niveau des syst mes d extr mit de votre r seau et vous permet de s lectionner les p riph riques ajouter Le tableau est divis en cat gories si la liste blanche laquelle vous ajoutez des p riph riques est une liste blanche de mod les de p riph riques ou une liste blanche de p riph riques distincts et si vous ajoutez des p riph riques de stockage ou hors stockage Les p riph riques pouvant tre s lectionn s disposent d une case cocher pour approuver le mod le de p riph rique ou le p riph rique distinct le cas ch ant Vous pouvez galement s lectionner ou dess lectionner tous les p riph riques ou les p riph riques marqu s en cliquant avec le bouton droit sur le tableau Remarque
397. t syst me est affich e dans la zone d information de barre des t ches et l utilisateur est continuellement inform via l infobulle concernant l tat de l ordinateur d extr mit prot g par SafeGuard Enterprise Non l ic ne de la barre d tat syst me n appara t pas Aucune information d tat n est affich e par les infobulles Muet l ic ne de barre d tat syst me est affich e dans la zone d information de barre des t ches mais aucune information d tat n est affich e via les infobulles Afficher les ic nes en D finit si des symboles de cl Windows s affichent pour indiquer D sinstallation autoris e chevauchement dans l tat de chiffrement des volumes p riph riques dossiers et l Explorateur fichiers Clavier virtuel en POA D finit si un clavier virtuel peut tre affich sur demande dans la bo te de dialogue POA pour la saisie du mot de passe OPTIONS D INSTALLATION D termine si la d sinstallation de SafeGuard Enterprise est autoris e sur les ordinateurs d extr mit Lorsque l option D sinstallation autoris e est d finie sur Non SafeGuard Enterprise ne peut pas tre d sinstall m me par un utilisateur avec les droits d administrateur lorsque ce param tre est actif au sein d une strat gie Activer la protection antialt ration Sophos Active d sactive la protection antialt ration Sophos Si vous avez autoris la d sinstallation de SafeGuard Enterprise da
398. t une authentification suppl mentaire et si le responsable est le seul qui ce r le a t attribu le responsable sera tout de m me supprim Nous consid rons que le responsable principal de la s curit sera en mesure de prendre le contr le de l autorisation suppl mentaire Chiffrement de donn es La fonction principale de SafeGuard Enterprise est le chiffrement des donn es sur des p riph riques de stockage de donn es diff rents Le chiffrement peut tre bas sur volume ou sur fichier avec des cl s et des algorithmes diff rents Les fichiers sont chiffr s de mani re transparente Lorsque les utilisateurs ouvrent modifient et enregistrent des fichiers ils ne sont pas invit s chiffrer ou d chiffrer En tant que responsable de la s curit d finissez des param tres de chiffrement dans une strat gie de s curit du type Protection du p riph rique Pour plus d informations reportez vous aux sections Utilisation de strat gies la page 57 et Protection du p riph rique la page 103 Chiffrement bas sur volume Avec le chiffrement bas sur volume toutes les donn es pr sentes sur un volume y compris les fichiers d initialisation les fichiers de pages les fichiers d hibernation les fichiers temporaires les informations de r pertoire etc sont chiffr es Les utilisateurs n ont pas changer les proc dures de fonctionnement normales ou penser la s curit Remarque Si une stra
399. te puce vous devez combiner les deux param tres Pour plus d informations voir R cup ration via Local Self Help la page 184 m Empreinte digitale S lectionnez ce param tre pour permettre la connexion l aide du lecteur d empreintes digitales Lenovo Les utilisateurs auxquels cette strat gie s applique peuvent alors se connecter l aide d une empreinte digitale ou d un nom d utilisateur et d un mot de passe Cette proc dure offre le niveau de s curit maximum Lors de la connexion l utilisateur fait glisser son doigt sur le lecteur d empreintes digitales Lorsque l empreinte digitale est correctement reconnue le processus d authentification au d marrage lit les informations d identification de l utilisateur et connecte l utilisateur l authentification au d marrage Le syst me transf re alors les informations d identification vers Windows et connecte l utilisateur l ordinateur Remarque Apr s avoir s lectionn cette proc dure de connexion l utilisateur peut se connecter uniquement l aide d une empreinte digitale pr enregistr e ou d un nom d utilisateur et d un mot de passe Vous ne pouvez pas utiliser conjointement les proc dures de connexion par cl cryptographique et par empreinte digitale sur le m me ordinateur Options de connexion l aide d une carte puce D termine le type de cl cryptographique ou de carte puce utiliser sur l ordinateur d extr mit E Non cry
400. tenant l erreur Recovery Wizard Logon recovery SafeGuard Enterprise Client Please enter the challenge Challenge lenkey ewr7z 81921 PFEEF RKI2Z Y6MP2 lt Back Next gt Cancel Help Aide administrateur 25 6 9 Sile code de challenge a t saisi correctement l action de r cup ration demand e par le client SafeGuard Enterprise ainsi que les actions de r cup ration possibles sur ce client s affichent Les actions possibles pour la r ponse d pendent des actions demand es c t client lors de l appel du challenge Par exemple si l action Carte puce crypto n cessaire est requise c t client les actions disponibles pour la r ponse sont Initialiser le client SGN avec une connexion utilisateur et Initialiser le client SGN sans connexion utilisateur Assistant de r cup ration R cup ration de connexion Client SafeGuard Enterprise r Action requise par le client SGN Initialiser le client SGN sans connexion utilisateur Action pour r ponse initialiser le client SGN sans connexion utilisateur 3 ixl O Afficher mot de passe utilisate lt Pr c dent Suivant gt Annuler ade 10 S lectionnez l action que l utilisateur doit ex cuter 11 Si l action Initialiser le client SGN avec une connexion utilisateur a t s lectionn e vous pouvez galement s lectionner Afficher le mot de passe utilisateur afin d afficher le mot
401. tes puce diff rents logiciels Elle est utilis e ici pour la communication entre la cl cryptographique carte puce le lecteur de carte puce et SafeGuard Enterprise Fabricant AL UE TE A Trust a sign Client Activldentity ActivClient ActivClient PIV AFT SafeSign Identity Client Aladdin eToken PKI Client Charismatics Smart Security Interface Gemalto Gemalto Access Client Gemalto Classic Client Gemalto NET Card Solution informatique GmbH IT Solution trustWare CSP RSA RSA Authentication Client 2 x RSA Smart Card Middleware 3 x Sertifitseerimiskeskus AS Estonian ID Card 151 SafeGuard Enterprise 19 2 19 2 1 152 Fabricant AL UE Siemens CardOS API T Systems NetKey 3 0 Unizeto proCertum Informations de licence pour Siemens et Charismatics Sachez que l utilisation des middlewares respectifs pour le syst me d exploitation standard requiert un accord de licence avec Siemens IT Solutions and Services GmbH Charismatics Pour obtenir les licences veuillez vous renseigner aupr s de E Siemens IT Solutions und Services GmbH Otto Hahn Ring 6 D 81739 M nchen Allemagne E http www charismathics com cryptoshop shop_content php ou sales charismathics com Le middleware est d fini dans une strat gie SafeGuard Enterprise du type Param tres de machine sp cifiques sous Module de param tres PKCS 11 de support de carte puce 1 dans le cha
402. teur Cela signifie que si un param tre est pr sent dans les deux strat gies la valeur de la strat gie de la machine remplace celle de la strat gie de l utilisateur Si le regroupement des strat gies individuelles de la machine produit la valeur standard par d faut les conditions suivantes s appliquent Les param tres de l utilisateur deviennent prioritaires sur ceux de la machine TAUX DE TRANSFERT Intervalle de connexion au serveur min D termine la p riode en minutes apr s laquelle un client SafeGuard Enterprise envoie une demande de strat gie modifications au serveur SafeGuard Enterprise Remarque pour viter qu un grand nombre de clients ne contactent le serveur simultan ment la communication s effectue 81 SafeGuard Enterprise Param tre de strat gie Explication toujours dans une p riode de 50 de l intervalle de connexion d fini Exemple le param tre 90 minutes se traduit par une p riode de communication entre le client et le serveur de 45 135 minutes JOURNALISATION Commentaires apr s plusieurs Le syst me de journalisation introduit sous le nom de Win32 v nements Service SGM LogPlayer recueille les entr es du journal g n r es par SafeGuard Enterprise pour la base de donn es centrale et les stocke dans des fichiers journaux locaux Elles sont stock es dans le cache local dans le r pertoire Auditing SGMTransLog Ces fichiers
403. teur d extr mit avec un lecteur de disque dur compatible Opal avec chiffrement automatique 215 SafeGuard Enterprise Explication POA Sp cifie si l authentification au d marrage est activ e pour l ordinateur veil par appel r seau Sp cifie si l veil par appel r seau est activ pour l ordinateur Date de modification Indique la date laquelle les donn es d inventaire ont chang en raison d une demande d actualisation de l inventaire ou de l envoi de l ordinateur de nouvelles donn es d inventaire Indique la date de la derni re demande d actualisation La valeur affich e dans ce champ sera supprim e une fois la demande trait e par l ordinateur Actualisation demand e DSN parent Indique le nom distinctif de l objet conteneur auquel l ordinateur est subordonn Cette colonne ne s affiche que si le champ Sous conteneurs inclus a t activ dans la zone Filtre 27 6 Onglet Lecteurs L onglet Lecteurs indique les donn es d inventaire et d tat des lecteurs sur l ordinateur concern Colonne Explication Nom du lecteur Indique le nom du lecteur Type Indique le type de lecteur fixe amovible support ou CD ROM DVD par exemple tat Indique l tat de chiffrement du lecteur Algorithme Pour les lecteurs chiffr s ce champ indique l algorithme utilis pour le chiffrement 27 7 Onglet Utilisateurs 216 L onglet Utilisateu
404. teur non valide utilis e par un syst me de fichier d fini 1309 Secteur de d part non valide d fini 1310 Type de partition non valide d fini 1311 Impossible de trouver une zone non utilis e et d fragment e de la taille requise sur un volume 1312 Impossible de marquer le cluster du syst me de fichiers comme tant utilis 1313 Impossible de marquer le cluster du syst me de fichiers comme tant utilis 1314 Impossible de marquer le cluster du syst me de fichiers comme tant CORRECT 1315 Impossible de marquer le cluster du syst me de fichiers comme tant INCORRECT 1316 Aucune information disponible sur les clusters d un syst me de fichiers 1317 Impossible de trouver une zone marqu e comme MAUVAISE sur un volume 1318 Taille non valide d une zone sur un volume d fini 1319 Le secteur MBR d un disque dur n a pas pu tre remplac 1330 Une commande erron e a t d finie pour une allocation ou une d sallocation 1351 Algorithme non valide d fini 1352 chec de l acc s au noyau syst me 1353 Aucun noyau syst me n est install 1354 Une erreur s est produite lors de l acc s au noyau syst me 1355 Modification non valide des param tres syst me 259 SafeGuard Enterprise ID de l erreur Affichage 1401 chec de l criture de donn es sur un lecteur 1402 chec de la lecture de donn es d un lecteur
405. teurs et les ordinateurs peuvent tre d finis dans SafeGuard Enterprise et ne doivent pas n cessairement tre import s partir d Active Directory En l absence d une structure organisationnelle existante il est possible de la cr er rapidement dans SafeGuard Enterprise avec une structure permettant de g rer des l ments de strat gies Il est galement possible d attribuer des strat gies et ou des r gles de chiffrement aux utilisateurs locaux Un responsable de la s curit dot des droits requis peut d finir des groupes de travail ou des domaines qui n ont pas encore t import s pour g rer les utilisateurs et les ordinateurs enregistr s automatiquement Les nouveaux utilisateurs et ordinateurs qui se connectent SafeGuard Enterprise sont affich s sous leurs conteneurs correspondants apr s la synchronisation initiale avec la base de donn es dans le SafeGuard Management Center Les responsables de la s curit peuvent ensuite les g rer exactement de la m me mani re que des objets import s Le r pertoire de ces utilisateurs ordinateurs Auto registered est cr automatiquement dans le r pertoire racine et sous chaque domaine groupe de travail Il ne peut tre ni renomm ni d plac Les objets attribu s ce r pertoire ne peuvent pas non plus tre d plac s manuellement Enregistrement d un nouvel utilisateur Pour plus d informations sur la connexion en tant que nouvel utilisateur voir Authentification a
406. tification au d marrage Vous pouvez utiliser le sujet de question pr d fini tel quel le modifier ou le supprimer 187 SafeGuard Enterprise 24 5 Importation de sujets de question 24 6 Gr ce la proc dure d importation vous pouvez importer d autres versions de langue du sujet de question pr d fini ou de vos listes de questions personnalis es cr es sous la forme de fichiers XML 1 4 Cr ez un nouveau sujet de question voir Cr ation d un nouveau sujet de question et ajout de questions la page 188 Dans la zone de navigation Strat gies s lectionnez le nouveau sujet de question sous Questions Local Self Help Cliquez avec le bouton droit de la souris dans la zone d action pour ouvrir le menu contextuel du sujet de question Dans le menu contextuel s lectionnez Importer S lectionnez le r pertoire et le sujet de question puis cliquez sur Ouvrir Les questions import es s affichent dans la zone d action Vous pouvez maintenant enregistrer le sujet de question tel quel ou le modifier Cr ation d un sujet de question et ajout de questions Vous pouvez cr er de nouveaux sujets de questions propos de th mes diff rents Vous pouvez ainsi proposer aux utilisateurs un choix de sujets de questions qui pourraient leur convenir 1 2 7 Dans la zone de navigation Strat gies s lectionnez Questions Local Self Help Cliquez avec le bouton droit de la souris sur Questions Local Self
407. tion suppl mentaire E Rapports Pour cr er et g rer des comptes rendus de tous les v n ments li s la s curit Aide administrateur 4 1 Fen tre de navigation Les objets devant tre trait s ou pouvant tre cr s sont affich s dans la fen tre de navigation objets Active Directory tels que les OU utilisateurs et ordinateurs l ments de strat gies selon la t che s lectionn e Zone Action Dans la zone Action d finissez les param tres des objets s lectionn s dans la fen tre de navigation La zone Action contient diff rents onglets permettant de traiter les objets et de d finir les param tres La zone Action comporte galement des informations concernant les objets s lectionn s Vues associ es Dans ces vues des objets et des informations suppl mentaires sont affich s Elles fournissent des informations utiles concernant l administration du syst me et en simplifient l utilisation Par exemple vous pouvez attribuer des cl s aux objets l aide de l op ration de glisser d placer Barre d outils Contient des symboles pour les diff rentes op rations du SafeGuard Management Center Les symboles sont affich s tels qu ils sont disponibles et quand ils sont disponibles pour l objet s lectionn Apr s la connexion le SafeGuard Management Center s ouvre toujours avec la vue qui tait utilis e lors de sa fermeture Cr ation de la structure organisationnelle Les utilisa
408. tion suppl mentaire pour la m me action 31 SafeGuard Enterprise 32 8 2 8 3 Si un responsable cr e un r le alors qu il ne poss de pas le droit de modification de l authentification suppl mentaire les param tres relatifs une authentification suppl mentaire du nouveau r le seront pr renseign s afin de correspondre ceux d finis pour le responsable de la cr ation de ce r le Cr ation d un r le Condition pr alable pour cr er un r le vous devez poss der le droit d affichage et de cr ation de r les de responsable de la s curit Pour attribuer une authentification suppl mentaire vous devez poss der le droit de modification des param tres d authentification suppl mentaire 1 Dans le SafeGuard Management Center s lectionnez Responsables de la s curit 2 Cliquez avec le bouton droit de la souris sur R les personnalis s et s lectionnez Nouveau gt Nouveau r le personnalis 3 Dans le champ Nouveau r le personnalis entrez un nom et une description pour le r le 4 Attribuez les actions ce r le S lectionnez les cases en regard de l action requise dans la colonne Active Les actions sont tri es par zone de fonctions et dispos es de mani re hi rarchique Cette structure permet de visualiser les actions n cessaires l ex cution d autres actions 5 Si n cessaire attribuez une authentification responsable suppl mentaire Cliquez sur le param tre par d faut Au
409. tionn dans la proc dure Challenge Le code de challenge est alors g n r et s affiche Communiquez le nom du client virtuel et le code de challenge au support par exemple par t l phone ou en envoyant un message texte Une aide orthographique est fournie S lection de l action de r cup ration requise 1 2 Sur la page Client virtuel Action requise s lectionnez l une des options suivantes E S lectionnez Cl requise pour r cup rer une cl unique pour acc der un volume chiffr sur l ordinateur Cette option est disponible pour les ordinateurs d extr mit non administr s et administr s E S lectionnez Mot de passe du fichier de cl s pour r cup rer plusieurs cl s et acc der aux volumes chiffr s sur l ordinateur Les cl s sont stock es dans un fichier chiffr par un mot de passe al atoire enregistr dans la base de donn es Ce mot de passe est propre chaque fichier de cl s cr Le mot de passe figurant dans le code de r ponse est transf r sur l ordinateur cible Cette option est seulement disponible pour les ordinateurs d extr mit administr s Cliquez sur Suivant Confirmation du client virtuel Condition pr alable le client virtuel doit avoir t cr dans le SafeGuard Management Center dans Clients virtuels ainsi qu tre disponible dans la base de donn es 1 Pour ouvrir l assistant de r cup ration dans le SafeGuard Management Center cliquez sur Outils gt R
410. torie les types et extensions de fichiers pris en charge par le contr le du type de fichier de SafeGuard Configuration Protection Type de fichier Extensions Description Microsoft Office DOC Document Microsoft Word DOCX Document Microsoft Word DOCM Document Microsoft Word DOT Mod le Microsoft Word DOTX Mod le Microsoft Word DOTM Mod le Microsoft Word RTF Format RTF Rich Text Format PPT Pr sentation Microsoft PowerPoint PPTX Pr sentation Microsoft PowerPoint PPTM Pr sentation Microsoft PowerPoint POT Mod le Microsoft PowerPoint POTX Mod le Microsoft PowerPoint POTM Eai Microsoft PowerPoint PPS Diaporama Microsoft PowerPoint PPSX Diaporama Microsoft PowerPoint PPSM Diaporama Microsoft PowerPoint PPA a S E Compl ment Microsoft PowerPoint PPAM Compl ment Microsoft PowerPoint XLS Classeur Microsoft Excel XLSX Classeur Microsoft Excel XLSM Classeur Microsoft Excel XLSB A Microsoft Excel XLT Mod le Microsoft Excel XLTX Mod le Microsoft Excel Aide administrateur Type de fichier Extensions Description XLTM Mod le Microsoft Excel XLA Compl ment Microsoft Excel XLAM Compl ment Microsoft Excel MPP Projet Microsoft Project MPT Mod le Microsoft Project VSD Dessin Microsoft Visio VDX Dessin Microsoft Visio VSS Gabarit Microsoft Visio VSX Gabarit
411. tuels Les volumes chiffr s peuvent tre r cup r s facilement gr ce des fichiers sp cifiques appel s clients virtuels dans les cas o la proc dure Challenge R ponse n est pas prise en charge par exemple lorsque l authentification au d marrage est corrompue E Proc dure Challenge R ponse pour clients Sophos SafeGuard autonomes Proc dure Challenge R ponse pour ordinateurs g r s localement Ils ne sont jamais connect s au serveur SafeGuard Enterprise Pour chaque ordinateur g r localement un fichier de r cup ration de cl est g n r au cours de la configuration Il contient la cl machine d finie qui est chiffr e avec le certificat de l entreprise Si ce fichier de cl s de r cup ration est disponible par exemple sur une carte m moire ou via un chemin r seau partag afin que le responsable support puisse y acc der la proc dure Challenge R ponse pour un ordinateur autonome est prise en charge 192 Aide administrateur 25 5 Remarque Par ailleurs la m thode de r cup ration de connexion Local Self Help ne requiert aucune assistance du support R cup ration avec la proc dure Challenge R ponse pour des clients SafeGuard Enterprise SafeGuard Enterprise fournit la proc dure de r cup ration aux ordinateurs d extr mit SafeGuard Enterprise enregistr s dans la base de donn es dans diff rents sc narios de r cup ration par exemple la r cup ration de mots de passe ou l acc s
412. u e Remarque Pour obtenir une liste de tous les v nements pouvant tre journalis s voir Ev nements disponibles pour les rapports la page 247 28 5 Visualisation des v nements journalis s 222 En tant que responsable de la s curit disposant des droits n cessaires vous pouvez visualiser les v nements journalis s dans la base de donn es centrale du visualiseur d v nements du SafeGuard Management Center Pour r cup rer les entr es journalis es dans la base de donn es centrale 1 Dans la zone de navigation du SafeGuard Management Center cliquez sur Rapports 2 Dans la zone d action Visualiseur d v nements droite cliquez sur la loupe Tous les v nements journalis s dans la base de donn es centrale apparaissent dans le visualiseur 2 d v nements Les colonnes indiquent les informations suivantes relatives aux v nements journalis s Colonne Description Niveau ic ne Affiche une ic ne indiquant la classification de l v nement avertissement erreur par exemple ID d v nement Affiche un num ro identifiant l v nement v nement Affiche un texte d v nement description de l v nement Cat gorie Classification de l v nement selon la source Chiffrement Authentification Syst me par exemple Application Affiche la zone logicielle d o l v nement provient SGMAuth SGBaseENc SGMAS par exemple Ordinateur Affiche le nom de l
413. u clavier alphanum rique Au moins 3 caract res cons cutifs non autoris s L activation de cette option interdit les s quences de touches M qui sont des s ries cons cutives de symboles de code ASCII que ce soit par ordre croissant ou d croissant abc cba etc M constitu es de trois symboles identiques ou plus aaa ou 111 Utilisation interdite du nom d utilisateur en tant que phrase de passe D termine si le nom d utilisateur et la phrase de passe peuvent tre identiques OUI le nom d utilisateur Windows et la phrase de passe doivent tre diff rents NON l utilisateur peut utiliser son nom d utilisateur Windows comme phrase de passe Aide administrateur 16 8 Listes blanches pour les strat gies de protection des 16 8 1 p riph riques pour le chiffrement bas sur fichier Dans le SafeGuard Management Center vous pouvez s lectionner des listes blanches comme cibles pour les strat gies du type Protection du p riph rique pour le chiffrement bas sur fichier Ceci vous permet de cr er des strat gies de chiffrement pour des mod les de p riph riques sp cifiques ou m me pour des p riph riques distincts Avant de s lectionner une liste blanche comme cible pour une strat gie Protection du p riph rique vous devez la cr er et l enregistrer dans le SafeGuard Management Center voir Cr ation de listes blanches pour les strat gies de protection des
414. u d marrage POA la page 172 Lorsqu un nouvel utilisateur se connecte pour la premi re fois SafeGuard Enterprise l tat de sa base de donn es est v rifi au cours de la synchronisation SafeGuard Enterprise initiale avec la base de donn es et le nouvel objet est affich sous le conteneur correspondant conform ment aux informations de la base de donn es Si aucun groupe de travail ou domaine nouveau n a t cr le nouvel utilisateur est ajout Auto registered sous le r pertoire racine Si un domaine a t cr sans que l utilisateur l ordinateur n aient encore t import s ils sont ajout s Auto registered sous le domaine Remarque Les utilisateurs locaux ne peuvent pas se connecter SafeGuard Enterprise avec un mot de passe vide Les utilisateurs locaux qui se connectent SafeGuard Enterprise avec un mot de passe vide restent des invit s et ne sont pas enregistr s dans la base de donn es Si la connexion automatique Windows est activ e pour ces utilisateurs la connexion est refus e Pour une connexion r ussie SafeGuard Enterprise un nouveau mot de passe doit tre cr et la connexion automatique Windows doit tre d sactiv e dans le registre de l ordinateur d extr mit Informations de tat de la base de Affich dans le SafeGuard Management Center connexion donn es concernant l objet local Utilisateurs locaux inconnus Utilisateurs locaux Sous le r pertoire
415. uatri me invitation de Aide administrateur Param tre de strat gie Explication changement du code PIN en d autres termes longueur d historique du code PIN 4 16 5 Cr ation d une liste de mots de passe interdits utiliser dans 16 6 les strat gies Pour les strat gies de type Mot de passe une liste de mots de passe peut tre cr e afin de d finir quelles sont les s quences de caract res qui ne doivent pas tre utilis es dans les mots de passe Remarque Dans les listes les mots de passe non autoris s sont s par s par un saut de ligne Les fichiers texte contenant les informations requises doivent tre cr s avant de pouvoir tre enregistr s dans le SafeGuard Management Center La taille maximale des fichiers textes est de 50 Ko SafeGuard Enterprise utilise les textes cod s en Unicode UTF 16 uniquement Si vous cr ez les fichiers texte dans un autre format ils seront automatiquement convertis lorsqu ils seront enregistr s Si un fichier est converti un message appara t Pour enregistrer les fichiers texte 1 Dans la zone de navigation de strat gie cliquez avec le bouton droit de la souris sur Texte d informations et s lectionnez Nouveau gt Texte 2 Entrez le nom du texte afficher dans le champ Nom de l l ment de texte 3 Cliquez sur pour s lectionner le fichier texte pr alablement cr Un message s affiche si le fichier doit tre converti 4 Cliquez
416. ues SafeStick de BlockMaster des conditions requises particuli res s appliquent Ces p riph riques ont des identifications diff rentes pour les administrateurs et les utilisateurs sans droits administrateur Pour une gestion coh rente dans SafeGuard Enterprise vous devez ajouter les deux identifications aux listes blanches SafeGuard Port Auditor d tecte les deux identifications si un p riph rique SafeStick a t ouvert au moins une fois sur l ordinateur contr l par SafeGuard Port Auditor Cr ation de listes blanches pour les strat gies de protection des p riph riques pour le chiffrement bas sur fichier 1 Dans la zone de navigation Strat gies s lectionnez Liste blanche 2 Dans le menu contextuel Liste blanche cliquez sur Nouveau gt Liste blanche 101 SafeGuard Enterprise 16 8 2 102 3 S lectionnez le type de liste blanche E Pour cr er une liste blanche pour des mod les de p riph riques sp cifiques s lectionnez Mod les de p riph riques de stockage M Pour cr er une liste blanche pour des p riph riques sp cifiques en fonction du num ro de s rie s lectionnez P riph riques de stockage distincts 4 Indiquez comment vous voulez cr er la liste blanche M Pour saisir manuellement les p riph riques s lectionnez Cr er manuellement une liste blanche Lorsque vous cliquez sur OK une liste blanche vide s ouvre dans le SafeGuard Management Center Dans cette liste blanche vide
417. uez sur Rapports 2 Dans le Visualiseur d v nements s lectionnez les v nements supprimer 3 Pour supprimer des v nements s lectionn s s lectionnez Actions gt Supprimer des v nements ou cliquez sur l Ic ne de suppression des v nements dans la barre d outils Pour supprimer tous les v nements s lectionnez Actions gt Supprimer tous les v nements ou cliquez sur l Ic ne de suppression de tous les v nements dans la barre d outils 4 Avant de supprimer les v nements s lectionn s le syst me affiche la fen tre Sauvegarder les v nements sous permettant de cr er un fichier de sauvegarde voir Cr ation d un fichier de sauvegarde la page 225 Les v nements sont supprim s du journal des v nements Cr ation d un fichier de sauvegarde Lors de la suppression d v nements vous pouvez cr er un fichier de sauvegarde du rapport affich dans le visualiseur d v nements SafeGuard Management Center 1 Lorsque vous s lectionnez Actions gt Supprimer les v nements ou Actions gt Supprimer tous les v nements la fen tre Sauvegarder les v nements sous permettant de cr er un fichier de sauvegarde s affiche avant la suppression des v nements 2 Pour cr er un fichier de sauvegarde XML du journal des v nements entrez un nom et un emplacement de fichier puis cliquez sur OK Ouverture d un fichier de sauvegarde 1 Dans le SafeGuard Management Center cliquez sur Rapports
418. uez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation Utilisateurs et ordinateurs sous POA Groupe POA s lectionnez le groupe POA appropri Dans la zone d action du SafeGuard Management Center sur la droite l onglet Membres s affiche 3 S lectionnez l utilisateur que vous souhaitez supprimer du groupe 4 Dans la barre d outils du SafeGuard Management Center cliquez sur l ic ne Supprimer croix rouge L utilisateur est supprim du groupe Aide administrateur Remarque Vous pouvez galement supprimer des membres des groupes en s lectionnant l utilisateur POA compte d acc s POA dans la fen tre de navigation et en ex cutant les tapes d crites ci dessus La seule diff rence est que la zone d action affiche l onglet Membre de apr s la s lection de l utilisateur Cet onglet affiche les groupes auxquels l utilisateur a t attribu Le flux de travail de base reste le m me 15 7 Attribution de comptes d acc s POA aux ordinateurs d extr mit Remarque Pour pouvoir attribuer des comptes d acc s POA aux ordinateurs d extr mit les comptes doivent tre r organis s dans des groupes Pour plus d informations voir Cr ation de groupes de comptes d acc s POA la page 75 La fa on dont vous affectez et d saffectez les comptes d acc s POA aux ordinateurs d extr mit d pend du type d ordinateur E Pour les ordinateurs d extr mit administr s les groupes POA peuvent t
419. ui m Ildoit avoir t attribu le droit suivant au support technique Utiliser l outil de suspension Pour suspendre la strat gie 1 Sur l ordinateur d extr mit l utilisateur clique sur l ic ne de la barre d tat syst me et s lectionne Suspendre la protection de la configuration Aide administrateur 2 Dans Suspendre la protection de la configuration l utilisateur s lectionne la p riode de suspension d sir e Le code de challenge est g n r automatiquement Il est valide pendant 30 minutes L utilisateur fournit les informations utilisateur le code de challenge et la p riode de suspension au support 3 Dans le SafeGuard Management Center dans le menu Outils s lectionnez Suspendre 4 Dans l Assistant de suspension sur la page Utilisateur s lectionnez ou saisissez les informations utilisateur que ce dernier a fournies et cliquez sur Suivant Les informations utilisateur sont confirm es 5 Sur la page Challenge saisissez le code de challenge que l utilisateur a fourni ou copiez le depuis le Presse papiers en cliquant sur Coller le challenge S lectionnez la p riode de suspension telle que fournie par l utilisateur La p riode doit correspondre celle que l utilisateur a saisie sur l ordinateur d extr mit Cliquez sur Suivant Le code de challenge est confirm et le code de r ponse est g n r 6 Sur la page R ponse le code de r ponse l action accord e et la p riode de suspension so
420. uledShrinkEventTable_uninstall sql permettent d installer une proc dure enregistr e ainsi qu une t che planifi e sur le serveur de la base de donn es La t che planifi e ex cut la proc dure enregistr e des intervalles r guliers d finis La proc dure enregistr e d place des v nements du tableau EVENT dans le tableau de sauvegarde EVENT_BACKUP tout en conservant un nombre pr d fini d v nements r cents dans le tableau EVENT Les deux scripts spShrinkEventTable_uninstall sql et ScheduledShrinkEventTable_uninstall sql permettent de d sinstaller la proc dure enregistr e ainsi que la t che planifi e Ces deux scripts suppriment galement le tableau EVENT BACKUP Remarque Si vous utilisez la proc dure enregistr e pour d placer des v nements du tableau EVENT dans le tableau de sauvegarde la concat nation des v nements ne s applique plus L activation de la concat nation tout en utilisant la proc dure enregistr e pour le nettoyage des v nements est inutile Pour plus d informations voir Concat nation des v nements journalis s la page 224 Cr ation de la proc dure enregistr e Le script spShrinkEventTable_install sql permet de cr er une proc dure enregistr e qui d place des donn es du tableau EVENT dans un tableau de sauvegarde EVENT _BACKUP Le tableau EVENT _ BACKUP est cr automatiquement s il n existe pas La premi re ligne est USE SafeGuard Si vous avez donn un autre nom
421. une entit hostile entre un clavier et son ordinateur h te afin d enregistrer une saisie au clavier Votre strat gie peut sp cifier si les enregistreurs de frappe mat riels doivent tre bloqu s lorsqu ils sont d tect s par SafeGuard Configuration Protection Vous pouvez permettre l utilisateur de suspendre provisoirement SafeGuard Configuration Protection via une proc dure Challenge R ponse SafeGuard Configuration Protection adopte une approche de s curit positive ce qui signifie que tous les p riph riques sont autoris s moins que vous ne d finissiez une strat gie bloquant leur acc s Remarque Les profils itin rants ne sont pas pris en charge La d finition d une strat gie est d crite dans les sections suivantes D finition des strat gies de protection de la configuration flux de travail Vous trouverez ci apr s un aper u du flux de travail pour la d finition d une nouvelle strat gie Chacune des tapes est d crite plus en d tail dans une sous section Le flux de travail sugg re un ordre simple et imm diat d ex cution des tapes que vous pouvez changer selon votre choix E tape 1 Analyser les ordinateurs et d tecter l utilisation des ports p riph riques r seaux locaux sans fil WLAN utilisez SafeGuard PortAuditor pour analyser les ordinateurs du r seau afin de d tecter les p riph riques et r seaux locaux sans fil actuellement et pr c demment connect s comme indiqu dans le
422. unique de client virtuel et cliquez sur OK Les clients virtuels sont identifi s dans la base de donn es par ces noms 5 Dans la barre d outils cliquez sur l ic ne Enregistrer pour enregistrer le client virtuel dans la base de donn es Le nouveau client virtuel appara t dans la zone d action Exportation de clients virtuels Une fois le client virtuel cr vous devez l exporter dans un fichier Ce fichier est toujours nomm recoverytoken tok et doit tre distribu au support Ce fichier doit tre disponible dans l environnement de l ordinateur d extr mit pour lancer une session Challenge R ponse avec un outil de r cup ration lorsque la POA est corrompue par exemple L utilisateur doit placer le fichier de client virtuel recoverytoken tok dans le m me dossier que l outil de r cup ration pour la prise en charge d une proc dure Challenge R ponse 1 Dans le SafeGuard Management Center cliquez sur Cl s et certificats 2 Dans la fen tre de navigation de gauche cliquez sur Clients virtuels T SafeGuard Management Center MSD actif SGNSRV SafeGuard 1oj x Eicher diter Affichage Acgc der Actions Outils Aide B AE l D 88 Cl s et certificats Clients virtuels ia cl s Fitre HE Certificats r Bo CES D HNE 8 Fichiers de cl s export s Nom Cr par Virtual Client 2 x i Les fichiers suivants ont t export s avec succ s C SGNirecoverytoken tok 3
423. upport SafeGuard Data Exchange vous permet de sp cifier qu une seule phrase de passe de support pour tous les supports amovibles sauf les supports optiques doit tre cr e sur les ordinateurs La phrase de passe de support permet d acc der la cl de domaine groupe d finie de mani re centralis e et toutes les cl s locales utilis es dans SafeGuard Portable L utilisateur ne saisit qu une seule phrase de passe et peut acc der tous les fichiers chiffr s dans SafeGuard Portable quelle que soit la cl locale utilis e pour le chiffrement Sur chaque ordinateur et pour chaque p riph rique une cl de chiffrement de support unique pour le chiffrement de donn es est cr e automatiquement Cette cl est prot g e par la phrase de passe de support et une cl de domaine groupe d finie de mani re centralis e Sur un ordinateur sur lequel SafeGuard Data Exchange est install il n est donc pas n cessaire de saisir la phrase de passe de support pour acc der aux fichiers chiffr s contenus sur le support amovible L acc s est accord automatiquement si la cl appropri e se trouve dans le jeu de cl s de l utilisateur La cl de domaine groupe utiliser doit tre sp cifi e sous Cl d finie pour le chiffrement Aide administrateur 20 3 1 20 4 20 4 1 La fonction de phrase de passe de support est disponible lorsque l option L utilisateur peut d finir une phrase de passe de support pour les p riph rique
424. upprim Chiffrement Erreur de chiffrement moteur volume incorrect Chiffrement Erreur de chiffrement cl de chiffrement manquante Chiffrement Erreur de chiffrement zone de stockage des cl s d origine endommag e Chiffrement Erreur de chiffrement zone de stockage des cl s de sauvegarde endommag e sur le volume Chiffrement Erreur de chiffrement zone ESA d origine endommag e sur le Contr le d acc s 4400 volume Le port a t approuv Contr le d acc s Contr le d acc s Contr le d acc s 4401 4402 Le p riph rique a t approuv Le p riph rique de stockage a t approuv Le r seau local sans fil a t approuv Contr le d acc s Le port a t retir avec succ s Contr le d acc s Le p riph rique a t retir avec succ s Contr le d acc s Contr le d acc s 4407 Le p riph rique de stockage a t retir avec succ s Le r seau local sans fil a t d connect avec succ s Contr le d acc s 4408 Port restreint Aide administrateur Cat gorie Description Contr le d acc s P riph rique restreint Contr le d acc s P riph rique de stockage restreint Contr le d acc s R seau local sans fil restreint Contr le d acc s Port bloqu Contr le d acc s P riph rique bloqu Contr le d acc s P riph rique de stockage bloqu Contr le d acc s
425. ur s lectionnez la case cocher Synchroniser l tat activ par l utilisateur 10 Au bas de la zone d action cliquez sur Synchroniser Remarque Lors de la synchronisation d utilisateurs avec leurs appartenances un groupe l appartenance un groupe principal n est pas synchronis e car elle n est pas visible pour le groupe Les domaines sont synchronis s Des informations sur la synchronisation s affichent Vous pouvez afficher un protocole de synchronisation dans la barre d tat gauche Cliquez sur le protocole pour le copier dans le Presse papiers et le coller dans un courriel ou un fichier Remarque 15 SafeGuard Enterprise 4 13 4 14 16 Si des l ments ont t d plac s d une sous arborescence vers une autre dans Active Directory les deux sous arborescences doivent tre synchronis es avec la base de donn es SQL La synchronisation d une seule sous arborescence aboutit la suppression d objets au lieu de leur d placement Remarque Nous vous recommandons de diviser en plusieurs op rations l importation de plus de 400 000 objets depuis AD Il se peut que cela ne soit pas possible s il y a plus de 400 000 objets dans une seule unit organisationnelle Importation d un nouveau domaine partir d un Active Directory 1 Dans la fen tre de navigation de gauche cliquez sur le r pertoire racine Racine Filtre actif 2 S lectionnez Fichier gt Nouveau Importer nouveau domaine de
426. ur Oui les utilisateurs sont invit s d cider si les donn es doivent tre chiffr es lorsqu ils branchent des supports 109 SafeGuard Enterprise Param tre de strat gie Explication amovibles Si l utilisateur s lectionne Non ni le chiffrement initial ni le transparent n a lieu 16 10 Param tres sp cifiques la machine Param tres de base Param tres de strat gie Explication AUTHENTIFICATION AU D MARRAGE POA Activer l authentification au D finit si l authentification au d marrage est activ e ou d marrage d sactiv e en permanence Remarque Pour des raisons de s curit nous vous recommandons fortement de laisser active l authentification au d marrage La d sactivation de l authentification au d marrage r duit la s curit du syst me lors des connexions Windows et accro t le risque d acc s non autoris s aux donn es chiffr es Acc s refus si aucune connexion Refuse la connexion la POA si l ordinateur n a pas t connect au serveur pendant jours au serveur pendant une p riode sup rieure la p riode d finie 0 pas de contr le Interdire l utilisateur invit D finit si les utilisateurs invit s peuvent se connecter Windows sur l ordinateur d extr mit Importation de nouveaux D termine si un autre utilisateur peut tre ajout POA utilisateurs autoris e pour Diff rencie les propri taires de machines des autres utilisateurs pr sents da
427. ur est incluse dans le calcul de la strat gie r sultante Les strat gies h rit es ne peuvent pas tre contr l es par ces activations Bloquer l h ritage de strat gie doit tre d fini dans l OU plus locale pour annuler l effet de la strat gie globale cet endroit Param tres de l utilisateur ou du groupe Les param tres de strat gie pour les utilisateurs illustr s en noir dans le SafeGuard Management Center sont prioritaires sur les param tres de strat gie pour les ordinateurs illustr s en bleu dans le SafeGuard Management Center Si les param tres de l utilisateur sont sp cifi s dans une strat gie pour les ordinateurs ces param tres seront remplac s par la strat gie pour l utilisateur Remarque Aide administrateur 11 8 8 11 8 9 11 8 10 Seuls les param tres de l utilisateur sont remplac s Si une strat gie pour les utilisateurs comporte galement des param tres machine illustr s en bleu ils ne sont pas remplac s par une strat gie d utilisateur Exemple 1 Si une longueur de mot de passe de 4 a t d finie pour un groupe d ordinateurs et si la valeur 3 du m me param tre a t d finie pour le groupe d utilisateurs un mot de passe de longueur 3 s applique cet utilisateur sur un ordinateur appartenant ce groupe d ordinateurs Exemple 2 Si un intervalle de connexion au serveur de 1 minute est d fini pour un groupe d utilisateurs et si la valeur 3 est d finie pou
428. ur le chiffrement Si vous voulez changer ce comportement et pr server la cl utilis e pour le chiffrement dans tous les cas vous pouvez modifier une cl de registre sur l ordinateur d extr mit Pour toujours utiliser la m me cl qu avant lors de l enregistrement des fichiers modifi s HKEY_LOCAL_ MACHINE SYSTEM CurrentCont rolSet Cont rol UTIMACO SGLCENC ActivateEncryptionTunneling dword 00000001 Pour permettre l utilisation d une cl diff rente cl par d faut lors de l enregistrement des fichiers modifi s Il s agit du param tre par d faut apr s l installation HKEY_LOCAL_ MACHINE SYSTEM CurrentControlSet Control UTIMACO SGLCENC ActivateEncryptionTunneling dword 00000000 T Remarque Pour devenir actifs les changements dans ce param tre exigent un red marrage de l ordinateur d extr mit Exclusion d applications du chiffrement Vous pouvez d finir des applications devant tre ignor es par le pilote du filtre SafeGuard Enterprise et devant tre exclues du chiffrement d chiffrement transparent Un exemple est un programme de sauvegarde Pour garantir que ces donn es ne sont pas d chiffr es lors de la cr ation d une sauvegarde cette application peut tre exclue du processus de chiffrement d chiffrement Les donn es sont sauvegard es sous forme chiffr e Un cas d utilisation type est par exemple la d finition de
429. ur un r le pour fermer la bo te de dialogue Propri t s puis afficher les propri t s du r le Affichage des propri t s du r le Les informations g n rales et de modification relatives au r le s affichent 1 Dans Propri t s s lectionnez l onglet Attribution afin d afficher les responsables de la s curit attribu s ce r le Affichage de l attribution du r le 1 Dans Attribution cliquez deux fois sur un responsable de la s curit afin de fermer la bo te de dialogue Propri t s puis d afficher les donn es g n rales et les r les du responsable de la s curit 33 SafeGuard Enterprise 8 5 Modification d un r le Proc dez comme suit E Modifiez l authentification suppl mentaire uniquement E Modifiez toutes les propri t s du r le L ic ne en regard des r les affiche l action disponible Ic ne Description Le r le peut tre modifi ajouter supprimer des actions 4 L authentification suppl mentaire peut tre modifi e Les deux types de modification sont disponibles Remarque Vous ne pouvez pas modifier les r les pr d finis et les actions qui leur sont attribu es Si une authentification suppl mentaire est activ e celle ci peut tre modifi e pour tous les r les m me les r les pr d finis 8 5 1 Modification de l authentification suppl mentaire uniquement Condition pr alable pour attribuer une authentification suppl mentaire v
430. us d informations voir Masquage des cl s la page 52 Cliquez sur OK La cl est attribu e et affich e dans l onglet Cl Masquage des cl s Pour viter que trop de cl s de groupes non utilis es apparaissent dans le jeu de cl s d un utilisateur sur l ordinateur d extr mit vous pouvez sp cifier les cl s masquer Les cl s qui n apparaissent pas dans le jeu de cl s de l utilisateur peuvent quand m me tre utilis es pour acc der aux fichiers chiffr s mais pas pour en chiffrer de nouveaux Pour masquer les cl s Aide administrateur 10 4 1 Dans le SafeGuard Management Center cliquez sur Cl s et certificats 2 Dans la zone de navigation cliquez sur Cl s et s lectionnez Cl s attribu es La vue Cl s attribu es appara t affichant la colonne Masquer la cl 3 Vous disposez de deux moyens pour sp cifier que les cl s doivent tre masqu es E S lectionnez la case cocher dans la colonne Masquer la cl de la cl requise M S lectionnez une ou plusieurs cl s et cliquez avec le bouton droit de la souris pour ouvrir un menu contextuel S lectionnez Masquer la cl l utilisateur 4 Enregistrez vos changements dans la base de donn es Les cl s sp cifi es n apparaissent pas dans le jeu de cl s de l utilisateur Pour plus d informations sur l affichage du jeu de cl s de l utilisateur sur l ordinateur d extr mit voir l aide utilisateur de SafeGuard Enterprise chapitre Ic
431. us la forme en Le responsable de la s curit est galement affich sous ce nom dans la fen tre de navigation du SafeGuard Management Center Ce nom doit tre unique Valeur maximale 256 caract res Description Facultatif Valeur maximale 256 caract res T l phone portable Facultatif Valeur maximale 128 caract res Courriel Facultatif Valeur maximale 256 caract res Validit S lectionnez les dates de d but et de fin d autorisation de connexion du responsable de la s curit au SafeGuard Management Center Connexion sur la carte La connexion peut s effectuer de la fa on suivante paee Pas de carte puce Le responsable de la s curit ne peut pas se connecter avec une cl cryptographique Il doit se connecter en saisissant ses informations de connexion nom d utilisateur mot de passe Facultatif La connexion peut s effectuer avec une cl cryptographique ou en saisissant les informations de connexion Le responsable de la s curit a le choix Obligatoire Une cl cryptographique doit tre utilis e pour la connexion Pour ce faire la cl priv e appartenant au certificat du responsable de la s curit doit se trouver sur la cl cryptographique 40 Aide administrateur Champ case cocher Description Certificat Un responsable de la s curit a toujours besoin d un certificat pour se connecter au SafeGuard Management Center Le certificat peut tr
432. uthentification au d marrage 1 Administration chec de la modification du compte d acc s l authentification au d marrage 1 Administration 2817 chec de la suppression du compte d acc s l authentification au d marrage 1 Administration 2820 Groupe de comptes d acc s l authentification au d marrage 1 cr Administration 2821 Groupe de comptes d acc s l authentification au d marrage 1 modifi Administration 2822 Groupe de comptes d acc s l authentification au d marrage 1 supprim Administration 2825 chec de la cr ation du groupe de comptes d acc s l authentification au d marrage 1 Administration 2826 chec de la modification du groupe de comptes d acc s l authentification au d marrage 1 Administration 2827 chec de la suppression du groupe de comptes d acc s l authentification au d marrage 1 Administration 2851 La t che du planificateur s est ex cut e avec succ s Administration 2852 chec de la t che du planificateur 253 SafeGuard Enterprise 254 Cat gorie ID Description s i Administration 2853 T che du planificateur cr e ou modifi e Administration 2854 T che du planificateur supprim e Client Sauvegarde du noyau r ussie Client Premi re tentative de restauration du noyau r ussie Client Deuxi me tentative de restauration du noyau r ussie Client chec
433. utilisateur et lorsque la cl cryptographique refuse toute tentative suppl mentaire 536870955 ID de slot non valide 265 SafeGuard Enterprise 266 ID de l erreur Affichage 536870956 La cl cryptographique n tait pas dans le slot lors de la requ te 536870957 L archive CBI et ou le slot n ont pas reconnu la cl cryptographique qui s y trouve 536870958 L op ration demand e n a pas pu tre effectu e car la cl cryptographique est prot g e en criture 5368709359 L utilisateur saisi ne peut pas se connecter car il est d j connect une session 536870960 L utilisateur saisi ne peut pas se connecter car un autre utilisateur est d j connect cette session 536870961 L op ration demand e n a pas pu tre effectu e car aucun utilisateur correspondant n est connect Par exemple il n est pas possible de quitter une session lorsqu un utilisateur est encore connect 536870962 Le code PIN de l utilisateur normal n a pas t initialis avec CBIInitPin 536870963 Une tentative de connexion effectu e par plusieurs utilisateurs simultan ment sur la m me cl cryptographique a t autoris e 536870964 Une valeur incorrecte a t sp cifi e en tant que CBIUser Les types valides sont d finis dans les types d utilisateurs 536870965 Un objet ayant l ID sp cifi est introuvable sur la cl cryptographique 536870966 D
434. utilitaire BE_Restore peut restaurer le secteur d initialisation endommag Pour plus d informations consultez le guide des outils SafeGuard Secteur d initialisation original Le secteur d initialisation original est celui qui est ex cut apr s le d chiffrement de la DEK cl de chiffrement de donn es et apr s que l algorithme et la cl ont t charg s dans le pilote du filtre BE Si ce secteur d initialisation est d fectueux Windows n a pas acc s au volume Normalement le message d erreur habituel Le disque n est pas format Voulez vous le formater maintenant Oui Non est affich SafeGuard Enterprise charge n anmoins le DEK pour ce volume L outil utilis pour r parer le secteur d initialisation doit tre compatible avec le filtre de volume sup rieur de SafeGuard Enterprise Probl mes d initialisation Windows Sa conception cryptographique de la cl sp cifique du volume secteur d initialisation zone de stockage des cl s KSA conf re SafeGuard Enterprise une tr s grande souplesse Aide administrateur 26 5 1 26 5 2 26 6 26 7 Vous pouvez sauver un syst me endommag en initialisant un support de restauration partir de la fonction d authentification au d marrage de SafeGuard Enterprise Windows PE avec le sous syst me de chiffrement de SafeGuard Enterprise install Ces supports ont un acc s de chiffrement d chiffrement transparent aux volumes chiffr s avec SafeGuard Enterprise
435. uton d roulant Modifier pr s du champ Script La liste d roulante montre tous les diteurs disponibles pour la modification du script S lectionnez l diteur que vous souhaitez utiliser Le script s ouvre dans l diteur s lectionn Effectuez vos changements et enregistrez les L diteur est ferm et la bo te de dialogue Propri t s de lt nom de t che gt r appara t Cliquez sur OK Le script chang est enregistr dans la base de donn es 235 SafeGuard Enterprise 29 5 3 Exportation de scripts 1 Dans la barre de menus du SafeGuard Management Center s lectionnez Outils gt Planificateur de t ches La bo te de dialogue Planificateur de t ches appara t montrant un aper u des t ches planifi es 2 S lectionnez la t che requise et cliquez sur le bouton Propri t s La bo te de dialogue Propri t s de lt nom de t che gt appara t montrant les propri t s de la t che 3 Cliquez sur le bouton Exporter pr s du champ Script Une bo te de dialogue Enregistrer sous appara t 4 S lectionnez l emplacement du fichier pour l enregistrement du script et cliquez sur Enregistrer Le script est enregistr l emplacement de fichier sp cifi 29 5 4 Scripts pr d finis pour les t ches p riodiques 29 5 4 1 236 Les scripts pr d finis suivants sont disponibles avec SafeGuard Enterprise M ActiveDirectorySynchronization vbs Vous pouvez utiliser ce script pour la synchr
436. uvelle entr e la liste blanche 2 Entrez les informations demand es dans les champs suivants a Port facultatif b Description du p riph rique facultatif c Infos sur le p riph rique facultatif d Fournisseur ID du fournisseur facultatif e Produit ID du produit facultatif f ID du mat riel ID de l instance obligatoire V rifiez que vous avez entr les donn es correctes dans tous les champs et enregistrez la liste blanche S lectionnez une entr e et cliquez sur l ic ne Supprimer de la barre d outils de SafeGuard Enterprise pour supprimer l entr e de la liste blanche Remarque L ID du fournisseur VID l ID du produit PID l ID du mat riel HID et l ID de l instance ID sont disponibles dans les r sultats d analyse de SafeGuard PortAuditor sur une tiquette appos e sur le produit ou dans le gestionnaire de p riph riques Windows 141 SafeGuard Enterprise 17 4 3 17 4 3 1 17 5 142 Ajout de connexions WLAN Les liens WLAN sont ajout s la liste blanche du r seau local sans fil quasiment de la m me mani re que les p riph riques Ajoutez une liste blanche WLAN puis ajoutez des liens approuv s cette liste blanche l aide des donn es du fichier SafeGuard Port Auditor ou manuellement Ajout manuel d un lien WLAN Vous pouvez ajouter manuellement des liens WLAN non d tect s par SafeGuard PortAuditor qui ne peuvent donc pas tre ajout s via le m canisme d importat
437. ve Path M Update M Hidden System 2object s 0 object s selected D 72 64 MB free 86 26 MB total T Quick Launch Text Editor FM Extra Find File Hex Viewer Image Viewer IEEE Le contenu du lecteur d chiffr s affiche dans le gestionnaire de fichiers Le syst me de fichiers ainsi que la capacit et l espace utilis libre figurent dans les propri t s du lecteur d chiffr L acc s aux donn es stock es sur cette partition est r cup r Suite ce d chiffrement r ussi vous pouvez lire crire et copier des donn es partir du disque indiqu ou vers celui ci Proc dure Challenge R ponse pour clients Sophos SafeGuard autonomes SafeGuard Enterprise inclut galement des proc dures Challenge R ponse pour les ordinateurs non administr s clients Sophos SafeGuard Ces ordinateurs ne disposent d aucune connexion m me temporaire au serveur SafeGuard Enterprise Ils fonctionnent en mode autonome Comme ils ne sont pas enregistr s dans la base de donn es SafeGuard Enterprise aucune information sur leur identification n cessaire une proc dure Challenge R ponse n est disponible Pour ces ordinateurs SafeGuard Enterprise propose une proc dure Challenge R ponse par exemple si l utilisateur a oubli son mot de passe ou s il l a saisi de mani re incorrecte un trop grand nombre de fois Dans ce cas les informations de r cup ration n cessaires la proc dure Challenge R po
438. veau PIN utilisateur et r p tez la saisie 7 Sous PIN SO entrez le PUK standard fourni par le fabricant ou le code PIN g n r lorsque la cl cryptographique a t initialis e Remarque Si vous remplissez uniquement le champ PIN utilisateur obligatoire le code PIN de l utilisateur doit correspondre celui qui a t g n r lors de l initialisation de la cl cryptographique Il est alors inutile de r p ter le code PIN de l utilisateur ou de saisir un code PIN SO 8 Cliquez sur G n rer une carte puce maintenant La cl cryptographique est g n r e les informations de connexion crites sur la cl cryptographique et les informations de la cl cryptographique enregistr es dans la base de donn es SafeGuard Enterprise Vous pouvez afficher les donn es de la zone Carte puce de l onglet Informations sur la carte puce G n ration d une cl cryptographique ou d une carte puce pour un responsable de la s curit Lorsque SafeGuard Enterprise est install pour la premi re fois le premier responsable de la s curit SO peut g n rer pour lui m me une cl cryptographique et sp cifier le mode de connexion consultez le Guide d installation SafeGuard Enterprise Pour tous les autres responsables de la s curit les cl s cryptographiques sont g n r es dans le SafeGuard Management Center Condition pr alable la cl cryptographique doit tre initialis e et le module PKCS 11 appropri doi
439. vec les derniers pilotes du filtre Sophos SafeGuard sur le site du support Sophos Pour plus d informations voir http www sophos fr support knowledgebase article 108805 html 2 Connectez vous l authentification au d marrage avec vos informations d identification 3 Ins rez le disque de r cup ration Windows PE dans l ordinateur 4 Dans la bo te de dialogue de connexion POA sous Poursuivre l installation partir de s lectionnez support externe L ordinateur d marre L acc s aux donn es stock es sur cette partition est r cup r Remarque En fonction du BIOS en cours d utilisation il est possible que l initialisation depuis le disque ne fonctionne pas MBR corrompu Pour r soudre les probl mes d enregistrement d amor age ma tre MBR corrompu SafeGuard Enterprise propose l utilitaire BE_Restore exe Pour une description d taill e de la fa on de restaurer un MBR corrompu au moyen de cet utilitaire reportez vous au guide des outils SafeGuard Code Un disque dur dont le code d initialisation du noyau est endommag reste accessible car les cl s sont stock es s par ment du noyau dans la zone de stockage des cl s Key Storage Area En s parant le noyau et les cl s ce type de lecteur peut tre d chiffr lorsqu il est connect un autre ordinateur Pour ce faire l utilisateur qui se connecte l autre ordinateur a besoin d une cl de la KSA pour la partition qui ne peut tre initialis e dans
440. vi sur un autre ordinateur prot g par SafeGuard Enterprise Toutefois la cl d initialisation correcte n est pas accessible Elle doit tre rendue accessible Chaque fois que l utilisateur tente d acc der au volume depuis un autre ordinateur il peut le faire car les KEK de la KSA et le jeu de cl s des autres utilisateurs ou ordinateurs correspondent de nouveau Exemple Alice poss de sa cl utilisateur personnelle Chaque fois qu elle est connect e son autre ordinateur Laptop_ Alice elle ne peut pas acc der au volume chiffr avec la cl d initialisation de l ordinateur SGNCLT Le SGMCLT de l ordinateur prot g par SafeGuard Enterprise n a que sa propre cl d initialisation BOOT _SGMCLT Le responsable de la s curit attribue la cl d initialisation BOOT_SGMCLT Alice de la fa on suivante 1 Il s lectionne l utilisateur Alice 2 Il clique sur l ic ne Jumelles dans la barre d outils de SafeGuard Enterprise Cela ouvre la bo te de dialogue de recherche qui affiche galement les cl s d initialisation 3 Il s lectionne la cl BOOT _SGMCLT Alice poss de d sormais deux cl s User_Alice et BOOT_SGMCLT Ceci peut tre v rifi dans Cl s et certificats La cl BOOT_SGMCLT a t attribu e deux fois l ordinateur SGMCIT et l utilisateur Alice Alice peut d sormais acc der au volume chiffr de n importe quel autre ordinateur d extr mit prot g par S
441. viduelles aboutit la valeur Ignorer l utilisateur les strat gies qui auraient t fix es pour l utilisateur ne sont pas analys es Cela signifie que les m mes strat gies s appliquent la fois pour l utilisateur et pour la machine Si apr s regroupement des strat gies individuelles la valeur avec l attribut Mode de r cursivit des strat gies est Param tres machine de relecture les strat gies de l utilisateur sont combin es celles de la machine Apr s le regroupement les strat gies de la machine sont r crites et le cas ch ant remplacent les param tres de strat gie de l utilisateur Si un param tre est pr sent dans les deux strat gies la valeur de la strat gie de la machine remplace celle de la strat gie de l utilisateur Si le regroupement des strat gies individuelles de la machine produit la valeur par d faut Pas de mode de r cursivit des strat gies les param tres de l utilisateur sont prioritaires par rapport ceux de la machine Ordre d ex cution des strat gies Ignorer l utilisateur Ordinateurs Param tres machine de relecture Ordinateur gt Utilisateur gt Ordinateur La premi re ex cution sur machine est requise pour les strat gies qui sont crites avant que la connexion utilisateur n intervienne par exemple image d arri re plan lors de la connexion Aucun bouclage param tre standard Ordinateur gt Utilisateur Autres d finitions C est l origine d une strat gi
442. voire d utiliser des caract res g n riques Restrictions Un ast risque ne peut remplacer que le premier signe le dernier signe ou tre le seul signe autoris Voici quelques exemples de cha nes valides et non valides concernant l utilisation des ast risques m Exemples de cha nes valides admin strator minis m Exemple de cha nes non valides Admin trator Ad minst En outre les restrictions suivantes s appliquent m Le caract re n est pas autoris dans les noms de connexion utilisateur m Les caract res 2 lt gt ne sont pas autoris s dans les noms de domaine Modification et suppression des listes de comptes de service En tant que responsable de la s curit poss dant le droit Modifier les listes de comptes de service vous pouvez modifier ou supprimer les listes de comptes de service tout moment M Pour modifier une liste de comptes de service cliquez deux fois dans la fen tre de navigation de la strat gie La liste de comptes de service s ouvre et vous pouvez alors ajouter supprimer ou modifier les noms d utilisateur dans la liste E Pour supprimer une liste de comptes de service s lectionnez la dans la fen tre de navigation de strat gie ouvrez le menu contextuel puis s lectionnez Supprimer 14 4 Affectation d une liste de comptes de service dans une strat gie 72 1 Cr ez une nouvelle strat gie du type Authentification ou s lectionnez en une existante 2
443. vous pouvez cr er manuellement des entr es Remarque Pour r cup rer les cha nes correspondantes d un p riph rique dans le Gestionnaire de p riph riques Windows ouvrez la fen tre Propri t s du p riph rique et observez les valeurs des propri t s Num ros d identification du mat riel et Chemin d acc s l instance du p riph rique Seules les interfaces suivantes sont prises en charge USB 1394 PCMCIA et PCI M Si vous voulez utiliser le r sultat d un contr le des ordinateurs d extr mit par SafeGuard PortAuditor comme source s lectionnez Importer le r sultat de SafeGuard Port Auditor Les r sultats de l analyse SafeGuard Port Auditor doivent tre disponibles fichier XML si vous voulez cr er la liste blanche avec cette source Pour s lectionner le fichier cliquez sur le bouton Pour plus d informations reportez vous au Guide utilisateur SafeGuard Port Auditor Cliquez sur OK pour afficher le contenu du fichier import dans le SafeGuard Management Center La liste blanche appara t sous Listes blanches dans la zone de navigation Strat gies Vous pouvez la s lectionner lorsque vous cr ez des strat gies du type Protection du p riph rique pour le chiffrement bas sur fichier S lection de listes blanches comme cibles des strat gies de protection des p riph riques pour le chiffrement bas sur fichier Condition pr alable La liste blanche requise doit avoir t cr e dans le Sa
444. xemple en t te et pied de page 223 SafeGuard Enterprise 28 8 28 8 1 28 9 224 Ko Pour imprimer le document sans afficher l aper u s lectionnez Fichier gt Imprimer Concat nation des v nements journalis s Les v nements destin s la base de donn es centrale sont journalis s dans le tableau EVENT de la base de donn es de SafeGuard Enterprise Une protection d int grit sp cifique peut tre appliqu e ce tableau Les v nements peuvent tre journalis s sous forme de liste concat n e dans le tableau EVENT En raison de la concat nation chaque entr e de la liste d pend de l entr e pr c dente Si une entr e est supprim e de la liste ceci appara t clairement et peut tre v rifi l aide d une v rification de l int grit Pour optimiser les performances la concat nation des v nements dans le tableau EVENT est d sactiv e par d faut Vous pouvez activer la concat nation des venements journalis s pour v rifier l int grit voir V rification de l int grit des v nements journalis s la page 224 Remarque La protection d int grit ne s applique pas au tableau EVENT lorsque la concat nation des v nements journalis s est d sactiv e Activation de la concat nation des v nements journalis s 1 Arr tez le service Web SGNSRV sur le serveur Web 2 Supprimez tous les v nements de la base de donn es et cr ez une sauvegarde lors de la sup
445. zones qui sont activ es et affich es sont celles qui sont n cessaires pour son r le respectif Ceci s applique galement aux zones des scripts et de l API Il est donc important de toujours activer l affichage de la zone dans laquelle les actions respectives sont d finies Les actions sont tri es par zone de fonctions et dispos es de mani re hi rarchique Cette structure permet de visualiser les actions n cessaires l ex cution d autres actions Authentification d un responsable suppl mentaire L authentification d un responsable suppl mentaire galement appel e r gle des deux personnes peut tre attribu e des actions sp cifiques d un r le Cela signifie que l utilisateur de ce r le n est autoris effectuer qu une certaine action si un utilisateur d un autre r le est pr sent et le confirme Vous pouvez attribuer une authentification suppl mentaire indiff remment des r les pr d finis ou personnalis s D s que deux responsables minimum ont le m me r le le r le personnalis peut galement tre s lectionn Le r le consistant effectuer l autorisation suppl mentaire doit tre pr alablement attribu un utilisateur De plus la base de donn es SafeGuard Enterprise doit compter au moins deux responsables de la s curit Lorsqu une action requiert une authentification suppl mentaire celle ci est n cessaire m me si l utilisateur d tient un autre r le ne n cessitant pas d authentifica
Download Pdf Manuals
Related Search